量子计算来了 比特币还安全吗？

作者：Clow

2026年，加密世界最大的恐慌不是监管，不是黑客，而是量子计算。

Google在2024年12月9日发布的“Willow”量子芯片刷屏全网，105个量子比特、突破性的纠错能力，让无数人开始担心：比特币的加密算法，还能扛得住吗？

紧接着，加密KOL们密集发声。有人说“2026年比特币归零”，有人说“Q-Day（量子破解日）已经不远”，还有人借机推销所谓的“抗量子代币”。

市场陷入焦虑。毕竟，比特币的安全性建立在ECDSA椭圆曲线加密算法之上。一旦量子计算机能够运行Shor算法破解私钥，整个加密世界的信任基础将瞬间崩塌。

那么，量子威胁到底有多真实？比特币又该如何应对？

Willow芯片的真相：纠错突破与实际差距

要回答“短期能否破解”，首先得看清2026年量子硬件的真实水平。

Google的Willow芯片确实是一个里程碑。它首次证明了，随着物理量子比特数量增加，通过表面码构建的逻辑量子比特错误率可以呈指数级下降。

这意味着什么？

在Willow之前，增加量子比特往往引入更多噪声，系统反而更不稳定。Willow打破了这一瓶颈，让“容错量子计算”从理论变成工程现实。

但这不意味着破解比特币的日子到了。

破解比特币的secp256k1椭圆曲线，需要约2300至2600个逻辑量子比特，以及数百亿次量子门操作。而在传统的表面码架构下，创建一个逻辑量子比特可能需要1000个物理量子比特。

换算一下，破解比特币可能需要200万到2000万个物理量子比特。

截至2026年初，Willow芯片只有105个物理量子比特。

IBM、IonQ、QuEra等厂商虽然路线图激进，但即便是最乐观的预测，要达到数千逻辑量子比特的门槛，也需要等到2029-2033年。（IonQ计划2028年达到约1,600逻辑量子比特，IBM计划2029年实现200个逻辑量子比特的容错量子计算机。）

从物理量子比特到逻辑量子比特，差了3到4个数量级。这相当于从晶体管收音机到现代智能手机的跨越。

短期内，量子计算直接破解现代比特币地址的可能性依然极低。

被误读的“20倍效率提升”

如果说硬件进展是线性的，那算法突破往往是阶跃性的。

2023年8月，纽约大学的Oded Regev提出了Shor算法的改进版本。2023年10月，MIT的Vinod Vaikuntanathan及其学生Seyoon Ragavan进一步优化，将2048位RSA的量子步骤从420万步降至9.27万步，相当于约45倍的效率提升。

这一学术结论被部分KOL和媒体标题党化，解读为：“破解比特币变得容易了20倍！”

真相是什么？

Regev算法确实通过“空间换时间”策略，降低了量子电路的深度（即量子比特需要保持相干的时间）。但代价是，它需要更多的量子比特作为“内存”。

即使有了20倍的效率提升，所需的逻辑量子比特数量仍然在数千级别。Willow芯片距离这一门槛，依然有巨大鸿沟。

更重要的变量是量子低密度奇偶校验码（qLDPC）。IBM和QuEra正在研究这种新纠错码，理论上可以将纠错开销从1000:1降低到10:1。

如果Regev算法与qLDPC硬件结合，破解门槛确实会大幅降低。但这需要全新的硬件架构支持（高连通性），目前仅QuEra的中性原子方案展现了这种潜力。

结论：20倍效率提升并未消除破解所需的指数级硬件门槛。短期内，恐慌大于实际威胁。

两种比特币地址的天壤之别

量子计算的威胁并非对所有比特币一视同仁。理解风险，必须区分两种地址类型。

P2PKH（Pay-to-Public-Key-Hash）：相对安全的掩体

现代比特币地址（以1、3、bc1开头）使用的是公钥的双重哈希（SHA-256 + RIPEMD-160）。公钥本身不公开，直到用户发起交易时，公钥才会被广播到网络。

攻击者只有在交易进入内存池到被打包进区块的这段时间（通常10分钟）内，截获公钥、运行量子算法算出私钥、并构造更高费率的替换交易来盗走资金。这种攻击被称为“transit attack”（传输攻击）。

