比特幣開發者正夢遊般走向崩潰

作者：Nic Carter 編譯：LlamaC

「推薦寄語：主體需知：Nic Carter（Castle Island Ventures 合夥人，加密圈知名意見領袖，此文直接抨擊 Bitcoin Core 開發者的治理惰性與戰略誤判）。本文主要討論了量子計算對比特幣安全性的潛在威脅，比特幣開發者對量子計算機威脅的潛在影響似乎持保守態度，但實際上需要現在就開始準備應對可能在未來十年內到來的量子破解風險。」

正文

最近關於比特幣量子風險的議論紛紛。我曾在一篇長文中闡述過我的觀點，但大多數人並沒有讀過，只是從 X 上獲取了一些零星的辯論片段。因此，我將自己的觀點濃縮成了這篇短文。我不打算在這篇文章中堆砌大量的參考文獻和細節。

比特幣的安全性——即從公鑰反向推導私鑰的難度——依賴於橢圓曲線加密技術。衆所周知，量子計算（QC）在理論上可以破解這一點，這要歸功於 David Shor 在 90 年代發明的一種算法。中本聰在發明比特幣時就意識到了這一點，並提議如果量子計算變得足夠強大，就進行升級。爲了讓量子計算機實際部署該算法，它需要 1000 到 2000 個所謂的“邏輯量子比特”，或者大約幾十萬到一百萬個“物理量子比特”。作爲參考，目前最先進的量子計算機最多擁有約 1000 個物理量子比特和幾十個邏輯量子比特。因此，我們距離實現這一能力還有大約三個數量級的差距。雖然這看起來還很遙遠，但著名的量子理論家和學者 Scott Aaronson 稱其僅僅是一個“極其困難”的工程問題，而不是需要新的基礎物理發現。換句話說，量子計算目前所處的階段相當於 1939 年的核裂變——已知可行且沒有理論障礙，但仍需要巨大的工程投入。進一步類比，由於量子計算具有巨大的戰略效用，該技術的早期擁有者可能會隱瞞其能力，或者推遲披露。在利益驅動下，量子計算可能會在沒有任何預警的情況下突然出現。對於那些認爲自己會有充足的預警和準備時間的比特幣持有者來說，這是一個壞消息。正如我們在人工智能領域所看到的——以及當縮放法則（scaling law）被開發出來、LLMs 變得強大時，AI 社區所表現出的驚訝程度——技術領域確實會發生非線性增長。我不願將比特幣的未來押注在“量子技術的發展不會帶來超預期驚喜”這一單純的希望之上。

未來十年內發生量子破解的概率是不可知的。然而，2025 年是量子計算歷史上最活躍的一年。在技術層面，今年 IONQ 和 MIT 在“保真度”（即量子比特執行預期操作的頻率）方面取得了突破。量子糾錯旨在捕捉並解決由物理量子比特引入的錯誤，從而創建純淨的邏輯量子比特，該技術在 2025 年開始取得實質性進展。由於這些錯誤往往隨着量子計算機規模的擴大而增加，實現大規模糾錯成爲了量子計算領域 最 重大的進展。Google 和 Quantinuum 今年在糾錯方面取得了顯著成果。

今年量子初創公司至少籌集了 60 億美元，創下歷史新高，且領先幅度巨大。其中一家初創公司 PsiQuantum 籌集了 10 億美元，旨在建造一臺百萬量子比特的機器——他們認爲利用現有技術是可行的。許多正在研發量子計算機的公司明確預測，到 2020 年代後期或 2030 年代中期，將能夠制造出功能完備、具規模化的量子計算機。Metaculus 上的專家平均預計量子計算機將在 2033 年左右問世。

美國政府官方標準制定機構 NIST 已要求政府機構在 2030 年前棄用 ECC256 等易受量子攻擊的加密方案，並在 2035 年前結束對其的所有依賴。歐盟和英國等其他主要大國也在按照類似的時間表運作。正如我將解釋的那樣，這些日期應當激勵比特幣持有者在今天就採取行動。

