量子计算的每一次技术突破,都在重估比特币长期安全性的时间表。当谷歌将后量子密码迁移的截止时间提前至 2029 年,当学术界展示仅需 9 分钟即可从公钥推导出私钥的量子电路时 ,比特币开发者社区也交出了自己的答卷。2026 年 2 月,BIP-360「Pay-to-Merkle-Root(P2MR)」正式合入 bitcoin/bips 仓库,标志着比特币首次将抗量子能力纳入正式的升级路径。这不是一场激进的密码学革命,而是一次谨慎的、渐进式的结构性防御。
量子威胁为何此刻成为结构性变量?
过去一周,量子计算领域发生了根本性的范式转变。谷歌量子团队与斯坦福教授 Dan Boneh 联合发表的论文证实,仅需 1,200-1,400 个逻辑量子比特,即可在约 9 分钟内破解保护比特币的椭圆曲线数字签名算法(ECDSA)。这一数字较此前业界预估的 1 万个逻辑量子比特降低了近一个数量级。更关键的是,Oratomic 公司提出的中性原子架构显示,仅需 1 万个物理量子比特就能实现这一目标,而加州理工学院已建成包含 6,100 个量子比特的中性原子阵列。这意味着,实验室中的量子威胁正在从理论走向工程可验证。对于比特币而言,风险并非针对 SHA-256 哈希算法,而是集中于交易发生时暴露在链上的公钥。一旦量子计算机能够从公钥逆向推导私钥,所有重复使用的地址、遗留的 P2PK 输出以及 Taproot 密钥路径花费都将面临风险。据 ARK Invest 估算,约 34.6% 的比特币供应量(约 690 万枚 BTC)可能暴露在这一风险之下。
BIP-360 如何从机制上降低公钥暴露?
BIP-360 的核心在于引入了一种名为支付到默克尔根(P2MR)的新型输出类型。这一方案在结构上借鉴了 2021 年的 Taproot 升级,但做出了一项关键改动:彻底移除密钥路径花费选项。在传统的 Taproot 交易中,花费者可以选择通过密钥路径(暴露调整后的公钥)或脚本路径(提供默克尔证明)来花费 UTXO。密钥路径虽然高效,但代价是将公钥写入链上。P2MR 则强制所有 UTXO 的花费都必须通过脚本路径完成。具体而言,P2MR 输出仅承诺脚本树的默克尔根,而不承诺任何内部公钥。当用户需要花费时,只需揭示具体的脚本叶子节点并提供默克尔证明,整个过程不涉及椭圆曲线公钥的链上暴露。这一机制直接切断了量子攻击最核心的入口——已暴露的公钥。
安全性提升需要付出哪些结构性代价?
任何安全升级都伴随权衡,P2MR 也不例外。最直接的代价体现在交易费用上。由于采用脚本路径而非简洁的密钥路径,P2MR 交易需要携带更多见证数据(包括默克尔证明和脚本内容),导致交易体积增大,进而推高手续费。对于普通用户而言,这是一种显性的成本增加。更深层的权衡在于用户体验与安全性的取舍。密钥路径之所以被设计出来,本就是为了提供一种更经济、更快捷的花费方式。移除这一路径后,所有交易都回归脚本路径,这虽然强化了抗量子能力,但也在一定程度上牺牲了部分效率。此外,P2MR 并非一种完全的后量子签名方案。它没有引入基于格的 Dilithium 签名或基于哈希的 SPHINCS+ 签名来替代现有的 ECDSA 和 Schnorr 签名。它只是堵住了当前公钥暴露的漏洞,而非重塑比特币的密码学底层。
对加密行业格局意味着什么?
BIP-360 的推进正在悄然重塑行业基础设施的演进方向。对于钱包服务商而言,支持 P2MR 地址(预计将以 bc1z 开头)将成为区分产品安全等级的新维度。长期持有者可以选择将资产迁移至这类抗量子地址,主动降低未来风险。对于交易平台和托管机构,这意味着需要评估现有用户资产的公钥暴露情况,并准备相应的迁移引导机制。更深远的影响在于资产分类。未来市场可能会自然分化出两类比特币:一类是长期存放在抗量子地址中的「安全储备」,另一类是仍留在传统地址中、频繁交易且暴露公钥的「流通资产」。这种分化可能影响资产的流动性偏好和估值逻辑。从技术发展路径看,BIP-360 的出现也为其他公链提供了参考范式——在完全迁移到后量子签名之前,如何通过协议层面的微调来降低风险敞口。
未来演进可能沿着哪些路径展开?
