比特币中的量子脆弱性：一种可控的风险

作者 | Christopher Bendiksen, CoinShares

编译 | GaryMa 吴说区块链

原文链接：

未来实际可用的量子计算机并非零概率的可能性，持续引发了围绕其对比特币加密安全潜在影响的广泛讨论。这当然是健康的，也是对一个数万亿美元价值储存系统而言必要的预防措施。然而，尽管该技术在理论上带来挑战，其现实风险仍然遥远，并且可以通过直接的手段加以应对。

对于机构投资者而言，理解这一问题需要将推测（以及不幸的是，大量自利性质的炒作和牟利行为）与基于证据的分析区分开来。比特币的量子脆弱性并非迫在眉睫的危机，而是一个可以预见的工程层面考量，并且拥有充足的时间进行适应。

关键要点总结

量子脆弱性概述：Shor 算法在理论上可能暴露 ECDSA/Schnorr 中的密钥，Grover 算法削弱 SHA-256；威胁仍然遥远，仅限于约 170 万枚 BTC 的 P2PK 地址（占总供应量的 8%），对市场造成冲击的潜在可能性极小（见下文最后一点）

安全框架：依赖椭圆曲线进行授权、依赖哈希函数进行保护；量子计算无法改变 2100 万枚的供应上限，也无法绕过工作量证明。现代 P2PKH/P2SH 在花费前隐藏公钥；所谓 25% 的脆弱性说法夸大了可缓解的暂时性风险

时间线与可行性：在可行时间内（<1 年）攻破 secp256k1 需要当前逻辑量子比特数量的 10 到 10 万倍；相关量子技术至少还需要 10 年。长期攻击可在数年内进行 — — 可能在十年内变得可行；短期攻击（内存池攻击）需要 <10 分钟的计算时间 — — 在除极长期（数十年）之外的任何时间尺度上都不可行

激进干预的优点（例如针对抗量子格式的软/硬分叉或销毁币）：提前加固网络，防范意外技术突破，提供迁移路径，传递适应能力信号，增强投资者信心

激进干预的缺点：未经充分验证的加密技术可能引入漏洞；可能将稀缺的开发资源浪费在尚未被证明或效率低下的方案上，并引发更多变更；假定休眠币已丢失，导致强制或盗取；威胁中立性；侵蚀产权、去中心化、不可变性与信任

市场影响：现实中可能仅限于约 1 万枚 BTC，这些币可能因私钥被攻破而突然、意外地进入市场；最终看起来更像是常规交易；持有人可以自愿迁移；剩余币分布在 3.4 万个、每个约 50 BTC 的地址中，即便在最为乐观的技术突破情形下，也需要数十年才能被窃取

正确分析这一问题需要深度与细致的理解

比特币的安全框架依赖两大核心加密要素：用于交易授权的椭圆曲线数字签名算法（ECDSA 或基于 secp256k1 的 Schnorr），以及用于挖矿和地址保护的 SHA-256 等哈希函数。ECDSA 生成非对称密钥对，在经典计算系统上，从公钥推导出私钥在计算上是不可行的。SHA-256 提供单向哈希，其逆向同样在计算上不可行。量子算法带来了特定的担忧。一个常见的误解是，量子计算会整体性地破解加密体系，但事实并非如此。下面我们总结了实用量子计算机对常见加密函数的影响。

现有加密类型 — — 量子前与量子后：

当前面临的主要问题是用于授权比特币交易的 256 位 ECDSA（现为 Schnorr，但面临同样问题）签名算法。Shor 算法在理论上可能解决支撑椭圆曲线的离散对数问题，一旦公钥暴露，私钥就可能被推导出来。

Grover 算法将 SHA-256 等对称哈希的有效安全性从 256 位降低到 128 位，但由于计算需求极其庞大，暴力破解仍然不切实际，因此由哈希保护的地址依然安全。至于挖矿，量子计算机在理论上可能成为一种相当快速的挖矿设备，但其相较于 ASIC 是否具有经济性完全不清楚（而且鉴于比特币内置的自动难度调整机制，这一点并不重要）。重要的是，量子计算无法改变比特币固定的 2100 万枚供应上限，也无法绕过区块验证所需的工作量证明。

风险敞口仅限于公钥可见的地址，主要是传统的 Pay-to-Public-Key（P2PK）输出，这些地址共持有约 160 万枚 BTC，占总供应量的约 8%。然而，其中只有 10,200 枚 BTC 位于 UTXO 中，一旦被量子计算机窃取，才可能对市场造成任何显著扰动。其余约 160 万枚 BTC 分布在 32,607 个独立的、约 50 BTC 的 UTXO 中，即便在对量子计算技术进步作出极端乐观的假设下，也需要数千年才能解锁。