如果制造出足夠強大的“密碼學相關量子計算機”（QC），它可能會通過使攻擊者能夠從暴露的公鑰中竊取私鑰，從而對比特幣構成威脅。並非所有代幣目前都已暴露（部分公鑰位於哈希地址中，且 SHA-256 不被認爲易受量子攻擊），但在撰寫本文時，有 670 萬枚 BTC 處於危險之中 ——價值 6040 億美元。此外，在代幣被花費到被包含進區塊之間的短暫窗口期內，足夠強大的量子計算機理論上可以逆向工程出私鑰並重定向支出。這適用於任何類型地址中的代幣，無論是否經過哈希處理。

理論上，Bitcoin 可以通過軟分叉採用“後量子”（PQ）籤名方案。確實存在一些提議的抗量子密碼籤名。撇開技術問題不談，例如大幅增加的數據需求（需要更大的區塊或降低吞吐量），主要問題將在於確定具體的後量子方案、組織軟分叉，並費力地遷移數千萬個有餘額的地址。採用新的密碼學技術具有風險，這是另一個問題。我們不想因爲恐慌而轉向 PQ 加密，結果後來發現它甚至能被經典計算機破解。剝離 Bitcoin 系統核心的密碼學是一項巨大的工程，必須謹慎進行。如果你回想起 Bitcoin 社區在達成共識並實施（相對沒有爭議的）SegWit 和 Taproot 軟分叉時有多麼困難，你就會明白 Bitcoin 的行動並不敏捷。

比特幣的後量子分叉（或者更確切地說，是多次分叉，因爲可能需要進行多次）將比該協議以往的任何更新都更具侵入性且更加復雜。密碼學是該協議的核心，將其替換會迫使系統幾乎所有方面以及用戶與之交互的方式都發生改變。顯而易見，這樣一個分叉所需的辯論、開發和測試時間，將比 SegWit（從提案到激活耗時兩年）或 Taproot（三年）還要長。

實際上，在分叉之後讓比特幣進入安全狀態會更加困難。處於量子易感地址中的代幣必須進行輪換，並發送到新的抗量子地址類型中。最終，所有地址類型都必須被棄用並進行輪換。即使每個比特幣持有者都意識到這一點，並且能夠隨時訪問他們的錢包和私鑰，這種過渡在最好的情況下也需要數月時間。更現實的情況是，你需要給比特幣持有者幾年的通知時間來輪換他們的代幣。

情況變得更糟。一些比特幣已經丟失或被遺棄。其中很大一部分——170 萬枚 BTC——屬於中本聰和其他早期礦工，存儲在被稱爲“支付給公鑰”（pay to public key）的舊地址類型中。如果這些比特幣真的丟失了，它們就無法被轉移到抗量子地址類型中以確保安全。它們就像沉船殘骸中散落在海底的古代金幣，曾被認爲無法追回——直到有人造出了更好的潛水艇。因此，比特幣社區必須決定如何處理它們。是凍結它們，從而參與一種制度化的盜竊；還是放任不管，允許一個未知的、可能懷有敵意的量子代理人成爲最大的比特幣持有者。兩種選擇都不理想，目前社區內尚未達成共識。比特幣社區從未投票凍結或固定過任何人的比特幣，無論其多麼令人厭惡。事實上，這種集體盜竊（即使是出於正當理由）正是早期許多比特幣信奉者蔑視以太坊的原因。如果這樣做，比特幣信奉者將表明他們並不比他們所憎恨的對手高明。這也會向未來的持有者發出信號：在緊急情況下，集體沒收是一個可選方案。沒收將開創一個危險的先例。因此，被遺棄的 P2PK 比特幣的命運必須經過辯論，並且必須實施和部署一套解決方案（例如通過分叉來凍結或徵用它們）。這絕非易事，且在比特幣歷史上將是完全史無前例的。

如果你算一下，就會發現所需的緩解時間表可能長達近十年。我們需要時間來討論策略、解決分歧、就協議和受威脅代幣的路線圖達成一致、編寫代碼、測試密碼學，並實際執行遷移。這意味着，即使量子審判日（即所謂的“Q-day”）在十年後才到來，我們也必須從今天開始準備。提前或意外到來的 Q-day 將是災難性的。我們將不得不倉促決定是否凍結受威脅的代幣，恐慌性地實施後量子籤名方案，並寄希望於該方案是安全的，以及系統信心能夠恢復。比特幣主要開發公司 Chaincode 估計，即使是“短期”應急措施也需要兩年時間。改變比特幣就像駕駛一艘航空母艦。

