比特币开发者正梦游般走向崩溃

《Murmurations》第二期，这是一份致力于稳定币、金融科技、银行业、初创公司以及偶尔沉思的出版物。

通过订阅，你同意 Substack 的 使用条款，并确认其 信息收集通知 和 隐私政策。

比特币开发者正处于梦游般走向崩溃的状态

简单来说，为什么比特币持有者应该关心量子计算

最近关于比特币面临的量子风险有很多喧嚣。我曾在一篇长文中阐述了我的观点，但大多数人还没读过，只是从 X 上获取了一些零星的辩论片段。所以我将我的观点浓缩成了这篇短文。我不打算在这篇文章中塞满引用和细节。如果你想要那些，请参阅我关于量子风险的完整系列文章。

比特币的安全性——即从公钥反向工程出私钥的难度——依赖于椭圆曲线加密。得益于 Peter Shor 在 90 年代发明的一种算法，量子计算 (QC) 在理论上被公认可以破解这种加密。中本聪在发明比特币时就意识到了这一点，并提议如果 QC 变得足够强大就进行升级。为了让量子计算机实际运行该算法，它需要 1000 到 2000 个所谓的“逻辑 Qubit”，或者几十万到一百万个左右的“物理 Qubit”。作为背景，当今最先进的量子计算机最高约为 1000 个物理 Qubit 和几十个逻辑 Qubit。因此，我们距离实现这一目标大约还有三个数量级的差距。虽然这看起来很遥远，但著名的量子理论学家、学者 Scott Aaronson 称其仅仅是一个“极其艰巨”的工程问题，而不是需要新的基础物理发现的东西。换句话说，量子技术目前的处境相当于 1939 年的核裂变——已知可行且没有理论障碍，但仍需要巨大的工程投入。进一步类比，由于 QC 巨大的战略效用，这项技术的早期拥有者可能会隐藏他们的能力，或者推迟透露他们已经掌握了这项技术。由于利益动机的作用，量子计算可能会突然出现，没有任何预警。对于那些认为会有充足通知和准备时间的比特币持有者来说，这是一个坏消息。正如我们在 AI 领域看到的那样——当比例定律（scaling law）被开发出来且 LLM 变得强大时，AI 社区感到非常惊讶——技术中确实会发生非线性进步。我不愿意将比特币的未来押注在“希望量子技术的发展不会带来意外惊喜”这种侥幸心理上。

未来十年内发生量子破解的几率是不可知的。然而，2025 年是量子计算历史上最活跃的一年。在技术上，今年在 IONQ 和 MIT 见证了“保真度”（即 Qubit 执行预定指令的频率）的突破。量子纠错技术在 2025 年开始取得实质性进展，它能捕捉并解决由物理 Qubit 引入的错误，从而创建纯净的逻辑 Qubit。由于这些错误往往随量子计算机规模的扩大而增加，实现大规模纠错曾是 QC 领域的那个重大发展。今年 Google 和 Quantinuum 在纠错方面都取得了强有力的成果。

今年量子初创公司至少筹集了 60 亿美元，是历史上最高纪录，且差距巨大。其中一家初创公司 PsiQuantum 筹集了 10 亿美元来建造一台百万级 Qubit 的机器——他们认为利用现有技术这是可能的。许多建造量子计算机的公司明确预计在 2020 年代末或 2030 年代中期能够建造出功能齐全、规模化的量子计算机。 Metaculus 上的平均专家预测 QC 将在 2033 年左右到来。

美国政府的官方标准制定机构 NIST 已要求政府机构在 2030 年前弃用 ECC256 等易受量子攻击的加密方案，并在 2035 年前结束对它们的所有依赖。欧盟和英国等其他主要大国也在类似的时间表下运作。正如我将解释的，这些日期应该激励比特币持有者在今天就采取行动。

