无需软分叉的量子安全比特币交易：QSB 论文究竟说了什么

太长不看： 阿维胡·莫德海·利维 (Avihu Mordechai Levy) (StarkWare) 发表的一篇新论文描述了量子安全比特币 (Quantum-Safe Bitcoin, QSB)，这是一种花费传统比特币输出的方法，即使攻击者拥有密码学相关的量子计算机，该方法也能保持安全。它在当今的 Bitcoin Script 中运行，无需软分叉 (soft fork)。在该论文的仅限 Shor 威胁模型下，其推荐配置 (配置 A) 实现了约 $2^{118}$ 的二次原像抗性 (second-preimage resistance)，同时符合比特币现有的 201 个 Opcodes 和 10,000 字节以下的传统脚本限制 (§4.5, §2.2)。花费者每次支付大约 $75 到 $150 的链外 GPU 计算费用 (§4.6)，这并不是比特币交易费。该构造本身仅在传统的 pre-SegWit 脚本执行中有效；SegWit 和 Taproot 无法直接承载它，且将资金移入 QSB 裸脚本 (bare-script) 输出仍需首先进行一次正常的量子不安全花费。它不会作为标准交易中继。其作者本人将其描述为“最后手段”(last-resort measure) (§1.3)。

上周，我写了关于 Google Quantum AI 的论文，该论文收紧了使用 Shor 算法破解 secp256k1 的资源估计。那篇文章是关于威胁的。而这一篇是关于 2026 年 4 月 9 日出现的逃生出口，当时 Levy 在 GitHub 上发布了 QSB。将这两篇论文放在一起看，描述了比特币后量子故事的三部分形态：一个更清晰的威胁模型、一个针对传统代币的巧妙的最后手段逃生路径，以及一条仍未完成的协议级迁移路径。

QSB 论文究竟做了什么

QSB 采用了 Robin Linus 的 Binohash，并替换了 Shor 算法可以破解的一个组件。Binohash 是一种 2026 年的构造，它允许花费者仅使用 Bitcoin Script 原语来证明交易来自 pre-SegWit 地址的持有者，而不需要 OP_CAT 或任何软分叉 (soft fork)。它在量子攻击下的安全性取决于对 ECDSA (椭圆曲线数字签名算法) 签名大小的工作量证明谜题，该谜题假设花费者找不到 $r$ 值短于已知最小 $r_{min}$ 的曲线点 (§2.8.1)。在经典计算下，这种搜索大约需要 $2^{96}$ 的工作量。而在 Shor 算法下，这是轻而易举的：计算你喜欢的任何更短 $r$ 的离散对数，谜题就会彻底瓦解。Levy 将此称为彻底破解，而不仅仅是削弱 (§2.8.1)。

QSB 将签名大小谜题更换为哈希到签名的谜题 (hash-to-signature puzzle)，其安全性仅取决于 RIPEMD-160 的原像抗性 (§1.2, §3)。哈希不会被 Shor 算法攻破，因此量子对手失去了毁掉 Binohash 的优势。作为一个附带好处，新构造还在锁定脚本 (locking script) 中硬编码了 sighash 标志，这解决了 Binohash 在其 §7.1 中留下的 sighash 标志不确定性问题 (§3.2)。

整个方案符合比特币现有的共识：201 个非推送 Opcodes，每个脚本 10,000 字节 (§4.5, §2.2)。没有软分叉 (soft fork)，没有新的 BIP (比特币改进提案)，没有新的 Opcodes。比特币的共识规则今天已经接受这一点，但仅作为传统的裸脚本 (bare-script) 构造：SegWit 和 Taproot 无法直接承载它，资金必须首先通过一次正常花费移动到 QSB 输出中。端到端实现仍在 Levy 的公开仓库中进行：GPU 锚定搜索已经找到了一个真实的 DER 命中，但摘要搜索尚未在真实交易参数下进行端到端测试，且在撰写本文时还没有 QSB 交易被广播。

巧妙的原语（以及谁真正发明了它）

QSB 背后的核心观察并非 Levy 所作。它属于 Robin Linus，他在 sha2-ecdsa 仓库中发表了这一观察，并在论文中被引用为参考文献 [8] (§3.1.1)。论文对这一功劳非常谨慎，本文也应如此。

该观察是：加密哈希函数的输出有一定的概率可以是一个有效的 DER 编码的 ECDSA 签名。DER (特定编码规则) 签名遵循长度字节、整数标签以及对 $r$ 和 $s$ 幅度限制的严格布局。SCRIPT_VERIFY_STRICTENC 是中继策略而非共识规则，因此末尾的 sighash 字节在共识层面不受限制。这使得格式中留有足够的空间，让一个随机的 20 字节 RIPEMD-160 输出碰巧被解析为有效的签名。Levy 计算出该概率约为 $2^{-46}$ (§3.1.3，匹配的 SHA-256 数据 $2^{-45.4}$ 在 §3.1.2 中推导得出)。