BIP-360 的技术路径已相对清晰,但其社会采纳路径仍存在较大不确定性。从技术演进看,最可能的场景是分阶段软分叉推进:首先激活 P2MR 新型输出类型,允许用户主动选择使用;随后钱包、交易平台和托管机构逐步增加支持;最后用户在未来数年内渐进式迁移资产。这一过程与 SegWit 和 Taproot 的普及路径类似。然而,社会共识的建立可能比技术实现更具挑战性。BTQ Technologies 已经在比特币量子测试网上部署了 BIP-360 的工作实现,吸引了超过 50 名矿工并挖掘了超过 10 万个区块。但这一测试网独立于比特币主网运行,绕过了主链的治理流程。要让 BIP-360 真正进入比特币核心代码库,仍需矿工、开发者和用户之间达成广泛共识。BTQ 总裁 Christopher Tam 直言:「这是一个社会问题。比特币社区内有一些‘高级教士’需要说服。」
哪些潜在风险需要预警?
尽管 BIP-360 是一次重要的预防性升级,但其局限性同样不容忽视。首先,现有资产不会自动获得保护。所有旧 UTXO 在用户主动转移至 P2MR 输出之前,其公钥暴露风险依然存在。这意味着,即便升级完成,网络中仍将长期存在大量脆弱资产,尤其是中本聪早期挖矿的地址和长期未动的「沉睡币」。其次,BIP-360 并非终点。一旦真正可用的密码学相关量子计算机(CRQC)出现,仅靠减少公钥暴露已不足以应对威胁,届时仍需迁移至完整的后量子签名方案。再次,测试网与主网之间存在显著差异。BTQ 测试网采用 1 分钟的目标出块时间以加速迭代测试,这与比特币主网的 10 分钟出块机制不同。在测试网上验证通过的方案,迁移到主网时仍需重新评估安全边界。最后,量子技术进展仍在加速。谷歌设定的 2029 年迁移截止时间,以及美国联邦政府 NSM-10 指令下的 2026 年 4 月后量子密码迁移期限,都在压缩行业反应的时间窗口。
总结
BIP-360 的提出,标志着比特币从被动应对量子威胁转向主动构建防御层。它通过移除 Taproot 密钥路径、强制采用脚本路径,显著降低了公钥链上暴露的风险。但这既不是终点,也不是万能药。它是一次谨慎的、渐进式的技术准备,为未来全面迁移至后量子签名赢得了时间窗口。对于加密行业而言,理解 BIP-360 的意义不在于将其视为终极解决方案,而在于认识到:在密码学范式更替的临界点上,提前布局与系统规划远比应急响应更为重要。量子计算的倒计时已经开启,而比特币的开发者和生态参与者,正在用一次结构性的代码修改,回应这个跨越三十年的理论挑战。
FAQ
问:BIP-360 能让比特币完全免疫量子攻击吗?
不能。BIP-360 仅减少了公钥暴露的风险,并未替换现有的椭圆曲线签名算法。一旦出现真正可用的密码学相关量子计算机,仍需迁移至完整的后量子签名方案。
问:普通用户现在需要做什么?
目前量子威胁并非迫在眉睫,用户无需恐慌。但可以开始养成地址不重复使用的习惯,关注钱包应用何时开始支持 P2MR 地址类型,并持续跟进比特币协议升级动态。
问:P2MR 地址和现有地址有何不同?
P2MR 地址预计以 bc1z 开头,属于 SegWit version 2 输出类型。其核心差异在于强制所有花费都通过脚本路径,避免公钥直接暴露在链上。
问:BIP-360 何时会在比特币主网上激活?
目前 BIP-360 仍处于 Draft 状态,尚未合入比特币核心代码库。具体激活时间取决于社区共识达成进度,尚无明确时间表。
问:为什么不是直接升级到后量子签名?
后量子签名方案(如基于格的签名)体积较大,对比特币的区块空间和节点性能构成较大压力。BIP-360 是一种渐进式方案,在降低风险的同时保持网络现有效率,为更彻底的升级预留时间。