對突發性破壞的恐慌反應，而非破壞本身，可能會摧毀 Bitcoin。關於是否應該銷毀或認領這些易受攻擊的代幣的對立觀點可能會引發分叉，正如我們在區塊大小戰爭中所見。爭奪 Bitcoin 之名的競爭性分叉在 2017 年或許還能勉強維持，當時 Bitcoin 遠未成熟且賭注較低，但在今天，這種局面會導致 Bitcoin 所依賴的大型機構資本來源對該協議失去信心。量子計算刺破了 Bitcoin 不可侵犯的承諾。難怪大多數 Bitcoin 持有者甚至不敢承認這一點。他們知道，承認風險的存在就是對 Bitcoin “不可磨滅”這一核心敘事產生懷疑。從資本配置者的角度來看，你不會希望自己的終極避險價值存儲資產存在尾部風險。因此，Bitcoin 持有者選擇玩一場巨大的囚徒困境遊戲，每個人都保持沉默，互不告發。但他們沒有料到，會有少數在智識上誠實的 Bitcoin 持有者願意向世界揭示一個不受歡迎的真相——即便這會損害我們自身的利益。

一些比特幣支持者認爲，美國法律將阻止任何擁有 CRQC 的人利用它攻擊比特幣。但將比特幣的保障僅僅寄托於對手會遵守法律規則的希望上，這種安慰微乎其微。我們不能指望量子技術的早期掌管者會心懷仁慈。盡管他們不會公開承認，但各大量子計算公司在比特幣會議周圍遮遮掩掩地試探是有原因的：如果他們能制造出足以獲取這筆財富的硬件，就有數千億美元的巨額賞金在等着他們。中國正投入巨大的國家資源用於量子計算，而且他們對比特幣或美國法律沒有任何忠誠度。此外，如果美國政府認爲中國即將採取行動，他們先發制人地沒收存在風險的比特幣也不是沒有可能。

如果你理解了我的邏輯，就會明白我們今天就應該開始準備。專家和政府的共識表明，量子問題可能在 2030 年至 2035 年間出現，考慮到應對時間表，這意味着我們必須從今天開始着手準備。如果我們沒有做好準備，量子崩潰可能造成的損害將是災難性的——對整個系統的信心將徹底喪失。因此，量子風險對比特幣的預期價值是顯著的負值。對於那些忽視這一威脅的投資者或開發者，我想問問你們，你們願意承擔多大的徹底崩潰的概率？10%？5%？1%？人們會爲那些可能造成災難性損失的小概率事件購買保險。即使每年發生危險洪水的風險只有 1%，你也可能購買了洪水保險，而且你會慶幸自己這麼做了。事實上，爲量子風險投保的成本很低，因爲開發者們大多都在進行毫無意義的自我反思。過去十年，開發者的主要工作重點一直是基於閃電網絡的擴容模型，但事實證明該模型已經失敗。關於過濾器以及比特幣是否應該承載任意數據的內部爭論吸引了開發者的注意力。過去十年，比特幣協議僅進行了兩次更新。盡管他們最終會進行更新，但開發者不能理直氣壯地聲稱自己忙於其他重要事務而無暇顧及這一日益嚴重的生存威脅。

比特幣社區對此採取了什麼行動？遺憾的是，微乎其微。雖然有一些零星的努力在探索後量子籤名方案和一些早期的緩解思路，但在實際的具體提案方面卻寥寥無幾。唯一列出的比特幣改進提案（BIP）——BIP360，是由一名相對的局外人主導的，而非那些對比特幣重大更新通常擁有決定性話語權的“大祭司”之一。而 BIP360 在現階段實際所做的，只是在糾正比特幣開發者犯下的一個重大錯誤，即在 2021 年引入了易受量子攻擊的 Taproot 地址類型。盡管首席開發者 Pieter Wuille 當時公開承認 Taproot 地址面臨量子風險，但他們還是這麼做了。甚至到了 2025 年，Wuille 仍然堅持認爲 ，對比特幣進行量子防護“並無緊迫性”。

