作者:Jason Nelson;编译:白话区块链
量子计算机今天还无法攻破比特币加密体系,但 Google 和 IBM 的最新进展表明,双方之间的差距,可能正以快于预期的速度缩小。
随着容错型量子系统不断推进,“Q-Day”的重要性也被迅速抬高。所谓 Q-Day,指的是某台足够强大的机器终于能够攻破旧版比特币地址,并让超过 4520 亿美元的脆弱钱包暴露在风险之下的那一刻。
长期以来,Q-Day 一直被视为地平线上的遥远威胁。但在 2026 年 3 月,Google 发布的一篇白皮书让这一问题骤然变得紧迫起来。该论文认为,量子计算机破解密码系统的时间点,可能会早于此前预期。
要把比特币升级到“后量子”状态,本身就需要多年时间,这意味着相关工作必须在真正的威胁到来之前很早就启动。问题在于,专家们指出,没有人知道那一天究竟何时到来,而社区也一直难以就“究竟该如何推进”形成一致方案。
这种不确定性带来了一种挥之不去的担忧:能攻击比特币的量子计算机,也许会在网络准备好之前率先上线。
本文将梳理比特币面临的量子威胁,以及要让这条头号区块链真正做好准备,还需要发生哪些改变。
量子攻击会如何发生
一次成功的量子攻击,表面上未必会显得多么戏剧化。一个拥有量子能力的窃贼,首先会扫描整条区块链,寻找任何曾经暴露过公钥的地址。老钱包、重复使用的地址、早期矿工产出,以及大量长期休眠账户,都属于这一类。
在所谓“先收集、后解密”(harvest now, decrypt later)的攻击中,攻击者会复制目标公钥,并将其输入量子计算机,借助 Shor 算法进行求解。该算法由数学家 Peter Shor 于 1994 年提出,能够让量子机器以远高于经典计算机的效率完成大数分解,并求解离散对数问题。比特币的椭圆曲线签名机制,正是建立在这些问题足够难解的前提之上。一旦拥有足够多经过纠错的量子比特,量子计算机就可能利用 Shor 算法,从已暴露的公钥反推出对应私钥。
Andreessen Horowitz 研究合伙人、乔治城大学副教授 Justin Thaler 对 Decrypt 表示,一旦私钥被恢复,攻击者就能直接转走这些币。
Thaler 说:“量子计算机能做到、而且这正是与比特币相关的地方,在于它可以伪造比特币今天所使用的数字签名。拥有量子计算机的人,可以在未经你授权的情况下,发起一笔把你账户中所有比特币都转走的交易——无论你怎么理解都可以。这才是真正令人担心的地方。”
这种伪造签名在比特币网络看来会是“真的”。节点会接受它,矿工会把它打进区块,而链上本身不会留下任何“这笔交易可疑”的标记。如果攻击者一次性命中一大批已暴露地址,那么数十亿美元资金可能在几分钟内就被转移。市场甚至可能在任何人确认“量子攻击正在发生”之前,就先一步做出剧烈反应。
随着市场对 Q-Day 的担忧升温,Coinbase 在 2026 年 1 月成立了一个独立顾问委员会,专门聚焦量子计算与区块链安全问题。
2026 年 3 月,Caltech 和 Google 的研究论文进一步指出,未来的量子计算机在破解椭圆曲线密码时,所需量子比特数量和计算步骤都可能低于此前估计。
这些论文在加密社区引发强烈震动。比特币安全研究员 Justin Drake 当时在 X 上写道:到 2032 年,量子计算机从一个已暴露公钥中恢复出 secp256k1 ECDSA 私钥的概率,至少有 10%。
他当时的核心判断是:今天对量子计算和密码学而言是一个里程碑时刻,两篇突破性论文刚刚落地;它们都改进了因“能破解 RSA 和椭圆曲线密码”而臭名昭著的 Shor 算法,而且两项成果分别优化了不同层级,叠加起来会进一步提升攻击效率。
2026 年 4 月,意大利研究员 Giancarlo Lelli 使用一台公开可用的量子计算机,攻破了一个简化版椭圆曲线密码密钥。2026 年 5 月,美国商务部宣布将向量子技术发展投入 20 亿美元。
