Coin Metrics：加密货币量子风险全景评估

作者：Tanay Ved，Coin Metrics高级研究专员；翻译：@金色财经xz

本文摘要

• 尽管量子计算机当前尚未对区块链加密体系构成实际威胁，但近期的技术突破已显著压缩了应对时间窗口，推动行业进入主动备战阶段。

• 据估算，约690万枚BTC因使用遗留地址类型和密钥重用而面临量子计算攻击风险，其中约170万枚BTC（占供应量9%）存在于中本聪时代的休眠代币中，难以迁移。

• 量子风险因区块链的地址结构、签名方案和共识模型而异，各生态体系正积极推进提案和后量子路线图，以采用新型签名方案。

1、引言

量子计算的迅猛发展正在将曾经遥远的理论可能性转化为区块链底层加密技术面临的具体挑战。谷歌量子人工智能团队近期研究显示，打造能够破解比特币及其他区块链所依赖椭圆曲线加密的量子计算机所需的资源与时间正在缩短。Coinbase量子咨询委员会同样指出，虽然目前此类机器尚未诞生，但向抗量子加密迁移的行动窗口已然开启。

随着这一风险日益迫近，开发者、网络参与者、投资者及大型机构持币者将在引导去中心化生态系统迈向抗量子未来的过程中扮演关键角色。

我们将在本文深入解析量子计算对区块链加密技术的风险，重点关注比特币的风险敞口、关于休眠代币的争议，以及以太坊和Solana推进抗量子准备的当前路径。

2、看懂迫近的量子风险

区块链安全依赖于传统计算机难以破解但可能被量子计算机攻破的加密签名。当前比特币、以太坊及大多数其他网络使用椭圆曲线签名（如ECDSA和BLS）来证明私钥持有者授权了交易。从原理上讲，肖尔算法等量子算法能够从对应的公钥推导出私钥，这意味着一旦这种机器问世，任何公钥已暴露的地址都可能成为攻击目标。

这种风险主要体现为两种形式，具体取决于公钥是否已在交易中暴露：

• 静态（长期）攻击：针对那些公钥已在链上公开可见的钱包、验证者密钥和合约。未来的量子计算机可在所有者未进行任何新操作的情况下推导私钥并盗取资金。

• 动态（短期）攻击：在公钥因消费行为暴露后到交易确认前的短暂时间窗口内，针对交易发起攻击。快速的量子计算机可争分夺秒地抢在网络之前签署冲突交易。比特币约10分钟的区块时间创造了比以太坊（约12秒）或Solana（亚秒级最终性）等更快链更长的风险暴露窗口。

3、比特币面临的量子风险敞口

比特币的量子风险主要存在于钱包层面，其风险程度取决于UTXO模型和地址类型如何处理公钥。每个未花费交易输出（UTXO）都被锁定在一个与公私钥对绑定的脚本中。只要公钥保持隐藏，量子攻击者就难以实施攻击。但一旦该密钥在链上公开，未来的量子计算机就能推导私钥并伪造有效消费。

因此，比特币面临的风险根源在于公钥是否已暴露，且风险因地址类型和重复使用情况而异：

• P2PK（支付到公钥）：包含“中本聪时代”的部分最早代币、早期矿工及中本聪本人的代币。这类地址风险最高，因为其公钥在账本上明确可见，使其成为静态攻击的目标。

• 重复使用的P2PKH（传统模式的支付到公钥哈希）：此类地址的公钥初始处于隐藏状态，但在地址发生消费时暴露，导致重用地址中的任何剩余余额面临更高风险。

• 重复使用的P2SH（支付到脚本哈希）：这类地址在消费前隐藏脚本，但通常长期使用相同密钥锁定资金，因此一旦被使用和重复使用，多个公钥最终可能暴露。

• P2WPKH/P2WSH（隔离见证）：原生隔离见证输出在消费前将公钥隐藏于哈希值之后，且通常使用新的非重复地址，使其在短暂的消费窗口之外风险相对较低。

• P2TR（Taproot）：此类地址提升了灵活性和隐私性，但直接将调整后的公钥嵌入地址中，使未来的量子攻击者从一开始就拥有可见的攻击目标。

下图展示了这些地址类型在比特币历史中的采用演变，突显了从传统的P2PK/P2PKH向隔离见证输出的转变。这种转变正逐步将新代币转移至结构上量子风险敞口更小的地址。

4、多少比特币面临风险？

根据Project Eleven与谷歌三月发布的量子计算白皮书估算，约690万枚BTC存储在公钥已暴露的地址中。这些公钥暴露包括：因使用传统的P2PK输出（其公钥自生成起便在链上公开可见），或通过地址重复使用（在消费时公钥被永久广播至网络）导致密钥泄露。

