量子计算威胁:比特币面临巨额资金风险

在拉斯维加斯举行的比特币 2025 年会议上,加密货币专家们对量子计算的快速发展表示担忧。有警告称,强大的量子计算机可能在数年内破解比特币的私钥,将价值数百亿美元的比特币置于险境,甚至可能引发一场波及整个市场的清算事件。

谷歌量子人工智能团队的最新研究加剧了这种担忧,指出破解当前广泛使用的 RSA 加密算法所需的量子资源,比先前估计的骤减了 20 倍。尽管比特币使用的是椭圆曲线数字签名算法(ECDSA),而非 RSA,但两者在数学基础上均面临量子算法的潜在威胁。有专家呼吁比特币社区需要在量子威胁真正演变成生存危机之前达成共识,找到缓解之道。

要理解量子计算对比特币的威胁,首先需要审视比特币安全的基石——ECDSA。简单来说,当创建比特币钱包时,会生成一对密钥:一个私钥(必须绝对保密)和一个公钥(可以公开)。公钥经过一系列哈希运算生成比特币地址。交易时,用私钥对交易进行数字签名,网络中的其他人可以用公钥来验证这个签名的确出自你手,且交易信息未被篡改。对于经典计算机而言,从公钥反推出私钥,在数学上被认为是不可行的,这正是比特币安全的根基。

然而,量子计算机的出现,特别是肖尔算法的提出,彻底改变了这一局面。肖尔算法能够高效地解决大数质因数分解和离散对数问题,而这恰恰是 RSA 和 ECDSA 等公钥密码体系安全性的数学基础。一旦一台足够强大的量子计算机得以构建并稳定运行,它理论上就能利用肖尔算法,通过已知的公钥迅速计算出对应的私钥。

首当其冲的是那些直接暴露了公钥的地址。最典型的便是比特币早期使用的 P2PK 地址,其地址本身或相关交易直接公开了公钥。据估计,仍有数百万比特币沉睡在这类地址中,其中不乏传说中属于中本聪的早期"创世"比特币。此外,更为常见的 P2PKH 地址,虽然地址本身是公钥的哈希值,相对安全,但一旦该地址发生过支出交易,其公钥就会在交易数据中被公开。如果这些地址被重复使用,其公钥便持续暴露,同样面临风险。据分析,因地址重用等原因导致公钥暴露的比特币可能也高达数百万枚。包括较新的 Taproot 地址,尽管引入了 Schnorr 签名等技术优化,但在某些情况下,公钥或其变体仍可能被推断出来,使其无法完全豁免于量子威胁。

综合来看,沉淀在各类易受攻击地址中的比特币总量,可能占到比特币总供应量的一定比例。早前的估算认为,大约有 400 万到 600 万枚比特币处于较高风险中。若以当前比特币价格粗略计算,这部分资金的价值可达数千亿美元。

更令人不安的是所谓的"短程攻击"。当发起一笔比特币交易时,公钥会随着交易信息一同广播到网络中,等待矿工打包确认。这个过程通常需要 10 到 60 分钟。如果一台量子计算机能在这短暂的时间窗口内从广播的公钥中破解出私钥,它就能构造一笔新的交易,以更高的手续费抢先将比特币转走。一旦这种攻击成为现实,那么几乎所有类型的比特币交易都将面临即时威胁。

在量子硬件方面,几大巨头正在奋力追赶。IBM 的量子路线图雄心勃勃,其处理器已达到实验性的 1121 物理量子比特。更重要的是,IBM 专注于提升量子比特质量和纠错能力,计划在 2025 年推出拥有 1386 物理量子比特的系统。其更长远的目标是在 2029 年实现拥有 200 个高质量逻辑量子比特的系统,届时预计能执行高达 1 亿次的量子门操作。

谷歌也在持续发力,其新芯片在 2025 年初亮相,被其团队描述为"可扩展逻辑量子比特的有说服力的原型",并在量子纠错方面取得了进展,这是实现容错量子计算的关键一步。

而 Quantinuum 公司则在 2025 年宣布其量子计算系统将在当年晚些时候商业化可用,并且能够支持"至少 50 个高保真逻辑量子比特"。这一声明,如果完全实现,将是量子计算从实验研究迈向具有实际计算能力的重要里程碑。

尽管如此,距离能够威胁比特币的容错量子计算机的出现,专家们的预测仍存在分歧。一些估计认为可能在未来 3 到 5 年内出现,而另一些则认为至少还需要十年或更长时间。重要的是,量子威胁并非一个"开/关"式的突变,而是一个概率逐渐增加的过程。硬件的每一次进步,算法的每一次优化,都在悄然缩短着倒计时。

面对日益清晰的量子威胁,比特币社区并非束手无策。密码学界早已开始研究"后量子密码"(PQC),即那些被认为能够抵抗已知量子算法攻击的新型密码算法。美国国家标准与技术研究院(NIST)经过多年筛选,已经公布了首批标准化的 PQC 算法,主要包括用于密钥封装的 CRYSTALS-Kyber,以及用于数字签名的 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。