最令我惱火的是，比特幣開發者對量子計算日益逼近的風險表現出的異常冷漠。通常情況下，比特幣的開發文化極其謹慎，幾乎到了荒謬的地步。開發者們爲了避免引入漏洞，不惜付出巨大代價，盡可能減少對第三方庫的依賴。衆所周知，比特幣拒絕了行業標準的橢圓曲線堆棧，也避開了 OpenSSL 的 ECC 實現，而是選擇了 secp256k1 作爲標準，並維護着自己的定制代碼。而這僅僅是其中一個例子。許多人應該還記得，即使是區塊大小的微小增加，也曾被討論多年，被視爲潛在的生存威脅。開發者們警告說，增加幾兆字節就可能導致網路崩潰或破壞去中心化。系統的腳本語言也被刻意限制——並非缺乏想象力，而是出於對拒絕服務攻擊和突發行爲的恐懼。這些選擇都帶有意識形態色彩，根植於一種極端自力更生、抵制當前及未來威脅以及普遍存在的偏執文化。然而令人難以置信的是，如今比特幣正面臨現代公鑰加密技術的徹底淘汰，開發者的反應卻是自滿。

當面對量子計算帶來的風險時，比特幣持有者（Bitcoiners）通常回應說，這種威脅同樣適用於所有金融技術（以及任何其他依賴加密的系統）。其言下之意是，反正世界末日都要來了，所以不值得擔心。但這不僅荒謬（顯然，即便在混亂局勢下，我們仍然希望比特幣能正常工作），而且並不屬實。“量子日”（Q-day），假設發生時各國政府和主要金融機構已做好普遍準備，那麼它將很像“千年蟲”問題（Y2K），即因爲準備充分而風平浪靜。後量子籤名已經存在，並且可以被任何中心化機構輕鬆實施。主要問題在於區塊鏈，因爲它們存在治理慣性和升級困難。Cloudflare 已經爲其大部分流量提供了後量子加密保護。AWS 已經在關鍵服務中部署了後量子密碼學。NordVPN 現在提供後量子瀏覽功能。雖然基礎設施升級可能很痛苦，但所有金融機構、軟件公司和政府都是高度中心化的，它們只需直接下令升級即可。（有一小部分系統無法升級，例如硬件已固化且無法更新的設備。但這指的是那些壽命超長的硬件，它們無論如何也該被逐步淘汰了。人造衛星是一個例外，它們在應對“量子日”方面也處於劣勢。）

像比特幣這樣的去中心化區塊鏈無法像中心化數據庫運營商那樣敏捷地進行自我更新。自 2017 年以來，比特幣僅推進了兩次更新，而且即便這兩次更新也是在經歷了巨大的怨恨和內鬥之後才實現的。此外，由於很大一部分易受攻擊的代幣存放在被遺棄的地址中，且這些地址的所有者根本無法被強制轉移其代幣，因此即使比特幣確實升級到了後量子籤名，它仍然面臨着 170 萬枚代幣被量子攻擊者突然奪取的風險。比特幣不僅需要有序且及時地進行升級，比特幣持有者還必須集體同意沒收這 170 萬枚代幣以化解這一風險——這在比特幣歷史上是完全史無前例的。

比特幣也比其他區塊鏈更脆弱。在供應量佔比中，它被推定爲丟失或遺棄的代幣比例更高。以太坊確實面臨一些相同的風險，但其帳戶抽象和智能合約功能意味着，通過一些技巧，以太坊甚至可以在不進行分叉的情況下實現後量子（PQ）籤名。最終仍需要進行後量子分叉，但在以太坊更爲活躍的治理流程下，這更有可能實現。以太坊還受益於有一位承認量子威脅並已經提出建議來應對它的領導者。另一個競爭對手 Solana 已經開始測試後量子籤名。像 Starkware 這樣的二層網路將抗量子性作爲核心價值主張。比特幣信徒會對這些比較感到惱火，但在“量子日”（Q-day）到來時，比特幣極有可能成爲唯一暴露在風險中的區塊鏈。

所以，這就是殘酷的真相。很少有比特幣信徒願意承認這一點。與其他依賴公鑰密碼學的系統相比，區塊鏈在量子計算面前顯得尤爲脆弱，而比特幣在區塊鏈中又是最脆弱的。量子計算已從遙遠的理論可能性轉變爲純粹的工程挑戰，它可能在十年甚至更短的時間內到來。如果真是這樣，比特幣支持者現在就需要開始準備。