## 比特币与Shora算法：为何当前的威胁是公钥问题，而非加密问题

关于量子威胁对比特币的讨论大多基于一个根本性的术语误解。比特币中的加密实际上几乎不存在——区块链是一本公共账本，任何人都可以查看交易、金额和地址。真正保护资产的是数字签名(ECDSA和Schnorr)以及哈希函数，而不是加密文本。具有实际意义的量子风险在于通过Shora算法从已披露的公钥推导出私钥，从而伪造授权的可能性。

## 真正的脆弱点所在：密钥暴露与Taproot设计

比特币的安全性依赖于公钥是否在区块链中可见。许多地址格式会对公钥进行哈希，这意味着原始公钥在交易发布之前保持隐藏。这缩小了潜在攻击者的时间窗口。然而，Taproot (P2TR)改变了这一模式——它在输出中直接包含了一个32字节的修改后公钥，而不是其哈希值，符合BIP 341的规范。

Project Eleven是一个监控比特币加密和安全的开源项目，每周扫描一次已披露的公钥。他们的公共追踪器识别出大约6.7百万个BTC地址存在量子攻击的潜在风险。这并不意味着当前就存在威胁，但显示出易受攻击的资产池是可以衡量和追踪的，且已经存在。

## 量子计算机需要数十亿个物理比特——距离尚远

计算角度改变了前景。要计算256位椭圆曲线ECC的离散对数，理论上需要大约2300个逻辑比特(，根据Roetteler等人的研究)。问题在于转换到具有纠错能力的机器上。

估算显示，破解密钥在一小时到一天内所需的物理比特数在690万到1300万之间，具体取决于错误率和架构假设。IBM最近讨论了到2029年左右实现容错系统的路径，但这仍是预测而非现实。现有的量子计算机距离这个目标还很遥远。

## 地址重用与签名迁移：实际挑战

真正的问题不在技术层面，而在迁移的难题。如果公钥出现在区块链中，未来对同一地址的存取将持续暴露。钱包设计者可以通过轮换地址来降低风险，但许多用户并不采用这种做法。

NIST已标准化后量子密码学原语(ML-KEM/FIPS 203)，而BIP 360提出了“Pay to Quantum Resistant Hash”新型输出。问题在于：后量子签名的大小通常为几千字节，而非几十字节。这改变了交易的经济性、手续费和钱包用户体验——比加密本身带来的挑战更大。

## 总结：基础设施，而非突发危机

比特币的加密在传统意义上并未受到量子计算机的威胁。相反，网络面临的是长期的迁移挑战，涉及签名、公钥暴露和钱包管理。可衡量的因素——如当前已披露公钥的UTXO状态、用户行为以及网络采用抗量子方案的能力——将决定迁移的时间表和成功率。这不是一场短期的游戏，而是多年的基础设施转型。