通过金丝雀机制缓解比特币量子冻结风险

bitmexresearch
发布于 7小时前
阅读 28

文章探讨了通过“金丝雀”（Canary）机制缓解比特币量子威胁带来的资金冻结风险。该方案建议利用“无名数”（NUMS）系统设立一个私钥不可知的量子脆弱资金池，仅当该资金被成功冒领（证明量子计算机已出现）时才触发全网硬性冻结，旨在平衡网络安全性与抗审查性。

[![Image](https://img.learnblockchain.cn/2026/04/16/39631819_image.jpg)](/BitMEXResearch/article/2044517060315697382/media/2044517016946507776)

## 摘要

我们提出了另一种减轻任何量子相关代币冻结影响的机制。我们探索了一种软分叉，只有在证明确实存在能够窃取比特币的量子计算机时，该软分叉才会激活全额冻结。这种方法通过创建一个由量子易受攻击代币组成的特殊金丝雀（Canary）基金来实现，该基金的地址和公钥是使用 Nothing-Up-My-Sleeve Number 系统生成的，证明没有人知道其私钥。任何从该地址发出的支出都将立即触发全额量子冻结。虽然这种方法增加了复杂性和风险，但考虑到任何代币冻结都极具争议，使用这种系统来减轻冻结的影响可能值得考虑。

## 概述

作为比特币应对量子计算机系列研究的一部分，我们已经发布了三篇文章。

1. [量子安全 Lamport 签名](https://www.bitmex.com/blog/quantum-safe-lamport-signatures)
2. [Taproot 量子支出路径](https://www.bitmex.com/blog/Taproot-Quantum-Spend-Paths)
3. [减轻量子冻结的影响](https://www.bitmex.com/blog/Mitigating-The-Impact-Of-The-Quantum-Freeze)

在这第四篇作品中，我们继“减轻量子冻结的影响”一文之后，提出了进一步的缓解措施。关于相关的量子计算机何时以及是否会出现，存在相当大的不确定性。与此同时，任何代币冻结软分叉都需要一个长达数年的周期，以便让人们有时间做准备，并尽可能保留比特币的抗审查性。进度表上的这两个相互竞争的属性可能会发生冲突，这可能是一个重大问题。因此，即使以更高的复杂度为代价，尝试尽可能减轻冻结的程度可能是合适的。在本文中，我们认为应该尝试完全避免全面冻结，除非证明量子计算机确实已经出现。这应该被视为我们前一篇文章中讨论的量子安全恢复方案的替代或补充。

## BIP-361

昨天，题为“后量子迁移与传统签名日落”的 [BIP-361](https://github.com/bitcoin/bips/blob/master/bip-0361.mediawiki) 被合并到了比特币 BIP 仓库中。该 BIP 建议，软分叉首先禁止向量子易受攻击地址发送资金，为期三年；然后在第二阶段，禁止量子易受攻击的支出本身（即冻结），这将在另外两年后生效。

BIP-361 提案由于冻结条款而引发了争议。冻结的反对者倾向于认为，用户有责任保护自己的资金，因此协议层面的冻结是不必要的，且冻结破坏了赋予比特币价值的核心抗审查属性。毕竟，如果用户选择不迁移到量子安全输出，也许他们希望自己的资金被用作奖励系统，以促进科学进步和帮助开发量子技术。除此之外，一些人认为没有足够的证据表明相关的量子计算机将会被开发出来。

## 金丝雀（Canary）方法

与其在五年内激活冻结软分叉，另一种选择是我们在五年后进入金丝雀观察状态。如果在链上证明存在相关的量子计算机，金丝雀就会激活，从而立即激活冻结。如果金丝雀没有激活，量子易受攻击的代币仍然可以照常支出，或者可能规定下一笔交易的输出在预定的安全窗口内不可支出，就像 coinbase 输出在 100 个区块内不能支出一样。