量子脆弱币的分布与数量

更现代的地址格式，如 Pay-to-Public-Key-Hash（P2PKH）或 Pay-to-Script-Hash（P2SH），通过哈希隐藏公钥，在资金被花费之前保持安全。关于 25% 脆弱性的说法通常包含暂时性风险，例如交易所重复使用地址，这些问题可以通过最佳实践轻松缓解；而且在技术发展真正变得危险之前，会有长达数年的预警期，为简单的行为调整留下充足时间。

我们离危险区域还相当遥远

截至 2026 年初，量子威胁并不迫近。要攻破 secp256k1，需要拥有数百万个逻辑量子比特的量子系统 — — 这远远超出了当前能力范围。根据研究人员的说法，若要在一天之内逆推出一个公钥，攻击者需要一台具备容错和误差控制能力的量子计算机，而这种性能目前尚未实现，并且需要 1300 万个物理量子比特 — — 约为当前最大量子计算机规模的 10 万倍。若要在一小时内完成破解，其性能需要比当前量子计算机高出 300 万倍。网络安全公司 Ledger 的 CTO Charles Guillemet 向 CoinShares 表示：“要破解当前的非对称加密，需要的是数量级在数百万的量子比特。谷歌目前的 Willow 计算机只有 105 个量子比特。而且每增加一个量子比特，维持相干系统的难度都会呈指数级上升。”我们在此处对上述内容进行了更深入的分析。

包括谷歌在内的近期演示展示了进展，但距离对比特币发动现实世界攻击所需的规模仍然相去甚远。

一些估计认为，与密码学相关（但不一定在实践中构成危险）的量子计算机可能要到 2030 年代或更晚才会出现，部分分析预测需要 10–20 年。

长期风险敞口（如 P2PK 地址）届时可能面临需要数年计算时间的攻击；而短期风险敞口（如交易过程中在内存池中可见的公钥）则要求在不到 10 分钟内完成计算。

激进干预既有利也有弊

通过激进干预来应对这一问题的提议，例如在未经充分验证或技术上尚不成熟的情况下进行抗量子地址格式的软分叉，或更糟糕的是，通过硬分叉销毁脆弱币，都需要极端谨慎。这类行为不仅可能因无意中引入关键漏洞而引发技术灾难，还可能削弱比特币在产权和去中心化方面的核心原则，在没有必要的情况下侵蚀信任。

在支撑其安全性的密码学尚未被充分理解和验证之前，引入新的地址格式极其危险，也不值得提倡。我们必须认识到，在实际可用的量子计算机出现之前，我们无法确定抗量子密码学是否在可证明意义上有效。此外，如果过早选择抗量子地址方案，我们可能会将稀缺的开发资源投入到最终被证明效率低下、迅速过时，甚至完全有缺陷的解决方案中。

我们从根本上无法确定这些脆弱币是处于休眠状态还是已经丢失，正如偶尔会有长期不活跃地址发生转移所显示的那样。持有人有充分的机会自行、自愿地迁移资金，而如果量子能力不断提升，未被认领的资产也可以自然地完成过渡。

在可预见的未来，市场层面的影响似乎有限。只有一小部分脆弱的 BTC，大约 10,200 枚，位于某些 P2PK 类别中，如果被迅速且突然地攻破，才可能影响流动性。这类事件更可能类似于常规的大额交易，而非引发系统性动荡。更值得关注的是维护比特币的不可变性和中立性，这些特性可能会因过早的协议更改而受到威胁。

为比特币防范量子风险在技术上是可行且不会造成破坏性的。“比特币可以采用后量子签名。Schnorr 签名（一次此前升级中的技术实现）为更多升级铺平了道路，比特币可以继续进行防御性演进，”密码学家 Adam Back 博士向 CoinShares 表示。通过软分叉可以引入抗量子签名，实现新加密标准的无缝集成。现有的一些提案，例如比特币改进提案（BIP），已经勾勒出这种演进路径。用户可以根据自身判断将资金迁移至安全地址，同时持续关注量子技术的发展 — — 甚至可以将暴露的传统地址作为技术进展的“指示器”。

对于机构投资者而言，关键洞见在于：量子风险是可控的，并且拥有充足的解决时间窗口。比特币的架构本身具备内生的韧性，能够支持前瞻性的适应。作为数字时代的健全货币，比特币更值得基于其基本面来评估，而不是基于被夸大的技术威胁。