比特币应对量子威胁的三层防御体系

odin_free
发布于 20小时前
阅读 43

文章介绍了比特币应对量子计算威胁的三层防御体系：QSB（当前的紧急方案，通过哈希难题和Lamport签名绕过ECDSA）、zk-STARK 恢复机制（通过零知识证明在紧急软分叉后找回资产）以及 BIP-360（长期的协议升级方案）。这三种方案互为补充，涵盖了从即时防御到长期标准升级的不同场景。

![Image](https://img.learnblockchain.cn/2026/04/12/85583014_image.jpg)

我在 StarkWare 工作。我们的首席产品官（CPO）Avihu Levy 在 4 月 8 日和 9 日期间，构建了两个全新的比特币量子防御原型之一。这两个原型与长期运行的 BIP-360 提案并驾齐驱。我花了几天时间深入研究了这三个方案，并想分享我的看法。

大多数人倾向于将这些方案进行对比排名，但这其实忽略了重点。它们针对的是同一危机时间轴上，处于不同阶段的不同代币。

**QSB** 允许你在分叉之前进行支付；**Osuntokun 的 zk-STARK 舱口（hatch）** 让你能在分叉后找回代币；而 **BIP-360** 则是长期的协议升级。三层防御，共同解决一个问题。

![Image](https://img.learnblockchain.cn/2026/04/12/78658632_image.jpg)

## 第一层：QSB（量子安全比特币交易）

Avihu 在现有的比特币共识规则下，构建了一个自定义的裸脚本（bare-script）支出路径，其安全性不再依赖于 ECDSA。他用基于哈希的工作量证明（PoW）谜题取代了 ECDSA 的绑定作用，并使用 Lamport 风格的签名对生成的交易摘要进行身份验证。Shor 算法对这些环节都无法构成威胁。

在当前的原型性能下，成本大约为 75-150 美元的 GPU 计算费用。Avihu 预计这一成本将会下降：更好的 GPU、SHA-256 变体以及代码优化都指向了低于 50 美元的目标。由于脚本大小约为 9.6KB，超出了标准中继的限制，你需要通过 Marathon 的 Slipstream 或直接向矿工提交交易。

QSB 针对的是**公钥未公开**的情况。你可以创建一个受 QSB 保护的输出，然后在以后支出。如果你的公钥已经存在于链上，QSB 则无法提供帮助。虽然这个限制是现实存在的，但其成果同样显著：六个月前，我接触的大多数工程师都认为在不进行软分叉的情况下实现量子安全的比特币支出是不可能的。Avihu 通过可运行的搜索代码将其变成了一个严肃的原型。

他在文档的 1.3 节中写道，QSB “应被视为最后的手段”。我想强调这一点，这确实是我们的共识。协议升级仍然是更清晰、更彻底的路径。

## 第二层：Osuntokun 的 zk-STARK 舱口

在 QSB 发布的前一天，Lightning Labs 的 Olaoluwa Osuntokun 发布了一个针对完全不同失效模式的原型。

想象一下，比特币激活了一个紧急软分叉，禁用了 ECDSA/Schnorr 密钥支出，以阻止量子攻击者排空暴露的钱包。此时，你的代币会被冻结。虽然你持有 BIP-32 助记词，但密钥路径已被禁用。

Osuntokun 构建了一个工具，让你能够通过零知识证明（ZK）证明你的链上公钥是由你的助记词派生出来的。该证明在 risc0 的 zkVM 上运行。你永远不需要泄露助记词，验证者确认派生关系后，即可将代币解锁到量子安全的输出中。

这需要软分叉支持，目前还无法运行。但它覆盖了许多 QSB 无法触及的代币：分层确定性（HD）钱包、Taproot 输出以及公钥已在链上的 BIP-86 地址。这两个原型在覆盖范围和时间节点上是互补的。

*   [Osuntokun 的 zk-STARK 原型仓库](https://github.com/Roasbeef/bip32-pq-zkp)
*   [比特币开发邮件列表帖子 (4月8日)](https://groups.google.com/g/bitcoindev/c/Q06piCEJhkI)

## 第三层：BIP-360（P2MR）

BIP-360（Pay-to-Merkle-Root，P2MR）是一个更长期的努力。它引入了一种新的输出类型，从 Taproot 风格的输出中剥离了始终可见的内部公钥。通过新的地址和支出规则，未来的输出将不再面临长期的密钥暴露风险。

该 BIP 目前仍处于草案（Draft）阶段。BTQ 的一个独立实现已于 2026 年 3 月将其引入测试网。这证明了代码已经成型，但 Bitcoin Core 尚未采纳。如果被激活，未来选择加入的输出将拥有一条清晰、标准且低成本的路径，从而消除长期暴露的漏洞，同时保持与闪电网络的兼容。

## 总结：构建可信的响应堆栈

BIP-360 无法保护已经暴露的代币，QSB 同样不能。而 Osuntokun 的“舱口”方案则不同：它专门用于在紧急分叉后，找回大量暴露的、由助记词派生的代币。

这三层防御结合在一起，开始构成一个可信的响应堆栈。

![Image](https://img.learnblockchain.cn/2026/04/12/78433551_image.jpg)

没有任何单一方法可以覆盖所有情况。一个可靠的应对方案可能需要全部三个层级：

1.  **QSB** 提供了当下的行动方案。
2.  **zk-STARK 舱口** 提供了紧急分叉后的恢复路径。
3.  **BIP-360** 为比特币的未来奠定了坚实的基础。

真正的挑战在于这三个方案能否以足够快的速度发展，以及社区是否能够就其中两个方案所需的软分叉达成协作。

我为 Avihu 的成果感到自豪。同时，我也认为协议升级仍然是正确的长期路径。这两个立场并不冲突：我们既要构建应急工具，也要寻求根本的解决方案，不要让其中任何一个成为忽视另一个的借口。

>- 原文链接： [x.com/odin_free/status/2...](https://x.com/odin_free/status/2042912813383868876)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

大多数人倾向于将这些方案进行对比排名，但这其实忽略了重点。它们针对的是同一危机时间轴上，处于不同阶段的不同代币。

QSB 允许你在分叉之前进行支付；Osuntokun 的 zk-STARK 舱口（hatch） 让你能在分叉后找回代币；而 BIP-360 则是长期的协议升级。三层防御，共同解决一个问题。

第一层：QSB（量子安全比特币交易）

QSB 针对的是公钥未公开的情况。你可以创建一个受 QSB 保护的输出，然后在以后支出。如果你的公钥已经存在于链上，QSB 则无法提供帮助。虽然这个限制是现实存在的，但其成果同样显著：六个月前，我接触的大多数工程师都认为在不进行软分叉的情况下实现量子安全的比特币支出是不可能的。Avihu 通过可运行的搜索代码将其变成了一个严肃的原型。

他在文档的 1.3 节中写道，QSB “应被视为最后的手段”。我想强调这一点，这确实是我们的共识。协议升级仍然是更清晰、更彻底的路径。