目前不存在能夠破解比特幣區塊鏈的量子電腦。然而,開發者已經在考慮一波升級,來建置針對潛在威脅的防禦措施;而這樣做也確實正當且合理,因為這個威脅不再只是想像。
本週,Google 發布研究指出,若有足夠強大的量子電腦,可能在不到九分鐘內破解比特幣的核心加密——比平均的比特幣區塊結算時間快一分鐘。部分分析師認為,到 2029 年,這類威脅可能會變成現實。
風險極高:約 650 萬枚比特幣代幣、價值數以數百億美元計,存放在一台量子電腦可以直接鎖定的地址中。其中一些幣屬於比特幣的匿名創作者中本聰(Satoshi Nakamoto)。此外,潛在的攻破還會損害比特幣的核心要旨——「信任程式碼」以及「健全貨幣」。
以下是這個威脅的樣貌,以及目前正在考慮中的緩解提案。
在討論提案之前,先理解這個弱點。
比特幣的安全性建立在單向的數學關係上。當你建立一個錢包時,會產生一把私鑰與一個祕密數字,接著由此推導出公鑰。
花費比特幣代幣需要證明你擁有私鑰,而不是透過揭露它,而是使用私鑰來生成網路可驗證的加密簽章。
這套系統是萬無一失的,因為現代電腦要破解橢圓曲線密碼學——特別是橢圓曲線數位簽章演算法(ECDSA)——並從公鑰反向推導出私鑰,需要數十億年的時間。因此,據說區塊鏈在計算上不可能被攻破。
但未來的量子電腦可以把這條單向路徑,改成雙向:由公鑰推導你的私鑰,並將你的資金掏空。
公鑰會透過兩種方式暴露:來自鏈上閒置的代幣(長暴露攻擊),或來自移動中的代幣、以及等待在記憶池(memory pool)中的交易(短暴露攻擊)。
支付給公鑰(P2PK)地址(由中本聰與早期礦工使用)以及 Taproot(P2TR,於 2021 年啟用的現行地址格式)都容易受到長暴露攻擊。這些地址中的幣不需要移動就能暴露公鑰;暴露早已發生,而且任何人都能讀取到——包含未來的量子攻擊者。約有 170 萬 BTC 存放在舊式 P2PK 地址中——其中包括中本聰的資產。
短暴露與記憶池(mempool)相關——未確認交易的等待室。當交易待在那裡、等待被納入區塊時,你的公鑰與簽章對整個網路都是可見的。
量子電腦可以存取這些資料,但它只有短暫的窗口——在交易被確認、並被更多區塊掩埋之前——來推導對應的私鑰並對其採取行動。
如前所述,今天所有使用 Taproot 建立的新比特幣地址,都會在鏈上永久暴露公鑰,讓未來的量子電腦擁有永遠不會消失的攻擊目標。
比特幣改善提案(BIP)360 透過引入一種名為「支付給 Merkle Root」(Pay-to-Merkle-Root,P2MR)的新輸出類型,移除永久嵌入在鏈上、且對所有人可見的公鑰。
回想一下,量子電腦會研究公鑰、反向推導出私鑰的精確形狀,並偽造一份可運作的副本。若我們移除公鑰,攻擊就失去了可用的目標來源。同時,其他所有事物——包含 Lightning 支付、多重簽名設定以及其他比特幣功能——都會保持不變。
然而,若要落實,這個提案只能保護往後新增的硬幣。先前已存在、且位於那些舊式已暴露地址中的 170 萬 BTC 是另一個獨立問題,會在下方由其他提案處理。
SPHINCS+ 是一種建立在雜湊函數之上的後量子簽章方案,避免了比特幣所使用的橢圓曲線密碼學所面臨的量子風險。雖然 Shor 演算法會威脅到 ECDSA,但像 SPHINCS+ 這樣的基於雜湊設計,並不被視為具有同等程度的脆弱性。
該方案已在經過多年公開審查後,於 2024 年 8 月由美國國家標準與技術研究院(NIST)標準化為 FIPS 205(SLH-DSA)。
安全性的代價在於大小。當前比特幣簽章是 64 位元組,而 SLH-DSA 則需要 8 KB(千位元組)或更多。因此,採用 SLH-DSA 將大幅增加區塊空間需求,並提高交易手續費。
因此,像 SHRIMPS(另一種基於雜湊的後量子簽章方案)以及 SHRINCS 這類提案,已經被提出用來降低簽章大小,同時不犧牲後量子安全性。它們都建立在 SHPINCS+ 之上,並試圖以更實用、對空間更有效率的形式,保留其安全保證,以適用於區塊鏈使用。
此提案由 Lightning Network 共同創作者 Tadge Dryja 提出,是一種軟分叉,目標是保護記憶池中的交易,免受未來的量子攻擊者威脅。它透過把交易執行拆分為兩個階段來做到:Commit 與 Reveal。
想像一下,你先告知對方你會寄電子郵件給他,接著你真的寄出一封電子郵件。前者是 commit 階段,後者是 reveal。
在區塊鏈上,這表示你會先發布一個用封印方式的意圖指紋——只有雜湊,不會揭露任何關於交易的資訊。區塊鏈會永久為這個指紋打上時間戳。等到你稍後廣播實際交易時,你的公鑰才會變得可見——沒錯,正在監視網路的量子電腦可以由此推導出你的私鑰,並偽造一筆競爭交易來偷走你的資金。
但那筆偽造的交易會立刻被拒絕。網路會檢查:這次花費是否在鏈上已註冊先前的承諾(commitment)?你的有。攻擊者的沒有——因為他們是幾個瞬間前才剛建立。你事先登記的指紋就是你的不在場證明(alibi)。
然而,問題在於:由於交易被拆成兩個階段,成本會增加。所以,它被描述為一座暫時性的橋樑——在社群致力於建造量子防禦措施時,作為可實作的過渡方案。
該方案由開發者 Hunter Beast 提出,鎖定與約 170 萬 BTC 存放在較舊、已暴露地址相關的量子弱點。
該提案接受這些幣可能會在未來的量子攻擊中遭到竊取,並希望透過限制每個區塊最多只能出售 1 顆比特幣,來放慢「傷口持續流血」的速度,避免發生災難性的隔夜大規模清算,進而讓市場受重創。
這個比喻是銀行擠兌(bank run):你無法阻止人們提款,但你可以限制提款的速度,以避免系統在隔夜崩潰。這項提案存在爭議,因為即便是這種有限的限制,也被部分比特幣社群成員視為違反了「任何外部方都不可能干涉你花費自己幣的權利」這項原則。
這些提案目前尚未啟用,而比特幣的去中心化治理涵蓋開發者、礦工與節點營運者,這意味著任何升級都可能需要時間才能落地。
不過,從這週 Google 報告之前就持續不斷提出的提案來看,顯示該問題早已長期在開發者的雷達上,這或許能幫助緩和市場擔憂。
相關文章