如果建造出一台足够强大的“具有密码学相关性的 QC”（CRQC），它可能通过使攻击者从暴露的公钥中窃取私钥来威胁比特币。目前并非所有的币都已暴露（一些公钥存在于哈希地址中，而 SHA-256 并不被认为是易受量子攻击的），但在撰写本文时，有 670 万枚 BTC 是易受攻击的——价值 6040 亿美元。此外，在币被花费到被包含在区块中的短暂窗口期内，一台足够强大的 QC 理论上可以反向工程出私钥并重定向这笔支出。这适用于任何类型地址中的币，无论是否经过哈希处理。

理论上，比特币可以进行软分叉并采用“后量子”（PQ）签名方案。目前确实存在一些拟议的量子抗性加密签名。撇开技术问题不谈，比如极高的数据需求（需要更大的区块或降低吞吐量），主要问题将是确定特定的 PQ 方案、组织软分叉，并费力地将数千万个有余额的地址中的每一个地址进行迁移。采用新的加密技术是有风险的，这是另一个问题。我们不想在恐慌中转向 PQ 加密，结果后来发现它甚至能被经典计算机破解。剥离比特币系统核心的加密技术是一项巨大的工程，必须谨慎进行。如果你回想一下对比特币持有者来说，就（相对无争议的）SegWit 和 Taproot 软分叉达成共识并实施是多么困难，你就会明白比特币的行动并不敏捷。

比特币的 PQ 分叉（或者更确切地说，是多次分叉，因为可能需要好几次）将比协议之前的任何更新都更具侵入性和复杂性。加密技术是协议的核心，将其拆除会迫使系统几乎所有方面以及用户与其交互的方式发生改变。理所当然，这样的分叉需要比 SegWit（从提案到激活用了两年）或 Taproot（三年）更长的时间来进行辩论、开发和测试。

实际上，要在分叉后让比特币进入非易受攻击状态甚至更难。易受量子攻击地址中的币必须旋转并发送到新的量子抗性地址类型。最终，所有地址类型都必须被弃用和旋转。即使每个比特币持有者都意识到这一点，并能随时访问他们的钱包和私钥，这种过渡在最好的情况下也需要数月时间。更现实地说，你会希望给比特币持有者几年的通知时间来旋转他们的币。

情况还会变得更糟。有些币已经丢失或被遗弃。其中很大一部分——170 万枚 BTC——属于中本聪和其他早期矿工，存在于被称为“P2PK”（付至公钥）的旧地址类型中。如果这些币真的丢失了，它们就无法被转移到 PQ 地址类型的安全地带。这些币就像沉没在海底沉船中的古代金币，被认为无法打捞——直到有人造出了更好的潜艇。因此，比特币社区必须决定如何处理它们。是将它们冻结，进行一种制度化的窃取；还是放任不管，让一个未知的、可能带有敌意的量子主体成为最大的比特币持有者？这两个选项都不好，目前社区内也没有共识。比特币社区从未投票冻结或固定过任何人的币，无论多么令人厌恶。事实上，这种集体窃取（即使理由充分）正是许多比特币持有者在早期轻视以太坊的原因。如果这样做，比特币持有者将表明他们并不比他们讨厌的对手更好。这也会向未来的持有者发出信号：在紧急时刻进行集体没收是一个可选方案。销毁这些币将开创一个危险的先例。因此，被遗弃的 P2PK 币的命运必须经过法律诉讼，并且还必须实施和部署一种解决方案（比如分叉来冻结或征用它们）。这绝非易事，且在比特币历史上完全没有先例。

如果你算一下，你会意识到所需的缓解时间表很可能延伸到接近十年的时间。我们需要时间来讨论策略、解决分歧、就协议和易受攻击币的路线图达成一致、编写代码、测试加密技术并实际执行迁移。这意味着，即使量子审判日（或被称为“Q-day”）在十年后到来，我们今天也必须开始准备。提前或意外到来的 Q-day 将是灾难性的。我们将不得不仓促决定是否冻结易受攻击的币，恐慌地实施 PQ 签名方案，并寄希望于该方案是安全的，以及对系统的信心能够恢复。主要的比特币开发公司 Chaincode 估计，即使是“短期”应急措施也需要两年时间。改变比特币就像驾驶一艘航空母舰转弯。

