量子計算威脅:比特幣面臨巨額資金風險

在拉斯維加斯舉行的比特幣 2025 年會議上,加密貨幣專家們對量子計算的快速發展表示擔憂。有警告稱,強大的量子計算機可能在數年內破解比特幣的私鑰,將價值數百億美元的比特幣置於險境,甚至可能引發一場波及整個市場的清算事件。

谷歌量子人工智能團隊的最新研究加劇了這種擔憂,指出破解當前廣泛使用的 RSA 加密算法所需的量子資源,比先前估計的驟減了 20 倍。盡管比特幣使用的是橢圓曲線數字籤名算法(ECDSA),而非 RSA,但兩者在數學基礎上均面臨量子算法的潛在威脅。有專家呼籲比特幣社區需要在量子威脅真正演變成生存危機之前達成共識,找到緩解之道。

要理解量子計算對比特幣的威脅,首先需要審視比特幣安全的基石——ECDSA。簡單來說,當創建比特幣錢包時,會生成一對密鑰:一個私鑰(必須絕對保密)和一個公鑰(可以公開)。公鑰經過一系列哈希運算生成比特幣地址。交易時,用私鑰對交易進行數字籤名,網路中的其他人可以用公鑰來驗證這個籤名的確出自你手,且交易信息未被篡改。對於經典計算機而言,從公鑰反推出私鑰,在數學上被認爲是不可行的,這正是比特幣安全的根基。

然而,量子計算機的出現,特別是肖爾算法的提出,徹底改變了這一局面。肖爾算法能夠高效地解決大數質因數分解和離散對數問題,而這恰恰是 RSA 和 ECDSA 等公鑰密碼體系安全性的數學基礎。一旦一臺足夠強大的量子計算機得以構建並穩定運行,它理論上就能利用肖爾算法,通過已知的公鑰迅速計算出對應的私鑰。

首當其衝的是那些直接暴露了公鑰的地址。最典型的便是比特幣早期使用的 P2PK 地址,其地址本身或相關交易直接公開了公鑰。據估計,仍有數百萬比特幣沉睡在這類地址中,其中不乏傳說中屬於中本聰的早期"創世"比特幣。此外,更爲常見的 P2PKH 地址,雖然地址本身是公鑰的哈希值,相對安全,但一旦該地址發生過支出交易,其公鑰就會在交易數據中被公開。如果這些地址被重復使用,其公鑰便持續暴露,同樣面臨風險。據分析,因地址重用等原因導致公鑰暴露的比特幣可能也高達數百萬枚。包括較新的 Taproot 地址,盡管引入了 Schnorr 籤名等技術優化,但在某些情況下,公鑰或其變體仍可能被推斷出來,使其無法完全豁免於量子威脅。

綜合來看,沉澱在各類易受攻擊地址中的比特幣總量,可能佔到比特幣總供應量的一定比例。早前的估算認爲,大約有 400 萬到 600 萬枚比特幣處於較高風險中。若以當前比特幣價格粗略計算,這部分資金的價值可達數千億美元。

更令人不安的是所謂的"短程攻擊"。當發起一筆比特幣交易時,公鑰會隨着交易信息一同廣播到網路中,等待礦工打包確認。這個過程通常需要 10 到 60 分鍾。如果一臺量子計算機能在這短暫的時間窗口內從廣播的公鑰中破解出私鑰,它就能構造一筆新的交易,以更高的手續費搶先將比特幣轉走。一旦這種攻擊成爲現實,那麼幾乎所有類型的比特幣交易都將面臨即時威脅。

在量子硬件方面,幾大巨頭正在奮力追趕。IBM 的量子路線圖雄心勃勃,其處理器已達到實驗性的 1121 物理量子比特。更重要的是,IBM 專注於提升量子比特質量和糾錯能力,計劃在 2025 年推出擁有 1386 物理量子比特的系統。其更長遠的目標是在 2029 年實現擁有 200 個高質量邏輯量子比特的系統,屆時預計能執行高達 1 億次的量子門操作。

谷歌也在持續發力,其新芯片在 2025 年初亮相,被其團隊描述爲"可擴展邏輯量子比特的有說服力的原型",並在量子糾錯方面取得了進展,這是實現容錯量子計算的關鍵一步。

而 Quantinuum 公司則在 2025 年宣布其量子計算系統將在當年晚些時候商業化可用,並且能夠支持"至少 50 個高保真邏輯量子比特"。這一聲明,如果完全實現,將是量子計算從實驗研究邁向具有實際計算能力的重要裏程碑。

盡管如此,距離能夠威脅比特幣的容錯量子計算機的出現,專家們的預測仍存在分歧。一些估計認爲可能在未來 3 到 5 年內出現,而另一些則認爲至少還需要十年或更長時間。重要的是,量子威脅並非一個"開/關"式的突變,而是一個概率逐漸增加的過程。硬件的每一次進步,算法的每一次優化,都在悄然縮短着倒計時。

面對日益清晰的量子威脅,比特幣社區並非束手無策。密碼學界早已開始研究"後量子密碼"(PQC),即那些被認爲能夠抵抗已知量子算法攻擊的新型密碼算法。美國國家標準與技術研究院(NIST)經過多年篩選,已經公布了首批標準化的 PQC 算法,主要包括用於密鑰封裝的 CRYSTALS-Kyber,以及用於數字籤名的 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。

