Google的2029量子大限：一场被精心包装的焦虑营销

一觉醒来，BTC再度跌回6字头。

最近，Google抛出了一枚重磅炸弹：设定2029年为抗量子迁移的最后期限。消息一出，各路媒体立刻跟进，比特币社区也跟着炸了锅。毕竟，按照这个时间表，留给比特币的时间只剩下不到3年，而网络里躺着超过600万枚比特币可能随时被量子计算机“收割”。

听起来是不是很吓人？

但作为一个在行业摸爬滚打多年的老韭菜，教链看到这类新闻的第一反应是：又来了……

每隔几年，量子计算就会出来刷一波存在感，每次都是同样的配方、熟悉的味道。只不过这次，操盘手从学术机构换成了科技巨头Google，威慑力自然不可同日而语。

让我们先冷静下来，看看Google到底说了什么。Google宣布要在2029年前完成自身系统的抗量子迁移，给出的理由是量子计算进展“可能比看起来更近”。这个表态本身没什么问题，毕竟作为一家科技巨头，未雨绸缪是应该的。问题在于，很多人把Google的企业内部迁移计划，直接理解成了量子计算机将在2029年之前威胁比特币。

这就好比说，你家邻居开始囤粮备战，不代表明天就要打仗。

实际上，Google的声明里说得很清楚：2029年是Google自己的迁移截止日期，不是量子计算机攻破加密算法的预言。这两者之间差了十万八千里。但媒体需要爆点，读者需要恐慌，于是“Google量子威胁2029倒计时”就这么被炮制出来了。

那么，量子计算机到底什么时候能威胁到比特币？我们不妨看看真正懂行的人怎么说。

a16z crypto最近发布了一篇长文，对量子威胁的时间线做了详细拆解。文中明确指出：能够破解secp256k1或RSA-2048的容错量子计算机（CRQC），在5年内出现的可能性极低。当前量子硬件在物理比特数量、门保真度、连通性和纠错电路深度等方面，距离要求仍有好几个数量级的差距。

换句话说，你现在担心量子计算机破解比特币，就像担心自己会被外星人绑架一样——理论上不能排除，但现实中概率极低。

Adam Back，这位被中本聪在白皮书里引用过的密码学家，也表达了类似观点。他认为，量子计算要达到密码学相关水平，“很可能还需要数十年时间”。注意，这是数十年，不是三五年。Michael Saylor则更为直接：比特币的抗量子升级必须非常非常谨慎，仅当共识形成、认为量子威胁已经构成时，才可以升级。

有意思的是，这些真正懂技术的人态度审慎，而最热衷于炒作量子威胁的，往往是那些对技术一知半解的媒体，以及某些别有用心的人——比如那些兜售所谓“抗量子币”的项目方。

教链在去年6月就专门写过一篇文章，标题就叫《警惕抗量子骗局》。文章里提到一个关键事实：目前NIST标准化的抗量子算法，签名尺寸动辄几KB甚至几十KB，而比特币目前使用的ECDSA签名只有64字节。尺寸大了成百上千倍，这意味着什么？意味着如果你把比特币换成这些“抗量子币”，每笔交易的手续费会暴涨，节点存储成本会飙升，去中心化程度会被严重削弱。

中本聪在15年前就说过：为什么比特币不用RSA而用ECC？因为RSA的签名“大了一个数量级，这就不切实际了”。如果中本聪看到今天这些抗量子算法的签名尺寸，恐怕会直接把它们扔进垃圾桶。

有些人可能会问：那比特币是不是就不需要应对量子威胁了？当然不是。教链反复强调，量子威胁是真实存在的长期风险，我们需要未雨绸缪，但不需要恐慌性抛售。

比特币社区其实早就开始准备。2021年激活的Taproot升级，为未来更换签名算法铺平了道路。BIP 360也引入了名为Pay-to-Merkle-Root的量子抵抗地址格式。社区正在有条不紊地推进相关工作。

但对于普通用户来说，现在就可以做一些简单的事情来保护自己。教链在《预防量子计算威胁实用指南》里总结了几个要点：

第一，囤比特币只用P2PKH地址（1开头）或P2WPKH地址（bc1q开头），不用P2PK地址（04开头）或P2TR地址（bc1p开头）。原因很简单：P2PKH和P2WPKH地址存储的是公钥的哈希，公钥本身不暴露；而P2PK和P2TR地址直接暴露公钥，一旦量子计算机能破解ECDSA，这些地址里的比特币就危险了。

第二，避免地址重用。每个地址最多只使用一次。如果你要动用某个地址里的比特币，就一次性全部转走，清空地址，永不再用。这样做的好处是，即使未来量子计算实用化，你的公钥暴露时间窗口也很短。

第三，不要等到最后一天再行动。如果每个人都等到量子计算机真的出现才开始迁移，链上手续费会涨上天。趁着现在链上不拥堵，未雨绸缪才是明智之举。

这里教链想特别强调一点：那些所谓的“量子威胁时间表”，往往忽略了一个关键细节——比特币地址的哈希外壳。正如中本聪在2010年所说：“为了让比特币地址更短，它们采用公钥的哈希，而不是公钥。这样一来，支付到比特币地址的交易的安全性就只和哈希的安全性一样了。”

哈希函数对量子计算有天然的抵抗力。Grover算法只能把攻击哈希的算力提升一个平方量级，比如攻击SHA-256的难度从2^256降低到2^128，这仍然是一个天文数字。所以，只要你用的是P2PKH或P2WPKH地址，并且没有暴露过公钥，你的比特币在量子计算机面前依然是安全的。

最后，教链想说，每次量子恐慌来袭，总会有人跳出来说比特币要归零，然后推荐你买黄金。但这些人从来不告诉你，黄金面临的威胁比比特币大得多。就在太阳系里，火星和木星之间的小行星带上，有一颗叫灵神星的家伙，据保守估计含有数千亿吨黄金。人类过去几千年从地球上开采的黄金总共才20多万吨。你觉得是量子计算机先来，还是人类先有能力去小行星上挖金矿？

而且，黄金是死的，比特币是活的。比特币可以升级代码，黄金能升级什么？

所以，面对量子威胁，教链的态度很明确：保持关注，但不必恐慌。该囤的囤，该准备的准备，但不要把这种长期的、低概率的风险，当作今天割肉的理由。

Google可以在2029年完成迁移，因为它控制自己的系统。比特币做不到，因为它是去中心化的。但恰恰是这种“慢”，反而给了我们更多的安全——因为真正的威胁还没来，我们还有充足的时间去准备。

等到哪天量子计算真的逼近了，比特币社区自然会做出反应。而现在，与其被这些焦虑营销牵着鼻子走，不如静下心来，好好看看手里的比特币，想想怎么用正确的方式持有它。

毕竟，在市场生存，最重要的不是跑得比熊快，而是不被自己吓死。