对突发破解的恐慌反应，而非破解本身，可能会摧毁比特币。关于易受攻击的币应该被销毁还是认领的竞争观点可能会引发分叉，就像我们在区块大小战争中看到的那样。争夺比特币名称的竞对分叉在 2017 年可能还行得通，当时比特币还远未成熟且赌注较低，但今天这种情景会导致比特币所依赖的大型机构资本来源对协议失去信心。量子技术刺穿了比特币不可侵犯的承诺。难怪大多数比特币持有者如此恐惧，甚至不敢承认这一点。他们知道，承认存在风险就是在质疑比特币不可磨灭的核心叙事。从资本分配者的角度来看，你不希望在你最终的避险价值存储资产上承担尾部风险。因此，比特币持有者选择玩一场大规模的囚徒困境游戏，大家保持沉默且互不告发。但他们没料到会出现一些在知识分子层面上诚实的比特币持有者，愿意告诉世界一个不受欢迎的真相——即使这对我们自己不利。

一些比特币持有者认为，美国法律将阻止任何拥有 CRQC 的人将其用于攻击比特币。但将比特币的保证降低为仅仅希望对手遵守法律规则，这并不能给人带来多少安慰。我们不能相信量子技术的早期掌管者会是仁慈的。虽然他们不会公开承认，但主要的量子技术公司之所以在比特币会议周围暗中观察是有原因的：如果他们能制造出认领这些币的硬件，就有价值数千亿美元的赏金在等着他们。中国正投入巨大的国家资源用于量子计算，他们对比特币或美国法律没有忠诚度。而且，如果美国政府认为中国即将采取行动，他们抢先征用易受攻击的比特币也不是没有可能。

如果你遵循我的推理，显而易见我们今天就应该开始准备。专家和政府的共识表明，量子技术可能在 2030 年到 2035 年之间成为一个问题，鉴于准备工作的时间表，这意味着我们今天必须开始准备。如果我们没有准备好而发生量子破解，可能造成的损失将是灾难性的——对系统信心的全盘丧失。因此，对比特币而言，量子风险的期望值在今天显著为负。对于忽视这一威胁的投资者或开发者，我想问，你愿意承担多大比例的全盘覆灭风险？10%？5%？1%？如果潜在损失是灾难性的，人们会为不太可能发生的事件购买保险。即使在任何特定年份发生危险洪水的风险只有 1%，你可能还是会购买洪水保险，并庆幸自己买了。事实是，防范量子风险的“成本”很低，因为开发者大多在进行毫无意义的坐而论道。过去十年的主要开发重点一直是基于闪电网络的扩容模型，而这简直就是一个失败。关于过滤器以及比特币是否应该携带任意数据的内部争论占据了开发者的注意力。在过去的十年中，比特币协议只发生了两次更新。尽管开发者会这么做，但他们无法貌似合理地声称自己忙于重要事务而无法专注于这个日益增长的生存威胁。

比特币社区在做什么？遗憾的是，几乎没做什么。虽然有一些零星的努力在探索 PQ 签名方案和一些早期的缓解想法，但几乎没有实际具体的提案。唯一列出的比特币改进提案 (BIP)，即 BIP360，是由一个相对的局外人领导的，而不是那些通常获得重大更新许可对比特币至关重要的高层人士。而且 BIP360 在现阶段实际上所做的一切只是撤销比特币开发者犯下的一个重大错误，即在 2021 年引入了易受量子攻击的 Taproot 地址类型。他们这样做，尽管首席开发者 Pieter Wuille 当时公开承认 Taproot 地址暴露在量子风险之下。甚至到了 2025 年，Wuille 依然坚持认为比特币的量子化防护“没有紧迫性”。

