比特幣與量子電腦的騷動：我們真正應該擔心的是什麼

普遍的觀點認為，量子電腦對比特幣的加密構成直接威脅。事實並非如此。問題出在術語和對網絡安全機制的誤解上。比特幣並不在區塊鏈上存儲加密的秘密——這是關鍵的區別。

真正的危險所在

比特幣的所有權是通過數字簽名 (ECDSA 和 Schnorr) 以及基於雜湊函數的承諾來執行的，而不是通過加密。如果量子電腦能夠運行 Shor 的算法破解比特幣的橢圓曲線密碼學，它能做的只有一件事：從區塊鏈上公開的公鑰中推導出私鑰。

這意味著潛在的授權偽造者——這才是真正的威脅。攻擊者並不“解密”任何東西，而是利用 Shor 的算法，從公鑰推導出私鑰，然後生成有效的簽名來進行未來的支出。

長期以來，比特幣的開發者和 Hashcash 的創始人 Adam Back 生動地總結道：“比特幣不使用加密。每個人都可以看到公開帳本上的每一筆交易——沒有任何東西是加密的。”

公鑰曝光：安全的瓶頸

比特幣的安全性歸結為一個問題：公鑰是否在區塊鏈上可見？許多地址格式會對公鑰進行哈希，只有在資金被花費時，原始公鑰才會出現在網絡上。這縮小了潛在攻擊者的時間窗口。

然而，其他類型的腳本會提前暴露公鑰。重複使用地址可能將一次性公開變成永久的目標。Project Eleven 通過其“Bitcoin Risq List”精確映射出哪些公鑰已經對擁有 Shor 算法的人可用。

數據顯示，大約有 670 萬 BTC 符合公鑰曝光的條件。這是一個可以立即追蹤的可衡量數據。

重要的數字

在計算方面，關鍵差異在於邏輯量子比特和物理量子比特。理論上，計算 256 位 ECC 離散對數所需的邏輯量子比特約為 2330 個。

將其轉換為具有錯誤更正的機器，成本則在於擴展。2023 年的估算顯示：

• 約 690 萬個物理量子比特，用於 10 分鐘內破解
• 約 1300 萬個物理量子比特，用於 1 天內破解
• 約 3.17 億個物理量子比特，用於一小時的攻擊窗口

這些數字表明，我們談論的不是昨日的技術，而是仍在形成中的基礎設施。

Taproot 改變未來的遊戲規則

Taproot (P2TR) 的輸出在代碼中直接包含 32 字節的經過修改的公鑰，而不是其哈希值。這目前不會造成漏洞，但改變了在未來恢復密鑰成為現實時，默認會暴露的內容。

Taproot 代表著曝光模式的變化，但這是一個可以通過錢包和協議的架構選擇來管理的變化。

挑戰在於遷移，而非災難

NIST 已經標準化了後量子時代的原語，例如 ML-KEM (FIPS 203)。在比特幣中，BIP 360 提議“Pay to Quantum Resistant Hash”，而 qbip.org 則主張撤回較舊的簽名，以促使遷移。

IBM 最近宣布在錯誤更正元件和抵抗錯誤的系統路徑方面取得進展，預計約在 2029 年實現。這表明，隨著量子系統的發展，防禦網絡也在同步進步。

真正的挑戰在於吞吐量、存儲、費用和遷移協調。後量子簽名的大小是幾個千字節，而不是幾十字節，這改變了交易的經濟性。這是一個基礎設施層面的工程，而非突發事件。

因此：比特幣並不會因為加密被破解而崩潰，因為它本來就從未依賴加密作為基礎。可衡量的元素是已曝光公鑰的 UTXO 比例、後量子支出路徑的採用速度，以及網絡適應變化的速度。