比特幣的 1.3 兆美元安全競賽：針對量子攻擊防護化全球最大區塊鏈的關鍵舉措

能夠破壞比特幣區塊鏈的量子電腦，至今尚不存在。然而，開發者已經在考慮一波升級，以建立對這項潛在威脅的防禦，這也確實是對的，因為該威脅不再是純粹假設。

本週，Google 發表研究，指出一台足夠強大的量子電腦可能在不到九分鐘內破解比特幣的核心密碼學——比平均的比特幣區塊結算時間還快一分鐘。部分分析師認為，這種威脅可能會在 2029 年成為現實。

風險極高：約 650 萬個比特幣代幣、價值數千億美元，存放在一台量子電腦可能直接鎖定的位址中。其中一些幣屬於比特幣的化名創作者中本聰。除此之外，潛在的遭到入侵也會損害比特幣的核心原則——「信任程式碼」與「健全金錢」。

以下是這項威脅看起來會是什麼樣子，以及目前正在考慮的緩解提案。

量子機器攻擊比特幣的兩種方式

在討論提案之前，先理解這項脆弱性。

比特幣的安全性建立在單向的數學關係上。當你建立錢包時，會生成一把私鑰與一個祕密數字，接著從中推導出一把公鑰。

花費比特幣代幣需要證明你擁有私鑰，不是透過揭露它，而是使用它來產生網路可驗證的密碼學簽章。

這套系統是無懈可擊的，因為現代電腦要破解橢圓曲線密碼學——也就是特別指橢圓曲線數位簽章演算法（ECDSA）——並反向工程出公鑰背後的私鑰，需要數十億年。因此，人們認為區塊鏈在計算上不可能被攻破。

但未來的量子電腦可以把這條單向通道改造成雙向通道：從公鑰推導出你的私鑰並把你的資金抽走。

公鑰會以兩種方式暴露：來自鏈上閒置的幣（長時間暴露攻擊）或是處於移動中、或在記憶池等待加入的幣與交易（短時間暴露攻擊）。

支付給公鑰（P2PK）位址（中本聰與早期礦工所使用）以及 Taproot（P2TR，於 2021 年啟用的現行位址格式）都容易受到長時間暴露攻擊的影響。這些位址中的幣不需要移動才能揭示它們的公鑰；暴露已經發生，且可被地球上的任何人讀取，包括未來的量子攻擊者。大約有 170 萬 BTC 存在於舊的 P2PK 位址中——其中包含中本聰的資金。

短時間暴露則與記憶池（mempool）相關——未確認交易的等待室。當交易在那裡等待被納入區塊時，你的公鑰與簽章對整個網路都是可見的。

量子電腦可以存取這些資料，但它只有很短的窗口——在交易獲得確認並被更多區塊埋入之前——以推導出對應的私鑰並對其採取行動。

倡議

BIP 360：移除公鑰

如前所述，今天每一個使用 Taproot 建立的新的比特幣位址，都會永久性地在鏈上揭露公鑰，這讓未來的量子電腦擁有一個永遠不會消失的目標。

比特幣改進提案（BIP）360 移除會永久嵌入鏈上、對所有人可見的公鑰，方法是引入一種名為「支付給 Merkle Root」（P2MR）的新輸出類型。

請記得，量子電腦會研究公鑰，反向工程出私鑰的精確形狀並偽造一份可運作的副本。若我們移除公鑰，攻擊就失去了可依循的基礎。與此同時，其餘的一切——包含 Lightning 付款、多簽設定與其他比特幣特性——都會保持不變。

然而，若要實作，這項提案只能保護往後新增的硬幣。已經存放在那些舊的、遭到暴露的位址中的 170 萬 BTC，是另一個問題，將由下方的其他提案來處理。

SPHINCS+ / SLH-DSA：基於雜湊的後量子簽章

SPHINCS+ 是一種建立在雜湊函數之上的後量子簽章方案，藉此避開比特幣所使用的橢圓曲線密碼學所面臨的量子風險。雖然 Shor 演算法威脅到 ECDSA，但像 SPHINCS+ 這種基於雜湊的設計，並未被視為同樣脆弱。

該方案已在數年公開審查之後，於 2024 年 8 月由美國國家標準與技術研究院（NIST）標準化為 FIPS 205（SLH-DSA）。

安全性的代價在於大小。當前比特幣的簽章是 64 位元組（bytes），而 SLH-DSA 則是 8 KB（千位元組）或更大。由此可見，採用 SLH-DSA 將會大幅提高區塊空間需求並推升交易費用。

因此，像 SHRIMPS（另一種基於雜湊的後量子簽章方案）以及 SHRINCS 這樣的提案已經被提出，目的是在不犧牲後量子安全性的前提下縮小簽章大小。它們都建立在 SHPINCS+ 之上，同時力求以更實務、空間效率更高的形式保留其安全性保證，適用於區塊鏈使用。

Tadge Dryja 的 Commit/Reveal（提交/揭示）方案：針對記憶池的緊急煞車

這項提案是一個軟分叉（soft fork），由 Lightning Network 的共同創作者 Tadge Dryja 提出，目標是保護記憶池中的交易，免受未來的量子攻擊者威脅。它的做法是將交易執行分成兩個階段：Commit 與 Reveal。

想像你先告訴對方你會寄一封 email 給他，接著你真的寄出 email。前者是提交階段（commit），後者是揭示階段（reveal）。

在區塊鏈上，這表示你會先發布一個封存的意圖指紋——只有雜湊，完全不揭露交易內容。區塊鏈會永久為該指紋加上時間戳。之後，當你廣播實際交易時，你的公鑰才會變得可見——而且沒錯，正在監看網路的量子電腦可以從中推導出你的私鑰，並偽造一筆競爭交易來偷走你的資金。

但該偽造交易會立即被拒絕。網路會檢查：這筆花費是否在鏈上已註冊了先前的提交？你的有。攻擊者的沒有——他們是剛剛才建立的。你事先註冊的指紋就是你的不在場證明（alibi）。

不過問題在於，因為交易被拆成兩個階段，所以成本會增加。因此，它被描述為一座暫時性的橋樑——在社群努力打造量子防禦之前，可以先用於實務部署。

Hourglass V2：放慢舊幣的支出

由開發者 Hunter Beast 提出，Hourglass V2 針對的是與約 170 萬 BTC、持有在較舊且已暴露位址中的量子脆弱性相關的問題。

該提案接受這些幣在未來的量子攻擊中可能會被偷走，並試圖透過限制每個區塊最多出售 1 顆比特幣來放慢出血速度，避免出現可能讓市場受挫的、災難性的隔夜大規模清算。

這個比喻是銀行擠兌（bank run）：你無法阻止人們提款，但你可以限制提款的速度，以防止系統在隔夜崩潰。這項提案具有爭議，因為即便是這種有限的限制，也有人在比特幣社群中視為違反原則：任何外部方都不應該干涉你支出你的幣的權利。

結論

這些提案目前尚未啟動，而比特幣的去中心化治理涵蓋了開發者、礦工與節點營運者，因此任何升級都可能需要時間才能落地。

儘管如此，持續湧現、早於本週這份 Google 報告的各項提案，顯示這個問題長期以來就已在開發者的雷達上，這或許能幫助緩和市場疑慮。