比特币量子威胁与中本聪钱包治理困境

blocmates
发布于 7小时前
阅读 24

文章探讨了比特币面临的量子计算威胁，特别是中本聪早期钱包中暴露公钥的资金风险。内容分析了 Taproot 升级在抗量子方面的局限性，介绍了旨在通过移除链上公钥来防御攻击的 BIP 360 提案，并深入讨论了社区在维护区块链不可篡改性与防止巨额资金被盗之间的治理困境。

![Image](https://img.learnblockchain.cn/2026/04/08/69620216_image.jpg)

如果不对现有问题进行修复，一个令人震惊的头条新闻可能很快就会变成现实：**“警报：中本聪关联钱包中高达 90% 的 BTC 已转移至未知地址。”**

目前，共有 690 万枚 BTC 的公钥处于暴露状态，极易受到量子计算的威胁。按当前价格计算，这笔资金价值近 4500 亿美元，足以对全球经济造成巨大冲击。

在这些暴露的 BTC 中，有 170 万枚属于早期矿工，其中约 110 万枚被认为归中本聪（Satoshi Nakamoto）所有。这些价值约 760 亿美元的资产存放在比特币创世时期的 P2PK（Pay-to-Public-Key）地址中，其公钥永久性地嵌入在网络中。

更糟糕的是，谷歌的研究显示，量子计算机仅需 9 分钟即可从公钥推导出比特币私钥。甚至有 41% 的可能性，量子攻击者能在网络确认你的交易之前就完成破解。

升级钱包以达到量子抗性标准需要所有者发起一笔交易。然而，被广泛认为是中本聪持有的 110 万枚 BTC 已经超过 15 年未曾移动。我们无法强制一个“沉睡”的钱包进行迁移。

虽然目前还没有计算机能实现这种攻击，但谷歌最近的论文指出，执行此类操作所需的量子比特数减少了 80%，这将时间表大幅缩短至大约三年内。比特币正处于一场与时间的赛跑中。

## Taproot 升级带来的讽刺

2021 年，比特币进行了 Taproot 升级，旨在提升隐私性和效率。然而，尽管有开发者曾发出警告，这次升级却意外地加剧了量子威胁。

当时社区接受了这种权衡，因为量子威胁看起来还很遥远。但五年后，谷歌的研究压缩了这一时间表。

从技术角度看，旧的比特币地址格式（如 P2PKH）将公钥隐藏在哈希值之后，只有在花费时才会暴露。而 Taproot 引入的 P2TR 格式则改变了这一模式，它默认将调整后的公钥作为椭圆曲线点直接暴露在链上。

根据谷歌的数据，2025 年约有 1680 万枚 BTC 的转移与 P2TR 输出相关，占当年所有交易的 21.68%。这意味着，任何使用 Taproot 地址发送过 BTC 的钱包，其公钥在链上都是可见的。对于量子攻击者来说，这提供了一个可以离线计算且无须匆忙的攻击窗口。

## BIP 360 提案的引入

比特币改进提案 BIP 360 引入了一种名为 P2MR（Pay-to-Merkle-Root）的新输出类型。其核心目的非常简单：将公钥从区块链中彻底移除。

该方案认为，如果链上没有公钥，量子计算机就失去了攻击目标。P2MR 的工作原理与 Taproot 类似，但剥离了“密钥路径花费”（key-path spend）机制，而这正是默认暴露公钥的功能。其他功能，如闪电网络支付、多重签名、时间锁等，将继续通过 Tapscript 默克尔树运行。

BTQ Technologies 已经在其比特币量子测试网（v0.3.0）上部署了 BIP 360 的实现，目前有超过 50 名矿工运行该基础设施，已挖掘超过 10 万个区块。

## 为什么 BIP 360 只是第一步

虽然 BIP 360 看起来是一个解决方案，但它存在明显的局限性：

1. **仅保护新资产**：BIP 360 只能保护此后产生的交易。对于已经处于暴露地址中的 690 万枚 BTC，它无能为力。这是一个更难处理的治理问题。
2. **未更换底层算法**：它并没有用后量子替代方案取代 ECDSA 或 Schnorr 签名。它消除了长期暴露的攻击面，但无法防御针对内存池（mempool）的短时间暴露攻击。
3. **签名大小的权衡**：要实现完全的后量子签名（如 SPHINCS+），签名大小将从 64 字节激增至 8KB 甚至更多。这 125 倍的增长将严重破坏区块空间的经济模型。
4. **治理速度缓慢**：比特币的治理极其缓慢。SegWit 从构思到采用花了约 8.5 年，Taproot 花了 7.5 年。而谷歌预测的量子威胁临界点可能在 2029 年。

