Реальная квантовая угроза для биткоина: не взлом шифрования, а подделка подписей

关于"量子计算机将破解比特币加密"的说法在业界广泛流传，但这个表述本身就有问题。比特币根本没有依赖传统意义上的加密机制来保护资产。真实的量子风险不在于破解密文，而在于利用Shor算法从公钥推导出私钥，进而伪造数字签名。

澄清概念误区：比特币使用的是数字签名，不是加密

区块链上没有加密的秘密被存储。比特币的所有权通过数字签名 и哈希承诺来保证，而非密文。这是业界长期以来被忽视的关键区别。

Adam Back是比特币的资深开发者和Hashcash的发明者，他在社交媒体上直言不讳地指出："传播量子恐慌的人需要注意：比特币不使用加密。学习基础知识，否则会暴露自己的无知。"他进一步补充道：“加密是隐藏信息，只有持有密钥的人才能读取。比特币不这样做。区块链是公开账本；每个人都能看到每笔交易、金额和地址。没有任何东西被加密。”

真正的量子威胁是攻击者能否使用Shor算法从公钥恢复私钥，进而创建有效的冲突交易。这与"破解加密"是完全不同的概念。

公钥暴露才是比特币的真实攻击面

比特币使用ECDSA和Schnorr签名系统来验证对密钥对的控制。在这个模型中，资金通过创建网络认可为有效的签名来移动。因此，公钥暴露成为关键风险点。

许多地址格式使用公钥的哈希值，这意味着公钥本身在交易花费之前不会被暴露。这缩小了攻击者用Shor算法计算私钥的时间窗口。然而，某些脚本类型会提前暴露公钥，而地址重用则会将一次性的暴露变成持久性目标。

Project Eleven的开源"Bitcoin Risk List"追踪这些暴露情况。该项目定期扫描识别出大约670万BTC存在于公钥已暴露的地址上——这些资产对拥有Shor算法能力的攻击者存在潜在威胁。

物理量子比特：从理论威胁到实际破坏的巨大鸿沟

在技术层面，理论和现实之间存在巨大差距。破解256位椭圆曲线加密需要大约2330个逻辑量子比特（这是上限估计）。但这只是故事的一半。

关键的物理量子比特量远远更庞大。根据Litinski 2023年的估计，通过物理量子比特实现256位椭圆曲线私钥恢复大约需要690万个物理量子比特，运算时间约10分钟。如果要在一天内完成这种级别的计算，估算值约为1300万个物理量子比特。更激进的目标——在一小时内完成——则需要约3.17亿个物理量子比特。

这些物理量子比特的数量之庞大反映了当前技术的现实：从抽象的算法需求转化到实际可工作的硬件时，所需资源呈指数级增长。量子纠错和容错机制引入的开销才是真正的瓶颈。

时间因素决定威胁的严重程度

量子计算的实用性取决于执行时间。如果密钥恢复能在区块产生时间（约10分钟）内完成，攻击者将竞争花费公开输出，而非重写历史共识。这完全改变了风险评估。

关于哈希破坏的讨论常被混淆。真正的量子杠杆是Grover算法，它对蛮力搜索提供平方根加速，而非离散对数的指数级破坏。NIST关于Grover风格攻击实际成本的研究表明，纠错开销和系统级考虑使得破解SHA-256的成本仍保持在2^128个操作量级——与破解ECC离散对数的难度不可同日而语。

应对之策：协议升级和迁移的长期规划

在比特币外，NIST已标准化了ML-KEM（FIPS 203）等后量子原语，作为更广泛迁移计划的一部分。比特币生态内部则提出了BIP 360（提议"支付到量子抗性哈希"的输出类型），同时qbip.org主张逐步停用旧签名以刺激迁移。

最近的企业路线图为何将此视为基础设施挑战而非紧急事件提供了线索。IBM在最近的报告中讨论了量子纠错组件的进展，并确认容错系统的可实现路径约在2029年。另有报告称IBM的关键量子纠错算法可在标准AMD芯片上运行，这表明硬件生态的进展方向。

可度量的指标而非时间预测

将"量子计算机将破解比特币"看作既是概念上的错误，也是机制上的误解。真正重要的可度量指标包括：UTXO集合中有多少比例的资产公钥已暴露；钱包行为如何响应这种暴露；网络实现后量子抗性支付路径的速度有多快，同时需要保持验证约束和费用市场平衡。

Project Eleven的追踪表明，当前约670万BTC处于"量子脆弱"地址中。随着Taproot的采用，这些数值会随着新交易类型的使用而演变。关键是这些数字现在就能被测量，无需预测量子技术的时间表。比特币面临的是迁移管理挑战，而非即时灾难。