## 比特幣與 Shora 算法：為何當前的威脅是公鑰問題，而非加密問題

大多數關於比特幣量子威脅的討論，基於一個根本的術語誤解。比特幣中的加密幾乎不存在——區塊鏈是一個公開帳本，任何人都可以看到交易、金額和地址。真正保護資產的是數位簽名 (ECDSA 和 Schnorr) 以及雜湊函數，而非加密文本。具有實質意義的量子風險，是通過 Shora 算法從公開鑰匙推導私鑰，進而偽造授權的可能性。

## 真正的脆弱點：鑰匙曝光與 Taproot 設計

比特幣的安全性取決於公開鑰是否在區塊鏈中可見。許多地址格式會對公鑰進行雜湊，這意味著原始鑰匙在交易發布前保持隱藏。這縮小了潛在攻擊者的時間窗口。然而，Taproot (P2TR) 改變了這個模式——它在輸出中直接包含一個32字節的修改後公鑰，而非其雜湊，符合 BIP 341。

Project Eleven 是一個監控比特幣加密與安全的開放專案，每週掃描公開鑰匙的曝光情況。他們的公開追蹤器已識別出約 6,700,000 BTC 位於符合量子攻擊潛在風險的地址中。這並不代表當前存在威脅，但顯示出易受攻擊的資金池是可衡量且已被追蹤的。

## 量子電腦需要數十億個物理比特——這還很遙遠

計算層面改變了觀點。要計算 256 位橢圓曲線 ECC 的離散對數，理論上需要約 2300 個邏輯比特 (，根據 Roetteler 等人的研究)。問題在於轉換到具有錯誤更正的機器上。

估計顯示，破解鑰匙在一小時到一天內所需的物理比特數範圍在 6.9 百萬到 1,300 萬之間，取決於錯誤率和架構假設。IBM 最近討論了到 2029 年左右實現容錯系統的路徑，但這仍是預測，並非現實。當前的量子電腦距此仍有很長的路要走。

## 地址重複使用與簽名遷移：真正的挑戰

真正的問題不是技術層面，而是遷移的挑戰。如果公開鑰在區塊鏈中曝光，未來對同一地址的存取仍然是公開的。錢包設計者可以通過輪換地址來降低此風險，但許多用戶並不採用這種做法。

NIST 標準化了後量子原語 (ML-KEM/FIPS 203)，而 BIP 360 提出了一種新的輸出類型「Pay to Quantum Resistant Hash」。問題在於：後量子簽名的大小是幾個 KB，而非數十字節。這改變了交易的經濟性、手續費和用戶體驗——比加密本身更具挑戰性。

## 總結：基礎設施，而非突發危機

比特幣的加密在傳統意義上並未受到量子電腦的威脅。相反，網絡面臨的是長期的遷移挑戰，涉及簽名、公開鑰的曝光以及錢包管理。可衡量的因素——如目前已曝光鑰匙的 UTXO 狀況、用戶行為，以及網絡接受抗量子方案的能力——將決定轉型的時間表與成敗。這不是五分鐘的遊戲，而是長達數年的基礎設施轉型。