碰撞 (Grind) 输入直到 $\text{RIPEMD-160}(input)$ 碰巧成为一个有效的 DER ECDSA 签名。大约需要 $2^{46}$ 次哈希评估。这就是谜题。安全性仅取决于原像抗性 (preimage resistance)，别无其他。

QSB 的脚本构造通过三个步骤将此连接在一起 (§3.2, §3.3)。一个带有固定 SIGHASH_ALL 字节的硬编码 $sig_nonce$ 存在于锁定脚本 (locking script) 中。花费者从中恢复出 $key_nonce = \text{Recover}(sig_nonce, z)$，其中 $z$ 是实际花费交易的 sighash，这通过该特定交易绑定了谜题。然后，脚本检查 $\text{RIPEMD-160}(key_nonce)$ 本身是否是一个有效的 DER 签名，并通过 CHECKSIGVERIFY 针对第二个恢复的密钥 $key_puzzle$ 进行验证。交易锚定 (Transaction pinning) 消耗 5 个 Opcodes，低于 Binohash 的 13 个，并且摘要轮次重用了 Binohash 中的 FindAndDelete 技巧来获取子集选择熵。

真实的数据

配置 A (Configuration A) 是 Levy 推荐的配置 (§4.5)。它在第一轮设置 $t = 8 + 1b$，在第二轮设置 $t = 7 + 2b$，其中 $b$ 计算贡献熵但不进行完整 HORS (哈希获取随机子集) 验证的奖金密钥 (§3.3.2)。数据如下：

• 准确的 201 个 Opcodes，符合脚本限制
• 远低于 10,000 字节的脚本限制 (§4.1, §4.2)
• 摘要大小 (Digest size) 为 80.4 位
• Shor 算法下的二次原像抗性约为 $2^{118}$ (§4.5)
• Shor 算法下的碰撞抗性约为 $2^{78}$ (§4.5)
• 每次交易大约需要一次碰撞尝试

核心结果在于 Shor 这一栏。在配置 A 的参数下，Shor 对 QSB 没有任何优势 (§4.4)。拥有完整容错量子计算机的攻击者面临着与经典攻击者相同的约 $2^{118}$ 的二次原像搜索。这就是该构造的全部意义所在。

Grover 是有趣的一栏。在 Grover 的平方加速下，基础二次原像抗性从经典约 $2^{138}$ 下降到约 $2^{69}$ (§4.4)。Levy 指出 Grover 在实践中难以并行化（$k$ 台机器提供 $\sqrt{k}$ 的加速，而不是 $k$ 倍），并且需要将 sighash 评估和 ECDSA 密钥恢复实现为可逆量子电路。针对 $2^{46}$ 个 RIPEMD-160 谜题目标的 Grover 攻击比针对 secp256k1 的 Shor 攻击要遥远得多。

每次花费的链外成本大致细分为：交易锚定 (transaction pinning) 为 $25 到 $50，第一轮为 $25 到 $50，第二轮为 $25 到 $50，按当前现货价格在商业云 GPU 上计算，每次花费总计约 $75 到 $150 (§4.6)。论文的 §4.6 表格将此范围扩大到 $75 到 $200，以考虑到实现的不确定性，摘要中将其四舍五入为“几百美元”。关于这个数字有两点很重要。首先，它大约是等效 Binohash 工作量的 9 倍，因为 RIPEMD-160 目标固定在 $2^{46}$，而 Binohash 的 OP_SIZE 谜题可以连续调整。其次，更重要的是，这不是比特币交易费。它是花费者在广播之前购买的链外 GPU 计算。任何将其概括为“每笔交易 $200”的报道都是错误的。

论文未解决的五个问题

Levy 对于 QSB 无法做到的事情表现得异乎寻常地直接。摘自 §1.3 和第 1 页的脚注 1：

1. Taproot 处境更糟，未获帮助。 脚注 1：“在 Taproot 下，情况严格来说更糟：每个 Taproot 输出都可以通过密钥路径花费，这意味着了解内部公钥对应的私钥……就足以花费它，无论 taptree 中的脚本条件如何。” 由 BIP-341 定义的每个 P2TR (Pay-to-Taproot) UTXO 在 Shor 下仍然是一个现成的目标，正如 Google 论文的 Taproot 部分所警告的那样。
2. 非标准中继。 §3.5 描述了一个超过默认中继策略限制的脚本。常规节点不会传播它。花费者必须直接提交给接受非标准交易的矿工，Levy 提到 Marathon Slipstream 是当今的一个可行选择。依赖矿池的私有内存池 (mempool) 服务并不是一条有韧性的广播路径。
3. 每次花费的链外计算。 在支付交易费之前，每次花费大约需要支付 $75 到 $150 的 GPU 时间，而且这项工作是针对每笔交易的，无法在钱包中摊销。
4. 无法扩展。 引用 §1.3：“链外计算成本和链上交易成本无法扩展到比特币目标的全范围用户、金额和吞吐量。” 这是一条撤离路线，而不是通勤车道。
5. 无闪电网络 (Lightning)。 同一章节：“尚未涵盖所有比特币用例（例如，闪电网络通道）。” 支付通道、多方协议以及任何依赖于预签名链外状态的内容都不在讨论范围内。