對於比特幣而言,基於哈希的籤名方案(HBS),如 SPHINCS+,因其安全性不依賴於尚待大規模檢驗的數學難題,而是基於已得到充分研究的哈希函數的抗碰撞性,被認爲是一個有力的競爭者。SPHINCS+ 是無狀態的,這一點對於區塊鏈的分布式特性尤爲重要。然而,基於哈希的籤名通常面臨籤名體積較大、密鑰生成和驗證時間較長等挑戰,這些都可能對比特幣的交易效率和區塊鏈的存儲造成壓力。如何在不犧牲比特幣核心特性的前提下整合這些 PQC 算法,是一個巨大的技術難題。

更大的挑戰在於如何將比特幣從現有的 ECDSA 遷移到新的 PQC 標準。這不僅僅是代碼層面的修改,更涉及到對比特幣協議進行根本性的升級,以及全球數百萬用戶、數千億美元資產的平穩過渡。

首先是升級方式的選擇:軟分叉還是硬分叉?軟分叉對舊節點兼容,通常被認爲風險較低,但實現復雜 PQC 功能的自由度可能受限。硬分叉則不兼容舊規則,所有參與者必須升級,否則將導致區塊鏈分裂,這在比特幣歷史上往往伴隨着巨大的爭議和社區分裂風險。

其次是遷移機制。如何讓用戶將他們存儲在舊地址(ECDSA)中的比特幣安全地轉移到新的量子抵抗(QR)地址?這個過程需要設計得既安全便捷,又要防止在遷移窗口期出現新的攻擊向量。

比特幣思想領袖對這一問題提出了深刻的見解。有人認爲,如果任由擁有量子算力者"恢復"(實爲竊取)那些未使用 PQC 保護的比特幣,無異於一場面向少數技術寡頭的財富再分配,這將嚴重損害比特幣的公平性和可信度。甚至有人提出了一個頗具爭議的設想:設定一個"最終遷移期限",在此之後,未遷移到 QR 地址的比特幣可能會被協議視爲"已銷毀"或永久無法花費。這是一種艱難的權衡,可能導致部分用戶資產損失,甚至引發硬分叉,但被認爲是爲了保護比特幣網路長期完整性和核心價值主張所必須考慮的"苦藥"。

另一些開發者則提出了具體的硬分叉提案,主張設定一個強制遷移期,逾期未遷移的比特幣也將被視爲"燃燒",以此來"逼迫"整個生態系統迅速過渡到量子安全狀態。這類激進的提案凸顯了社區在應對量子威脅路徑上的潛在分歧,以及在去中心化治理模式下達成共識的艱巨性。

除了升級到 PQC 地址,持續倡導並強化"不重用地址"的最佳實踐,也能在一定程度上降低風險,但這終究只是權宜之計,無法根除量子算法對 ECDSA 本身的威脅。

面對如此重大的系統性風險,比特幣生態系統的準備情況如何?一些新興的公鏈項目,從設計之初就內置了 PQC 特性,或者在積極探索 PQC 集成方案。它們如同輕舟,在後量子密碼的浪潮中嘗試先行。

然而,比特幣因其巨大的市值、廣泛的用戶基礎以及根深蒂固的去中心化和抗審查理念,使其任何核心協議的改動都異常困難和緩慢。開發者社區對量子威脅的認知正在深化,相關的討論也在進行,但距離形成一個清晰、得到廣泛共識的升級路線圖,似乎還有很長的路要走。目前,尚缺乏來自主流比特幣交易所、錢包服務商或大型礦池關於其 PQC 過渡計劃的明確公開信息,這從一個側面反映出,比特幣的 PQC 轉型更多還處於理論研究和早期探討階段,而非迫在眉睫的工程實施。

這種狀態,讓比特幣陷入一種"太大而不能倒,卻又太慢而難以進化"的困境。其強大的網路效應和品牌認知是其護城河,但在快速迭代的技術革新面前,這種穩定性有時也可能轉化爲一種惰性。

倘若比特幣未能在量子計算機具備實際攻擊能力之前完成 PQC 過渡,會發生什麼?這絕不僅僅是部分用戶丟失比特幣那麼簡單。

一場大規模的量子攻擊,首先可能觸發市場的"清算事件"。一旦信心動搖,恐慌性拋售可能導致比特幣價格災難性雪崩。這種衝擊波不會局限於比特幣本身,很可能蔓延至整個加密貨幣市場,甚至對那些在加密領域有大量風險敞口的傳統金融機構產生漣漪效應。

更深遠的影響在於信任的崩塌。比特幣之所以被賦予"數字黃金"的稱號,很大程度上源於其號稱"堅不可摧"的加密安全性。如果這一基石被量子計算輕易攻破,那麼建立在其上的所有價值敘事、應用場景都將面臨嚴峻考驗。公衆對數字資產的整體信任度可能會降至冰點。

與其他已知的比特幣安全風險相比,量子威脅的獨特性在於其顛覆性。51% 攻擊雖然能造成雙花或交易審查,但難以直接竊取私鑰;軟件漏洞可以修復;監管壓力則更多影響合規和應用邊界。而量子攻擊一旦實現,則是對現有加密體系的"降維打擊",直接威脅到資產的最終所有權。

回顧密碼學的歷史,從 DES 到 AES 的升級,再到 SHA-1 哈希算法的逐步棄用,每一次重大的密