我们通过Coin Metrics ATLAS系统扫描了比特币前50万个区块，确认约230万枚BTC存储于高风险地址，其中约170万枚很可能来自中本聪时代和早期矿工时代的P2PK创币输出。其余约460万枚高风险BTC主要分布于2017年后产生的区块中。正如地址类型采用趋势所示，传统的P2PKH地址生成从未完全停止，且自隔离见证和Taproot推出以来，新旧格式的地址复用现象逐年增长。

5、休眠币困境

量子风险争论的核心焦点在于比特币休眠币与中本聪持币的命运。约170万枚BTC（占总供应量9%）自早期阶段以来从未流动，且存储于公钥已暴露或将在动用时即刻暴露的传统地址类型中。这部分资产包含约110万枚与中本聪关联的BTC，分散于约2.2万个账户（各账户约50枚BTC），而非单一钱包。

这些"中本聪时代"的代币构成了独特挑战。由于这部分供应无法主动参与迁移，决定是否及如何保护它们已成为比特币最具争议的协调难题之一。社区提出的应对方案涵盖维持现状（不作干预）、冻结资产、销毁代币或对支出进行速率限制等多种干预措施。

这部分休眠币资产面临的风险并不均衡。如下图所示，其中大部分存在于P2PK创币输出中（约170万枚BTC，分布于3.4万个地址），从量子计算视角看这些资产的暴露风险最高。其余休眠资产分布更为分散：约41万枚BTC分布于550个大型地址（单地址持有量>100枚BTC），另有约11万枚BTC由近2万个小型账户持有。

量子风险由此分化为两类：其一是中本聪时代的P2PK输出，这类资产风险最高但分散于大量小型地址；其二是少数因密钥复用导致公钥暴露的高价值钱包（如交易所冷钱包），这类目标个体吸引力更强但可更主动参与迁移。

6、其他区块链的量子风险

量子风险也因网络的地址结构、签名方案和治理模式而存在差异。正如我们所见，比特币的主要风险敞口存在于钱包和UTXO层面——传统地址类型导致部分代币的公钥暴露，但其工作量证明（PoW）挖矿机制和哈希函数目前基本安全。

相比之下，以太坊和Solana等区块链采用账户模型。在该模型下，外部拥有账户（EOA）的公钥在发起交易后即完全暴露，这使得更大比例的资产价值面临风险，而比特币的UTXO模型中许多代币仍受哈希保护且地址复用较少。此外，以太坊和Solana等权益证明（PoS）链还因验证者保护网络所使用的椭圆曲线签名而面临额外风险。

这使治理能力与风险缓解共识成为关键变量，不同特性和去中心化程度的网络在采纳抗量子升级的速度上将呈现显著差异。

7、抗量子提案与迁移路径

比特币

保护比特币免受量子威胁的核心在于启用抗量子签名并将代币迁移至安全地址类型。这涉及难以迁移的“休眠”资产供应，直指比特币治理权衡的核心矛盾。当前讨论的提案包括：

• BIP-360提出新型支付到默克尔根输出类型，通过移除密钥路径支出使脚本可将公钥保留在链下直至使用，从而降低长期量子风险敞口。

• 由Jameson Lopp等研究者提出的BIP-361建议在未来数年内分阶段淘汰易受攻击的签名类型。该方案将首先禁止向高风险地址类型存入新资产，最终以防御未来量子攻击为由冻结包括中本聪持币在内的未迁移代币。

• 针对冻结休眠代币引发的争议（“中本聪难题”），Paradigm提出可验证地址控制时间戳方案，允许持币者在不移动资产的情况下私密生成当前地址控制权的时间戳证明，使得未来的量子防御升级能够解冻本应被冻结的代币。

以太坊与Solana

以太坊和Solana正采取不同但同样积极主动的应对路径。以太坊已组建专门的抗量子研究团队，发布了以账户抽象为核心的路线图，致力于引入新型签名方案，使验证者和用户能逐步采用基于哈希或基于晶格的签名方案。

Solana的Anza和Firedancer验证者客户端团队不约而同地聚焦于Falcon方案——这是一种获NIST标准认证的基于晶格的签名方案，并制定了三步走计划：首先启用抗量子安全密钥，随后激励逐步轮换密钥，最终在量子风险显性化时完成全面迁移。

8、结论

量子计算对区块链加密体系的威胁虽然在时间上仍不确定，但其影响范围正日益具体。尽管当前尚无机器能大规模破解椭圆曲线签名，但近期的技术进展已推动行业讨论从遥远理论转向主动规划。社区目前正在构建迁移路径、测试新型签名方案，并就如何保护资产价值展开辩论。对投资者和网络参与者而言，量子风险仍是远期尾部风险，而非即刻危机，但其严重性足以促使各方未雨绸缪、协调行动。