解析量子计算对比特币安全威胁，看完你将不再恐惧

我写这篇文章是因为我想更好地了解这个话题。它变成了一份关于量子计算机如何破解比特币、提出了哪些解决方案以及一种名为 QSB 的新型“无需升级”方案如何工作的全面技术报告。

如果你已经熟悉某些部分，请随意跳过。

比特币的加密基础

在深入研究量子威胁之前，我意识到我首先需要了解比特币底层是如何运作的。比特币依靠几种数学工具来保证你的 sats 安全。让我们逐一查看。

公钥、私钥和地址

私钥 (PRIVATE KEY) —— 一个秘密的、随机生成的数字。可以把它看作是你比特币钱包的密码。它是一个 256 位的数字，意味着它是从大约 $10^{77}$ 个可能性（比可观测宇宙中的原子数量还要多）的池中选出的。如果有人知道了你的私钥，他们就可以偷走你的比特币。

公钥 (PUBLIC KEY) —— 通过一种称为椭圆曲线乘法的单向函数从私钥数学推导出来的数字。你可以自由分享你的公钥；没有人能从中逆向工程出私钥，至少，使用今天的计算机是不可能的。比特币使用一种名为 secp256k1 的特定椭圆曲线。

比特币地址 (BITCOIN ADDRESS) —— 公钥的缩短、哈希版本。当有人给你发送比特币时，他们会发送到你的地址。至关重要的是，地址通过两层哈希（SHA-256 + RIPEMD-160）隐藏了实际的公钥，增加了额外的保护层。

交易如何被签名

当你发送比特币时，你会创建一个交易并必须证明你拥有这些Coin。你通过使用 ECDSA 算法（Elliptic Curve Digital Signature Algorithm，椭圆曲线数字签名算法）生成数字签名来做到这一点。

ECDSA (椭圆曲线数字签名算法) —— 一种数学过程，它提取你的私钥和交易数据，并生成一个签名。任何人都可以使用你的公钥验证这个签名，但如果没有私钥，没有人可以伪造它。比特币使用带有特定曲线 secp256k1 的 ECDSA。

数字签名 (DIGITAL SIGNATURE) —— 一对数字（称为 r 和 s），它们在数学上证明：“持有与此公钥对应的私钥的人授权了这笔特定的交易。”对交易的任何更改（甚至是单个字节）都会使签名失效。

挖矿如何使用 SHA-256

SHA-256 (256位安全哈希算法) —— 一种哈希函数。一个数学绞肉机。你输入任何数据（一个单词、一个文件、一整本书），它都会生成一个固定大小的 256 位“指纹”。相同的输入总是产生相同的输出，但即使对输入进行微小的更改，也会产生完全不同的输出。而且至关重要的是，你无法通过输出逆推过程来找出输入。

比特币矿工反复使用 SHA-256 对区块数据进行哈希处理，每秒尝试数万亿次变化，以找到一个哈希值以一定数量的零开头的变化。这就是保护网络安全的“工作量证明”。要求的零越多，谜题就越难。

量子威胁

经典计算机将信息存储为位（bits）。每个位要么是 0，要么是 1。量子计算机使用量子比特（qubits），它们可以同时存在于 0 和 1 的“叠加”状态中。这种性质，结合纠缠（量子比特以经典位无法实现的方式相互关联），使得量子计算机能够比任何经典计算机以指数级的速度解决某些特定问题。

当你测量一个量子比特时，叠加态会坍缩，你会得到 0 或 1。但在测量之前，量子算法可以同时操纵所有可能的状态。

量子计算机通常并不是“更快的计算机”。它们是利用量子物理学处理特定类型数学问题的专用工具。不幸的是，其中两个问题与比特币直接相关。

Shor's Algorithm：密钥破解者

SHOR'S ALGORITHM —— 由数学家 Peter Shor 在 1994 年发现，这种量子算法可以有效地解决离散对数问题和整数分解。这两个数学问题是大多数现代加密技术的基础，包括比特币的 ECDSA 签名。在经典计算机上，这些问题需要数十亿年才能解决。在足够大的量子计算机上，它们可以在几小时内被解决。

关键威胁 —— Shor's Algorithm 可以从公钥推导出私钥。如果攻击者知道你的公钥并且可以使用足够强大的量子计算机，他们就可以计算出你的私钥并偷走你的比特币。这完全破解了 ECDSA。

对于比特币的 secp256k1 曲线（256 位），在理想、无误差的情况下，Shor's Algorithm 大约需要 515 个逻辑量子比特。但真正的量子计算机存在误差。每个“逻辑量子比特”（一个完美的、无误差的量子比特）需要 1,000 到 10,000 多个物理量子比特来进行纠错。