Levy 在 §1.3 中的自我定位是 QSB “应被视为一种最后手段 (last-resort measure)”。

这是否改变了迁移需求？

不。读到这篇论文并询问“我现在可以跳过后量子迁移吗？”的托管人或钱包持有者应该得到一个直接的答案。

QSB 是预防性的 (prophylactic)，而不是治疗性的。它保护的是已经存在于 QSB 锁定的传统裸脚本 (bare-script) 输出中的代币。将代币移入该输出需要一个正常的比特币交易，其花费过程会在内存池 (mempool) 中暴露源地址的公钥 (pubkey)，而该迁移交易本身就是量子不安全的。这篇论文是关于 QSB 锁定脚本的，而不是关于代币如何进入其中的，但其中的含义对于任何试图决定是否使用该构造的人都很重要：如果当你尝试迁入时，已经存在一个快到足以在确认窗口内进行伪造的量子攻击者，那么迁移交易就是他们获胜的窗口。QSB 仅对在量子威胁实质化之前采取行动的持有者有所帮助，这正是 Levy 在 §1.3 中使用的“最后手段”一词所含蓄表达的意思。

QSB 也没有创建一个量子安全的接收地址。BIP-360 的 P2MR (Pay-to-Merkle-Root) 是长期暴露保护（密钥直到花费才隐藏）的一个主要草案路径，但要全面防御广播到确认窗口期间的短期暴露攻击，可能仍需要在协议级别提供后量子签名支持。而且 QSB 无法扩展，不涵盖闪电网络 (Lightning)，且每次花费的链外计算成本为 $75 到 $150。

Levy 在 §1.3 中直接说明了这一点：“仍然有必要继续努力研究并实现对比特币最佳的解决方案；一个最高效、用户友好且能通过协议级变更满足比特币需求的方案。” 协议层面的变更仍然是必要的，而 BIP-360 是针对该路径的主要草案提案。

这对比特币的后量子时间表有何启示

有三件事发生了变化，但变化都不大。

“我们别无选择”的论点变弱了。在 QSB 之前，对于处于后 Shor 世界中的传统 pre-SegWit 持有者来说，诚实的答案是“除非协议更改，否则你的代币就没了”。现在，有了一个定义明确的逃生路径，它符合当今比特币的共识规则，即使真正的端到端广播尚未发生。它昂贵且笨拙，但它确实存在，而且是严肃的交易所或托管机构在剩余管道完成后，可能尝试为紧急清理而投入运营的那种方案。

“我们需要在协议级别使用适当的 PQ（后量子）签名”的论点变得更强了。QSB 是任何人在传统 Bitcoin Script 限制内构建出的最佳方案，即便如此，它每次花费仍需 $75 到 $150 的 GPU 计算，需要直接提交给矿工，不涉及 Taproot，并且无法承载闪电网络 (Lightning) 或正常的吞吐量。如果这就是尽力而为的“黑客式补丁”的样子，那么对于真正的后量子签名类型的需求只会变得更响亮，而不是更小。BIP-360 仍然是旨在实现协议级后量子输出类型的最清晰草案提案之一，但它并不是问题的全部。Levy 在 §1.3 中也表达了同样的看法：量子威胁仍然需要协议级别的变更，因为 Script 内的权宜之计会触及上述限制。

Taproot 仍然暴露。QSB 对 2025 年约 21.68% 使用 P2TR 的比特币交易没有任何作用（根据 Google 量子比特币论文的表 I，在我 4 月 2 日的配套文章 中有涵盖），一旦加密相关的量子计算机出现，它们暴露的经过调整的公钥仍然是比特币最明显的现成目标之一。

4 月 2 日的 Google 论文加剧了威胁。QSB 为传统持有者提供了一个狭窄、昂贵、作为最后手段的逃生舱。BIP-360 是仍在推进激活的拟议迁移方案。威胁、逃生舱、迁移：这就是截至本周比特币后量子故事的三部分形态。

来源：

1. Levy, “Quantum-Safe Bitcoin Transactions Without Softforks,” StarkWare, April 2026
2. Linus, “Binohash,” 2026
3. Linus, sha2-ecdsa repository (哈希到签名观察的起源，在 QSB 论文中被引用为文献 [8])
4. BIP-341 (Taproot), github.com/bitcoin/bips/blob/master/bip-0341.mediawiki
5. BIP-143 (SegWit sighash，移除了 FindAndDelete), github.com/bitcoin/bips/blob/master/bip-0143.mediawiki
6. BIP-360 (Hunter Beast / cryptoquick), bip360.org
7. Marathon Slipstream, slipstream.mara.com
8. 0xLoopTheory, “Google’s quantum threat to Bitcoin: what the paper actually says,” Encryptorium, April 2, 2026

• 原文链接： encryptorium.medium.com/...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～