Google剛剛告訴加密產業,這個威脅比任何人所預測的更近。這個產業,難得地,正在傾聽。
Google 的 Quantum AI 團隊於週一晚些時候發布的一份白皮書發現,破壞用於保護比特幣與以太坊錢包的 256-bit 橢圓曲線密碼學,可能只需要少於 500,000 個實體量子位(在量子系統中運算單位),大約是先前估計把門檻放在「數百萬」時的 20 倍降幅。
該論文也描述了:一旦交易揭露了公鑰,量子電腦就能在約九分鐘內破解比特幣私鑰,讓攻擊者有 41% 的機率贏過比特幣 10 分鐘的確認窗口。
這項研究在各個線上的加密圈層引爆般落地。不是因為它說量子電腦今天就能破解比特幣——它做不到——而是因為它大幅壓縮了量子電腦可能出現並產生影響的時間表。
「我們不再看 2030 年代中期;到這個十年末,我們就可能擁有這種規模的量子電腦,」在 X 上,Dragonfly 的管理合夥人 Haseeb Qureshi 表示。「所有區塊鏈都需要一份 ASAP(立刻)的轉型計畫。後量子(Post-quantum)不再是演習。」
Qureshi 指向 Google 公開內容中的一個不尋常細節。該團隊並沒有發布實際的量子電路。相反,他們釋出了可驗證電路確實存在的零知識證明,卻不揭示電路如何運作。「這非常不典型,顯示 Google 認為這是件很嚴重的事,」他說。
Justin Drake 是以太坊基金會的研究員,他作為該 Google 論文的後期聯合作者加入。他表示自己對「q-day」在 2032 年前到來的「信心大幅提高」,並估計至少有 10% 的機率:量子電腦能在那個時間點從已暴露的公鑰中恢復出一把「secp256k1」私鑰。
Drake 指出,這個最佳化後的量子電路「僅需 1 億次 Toffoli gates,且出奇地算是『很淺』」,而在超導平台上,總運行時間大約會是 1,000 秒。
「低垂的果實仍在被採摘;至少其中一項 Google 的最佳化,來自一個相當簡單的觀察,」Drake 補充說。「當時並沒有要求 AI 去尋找最佳化。」
儘管人類研究者仍在持續找尋直觀的改進,但所需量子位數的下限尚未到來。Drake 表示邏輯量子位數「很有可能很快就能降到 1,000 以下」。
今天對量子運算與加密密碼學而言是一個具有紀念意義的日子。兩篇突破性論文剛剛發表(下則推文中的連結)。這兩篇論文都改進了 Shor 演算法——那個以破解 RSA 與橢圓曲線密碼學而臭名昭著的演算法。兩個成果疊加,最佳化了分別的……
— Justin Drake (@drakefjustin) March 31, 2026
安全工程師 Conor Deegan——其發表的研究被引用在 Google 論文中——給出了一份相當技術細節密集的回應。他指出一個模式:該論文所提到的研究在多條鏈之間出現——量子運算像是一筆「一次性成本」,會產生可被無限次重複使用的經典攻擊利用。
以太坊的「KZG」可信設定、Zcash 的「Sapling」協議,以及萊特幣的「MimbleWimble」,都把橢圓曲線的難解性嵌入到固定的公開參數中;這些參數只需要被破解一次。
「在 ECDLP 橢圓曲線上部署新的加密基礎設施,考量到這些資源估算後,已經是不可辯護的,」Deegan 說。
該論文估計大約有 690 萬枚比特幣、約佔總供給的三分之一,存放在錢包中,而這些錢包的公鑰已經被先前交易揭露。這其中包括網路早期年份來自 170 萬 BTC(包含中本聰的(比特幣網路神秘創建者),以及因地址重複使用所影響的額外資金。
CoinDesk 早些在週一報導指出,比特幣於 2021 年推出的 Taproot 升級——原本設計目的是讓交易更有效率、也更具隱私——在預設情況下也把公鑰暴露在區塊鏈上;這個技術操作如今帶來了量子風險。
這個數字遠遠超過 CoinShares 在 2 月提出的估計:只有約 10,200 BTC 集中到足以在被盜後造成「可觀的市場擾動」。Google 的方法計算的是所有已暴露的公鑰,而不只限於大額餘額。
比特幣 vs 以太坊 的分歧
反應分裂得和熟悉的陣營一樣。以太坊的準備工作獲得稱讚。比特幣的欠缺則引發警報。
「你可以把 q-day 想成類似 Y2K,但是真實會發生,」加密投資圈中一位頗受關注、但只被稱為「McKenna」的人士——Arete 的管理合夥人——表示。「人們應該感謝以太坊基金會,因為他們很早就展開並帶領了這項研究。比較麻煩的部分是比特幣:缺乏緊迫感,以及在遇到脆弱代幣時該怎麼做的共識問題。」
以太坊基金會上週推出了 pq.ethereum.org,其中包含 8 年的後量子研究、每週交付 devnet(開發網路)的 10 個以上客戶端團隊,以及多次分叉(multi-fork)的遷移路線圖。
Drake 是共同撰寫 Google 論文的那個團隊成員之一——他與同一批以太坊團隊相關;這在某種程度上把量化威脅的研究人員,直接連到正在打造防禦的開發者。
