量子運算的標題越來越頻繁地暗示比特幣正面臨崩潰,並聲稱未來的機器可能在幾分鐘內破解其加密,或徹底壓垮整個網路。
但學術研究描繪的情況更為受限。有些被廣泛引用的「突破」依賴的是被簡化過的問題,並不能反映真實世界的密碼學。而量子攻擊比特幣?根據研究論文,在 X 上由比特幣硬體創業者 Rodolfo Novak 分享,所需能量相當於一顆小恆星。
比特幣的安全性建立在兩種不同的數學之上,而量子電腦會以兩種不同方式威脅它們。
其中一種,稱為 Shor 演算法,針對錢包安全。理論上,它允許足夠強大的量子電腦從公鑰推導出私鑰。這將使攻擊者能直接掌控資金,並打破支撐比特幣的所有權保證。
另一種,稱為 Grover 演算法,應用於挖礦。它為礦工所進行的試錯搜尋提供理論上的加速——但正如下面這些論文所示,當你嘗試建造真正的機器時,這項優勢大多會蕩然無存。
這兩種威脅常被頭條模糊帶過。但一旦考量真實世界的限制,它們的落點差異極大。
X 上一則討論串中近期點名的兩篇論文——一篇是冷靜的工程分析,另一篇是一本正經的諷刺——分別從相反方向提出這個論點。加上另一則會在討論串中整理反對派研究與觀點的內容,它們共同暗示:加密推特上的當前恐慌,正把一個真正的長期疑慮,和一場建立在戲劇表演上的新聞循環混為一談。
第一篇論文來自 Pierre-Luc Dallaire-Demers 與 BTQ Technologies 團隊,於 2026 年 3 月發表;它探問量子電腦是否真的能使用 Grover 演算法「超越」BTC 的挖礦。這是一種量子技術,理論上可讓電腦比任何一般機器更快地憑猜測解開問題——在比特幣的案例中,則是加速礦工用來尋找有效區塊的試錯搜尋流程。
代價比聽起來更高。挖礦是保護 BTC 免受 51% 攻擊的機制;所謂 51% 攻擊,是指單一行為者控制足夠的雜湊算力,從而改寫近期交易歷史、雙重花費硬幣,或審查網路。若量子礦工能主導區塊產出,受到威脅的就不只是個別錢包——共識本身就會被捲入風險。
理論上,Grover 提供了一條通往此種主導地位的路徑。但研究人員的論點是,一旦你把硬體與其能耗需求的成本計入,整個答案就會崩塌。將 Grover 套用於 SHA-256——比特幣礦工競相解出、以把新區塊加入區塊鏈並賺取獎勵的數學公式——在物理上將是不可能的。
將演算法套用到比特幣本身,則需要某種規模達到沒有人知道如何建造的量子硬體。
搜尋的每一步都包含數十萬次精密操作;每一步都需要各自配套、由數千個 qubits 組成的專屬支援系統,才能把錯誤控制在可接受範圍內。而且因為比特幣每 10 分鐘產生一個新區塊,任何攻擊者都只有很窄的時間窗可以完成任務,迫使他們必須讓大量這種機器並排同時運行。
在 Bitcoin 的 January 2025 難度下,作者估算量子挖礦機隊需要大約 10²³ 個 qubits,消耗 10²⁵ watts——接近恆星的能量輸出(作為參考,這仍僅是地球太陽的 3%)。相比之下,整個現行的 Bitcoin blockchain 需要的電力約 15 gigawatts。
量子 51% 攻擊不只是昂貴;在任何真正文明可能具備並能供應的規模下,它都在物理上無法達成。
第二篇論文來自紐西蘭奧克蘭大學的 Peter Gutmann,以及瑞士蘇黎世高等學院(Zürcher Hochschule)的 Stephan Neuhaus。這篇論文針對的是敘事中的另一塊內容:一波又一波的頭條在宣稱,量子電腦已經開始破解加密。
作者試圖複製過去二十年中所有主要的量子質因數分解「突破」。他們成功了——使用 1981 年的 VIC-20 家用電腦、一個算盤,還有一隻名叫 Scribble 的狗,訓練牠每次要吠三次。
