量子计算：比特币的唯一死局？如何破解？

编辑：吴说区块链

本期播客围绕“量子计算是否会威胁比特币安全”展开，讨论了私钥的破解问题，并进一步延伸到地址类型、公钥暴露、休眠资产、中本聪地址、抗量子升级路径，以及社区治理与分叉博弈等核心问题。

嘉宾介绍：Jeffrey Hu 现任职于 YZi Labs，负责 Crypto 投资，也长期关注比特币社区和协议进展，是 Optech Newsletter 的贡献者；郭泽卿在 HashKey Capital 负责技术研究、技术评审和部分投资组合管理；胡翌霖是北京大学哲学系博士、前清华大学科学史系副教授。

嘉宾们认为，量子计算对比特币的威胁主要集中在公钥已暴露的地址，以及未来交易过程中可能出现的抢跑风险；与此同时，比特币社区已开始围绕 BIP 360、BIP 361 等方案讨论抗量子迁移，但真正的难点不仅是技术选型，更在于旧地址如何处理、迁移期限如何设定、谁来推动升级等政治与治理问题。整体来看，这场讨论的结论是量子威胁真实存在，但其影响、时间表和应对方式仍高度依赖技术演进与社区共识。

谷歌时间线与比特币量子风险

猫弟：这期讨论源于郭老师前不久发表的一篇文章。想先请郭老师用更通俗的方式解释：量子计算真正威胁的是比特币的哪一部分？“量子计算一来，比特币就归零”这种说法是否过于夸张？

郭泽卿：量子计算之所以再次引发关注，是因为谷歌近期提出，量子计算可能在 2030 年前后取得实质性突破，并建议相关行业在 2029 年前完成抗量子升级准备。

对比特币来说，核心风险不在于价格会立刻归零，而在于其安全基础依赖传统密码学，而量子计算可能显著削弱这套体系。最直接的威胁是：一旦公钥已经公开，未来量子计算机就可能通过公钥反推出私钥，从而转走资产。

因此，真正面临较高风险的是那些已经暴露公钥的地址，尤其是早期地址。当前很多地址尚未直接暴露公钥，短期内不必过度恐慌，但早期大量 OG 地址确实可能在未来受到影响，涉及的规模可能达到上百万枚比特币。

谷歌之所以发声，并不是因为它在加密货币领域活跃，而是因为它本身是全球量子计算研究最领先的机构之一。它关注的也不只是比特币，而是量子计算对整个现代密码学体系的系统性冲击，影响对象包括银行、政府机构以及加密货币行业。

哪些地址更容易暴露在量子风险下

猫弟：普通比特币持有者在什么情况下会暴露公钥？一旦暴露，未来量子计算能力足够强时，会面临什么风险？

Jeffrey：风险主要集中在三种情况。

第一类是地址类型本身就会暴露公钥，比如早期的 P2PK 地址，以及部分 Taproot 使用方式。这类地址的公钥已经在链上公开，未来如果量子计算足够强，理论上就可能通过公钥反推出私钥，资产也可能被转走。

第二类是地址重用。像 P2PKH 这类地址，平时并不直接暴露公钥，但一旦花费，就会在链上公开公钥。如果用户反复使用同一个地址，就会增加暴露风险。

第三类是交易广播时的短暂暴露。用户发起交易时，公钥信息会进入 mempool。如果未来量子计算强到足以在交易确认前完成破解，攻击者理论上可以抢先构造冲突交易，把币截走。

因此，并不是所有地址风险都一样。一般来说，公钥已经公开的地址风险最高，但也不能简单理解为“越新的地址越安全”。像 Taproot 虽然更晚出现，但在抗量子层面未必优于某些更早的地址类型，比如 P2PKH 或部分隔离见证地址。

