比特币在量子时代的安全：区分虚构与真实威胁

关于“量子计算机破解比特币加密”的媒体普遍叙述存在根本性的概念错误。比特币根本不依赖于存储在区块链中的数据加密。区块链作为公共账本，所有交易、金额和地址对所有人都是可见的。真正需要关注的威胁不是解密，而是潜在的伪造与已公布的公钥相关的数字签名。

实际的脆弱点所在：从加密到签名

比特币的签名系统——ECDSA 和 Schnorr——是控制资金的基础。通过生成一个有效的签名，网络接受转账。在这种架构下，公钥的泄露成为关键弱点，尤其是在出现能够运行 Shor 算法的计算机时。

如果攻击者拥有一台具有量子能力的机器，可能会：

• 从区块链中可见的公钥推导出私钥
• 为其他支出生成竞争性签名
• 控制资金

公开的公钥暴露程度决定了这种风险的规模。许多比特币地址对公钥进行了哈希处理，只有在交易时才会暴露原始公钥。其他格式——如 pay-to-pubkey 或某些多签地址——会提前暴露公钥。地址的重复使用会延长这一暴露窗口，将一次性暴露变成潜在攻击者的永久目标。

量子威胁的数字：目前可衡量的内容

Project Eleven 每周扫描区块链，识别出公钥已暴露的 UTXO。他们的公共追踪器显示大约 6,7 百万 BTC 满足量子暴露的条件。

从计算角度来看，根据 Roettler 等人的研究，破解 256 位椭圆曲线离散对数需要：

逻辑比特与物理比特之间的差异至关重要。将电路转化为具备低错误率纠错能力的机器——这是实现实际攻击的前提——会带来巨大的成本和时间开销。

Taproot 改变了暴露的格局

引入 Taproot (P2TR) 改变了默认的密钥暴露模式。Taproot 输出包含一个32字节的修改后公钥，直接嵌入在输出脚本中，而非哈希的公钥。这意味着，随着量子技术成为实际威胁，新的支出默认会生成更大规模的已暴露公钥的 UTXO 集。

然而，到目前为止，安全性并未改变——暴露变成了一个可衡量、可追踪的变量，决定未来威胁的范围。

从 Grover 到迁移：整个量子威胁场景的背景

哈希函数如 SHA-256 面临另一类量子攻击。Grover 算法为暴力搜索提供了平方级加速，而非像 Shor 算法那样破解离散对数。对于 SHA-256 的预映像攻击，即使应用 Grover，成本仍然在 2^128 操作级别，远低于破解 ECDSA 的难度。

关于量子威胁的叙述中，常常缺乏对这些算法差异的区分。NIST 已经标准化了后量子密码的原语——如 ML-KEM 和 FIPS 203——而比特币也在开发解决方案，比如 BIP 360 提议的“抗量子哈希支付”。挑战在于迁移，而非立即崩溃。

为什么这是基础设施问题，而非末日场景

据路透社最新报道，IBM 预计到 2029 年左右会有抗错误的系统路径。在此背景下，纠错组件的进展表明，量子突破将是多年发展积累的结果，而非突如其来的攻击。

真正的问题在于三个方面：

1. 当前有多少 UTXO 公钥已暴露 (已可识别)
2. 钱包和协议能多快支持抗量子支出
3. 网络在迁移过程中能否保持吞吐量、安全性和费用经济性

后量子签名的尺寸将从几十字节变为几千字节，改变交易的重量计算和用户体验。迁移需要协调，而非疯狂重写。

实际的量子威胁是可衡量的，但主要是时间和设计的挑战——而非对加密货币安全叙事的恐慌理由。