這個笑點之所以成立,是因為背後的核心其實很嚴肅。質因數分解是多數現代加密背後的數學基礎:取一個非常大的數,找出兩個質數,它們相乘後就能得到原本那個數。
對於具有數百位數字的數字,這通常被認為在任何一般電腦上都幾乎不可能。Shor 演算法——正是比特幣錢包威脅背後的量子技術——也正是人們擔心量子機器最終可能做到這件事的原因。
但依 Gutmann 與 Neuhaus 的說法,迄今為止幾乎每一次展示都「作弊」了。部分情況下,研究者選擇的數字,其隱藏的質因數只差幾位數,使得它們可以用基本計算機的技巧輕易猜到。
在其他情況下,他們先在一般電腦上處理問題中困難的那部分——這一步稱為 preprocessing(前處理)——然後再把經過精簡、幾乎可以直接輕鬆求解的版本交給量子機器去「解」。量子電腦獲得了突破的功勞,但真正的工作是由別處完成的。
作者聚焦於一篇近期論文,該論文聲稱某個中國團隊使用 D-Wave 機器取得了朝破解 RSA-2048 的進展。RSA-2048 是保護大多數網路銀行、電子郵件與電子商務流量的加密標準。
研究人員已發布了 10 個範例數字作為證明。Gutmann 與 Neuhaus 將這些數字丟進 VIC-20 的模擬器中,並且在約每個 16 秒的時間內找回正確答案。這些質數之所以被選得恰好只差幾位數,是因為可以用數學家 John von Neumann 在 1945 年從算盤技術改編出來的演算法輕易找出。
為什麼這種事一直發生?作者提出一個簡單的答案:量子質因數分解是一個高曝光度、但真正的成果有限的領域,而發布看起來很驚人的內容的動機非常強。
挑選被設好的數字,或是將大部分工作交由經典方式完成,讓研究者能夠宣稱創下新的「紀錄」,卻並沒有真正推進底層科學。該論文提出新的評估標準,將要求使用隨機數字、不得進行前處理,並且把因數在實驗者之間保持祕密,直到實驗進行時才揭露。到目前為止,沒有任何展示能通過這套標準。
重點並不是說量子運算是無害的。也不是說每一則「突破」的標題都代表朝破解現代加密邁出了真正進展,而交易者在下一則出現時應該持懷疑態度。
這兩篇論文都沒有完全否定量子威脅。
真正的弱點在於比特幣錢包,而不是挖礦。數百萬顆比特幣存放在較舊或被重複使用的地址中;在這些地址裡,關鍵資訊已經在區塊鏈上暴露,使它們成為最可能的長期目標——只要量子機器的能力持續提升。
自這些論文發表以來,改變的不是威脅本身,而是估算。Google 的研究人員近期提出的論文指出,若要發動這類攻擊所需的運算能力可能會大幅下降;用一種需要花上幾分鐘的攻擊,就可能讓保護 Bitcoin blockchain 的加密在攻擊中變得脆弱。
這並不代表攻擊已經迫近。作者在論文中披露:建造這樣一台機器目前在物理上仍是不可能的,且需要尚未完成的工程進展,例如:用來控制 qubits 的雷射、它們能被讀取的速度,以及讓數以萬計的原子在不遺失的前提下協同運作的能力。
也存在跡象顯示,大眾的觀點可能不夠完整。部分近期研究已隱藏關鍵技術細節,專家也警告說:這個領域的進展未必總是能夠公開、透明地被分享。
即便如此,開發者已經在著手修正方案,包括降低密鑰暴露的方法,以及為了抵禦量子攻擊而設計的全新簽名類型。
市場反映的看法是:這項威脅仍卡在教室裡。交易者認為比特幣在 2027 年前不太可能用新挖礦演算法取代其現行機制,但他們對於像 BIP-360 這類目標是降低錢包風險的升級,給出了更高的機率,約 40%。
對比特幣的量子威脅是真實的,但重要的是要記住:用來攻擊區塊鏈的那些機器,其建造能力受到物理極限的制約。