2026 年 6 月,法国宣布将停止为“不被视为量子安全”的技术提供认证,成为最早把安全认证与后量子密码要求正式绑定的政府之一。同月晚些时候,美国总统 Donald Trump 签署了两项行政命令,旨在扩大美国量子计算能力,并加速向抗量子加密体系过渡。
量子计算发展到什么阶段了
到了 2025 年,量子计算终于开始显得不再只是理论概念,而是逐渐走向实用。
2025 年 1 月: Google 的 105 量子比特 Willow 芯片表现出明显的误差下降,并实现了超越经典超级计算机的基准测试结果。
2025 年 2 月: Microsoft 推出了 Majorana 1 平台,并与 Atom Computing 一起报告了创纪录的逻辑量子比特纠缠结果。
2025 年 4 月: 美国国家标准与技术研究院(NIST)把超导量子比特的相干时间延长到 0.6 毫秒。
2025 年 6 月: IBM 设定目标:到 2029 年实现 200 个逻辑量子比特,并在 2030 年代初突破 1000 个以上。
2025 年 9 月: Caltech 发布一台中性原子量子计算机,能以 99.98% 准确率运行 6100 个量子比特。
2025 年 10 月: IBM 实现 120 个量子比特纠缠;Google 则确认了一次经过验证的量子加速。
2025 年 11 月: IBM 发布新芯片与软件,目标是在 2026 年实现量子优势,并在 2029 年建成容错系统。
2026 年 1 月: Coinbase 成立独立顾问委员会,专注量子计算与区块链安全。
2026 年 3 月: Caltech 与 Google 的论文表明,量子计算机对比特币密码体系的威胁,可能比预期更早到来;有比特币安全研究者给出了“2032 年前出现私钥恢复事件有 10% 概率”的判断。Google 同时把自身“做好量子准备”的期限定在 2029 年。
2026 年 4 月: 意大利研究员 Giancarlo Lelli 用公开可用的量子计算机攻破了一个简化版椭圆曲线密码密钥。
2026 年 5 月: 美国商务部宣布向量子技术发展投入 20 亿美元。
2026 年 6 月: Donald Trump 签署两项行政命令,推动美国扩大量子算力,并加速迁移到抗量子加密体系。
BTQ Technologies 总裁兼创新负责人 Christopher Tam 表示,尽管美国政府要求联邦机构在 2031 年前把高价值资产迁移到后量子密码体系,但以行业推进速度和量子计算可能带来的风险来看,这个节奏仍然太慢了。
Tam 对 Decrypt 表示:“如果换作我,我会把这件事定得更紧迫一些。联邦政府在这件事上居然比行业慢两年,显得有些奇怪。”
为什么比特币会变得脆弱
比特币签名使用的是椭圆曲线密码学。当某个地址发生支出时,它背后的公钥就会被暴露出来,而这种暴露是永久性的。在比特币早期的 pay-to-public-key 格式中,许多地址甚至在第一次支出前,就已经把公钥直接公开在链上。之后的 pay-to-public-key-hash 格式则把公钥隐藏到了第一次使用时才显露。
正因为这些最老的一批币的公钥从未被隐藏过,它们——包括大约 100 万枚中本聪时代的比特币——都会暴露在未来量子攻击面前。Thaler 说,切换到后量子数字签名体系,需要持币人主动参与迁移。
他说:“如果中本聪想保护自己的币,就必须把它们转进新的、具备后量子安全性的钱包。最大的担忧是那些被遗弃的币,大约价值 1800 亿美元,其中约 1000 亿美元被认为属于中本聪。这是非常巨大的规模,但它们处于弃置状态,而这才是真正的风险所在。”
风险还来自那些私钥已经遗失的比特币。许多这类币已经十多年没有动过,而在没有私钥的情况下,它们永远不可能被迁移到抗量子钱包中,因此天然会成为未来量子计算机的潜在目标。