即使拥有密码学相关算力的量子计算机（CRQC），要在10分钟内完成解密也极具挑战。

P2PK（Pay-to-Public-Key）：极度高危的“裸奔”资产

在2009-2010年，中本聪及早期矿工使用的主要是P2PK脚本。这种脚本直接将原始公钥暴露在区块数据中。

攻击者无需等待交易发生。他们可以直接扫描区块链历史数据，提取出数百万BTC的原始公钥，并在量子计算机上离线运行Shor算法算出私钥。

这是典型的“现在收集，以后解密”（Harvest Now, Decrypt Later）场景。

受影响资金：估算约200万-400万BTC，其中包括中本聪钱包中的约110万BTC（根据研究人员Sergio Lerner的“Patoshi模式”分析，中本聪挖掘了约22,000个区块）。

一旦Q-Day到来，这部分资金可能瞬间被黑客转移。

中本聪的100万枚BTC，最大的灰犀牛

这样看来，比特币面临的最大量子危机似乎不在于技术，而在于治理与政治。

当抗量子升级部署后，网络必须对那些从未移动过的P2PK老币做出决定。

困境在于：这些地址的公钥是暴露的，无法通过简单的软分叉保护。除非私钥持有者主动上线签名并迁移到新地址。

如果中本聪不再出现，这些币将永远暴露在量子攻击之下。一旦CRQC问世，黑客将窃取这些币并砸盘。

社区可能被迫通过软分叉“冻结”或“销毁”这些未迁移的P2PK资产。

这将违背“私有财产神圣不可侵犯”和“代码即法律”的原则，可能导致比特币发生比BCH/BTC更严重的分裂。

这才是真正的“灰犀牛”。

比特币社区的应对方案

面对潜在威胁，比特币开发者社区并非坐以待毙。

抗量子技术正在从理论走向工程实践。基于哈希的签名方案（如Lamport签名、Winternitz一次性签名）、零知识证明技术（STARKs）以及NIST标准化的后量子密码算法（如SPHINCS+）已被纳入比特币改进提案（BIP）的讨论范畴。

核心方案：P2TSH（Pay-to-Tapscript-Hash）

这是BIP-360提出的新交易输出类型（2024年底从P2QRH更名为P2TSH）。由Hunter Beast、Ethan Heilman和Isabel Foxen Duke共同提出，该方案利用现有的Taproot架构，移除易受量子攻击的”密钥路径”（keypath spend），仅保留”脚本路径”（script-path）。因为脚本路径是哈希后的，量子计算机无法看见内部结构。

这种升级向后兼容，可通过软分叉实施。

应急防御机制：Commit-Delay-Reveal （承诺-延迟-披露）

如果量子计算机突然出现，比特币网络可以紧急激活此机制保护P2PKH资金迁移：

• Commit（承诺）：用户发送一笔交易，包含新量子安全地址的哈希，但不包含旧公钥和签名。

• Delay（延迟）：协议强制这笔交易在链上等待若干区块（例如144个区块，约1天）。

• Reveal（披露）：用户在延迟期过后，发送第二笔交易，披露旧公钥和ECDSA签名来解锁资金并转移到新地址。

原理：即使量子攻击者在”披露”阶段看到了公钥，由于第一步的”承诺”已经确立了时间戳，攻击者无法回滚区块链插入自己的交易。

这种方法巧妙地利用了时间锁来抵消量子计算机的解密速度优势。

Lamport与Winternitz签名：OP_CAT的回归

随着比特币社区对恢复OP_CAT操作码的呼声日益高涨，基于哈希的Lamport签名和Winternitz一次性签名（WOTS）成为了抗量子的热门备选。

只要OP_CAT被激活，开发者就可以在不需要硬分叉的情况下，直接在比特币脚本中编写校验WOTS签名的逻辑，实现无许可的抗量子升级。

小结

量子计算短期内（2026-2028年）无法破解现代比特币地址（P2PKH）。

目前的物理硬件发展虽然迅猛，但逻辑量子比特的扩展仍受制于巨大的纠错开销。Oded Regev算法虽然将门操作需求降低了20倍，但并未将所需的量子比特数降低到当前硬件可及的范围内。

然而，2030-2035年是一个高度危险的窗口期。随着IonQ、QuEra和IBM计划在2028-2030年交付数千逻辑量子比特的机器，比特币必须在此之前完成协议升级。

量子计算的到来，不是比特币的终结，而是一次技术升级的倒计时。

历史总是在危机中前进。比特币能否在量子时代存活下来，取决于社区能否在威胁真正降临前，完成这场没有退路的升级。