比特币面临量子风险：保护最大区块链的路径

目前还不存在足够强大的量子计算机来破解并摧毁比特币区块链。然而，开发者已经开始讨论一波旨在在这种潜在威胁到来之前建立防御层的升级浪潮——而这完全有据可依，因为这一风险如今已不再只是纯粹的假设。

就在本周，谷歌的研究人员发布了一项研究，表明一台足够强大的量子计算机可以在不到 9 分钟的时间内破解比特币的核心加密——比平均一个比特币区块的确认时间还要快 1 分钟。一些分析师认为，这类威胁可能会在 2029 年变成现实。

风险非常巨大：约 650 万比特币，价值数千亿美元，正位于量子计算机可能直接瞄准的地址之中。其中一部分属于比特币匿名创始人中本聪（Satoshi Nakamoto）。此外，一旦这些地址被攻破，这将损害比特币的核心原则——“相信代码”和“健康的货币”。

下面是这种威胁如何运作，以及正在被审议的、用于降低其影响的提案。

两种方式让一台量子机器攻击比特币

首先，在讨论提案之前，先理解漏洞本身。

比特币的安全性建立在一种单向的数学关系上。当你创建钱包时，会生成一把私钥以及一些秘密信息，从而推导出公钥。

要花费比特币，你必须证明你拥有私钥——不是通过暴露它，而是通过使用它生成一份密码学签名，供网络验证。

这个系统之所以安全，是因为现代计算机需要数十亿年才能破解椭圆曲线密码——具体来说，是椭圆曲线数字签名算法（ECDSA）——从公钥推导出私钥。因此，从计算角度看，区块链被认为几乎不可能被攻破。

但未来的量子计算机可能会把这条单向路径变成双向：先从公钥推导出私钥，再把你的资金洗劫一空。

公钥会以两种方式被暴露：要么来自长期停留在链上的币（长时暴露攻击），要么来自正在移动或等待进入交易内存池的币（短时暴露攻击）。

Pay-to-Public-Key（P2PK）地址——由中本聪以及最早的挖矿者使用——以及 Taproot（P2TR），这项在 2021 年启用的当前地址格式，都容易遭受长时暴露攻击。这些地址中的币不需要移动就会暴露公钥；暴露已经发生，任何人都能读取到，包括未来的某个量子攻击者。大约 170 万 BTC 存在于旧的 P2PK 地址中，其中包括中本聪的币。

短时暴露攻击与 mempool（“交易等待区”）有关：那些尚未确认、正在等待被打包进区块的交易。在交易停留期间，你的公钥和签名对整个网络都是可见的。

一台量子计算机可以访问这些数据，但它只有极短的时间——直到交易被确认并被后续区块“埋”起来——来推导出对应的私钥并采取行动。

各项倡议

BIP 360：移除链上公钥

如上所述，今天通过 Taproot 创建的所有新的比特币地址都会永久在链上暴露公钥，从而给未来的量子计算机一个永远不会消失的目标。

比特币改进提案（BIP）360 拟移除那些被永久嵌入并在链上展示的公钥，并通过引入一种新的输出类型来做到这一点：Pay-to-Merkle-Root（P2MR）。

请记住，量子计算机将研究公钥，反向推导出私钥的精确形态，并生成一个可以工作的副本。如果我们移除公钥，攻击者就不再有什么可依附的东西。与此同时，其余一切都保持不变，包括 Lightning 支付、多重签名设置以及其他比特币特性。

然而，如果要落地实施，这一提案只会保护未来新增的币。现如今已经在“已暴露公钥”的地址中的 170 万 BTC，则是另一个问题，将通过下文的其他提案来处理。

SPHINCS+ / SLH-DSA：基于哈希的后量子签名

SPHINCS+ 是一种基于哈希函数构建的后量子签名机制，用来规避椭圆曲线密码学（比特币当前正在使用）所面临的量子风险。尽管 Shor 算法会对 ECDSA 构成威胁，但像 SPHINCS+ 这样的基于哈希的设计并不被认为会有类似的脆弱性。

该方案已在经过多年公开审议后，于 2024 年 8 月由美国国家标准与技术研究院（NIST）以 FIPS 205（SLH-DSA）的名称进行标准化。

作为更高安全性的交换代价，是更大的体积。当前的比特币签名长度仅为 64 字节，而 SLH-DSA 签名的大小为 8 千字节（KB）或更高。因此，如果采用 SLH-DSA，区块空间需求将显著增加，交易费用也会更高。

因此，像 SHRIMPS（另一种基于哈希的后量子签名方案）和 SHRINCS 这样的提案被提出，以在不牺牲后量子安全性的前提下减少签名尺寸。两者都建立在 SPHINCS+ 的基础上，但目标是在一种更实际的方式下保留其安全保证，同时为区块链节省更多空间。

Tadge Dryja 的 Commit/Reveal 体系：给 mempool 紧急刹车

这一提案是一项由 Lightning Network 联合创始人 Tadge Dryja 提出的软分叉，旨在保护 mempool 中的交易，使其免受未来量子攻击者的威胁。它通过将交易执行拆分为两个阶段来实现：Commit（承诺）和 Reveal（揭示）。

想象一下，你告诉对方你会给他发邮件，然后你确实去发了邮件。第一句话对应 commit 阶段，而真正发邮件则对应 reveal 阶段。

在区块链上，这意味着你会先发布一个封存的意图指纹——只有一个哈希函数，并不透露任何关于交易的内容。区块链会把该指纹永久打上时间戳。随后，当你真正广播交易时，公钥会暴露出来——而没错，正在监视网络的某台量子计算机可以从中推导出私钥，并发起一笔竞争交易来偷走你的资金。

但那笔伪造交易会立刻被拒绝。网络会进行验证：这笔花费交易之前是否在链上记录过一个承诺？你的交易是有的；攻击者的交易没有——他们刚在几分钟前生成了它。预先登记的指纹，就是你的无罪证明（alibi）。

问题在于，成本会增加，因为交易被拆成了两个阶段。因此，它被视为一种中间桥梁：足够实用，能够在社区继续建设量子防御措施的同时先行部署。

Hourglass V2：放慢旧币的抛售速度

该提案由开发者 Hunter Beast 提出，针对与大约 170 万 BTC 相关的量子漏洞。这些币存在于旧地址中，并且已经被公开暴露。

该提案承认这些币可能会在未来的量子攻击中被盗，并试图通过限制每个区块的抛售额度为 1 比特币来放慢资金流失过程，以避免隔夜出现大规模清算浪潮，从而导致市场崩溃。

类似的例子是大规模提款：你无法阻止所有人提款，但可以限制提款速度，让系统不会在一夜之间崩掉。该提案引发争议，因为即便只是这种极低水平的限制，也被比特币社区中的一些人视为对“任何人都不得干预你花费自己币的权利”这一原则的违背。

结论

这些提案目前仍未被激活，而比特币的分散式治理机制——包括开发者、矿工和节点运营方——意味着任何升级都需要时间才能真正落地。

尽管如此，在本周谷歌的报告发布之前，持续不断出现的提案浪潮，表明该问题早已在开发者的视野之内，这或许有助于缓解市场的担忧。