对于比特币而言,基于哈希的签名方案(HBS),如 SPHINCS+,因其安全性不依赖于尚待大规模检验的数学难题,而是基于已得到充分研究的哈希函数的抗碰撞性,被认为是一个有力的竞争者。SPHINCS+ 是无状态的,这一点对于区块链的分布式特性尤为重要。然而,基于哈希的签名通常面临签名体积较大、密钥生成和验证时间较长等挑战,这些都可能对比特币的交易效率和区块链的存储造成压力。如何在不牺牲比特币核心特性的前提下整合这些 PQC 算法,是一个巨大的技术难题。

更大的挑战在于如何将比特币从现有的 ECDSA 迁移到新的 PQC 标准。这不仅仅是代码层面的修改,更涉及到对比特币协议进行根本性的升级,以及全球数百万用户、数千亿美元资产的平稳过渡。

首先是升级方式的选择:软分叉还是硬分叉?软分叉对旧节点兼容,通常被认为风险较低,但实现复杂 PQC 功能的自由度可能受限。硬分叉则不兼容旧规则,所有参与者必须升级,否则将导致区块链分裂,这在比特币历史上往往伴随着巨大的争议和社区分裂风险。

其次是迁移机制。如何让用户将他们存储在旧地址(ECDSA)中的比特币安全地转移到新的量子抵抗(QR)地址?这个过程需要设计得既安全便捷,又要防止在迁移窗口期出现新的攻击向量。

比特币思想领袖对这一问题提出了深刻的见解。有人认为,如果任由拥有量子算力者"恢复"(实为窃取)那些未使用 PQC 保护的比特币,无异于一场面向少数技术寡头的财富再分配,这将严重损害比特币的公平性和可信度。甚至有人提出了一个颇具争议的设想:设定一个"最终迁移期限",在此之后,未迁移到 QR 地址的比特币可能会被协议视为"已销毁"或永久无法花费。这是一种艰难的权衡,可能导致部分用户资产损失,甚至引发硬分叉,但被认为是为了保护比特币网络长期完整性和核心价值主张所必须考虑的"苦药"。

另一些开发者则提出了具体的硬分叉提案,主张设定一个强制迁移期,逾期未迁移的比特币也将被视为"燃烧",以此来"逼迫"整个生态系统迅速过渡到量子安全状态。这类激进的提案凸显了社区在应对量子威胁路径上的潜在分歧,以及在去中心化治理模式下达成共识的艰巨性。

除了升级到 PQC 地址,持续倡导并强化"不重用地址"的最佳实践,也能在一定程度上降低风险,但这终究只是权宜之计,无法根除量子算法对 ECDSA 本身的威胁。

面对如此重大的系统性风险,比特币生态系统的准备情况如何?一些新兴的公链项目,从设计之初就内置了 PQC 特性,或者在积极探索 PQC 集成方案。它们如同轻舟,在后量子密码的浪潮中尝试先行。

然而,比特币因其巨大的市值、广泛的用户基础以及根深蒂固的去中心化和抗审查理念,使其任何核心协议的改动都异常困难和缓慢。开发者社区对量子威胁的认知正在深化,相关的讨论也在进行,但距离形成一个清晰、得到广泛共识的升级路线图,似乎还有很长的路要走。目前,尚缺乏来自主流比特币交易所、钱包服务商或大型矿池关于其 PQC 过渡计划的明确公开信息,这从一个侧面反映出,比特币的 PQC 转型更多还处于理论研究和早期探讨阶段,而非迫在眉睫的工程实施。

这种状态,让比特币陷入一种"太大而不能倒,却又太慢而难以进化"的困境。其强大的网络效应和品牌认知是其护城河,但在快速迭代的技术革新面前,这种稳定性有时也可能转化为一种惰性。

倘若比特币未能在量子计算机具备实际攻击能力之前完成 PQC 过渡,会发生什么?这绝不仅仅是部分用户丢失比特币那么简单。

一场大规模的量子攻击,首先可能触发市场的"清算事件"。一旦信心动摇,恐慌性抛售可能导致比特币价格灾难性雪崩。这种冲击波不会局限于比特币本身,很可能蔓延至整个加密货币市场,甚至对那些在加密领域有大量风险敞口的传统金融机构产生涟漪效应。

更深远的影响在于信任的崩塌。比特币之所以被赋予"数字黄金"的称号,很大程度上源于其号称"坚不可摧"的加密安全性。如果这一基石被量子计算轻易攻破,那么建立在其上的所有价值叙事、应用场景都将面临严峻考验。公众对数字资产的整体信任度可能会降至冰点。

与其他已知的比特币安全风险相比,量子威胁的独特性在于其颠覆性。51% 攻击虽然能造成双花或交易审查,但难以直接窃取私钥;软件漏洞可以修复;监管压力则更多影响合规和应用边界。而量子攻击一旦实现,则是对现有加密体系的"降维打击",直接威胁到资产的最终所有权。

回顾密码学的历史,从 DES 到 AES 的升级,再到 SHA-1 哈希算法的逐步弃用,每一次重大的密