没有人能够直接在链上“冻结”比特币。因此,针对未来量子威胁的现实防御手段,主要集中在:迁移脆弱资金、采用后量子地址,或者管理当前已知风险。
不过 Thaler 也提醒,后量子加密和数字签名方案会带来显著的性能成本,因为它们的体积远大于今天轻量化的 64 字节签名,而且资源消耗也更高。
他说:“今天的数字签名大约只有 64 字节,而后量子版本可能会大 10 到 100 倍。 在区块链里,这种尺寸膨胀会是一个更大的问题,因为每个节点都必须永久保存这些签名。管理这部分成本,也就是数据本身的体积,在这里远比在其他系统里更难。”
可能的防护路径
开发者已经提出了多项 Bitcoin Improvement Proposal(BIP),试图为未来的量子攻击做准备。它们路径不同:有的属于轻量、可选的保护措施;有的则更接近一次完整的网络迁移。
BIP-360(P2QRH): 创建新的 “bc1r…” 地址,把今天的椭圆曲线签名与 ML-DSA、SLH-DSA 等后量子方案结合起来。在不进行硬分叉的前提下提供混合安全性,但更大的签名也意味着更高的手续费。
BIP-361: 这一提案将逐步淘汰网络现有签名方案,并冻结那些未能迁移到抗量子地址的币。
Quantum-Safe Taproot: 在 Taproot 中增加一个隐藏的后量子分支。如果量子攻击变得现实,矿工可以通过软分叉要求启用该后量子分支,而在此之前用户仍可照常使用。
Quantum-Resistant Address Migration Protocol(QRAMP): 这是一套强制迁移方案,要把脆弱的 UTXO 转移到量子安全地址中,很可能需要通过硬分叉实现。
Pay to Taproot Hash(P2TRH): 用双重哈希后的版本替代可见的 Taproot 公钥,在不引入新密码学、也不破坏兼容性的情况下,缩短公钥暴露窗口。
通过 STARK 实现的 Non-Interactive Transaction Compression(NTC): 使用零知识证明,把大型后量子签名压缩成每个区块一个证明,从而降低存储和手续费成本。
Commit-Reveal Schemes: 依赖在量子威胁出现前就提前发布的哈希承诺;辅助 UTXO 会附带小型后量子输出以保护支出;“毒丸交易”(poison pill transactions)允许用户预先公布恢复路径;类似 Fawkescoin 的变体则会一直休眠,直到真正有量子计算机被证明可用。
综合来看,这些提案勾勒出了一条分阶段通往量子安全的路线:先采用像 P2TRH 这样影响较小的快速修补方案,再随着风险上升,推进 BIP-360 或基于 STARK 的压缩等更重型升级。问题在于,所有方案都需要广泛协调,而且许多后量子地址格式与签名机制,目前仍处于讨论早期。
Thaler 指出,比特币的去中心化是它最大的优点,但这也让重大升级变得缓慢而困难,因为任何新的签名方案都需要矿工、开发者和用户三方形成广泛共识。
他说:“比特币有两个特别突出的难题。第一,升级本来就很慢,甚至可能根本推不动。第二,就是那些被遗弃的币。 任何迁移到后量子签名的方案,都必须依赖持有人主动操作,而那些老钱包的主人早就不在了。社区必须决定该怎么处理它们:要么同意把它们移出流通,要么什么都不做,任由拥有量子能力的攻击者把它们拿走。后者会处在法律灰区,而真正去拿这些币的人,恐怕也不会在意。”
对于绝大多数比特币持有人来说,眼下还不需要立刻采取动作。但一些简单习惯,已经足以显著降低长期风险,比如:避免重复使用地址,让你的公钥在真正花费之前始终保持隐藏;同时尽量使用现代钱包格式。
今天的量子计算机离真正攻破比特币还差得很远,而且关于它究竟何时能做到,业内预测差异极大。有些研究者认为威胁可能在未来五年内出现,也有人把时间推到2030 年代;但持续不断的投资,的确可能让时间表继续提前。
本文于 2026 年 7 月更新。