StarkWare 的共同創辦人 Eli Ben-Sasson 呼籲比特幣社群「強化像 BIP 360 這樣的倡議」,這是一項提案,將導入抗量子攻擊的錢包格式,讓使用者能夠自願遷移。
「說量子電腦即將到來並不是 FUD,」Ben-Sasson 說。「FUD 是指宣稱比特幣無法適應。但它能適應。只是需要今天就開始著手這些解決方案。」
比特幣需要為量子時代做好準備。
我們需要強化像 BIP 360 這樣的倡議。
我們需要投入更多努力,找出具創意、聰明的解決方案,確保比特幣具備後量子層級的安全性。
說量子電腦即將到來並不是 FUD。FUD 是在宣稱……
— Eli Ben-Sasson | Starknet.io (@EliBenSasson) March 31, 2026
比特幣倡議者 Bit Paine 給出相對克制的觀點。「我仍認為大約 10 年是更可能的時間框架,但我也非常不舒服地提高了『未來五年內可能出現某種具破壞性的變化』的機率。高到足以讓我們在未來一到兩年內採取行動是明智的。」
改變他想法的關鍵在於這兩點:「QC 進展中的持續非線性」以及「支撐這項研究的、充滿神秘感的保密氛圍」。他說,當實體量子位的估計值以數量級下降時,「在『量子走向會擾亂比特幣』與『secp256k1 被破解』之間,我們可能沒有太多窗口期」。
Paine 也補充了一個國家安全層面的考量。「CRQC 可能會以隱身模式被開發,然後像是從看不見的地方突然冒出來。」
Google 選擇使用零知識證明而不是發布電路,進一步強化了這個觀點。若全球最領先的量子實驗室為了安全理由對自家研究進行自我審查,那麼具備等同或更強能力的國家行為者(state actors)幾乎不太可能完全公開發表。
Drake 也呼應這點。「從現在開始,請假設最先進的演算法都會被審查。學術出版品中的黑暗期(blackout)將是明顯的徵兆。」
為什麼是加密?
一些業界聲音質疑:為何 Google 把最詳盡的分析目標放在加密,而不是銀行或軍事系統。ETF 分析師 Eric Balchunas 問道,為何 Google 會把「這段時間/資金用在加密上,而不是用在更具社會影響力的事物上」。
Castle Island Ventures 的合夥人 Nic Carter 給出答案:區塊鏈是最脆弱的系統,因為它們依賴的加密正是量子電腦可以破解的。Carter 說:「銀行不會因為你逆向工程出單一金鑰就失效。區塊鏈會。它們脆弱得多。銀行反正會升級。那邊不會有那種攻擊面。」
Binance 的共同創辦人 Changpeng Zhao 呼籲冷靜,但也承認實際上的困難。
「所有加密只要升級到抗量子(Quantum-Resistant)的演算法就好。所以不用恐慌,」Zhao 說。「實務上有一些執行層面的考量。在去中心化的世界裡,要組織升級是很困難的。」
Zhao 也直接點出中本聰(Satoshi)這個問題。若這些幣在遷移期間移動,「那就代表他仍然在世,這件事知道了會很有意思。」若沒有,他說,「那可能還不如把這些位址鎖住或實質上燒毀,讓它們不會流到第一個破解它的駭客手上。」
有些人似乎在恐慌,或在詢問量子運算對加密的影響。
從高層次來看,所有加密只要升級到抗量子(後量子,Post-Quantum)演算法就行。所以不用恐慌。😂
實務上有一些執行層面的考量。要很難組織升級……
— CZ 🔶 BNB (@cz_binance) March 31, 2026
加密 X 上最熱門的反駁論點是:量子運算會破解一切,而不只是區塊鏈。
「如果量子殺死了比特幣,那它也會殺死全球銀行系統、SWIFT 轉帳、股票交易所、軍事通訊、核指令系統、地球上每一個 HTTPS 網站,」加密評論員 Quinten Francois 寫道。
Elon Musk 則用更輕鬆的說法發文,表示至少「如果你忘了錢包密碼,未來仍可取得」。
該論文直面這種框架。從銀行到軍事網路這類集中式系統,可以把軟體更新推送給使用者。去中心化的區塊鏈則不行。即使在找到解決方案並達成共識之後,要完成比特幣基礎設施的遷移(包含使用者錢包、交易所支援與新的位址格式),時間也可能需要 5 到 10 年。
同時,Google 表示它正與 Coinbase、Stanford Institute for Blockchain Research 以及以太坊基金會合作,尋求負責任的方式來推動這次轉型。
公司將其研究定位為並非針對加密的攻擊,而是為了「支持加密貨幣生態系統的長期健康」。
來自幾乎業界每個角落的訊息現在是同一句話。威脅不再只是理論;現在是時候行動了。剩下唯一的變數是:那些必須遷移的協議,是否會在硬體趕上之前就完成轉移。
延伸閱讀:看看比特幣、以太坊與其他網路如何準備面對迫近的量子威脅