## Nothing-Up-My-Sleeve Number (NUMS)

人们可以生成一个量子易受攻击的比特币地址并发布证明，证明创建该地址的人不知道私钥，但该地址仍然代表椭圆曲线上的一个有效点，因此理论上该地址的任何代币都可以被支出。公钥也将被公布。量子迁移软分叉可以将此地址标记为特殊地址，即金丝雀地址。如果该地址有有效的支出，那么禁止量子易受攻击支出的软分叉就可以立即激活。

## 金丝雀（Canary）基金

为了激励任何拥有强大量子计算机的实体激活金丝雀，用户可以向金丝雀地址捐赠比特币，以创建量子赏金。该基金的投资者不必永远放弃他们的钱，他们可以将资金发送到一个 2 分之 1 的多重签名输出，其中一个公钥是他们自己的，另一个公钥是与金丝雀地址关联的。投资者随后可以随时从激励基金中提取他们的比特币。

基金的规模可能太小，不足以激励拥有量子计算机的实体申领这些资金，他们可能会转而申领其他资金。这是该方案固有的风险。然而，如果开发出第一台量子计算机的实验室是一个受监管的大型知名实体，他们可能会选择这种方法，而不是窃取他人资金的方法。

## 安全窗口

激活五年后，BIP-361 将“拒绝依赖 ECDSA/Schnorr 密钥的交易”。与其拒绝，这些量子易受攻击的支出仍然可以被允许。它们可以像允许 coinbase 输出那样被允许，即输出在 100 个区块内不可支出。这个数字也可以不选 100，而是选择另一个数字，例如 50,000 个区块（约 1 年）。如果金丝雀在安全窗口内激活，那么这些代币将立即被冻结；如果没有激活，在 50,000 个区块的窗口到期后，这些代币可以被视为普通代币并变得可以自由支出。

选择这个安全窗口应该有多长将是困难的，它应该是 0 个区块、1 个区块、100 个区块、50,000 个区块、200,000 个区块，还是基于激活后经过的时间量的动态区块数？这些是艰难的选择，伴随着真正的权衡，但现在就决定在五年后冻结所有量子易受攻击的代币同样很困难。这五年的期限也是任意的。这种方法是对严酷冻结的一种缓解。

如果安全窗口为 50,000 个区块，万一某个实验室开发出了量子计算机并决定窃取其他代币，而不是激活金丝雀并拿走赏金，那么存在另一种可能，即另一个竞争实验室在安全窗口内也开发出了量子计算机并激活了金丝雀。第一个开发出量子计算机的实验室可能会担心另一个实验室在安全窗口内步其后尘，从而夺走金丝雀基金，导致第一个实验室一无所获。

安全窗口方法的另一个问题是，未升级的钱包可能仍会被诱导接受准冻结的资金。然而，大多数处理大量代币的场所可能会升级以处理这种情况。

## 结论

这种方法比更简单的代币冻结更具随意性且更复杂。同样，我们前一篇文章中提到的量子安全恢复方案与简单的冻结相比也增加了复杂性。然而，在我们看来，考虑到冻结可能带来的巨大成本和干扰，为了最大限度地降低任何人丢失代币的可能性，考虑并评估现有的潜在缓解方案可能是值得的。

>- 原文链接： [x.com/bitmexresearch/sta...](https://x.com/bitmexresearch/status/2044517060315697382)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

摘要

概述

作为比特币应对量子计算机系列研究的一部分，我们已经发布了三篇文章。

BIP-361

昨天，题为“后量子迁移与传统签名日落”的 BIP-361 被合并到了比特币 BIP 仓库中。该 BIP 建议，软分叉首先禁止向量子易受攻击地址发送资金，为期三年；然后在第二阶段，禁止量子易受攻击的支出本身（即冻结），这将在另外两年后生效。

金丝雀（Canary）方法

Nothing-Up-My-Sleeve Number (NUMS)

金丝雀（Canary）基金

安全窗口

安全窗口方法的另一个问题是，未升级的钱包可能仍会被诱导接受准冻结的资金。然而，大多数处理大量代币的场所可能会升级以处理这种情况。

结论

原文链接： x.com/bitmexresearch/sta...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。