目前社区也在讨论通过新增地址类型来应对量子威胁，例如 BIP 360 一类方案，思路是引入更抗量子的签名算法，让用户把原有 UTXO 迁移到新的地址结构中。

休眠地址与中本聪资产：量子升级为何变成治理争议

猫弟：抛开技术细节，一个更敏感的问题是：大量已暴露公钥的地址，包括中本聪地址和长期休眠地址，未来该怎么处理？

胡翌霖：关于量子升级，社区认知其实经历了一个演变过程。中本聪时代就已经意识到量子威胁，但当时并没有特别重视“地址”尤其是公钥暴露的问题，整体理解比较简单：等将来升级客户端，用户把旧地址里的币转到新的抗量子地址里，就算完成迁移。

所以中本聪是意识到量子升级这件事的，但他的理解更偏向于：到时候升级一下就行。这背后其实有两个前提。一个是，人往往不太容易想到“死亡”这个问题，也就是说，并不是每个持币人到时候都还活着、都还能操作。另一个是，在比特币很早期的时候，大家也没有想到比特币后来会变成这么庞大的体系，会有这么多长期休眠地址。当时可能会觉得，这就是一个大家齐心协力就能完成的小升级。

后来大家才逐渐意识到，这件事的结果其实等同于：一些无法迁移的老地址，包括中本聪地址，可能会随着旧算法一起失效。

大概从 2016、2017 年开始，这个问题变得更敏感了。原本大家说的是“废除旧算法”，听起来像纯技术升级；后来逐渐变成“中本聪的币会不会没了”“这算不算审查、冻结甚至没收”。本质上讨论的是同一件事，但表述方式越来越政治化，争议也越来越大。

最近 BIP 361 之所以引发强烈争议，核心也不只是它可能影响中本聪的币，而是它给出了明确时间线，比如要求在协议激活后三年内完成迁移。问题在于，这个期限并不是因为量子威胁已经迫在眉睫，而是人为设定的。既然没人知道量子计算到底三年、十年还是三十年后才会真正形成威胁，那“为什么是三年、过期后怎么办”就自然成了争论焦点。

所以这个问题早就不只是技术问题了。传统上，大家更容易接受“等威胁真的逼近时再做紧急升级”；但只要你提前设定规则、设定期限，它就不可避免会变成治理和政治问题。

我个人偏向支持 BIP 361，至少先把升级准备好。当然，这件事本身有争议，也有人认为量子威胁被过度渲染，因为相关从业者本身有推动市场的动机。我的看法是，不管争议如何，至少可以先推进 BIP 360 这类新地址方案。

中本聪其实也意识到这个问题：如果量子计算的发展是渐进且可预见的，升级就能有序完成；但如果它突然突破，比特币就可能来不及反应。

最坏的情况是，量子计算机能在 10 分钟内通过公钥反推出私钥。那样的话，即便是原本未暴露公钥的地址，在迁移过程中也会因为交易进入 mempool 而暴露，最终被抢先双花。真到了这一步，升级本身都会失效，比特币也可能面临真正的致命风险。

不过，这种毫无预警、瞬间突破的情况，我认为并不是最可能发生的。

技术升级可先行，治理分歧再解决

猫弟：如果社区一直围绕过渡期和旧地址处理争论，会不会拖慢升级，错过窗口？

胡翌霖：这种风险确实存在，但也没到迫在眉睫的程度。谷歌之所以着急，是因为传统加密场景存在“先截取、后解密”的风险，比如政府通信和网络数据现在被截获，未来可被量子计算解开；比特币不是这种场景，它更依赖实时破解能力，因此紧迫性没那么高。

不过，比特币一旦出问题，恢复空间也比传统系统更小，所以它又有另一种脆弱性。

我的看法是，应把技术问题和政治问题分开处理。像 BIP 360 这类偏技术性的方案，可以先推进，比如提供新的抗量子地址、测试算法、设计迁移结构；而 BIP 361 这类涉及旧地址、宽限期和强制迁移的提案，属于治理问题，可以单独讨论。

