量子运算破解比特币倒计时？2030 年才是真正危机年

Google 發布 Willow 量子晶片引發加密社群恐慌，KOL 喊出「2026 年比特幣歸零」。但真相是：破解比特幣需 2,300 至 2,600 個邏輯量子位元，傳統架構下需 200 萬到 2,000 萬個實體量子位元。Willow 僅 105 個位元，差距達 4 個數量級，2030 年前比特幣相對安全。

量子威脅的真實時間表：2030 才是關鍵年

談量子運算威脅，必須先搞清楚「能破解」與「實際破解」之間的巨大鴻溝。比特幣的 secp256k1 橢圓曲線加密依賴的是計算複雜度，量子電腦運行 Shor 演算法理論上可破解，但關鍵在於「需要多少量子位元」。

破解比特幣需要約 2,300 至 2,600 個邏輯量子位元，以及數百億次量子閘操作。但量子位元極易受噪聲干擾，需要糾錯機制。在傳統的表面碼架構下，創建一個邏輯量子位元可能需要 1,000 個實體量子位元。換算下來，破解比特幣可能需要 200 萬到 2,000 萬個實體量子位元。

Willow 晶片只有 105 個實體量子位元，距離威脅門檻差了 4 個數量級。這相當於從晶體管收音機到現代智慧型手機的跨越。IBM、IonQ、QuEra 等廠商雖然路線圖激進，但即便是最樂觀的預測，要達到數千邏輯量子位元的門檻也需要等到 2029 至 2033 年。IonQ 計畫 2028 年達到約 1,600 邏輯量子位元，IBM 計畫 2029 年實現 200 個邏輯量子位元的容錯量子電腦。

真正的危險窗口期是 2030 至 2035 年。隨著密碼學相關算力的量子電腦（CRQC）在這個時間段可能問世，比特幣必須在此之前完成協議升級。2023 年紐約大學 Oded Regev 提出的 Shor 演算法改進版，將量子步驟降低約 20 倍，但所需的邏輯量子位元數量仍在數千級。更重要的變數是量子低密度奇偶校驗碼（qLDPC），理論上可將糾錯開銷從 1,000:1 降到 10:1，但需要全新硬體架構支援。

你的比特幣安全嗎？兩種地址的生死差異

量子運算的威脅並非對所有比特幣一視同仁。理解風險，必須區分兩種地址類型，它們的安全性差異天壤之別。

現代比特幣地址（P2PKH，以 1、3、bc1 開頭）使用公鑰的雙重哈希（SHA-256 + RIPEMD-160）。公鑰本身不公開，直到用戶發起交易時才會被廣播到網路。攻擊者只有在交易進入記憶體池到被打包進區塊的 10 分鐘內，截獲公鑰、運行量子演算法算出私鑰、並建構更高費率的替換交易來盜走資金。這種「傳輸攻擊」即使擁有 CRQC 也極具挑戰。

但在 2009 至 2010 年，中本聰及早期礦工使用的是 P2PK 腳本，直接將原始公鑰暴露在區塊數據中。攻擊者無需等待交易發生，可直接掃描區塊鏈歷史數據，提取出數百萬 BTC 的原始公鑰，並在量子電腦上離線運行 Shor 演算法算出私鑰。這是典型的「現在收集，以後解密」場景。

P2PK 地址面臨的極端風險

暴露規模：估算約 200 萬至 400 萬 BTC，包括中本聰錢包中的約 110 萬 BTC

攻擊類型：離線破解，無需等待交易發生，可提前數年準備

時間窗口：一旦 CRQC 問世，這些資金可能在數小時內被盜

治理困境：若中本聰不再出現，社群可能被迫透過軟分叉凍結或銷毀這些資產

中本聰的 110 萬枚 BTC 成為比特幣最大的灰犀牛。當抗量子升級部署後，網路必須對這些從未移動過的 P2PK 老幣做出決定。如果私鑰持有者不主動簽署並遷移到新地址，一旦 CRQC 問世，駭客將竊取這些幣並砸盤。社群可能被迫違反「私有財產神聖不可侵犯」原則，凍結這些資產，這將引發比 BCH/BTC 更嚴重的分裂。

比特幣的三重防禦體系已在路上

面對潛在威脅，比特幣開發者社群並非坐以待斃。抗量子技術正從理論走向工程實踐，三重防禦體系已在構建中。

第一重防禦是 P2TSH（Pay-to-Tapscript-Hash），這是 BIP-360 提出的新交易輸出類型。該方案利用現有的 Taproot 架構，移除易受量子攻擊的「金鑰路徑」，僅保留「腳本路徑」。因為腳本路徑是哈希後的，量子電腦無法看見內部結構。這種升級向後相容，可透過軟分叉實施。

第二重防禦是 Commit-Delay-Reveal（承諾-延遲-披露）緊急機制。如果量子電腦突然出現，用戶發送一筆交易包含新量子安全地址的哈希，但不包含舊公鑰和簽名。協議強制這筆交易在鏈上等待若干區塊（例如 144 個區塊，約 1 天）。用戶在延遲期過後發送第二筆交易，揭露舊公鑰和簽名來解鎖資金並轉移到新地址。即使量子攻擊者在「披露」階段看到了公鑰，由於第一步的「承諾」已確立時間戳，攻擊者無法回滾區塊鏈插入自己的交易。

第三重防禦是基於哈希的 Lamport 簽名和 Winternitz 一次性簽名（WOTS）。隨著比特幣社群對恢復 OP_CAT 操作碼的呼聲日益高漲，開發者可在不需要硬分叉的情況下，直接在比特幣腳本中編寫校驗 WOTS 簽章的邏輯，實現無許可的抗量子升級。NIST 標準化的後量子密碼演算法（如 SPHINCS+）也已納入比特幣改良提案討論範疇。

量子運算的到來不是比特幣的終結，而是一次技術升級的倒數計時。2030 至 2035 年是高度危險的窗口期，比特幣必須在此之前完成協議升級。歷史總是在危機中前進，比特幣能否在量子時代存活下來，取決於社群能否在威脅真正降臨前完成這場沒有退路的升級。