## 冻结中本聪的代币，还是任由其被盗？

面对上述困境，比特币社区面临着一个最严峻的争论：如何处理那 110 万枚已经沉睡 15 年的中本聪代币？社区目前有两个主要选项，但无论哪一个都违背了比特币的核心承诺。

### 方案 A：冻结或销毁易受攻击的代币
在量子攻击者得手之前，通过共识冻结或销毁这些易受攻击的代币。这可以维持市场稳定，但意味着社区通过投票没收了某人的资产。“私钥在手，币即我有”将变成“私钥在手，币即我有——除非大家投票反对”。这对比特币的去中心化身份是巨大的冲击。

### 方案 B：顺其自然，允许量子攻击者破解
保持不可篡改性和中立性，但这也意味着为全球首位量子黑客留下了价值 760 亿美元的巨额赏金。

### 第三条路径：Hourglass V2 提案
该提案建议限制暴露地址的支出速度，例如每个区块仅限支出 1 枚 BTC。这本质上是一种受控的“银行挤兑”设计，旨在防止市场一夜之间崩盘。但批评者认为，这违反了任何外部方都不得干预用户链上消费权利的原则。

## 结语

目前，比特币社区正面临一场生存危机。相比之下，以太坊等替代网络已经启动了广泛的后量子迁移工作。Vitalik Buterin 公开概述了后量子抗性路线图，以太坊基金会也组建了专门的安全团队。

BIP 360 虽然不是万能药，但确实是迈向正确方向的一步。与其陷入无休止的哲学辩论，社区更需要达成共识，缩短技术部署的时间表，以保护所有持有者的资产安全。

>- 原文链接： [x.com/blocmates/status/2...](https://x.com/blocmates/status/2041815578651062330)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

如果不对现有问题进行修复，一个令人震惊的头条新闻可能很快就会变成现实：“警报：中本聪关联钱包中高达 90% 的 BTC 已转移至未知地址。”

Taproot 升级带来的讽刺

2021 年，比特币进行了 Taproot 升级，旨在提升隐私性和效率。然而，尽管有开发者曾发出警告，这次升级却意外地加剧了量子威胁。

当时社区接受了这种权衡，因为量子威胁看起来还很遥远。但五年后，谷歌的研究压缩了这一时间表。

BIP 360 提案的引入

比特币改进提案 BIP 360 引入了一种名为 P2MR（Pay-to-Merkle-Root）的新输出类型。其核心目的非常简单：将公钥从区块链中彻底移除。

BTQ Technologies 已经在其比特币量子测试网（v0.3.0）上部署了 BIP 360 的实现，目前有超过 50 名矿工运行该基础设施，已挖掘超过 10 万个区块。

为什么 BIP 360 只是第一步

虽然 BIP 360 看起来是一个解决方案，但它存在明显的局限性：

仅保护新资产：BIP 360 只能保护此后产生的交易。对于已经处于暴露地址中的 690 万枚 BTC，它无能为力。这是一个更难处理的治理问题。
未更换底层算法：它并没有用后量子替代方案取代 ECDSA 或 Schnorr 签名。它消除了长期暴露的攻击面，但无法防御针对内存池（mempool）的短时间暴露攻击。
签名大小的权衡：要实现完全的后量子签名（如 SPHINCS+），签名大小将从 64 字节激增至 8KB 甚至更多。这 125 倍的增长将严重破坏区块空间的经济模型。
治理速度缓慢：比特币的治理极其缓慢。SegWit 从构思到采用花了约 8.5 年，Taproot 花了 7.5 年。而谷歌预测的量子威胁临界点可能在 2029 年。

冻结中本聪的代币，还是任由其被盗？

方案 A：冻结或销毁易受攻击的代币

在量子攻击者得手之前，通过共识冻结或销毁这些易受攻击的代币。这可以维持市场稳定，但意味着社区通过投票没收了某人的资产。“私钥在手，币即我有”将变成“私钥在手，币即我有——除非大家投票反对”。这对比特币的去中心化身份是巨大的冲击。

方案 B：顺其自然，允许量子攻击者破解

保持不可篡改性和中立性，但这也意味着为全球首位量子黑客留下了价值 760 亿美元的巨额赏金。

第三条路径：Hourglass V2 提案

该提案建议限制暴露地址的支出速度，例如每个区块仅限支出 1 枚 BTC。这本质上是一种受控的“银行挤兑”设计，旨在防止市场一夜之间崩盘。但批评者认为，这违反了任何外部方都不得干预用户链上消费权利的原则。

结语

原文链接： x.com/blocmates/status/2...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。