至于最后是设有限宽限期、无限宽限期，还是等风险真正逼近时再切换，社区肯定还会长期争论，甚至不排除最后通过分叉来解决。最终哪条路线胜出，还是取决于市场和社区选择。

抗量子算法未定型，仓促升级也有代价

Jeffrey：比特币社区升级慢，在量子迁移这件事上未必是坏事。因为抗量子签名算法本身还在演进，NIST 虽然已推荐了一些方案，但很多技术路线并未完全定型。此前一些曾被看好的方向，后来也暴露过安全问题，这说明如果现在仓促选型，未来一旦被证明有缺陷，风险可能更大。

另一个现实问题是，很多抗量子方案体积明显更大，可能是现有签名的几十倍甚至上百倍。这会直接压缩区块可容纳的交易数量，拉低 TPS，提高使用成本，影响比特币可用性。

所以当前更合理的做法，不是急于拍板某一种方案，而是继续推进技术讨论和社区审查，比较不同算法在安全性、体积、验证速度和用户体验上的取舍。比特币在这方面比其他链更谨慎，这种慢节奏反而有助于降低误判风险。

至于量子计算一旦突破，比特币是否会立刻“死亡”，我并不完全认同。真正更大的风险，可能不是技术本身，而是比特币因此失去中立性 — — 例如部分 UTXO 被强制判定为失效，引发严重的治理分裂。围绕这一点，社区内部已经出现不同立场，也在讨论一些折中方案，比如用 ZK 证明持有权，或通过限速迁移来降低集中暴露风险。

猫弟：总结来说，一是抗量子方案仍在快速迭代，现在贸然确定未必合适；二是升级本身可能带来性能和成本问题；三是即便量子计算出现重大突破，比特币未必立刻归零，但一定会面临明显冲击。

量子矿机未必会颠覆PoW

猫弟：量子计算会不会影响比特币挖矿，甚至让 PoW 体系崩溃？

郭泽卿：我认为 PoW 本身不会因为量子计算而失效。它是一种基于算力竞争的机制，真正可能变化的是矿机形态，未来或许会出现量子矿机。更现实的问题是，矿工是否愿意为此升级设备，以及由此引发的新一轮治理争议。

如果最先掌握量子能力的是少数大型公司或政府机构，理论上确实可能带来集中化和 51% 风险。但我不太担心这些受现实约束的主体会直接这么做，因为它们更在意声誉、监管和更高优先级的用途，比如情报和安全领域，而不是先来攻击比特币。

胡翌霖：我更倾向于从经济逻辑看这个问题。挖矿本质上是成本收益问题，不是“能不能”，而是“值不值得”。就算量子计算能挖矿，只要成本远高于现有矿机，它就不会成为现实威胁。

如果未来量子矿机真的便宜到足以替代传统矿机，那说明它已经进入量产阶段，也就不太可能长期只掌握在极少数人手里。技术若无法量产，就很难显著降本；一旦量产，扩散就不可避免。所以从市场机制看，量子矿机短期内既难以形成压倒性成本优势，也不太可能长期维持在少数人垄断手中。

总体而言，量子计算可能改变挖矿工具，但未必会直接摧毁 PoW。真正极端的风险当然无法完全排除，但从现实约束和经济逻辑看，这不是当前最值得担心的问题。

BIP 360与BIP 361：技术方案与治理方案并行

猫弟：目前社区讨论中的抗量子提案，主要有哪些？

Jeffrey：核心是两条线。BIP 360 偏技术，目标是提供新的抗量子地址框架，比如 P2MR，让用户能把资产迁移到新的 UTXO 类型中；BIP 361 偏治理，重点不在“怎么建新地址”，而在“何时必须迁移”，本质上是在讨论是否设定强制迁移期限，因此争议更大。

围绕 BIP 360，社区还在讨论具体采用哪类抗量子签名方案，主要包括三类：基于哈希、基于格密码，以及同源密码学方向。不同方案在安全性、效率和兼容性上各有取舍，这部分仍在演进中。

