谷歌给自己定了个KPI：2029年破解比特币

来源：公众号C Labs 加密观察

谷歌刚发了一篇论文，把加密圈炸了。

非学术圈的朋友只要记住结论就可以了：量子计算机破解比特币，比所有人以为的要容易20倍。

比特币钱包的安全逻辑，建立在一个数学难题上：你可以用私钥生成公钥；但反过来从公钥推出私钥，普通计算机要算几千年。

量子计算机不按这个规律出牌，它用一种叫Shor算法的东西，可以把这道题的难度暴力压缩——原本几千年，可能变成几分钟。

当一笔比特币交易广播时，公钥会短暂暴露。

而量子计算机可以在约9分钟内推导出私钥并盗走资金——而比特币交易确认需要约10分钟，成功概率接近41%。

过去业界的主流判断是：要造出能破解比特币的量子计算机，需要数百万个量子比特，那是很遥远的事。

谷歌这次说：不需要那么多。他们优化了算法， 把所需资源压低了20倍 ，50万个物理量子比特就够了。

50万听起来还是很多，但今天最先进的量子计算机已经在往这个方向快速逼近。

谷歌自己定的截止时间是2029年。

Taproot升级放大漏洞

2021年比特币做了一次重要升级叫Taproot，本来是为了提高效率和隐私性。

但谷歌的论文指出，Taproot让更多钱包的公钥默认变得可见——反而扩大了攻击面。

当年的「好升级」，今天成了量子漏洞的放大器。

目前，全网约690万枚比特币处于高风险状态。其中170万枚来自中本聪时代的早期地址——这些地址的公钥十几年前就暴露在链上了，估计黑客早就存好了，就等着未来进行量子攻击。

比特币的应对方案与现存问题

比特币这边也不是坐以待毙，CZ表示只要升级抗量子加密算法即可。

今年2月，一个叫BIP-360的升级提案正式进入比特币官方代码库。上个月刚在测试网跑通。它的核心思路是：造一种新地址格式，交易全程不暴露公钥，量子计算机找不到入口。

但这个方案有三个硬伤：

1. 旧币管不了。 现有的比特币地址，在你主动把资产转到新地址之前，依然脆弱。没人能替你操作，全靠用户自己动。中本聪的那批币，没人能替他迁移。谷歌的论文也表示，社区要接受这批代币最后会被量子计算机盗走的现实。

2. 它只解决了一半问题。 BIP-360能防住的，是量子计算机慢慢破解休眠钱包这种场景。但谷歌论文说的那种「9分钟实时拦截正在进行中的交易」，BIP-360完全防不住——那需要在比特币底层把签名算法整个换掉，是一次大得多的手术，BIP-360只是热身。

3. 时间账算不过去。 BIP-360的联合作者自己估算：即便明天全员达成共识，完成全网迁移也要7年。而量子计算机的威胁窗口，业内判断是5到7年。两条线几乎同时到达终点，没有任何缓冲。

比特币的抗量子升级在跑，量子计算机的能力也在跑，就看谁跑得快了~