破解比特币 ECDSA 的硬件要求 —— 早期的估计在 400 万到 2000 万个物理量子比特之间。然而，Google Quantum AI 2026 年 3 月的一篇论文将这一数字大幅降低至不足 500,000 个物理量子比特——大约减少了 20 倍。该论文提出了两种电路变体：一种使用 ≤1,200 个逻辑量子比特和 9000 万个 Toffoli gates，另一种使用 ≤1,450 个逻辑量子比特和 7000 万个 Toffoli gates。

Grover's Algorithm：搜索加速器

由 Lov Grover 在 1996 年发现，这种量子算法为搜索无序数据提供了平方级加速。如果经典计算机需要检查 N 种可能性，Grover's Algorithm 只需要 $\sqrt{N}$。对于 SHA-256（$2^{256}$ 种可能的输出），这会将有效安全性从 256 位降低到 128 位。

虽然 128 位安全性仍被认为是不可破解的，但 Grover's Algorithm 有一个关键局限：它的并行化效果不好。运行 k 台量子计算机只能给你 $k^{1/2}$ 的加速，而不是经典计算机那样的线性加速。这使得经典挖矿硬件（ASICs）在可预见的未来更加实用。

攻击窗口

当你发送比特币时，你的交易会被广播到网络并停留在 Mempool（等待区）中大约 10-60 分钟，然后才会在区块中得到确认。在这个窗口期间，你的公钥会暴露在交易数据中。

观察 Mempool 的量子攻击者可以看到你的公钥，推导出你的私钥，制作一个将你的Coin发送给他们自己的竞争交易，并在你合法的交易之前获得确认。整个攻击必须在几分钟内发生。

然而，对于某些类型的旧比特币输出，公钥已经永久地显示在区块链上。在这些情况下，没有时间窗口；攻击者可以随心所欲地花费时间。

风险所在

已暴露与未暴露的公钥

并非所有比特币都同样脆弱。关键问题是：公钥在区块链上是否可见？

P2PK (PAY-TO-PUBLIC-KEY) —— 最早的比特币输出格式（2009 年至约 2012 年）。完整的公钥直接写入交易中。这是由早期的矿工使用的，包括中本聪 (Satoshi Nakamoto)。它是最脆弱的类型。

P2PKH (PAY-TO-PUBLIC-KEY-HASH) —— 取代 P2PK 的标准格式。它存储公钥的哈希（指纹）。只有当你从该地址消费时，实际的公钥才会暴露。只要你从不重复使用地址，这就提供了一层量子保护。

地址重用 (ADDRESS REUSE) —— 多次从同一个地址发送比特币。第一次从 P2PKH 地址消费时，你的公钥就会暴露。如果该地址还有剩余的比特币，它现在就暴露了，因为公钥已永久记录在区块链上。

P2TR (PAY-TO-TAPROOT) —— 最新的标准（2021 年 11 月）。P2TR 使用 Schnorr 签名并将调整后的公钥直接存储在锁定脚本中。这意味着从收到Coin的那一刻起，公钥就在区块链上可见，类似于旧的 P2PK 格式。

中本聪问题

中本聪 (Satoshi Nakamoto) 在最早的日子（2009-2010 年）挖掘了大约 110 万枚 BTC。这些Coin存放在 P2PK 输出中。公钥完全可见，并且自挖掘以来一直如此。

这些Coin从未移动过。大多数人认为私钥已被放弃或丢失。这产生了一个问题：没有任何后量子迁移方案可以将这些Coin移动到安全地带，因为迁移需要私钥。

有多少比特币处于风险之中

量子硬件的现状

我们现在应该有多担心？我调查了目前量子计算硬件的现状，以及它需要达到什么程度才能危及比特币。

差距：比我们想象的要小

修正后的估计时间线（Google 论文发表后） —— 在 Google 2026 年的论文发表之前，大多数专家认为加密相关量子计算机 (CRQC) 会在 2035-2050 年出现。资源减少 20 倍显著缩短了这一时间线。Google 已设定 2029 年为最后期限，将其自身的认证服务迁移到后量子加密技术。报告显示，到 2032 年出现“Q-Day”的可能性为 10%。IBM 的 2029 年路线图目标是约 200 个逻辑量子比特，仍低于所需的 1,200 个，但差距正在以非线性方式缩小。

让我们暂停一下...

如果你读到了这里，你在对比特币量子威胁这个话题的了解上已经领先于 99% 的比特币持有者了。我知道这内容很多。

如果这很有用且你想了解剩余部分，请告诉我。接下来的部分涵盖：

• 2026 年 3 月 Google 的重磅论文
• 所有提出的防御方案（BIP-360、承诺-揭示、冻结Coin）
• QSB：一种今天就可以使用的量子安全比特币交易方案，无需软分叉
• 没人想谈论的无法解决的问题
• 时间线和建议采取的行动

• 原文链接： x.com/EliNagar/status/20...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～