至于这些提案怎么落地，比特币并没有像其他链那样的升级流程。它更依赖长期讨论后形成“模糊共识”，再结合代码实现、矿工激活等方式逐步推进。这次因为涉及治理争议，预计推进过程会比以往更复杂。

胡翌霖：补充一点，比特币升级最终不只是矿工决定，节点和交易所也同样关键。2017 年分叉已经说明，算力并不能单独决定结果。真正影响最终走向的，是矿工、节点、交易所、核心开发者以及市场共同作用后的平衡。

所以这类提案最后是否会执行、以什么方式执行，短期内都还很难下结论。对普通人来说，除了公开表达立场，运行全节点本身也是一种实际参与。

抗量子升级要准备，但没到立刻全面迁移的时候

猫弟：听起来你并不觉得量子威胁已经非常紧迫？

胡翌霖：如果量子计算真的一夜之间突破到能在 10 分钟内通过公钥反推私钥，那比特币不是分叉就能解决，而是可能直接失效，因为私钥一旦被破解，资产控制权就永久丢失，回滚也救不回来。所以抗量子升级最终一定要做，而且不只是休眠地址，普通地址未来在花费时同样会暴露公钥，也都需要迁移到新地址体系。

但从现实进展看，这件事还没紧迫到必须立刻全面迁移。现在离真正威胁比特币还差很多步，市场上也存在借量子话题放大焦虑的情况。更合理的做法是先把抗量子地址和方案准备好，允许有需要的人自愿迁移，比如有遗产规划需求的用户先用起来，而不是现在就强制所有人行动。

我更倾向于让市场先替比特币探路。当前抗量子算法还没有经过充分市场化验证，不应只因为美国机构或大公司推荐就直接采用。等其他链和系统先用起来，经过实际检验后，比特币再选择更稳妥的方案，会更符合它一贯审慎的路径。

量子风险存在，但短期不必过度恐慌

猫弟：综合来看，大家的分歧主要在最极端情形上：如果量子计算一夜之间成熟，胡老师认为比特币可能直接崩溃；Jeffrey 认为冲击会很大，但未必立刻走向最坏结果；郭老师则认为，即便技术突然出现，只要不掌握在极端主体手中，也未必会立刻对比特币发起攻击。

如果量子计算是渐进式发展，整体思路则更偏向先准备、再观察。技术方案可以先提供给愿意承担更高成本的用户使用，其他用户则可以等待更成熟的方案和更明确的社区共识。

Jeffrey：量子威胁是真实存在的，但短期市场情绪未必等于实际风险。最近有些案例被放大解读，比如有人用 IBM 的量子云服务破解了一个 15 位的椭圆曲线密钥，还因此获得了奖金。

但这个案例的问题在于，15 位密钥空间只有三万多种可能，用普通计算机穷举也能做到。后来还有开发者证明，不用量子计算机，仅靠普通伪随机数方法也能找出来。所以这类案例更多说明量子研究在推进，并不能说明它已经接近威胁现实中的比特币。

胡翌霖：对，这类“突破”很多其实只是很小的进展。承认风险存在是一回事，把它夸大成迫在眉睫是另一回事。现在离真正威胁比特币使用的 256 位密码体系，距离还非常远。

谷歌时间线更像预警，不必视为最终判断

猫弟：那谷歌把时间点定在 2030 年，是否有些偏激进？

郭泽卿：我觉得这类前沿技术常见的说法都是“还有五年”，量子计算、核聚变、AGI 都很像。技术当然在进步，但企业对外释放这类时间线，往往也带有预期管理和公关成分。

谷歌提出 2030 年的积极意义在于，它确实能促使更多机构提前重视安全升级和抗量子预案。但另一方面，这种表述也未必是纯技术判断，背后同样可能服务于部门预算、市场沟通和存在感管理。

所以更合适的理解是：谷歌的时间线值得重视，但不必把它当成精确预测。