最让我恼火的是，比特币开发者对量子计算潜伏风险的冷漠态度是多么反常。通常情况下，比特币的开发文化是极度偏执的，几乎到了滑稽的程度。开发者为了担心引入 Bug，会以巨大的代价尽量减少对第三方库的依赖。比特币著名地拒绝了行业标准的椭圆曲线栈，避开了 OpenSSL 的 ECC 实现，而是标准化的 secp256k1 并维护自己的定制代码。这只是一个例子。你们中的许多人会记得，即使是对比特币区块大小的微小增加，也会被作为潜在的生存威胁辩论多年，开发者警告说额外的几兆字节可能会导致网络分裂或损害去中心化。系统的脚本语言被故意削减——不是因为缺乏想象力，而是出于对拒绝服务攻击和突发行为的恐惧。这些选择中的每一个都带有意识形态色彩，根植于极端自力更生、抵御当前和未来威胁以及普遍偏执的文化中。然而令人难以置信的是，现在比特币正面临现代公钥加密技术的全盘过时，开发者的反应却是自满。

面对量子计算带来的风险，比特币持有者经常回应说，这种威胁同样适用于所有金融技术（以及任何其他依赖加密的系统）。言外之意是世界反正都要完蛋了，所以不值得担心。但除了这种说法毫无意义之外（显然，我们仍然希望比特币能运作，特别是在混乱的情况下），它还不是事实。Q-day，假设它发生在政府和主要金融机构普遍准备就绪的时候，看起来会非常像千年虫（Y2K），即由于充分的准备而成为一个非事件。PQ 签名已经存在，并且可以由任何中心化机构轻而易举地实施。问题主要出在区块链上，因为它们具有治理惯性且升级困难。Cloudflare 已经利用 PQ 加密保护了其大部分流量。AWS 已经在关键服务中部署了 PQ 加密。NordVPN 已经提供 PQ 浏览。虽然基础设施升级可能很痛苦，但所有金融机构、软件公司和政府都是高度中心化的，可以简单地强制升级。（有一小类系统无法升级，例如具有烧录硬件且无法更新的设备。但这指的是那些本该被逐步淘汰的超长寿命硬件。卫星是一个例外，它们在 Q-day 面前也处于不利地位。）

像比特币这样的去中心化区块链无法像中心化数据库运营商那样灵活地更新自己。比特币自 2017 年以来仅推送了两次更新，即便如此，这两次更新也是在巨大的怨恨和内讧之后才出现的。此外，由于很大一部分易受攻击的币存放在被遗弃的地址中，且这些地址的所有者根本无法被强迫移动他们的币，因此即使比特币确实升级到了 PQ 签名，它仍面临 170 万枚币突然被量子攻击者夺取的风险。比特币不仅必须有序且及时地升级，而且比特币持有者还必须集体同意销毁这 170 万枚币，以化解这种风险——这在比特币历史上是完全没有先例的。

比特币也比其他区块链更脆弱。它假定丢失或遗弃的币在供应量中所占份额更大。以太坊确实面临一些相同的风险，但它的账户抽象和智能合约功能意味着，通过一些技巧，以太坊甚至可以在不分叉的情况下实现 PQ 签名。最终还是需要 PQ 分叉，但在以太坊更加活跃的治理流程下，这更有可能发生。以太坊还受益于有一位承认量子威胁并已提出建议处理此问题的领导者。另一个竞争对手 Solana 已经开始测试 PQ 签名。像 Starkware 这样的 Layer 2 将量子抗性吹捧为核心价值主张。比特币持有者会对这些比较感到恼火，但很有可能比特币是 Q-day 唯一暴露在风险之下的区块链。

所以这就是丑陋的真相。很少有比特币持有者愿意承认这一点。与其他依赖公钥加密的系统相比，区块链面对量子计算表现出独特的脆弱性，而比特币在区块链中又表现出独特的脆弱性。量子计算已从遥远的理论可能性转变为纯粹的工程挑战，并可能在十年或更短时间内到来。如果是这样，比特币持有者今天就需要开始准备。

• 原文链接： murmurationstwo.substack...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～