量子霸权前夜：谷歌说破解比特币只需要9分钟

作者：Clow，白话区块链

1943年，英国布莱切利庄园里，一群数学家围坐在一台叫“炸弹机的机械装置前，试图破解纳粹德国的Enigma密码。他们成功了。这件事的意义从来不在于解了一道数学题，而在于谁先破译密码，谁就能在战争中改写结局。

密码学的攻防，从来都是真金白银的战争。

八十多年后，这个逻辑正在以一种更安静、但可能更致命的方式重演。2026年3月30日，谷歌量子AI实验室联合以太坊基金会研究员Justin Drake和斯坦福密码学家Dan Boneh，发布了一份白皮书：破解比特币所依赖的secp256k1椭圆曲线加密，所需的量子资源比此前最乐观的学术估计降低了约20倍。50万个物理量子比特，9分钟，就能从公钥推导出私钥。

比特币的锁还在。但有人正在磨钥匙。

9分钟能做什么？

比特币的平均出块时间是10分钟。这个数字你可能听过无数遍，但从来没觉得它是个安全漏洞。

现在它是了。

谷歌团队开发了两种针对secp256k1曲线的优化电路方案。低门数变体只需约1450个逻辑量子比特和7000万次托夫利门操作，单次破解私钥的有效时长约18分钟。如果加上预计算优化，这个时间可以压到9分钟以内。

这意味着什么？想象一下：你刚在钱包里点了发送，一笔交易广播到了比特币网络的内存池里。你的公钥在这一刻暴露了。一台足够强的量子计算机可以在出块之前完成私钥破解，伪造一笔手续费更高的竞争交易，把你的钱转到攻击者的地址。矿工只认手续费高的那笔。根据谷歌的估算，这种内存池劫持的成功率大约是41%。

你甚至不会收到任何错误提示。钱就是没了。

值得注意的是，谷歌并没有把完整的攻击电路公之于众。他们采用了一种极具创新性的负责任披露模式：发布一个基于SP1和Groth16 SNARK的零知识证明，允许第三方在不掌握攻击细节的前提下，验证谷歌宣称的资源消耗量是否属实。说白了，他们证明了自己做得到，但不告诉你怎么做。

这种克制本身，就是一种警告。

690万枚比特币，排队等着被敲碎

并不是所有比特币在量子面前都同样脆弱。谷歌的报告把风险分得很清楚。

最先倒霉的是早期的P2PK地址，大约170万枚BTC。这些地址的公钥直接明文写在区块链上，连猜都不用猜，量子计算机可以直接开工。紧随其后的是因为地址重用而暴露公钥的约520万枚。只要你用同一个地址发起过一次交易，公钥就永远挂在链上了。

加起来，大约690万枚比特币处于静态暴露状态。按当前价格，这是一个超过6000亿美元的风险敞口。

更讽刺的是Taproot。2021年，比特币社区花了大力气推动的这次升级，本意是提升隐私和支持更复杂的智能合约。但Taproot采用的Schnorr签名方案，在设计上选择了直接在链上暴露经过微调的公钥。这消除了传统P2PKH地址通过哈希函数掩盖公钥的那层防护。在经典计算环境下，这无伤大雅。但在量子环境下，这是一次安全性的倒退。到2025年，Taproot交易已占比特币网络交易量的21%，而且还在增长。

然后是房间里的大象：中本聪时代的约110万枚BTC。这些币用的都是P2PK脚本，私钥极有可能已经丢失，没有人能把它们迁移到抗量子地址。一旦50万比特的量子计算机出现，这将成为人类历史上最大的一笔公海财富。谁先造出那台机器，谁就拿走这笔钱。

硬件还差多远？没你想的那么远

50万物理量子比特听起来是个天文数字。谷歌当前最强的Willow芯片只有105个量子比特，差距大约是4760倍。看起来还早得很？

但量子计算的进步从来不是线性的。

谷歌已经用Willow芯片证明了量子纠错的可行性，并把内部所有系统的后量子密码迁移截止日期定在了2029年。他们自己信这个时间表。IBM的路线图更激进：2029年推出Starling系统，目标是200个逻辑量子比特和1亿次门操作；远期的Blue Jay目标是2000个逻辑量子比特。更关键的是，IBM明确表示将通过qLDPC纠错码把物理比特开销降低90%。初创公司Oratomic的研究则显示，用中性原子架构，仅需约26000个物理量子比特就能破解secp256k1曲线，虽然需要10天。

不需要实时劫持，慢慢来也行。对于那些公钥已经永久暴露在链上的沉睡钱包，攻击者有的是时间。

不过，有一个好消息：挖矿层暂时是安全的。虽然Grover算法理论上能为哈希计算提供平方级加速，但实际物理实现中的量子门开销远高于现有的ASIC矿机。要用量子计算机有效挖矿，所需的物理量子比特数量达到10的23次方级别，耗电量接近一颗恒星的能量输出。比特币的风险集中在签名层，不在共识层。

比特币社区的自救

开发者们并没有坐以待毙。

进展最快的是BIP-360提案，也叫Pay-to-Merkle-Root（P2MR），已经在2026年初合并到了官方BIP仓库。它的思路很直接：不再在链上显示任何公钥信息，取而代之的是脚本树的默克尔根。量子计算机再强，也没法从一个哈希值反推出公钥。虽然花费时公钥仍需短暂暴露，但它为后续引入抗量子签名方案铺平了道路。

另一条路线是StarkWare首席产品官Avihu Levy提出的QSB（量子安全比特币）方案。它不需要任何软分叉，利用现有的OP_RIPEMD160操作码构建一套复杂的哈希谜题来验证签名。安全性锚定在哈希函数的抗原像能力上，量子计算机对此没有比Grover算法更好的手段。但代价不小：每笔交易需要75到150美元的GPU计算成本，更像是给超高净值资产准备的量子避难所

最棘手的问题，始终是那些无法迁移的沉睡资产。社区面前摆着三个选项，每一个都很残酷：什么都不做，任由第一个造出大功率量子计算机的国家或组织收割；通过硬分叉强制作废所有未迁移的早期币，但这将从根本上动摇代码即法律的信仰；或者建立一条坏账侧链，让真实所有者通过非对称加密以外的方式证明身份。

谷歌甚至建议各国政府制定类似海事法的数字打捞”法规，允许受监管实体通过量子计算回收遗失资产。这个提议在密码朋克社区引发的反应，可想而知。

小结

量子计算机还没有造出来。但谷歌的2029年迁移截止日期，IBM的硬件冲刺计划，算法效率每隔几年就跳一个台阶的速度，都指向同一个结论：留给比特币的窗口期，可能只剩下三到五年。

倒计时不等人。钟在走，声音很轻。