量子电脑末日倒数？Blockstream CEO：比特币还有 20 年准备时间

Blockstream 执行长 Adam Back 表示，比特币在未来 20 到 40 年内「可能」不会面临任何与密码学相关的量子电脑攻击。多年来，量子电脑一直是加密货币领域最受关注的末日场景，每当某个实验室宣布量子位元里程碑时，这种威胁就会周期性再现。

量子电脑末日论的周期性恐慌

多年来，量子电脑末日场景一直是加密货币领域最受关注的威胁，一种遥远但又具有生存威胁的现象，每当某个实验室宣布量子位元里程碑时，这种威胁就会周期性地再次出现。故事的发展遵循着可预测的轨迹：研究人员取得了一些渐进式的突破，社交媒体上爆发了「比特币已死」的预测，然后新闻周期继续向前。

但 Adam Back 11 月 15 日关于 X 的评论打破了这种混乱局面，提出了一种该领域迫切缺乏的东西：一个基于物理学而不是恐慌的时间线。Blockstream 的执行长 Back 曾表示，他的 Hashcash 工作量证明系统比比特币本身还要早出现。当被问及如何加速量子研究时，他给了一个直言不讳的评价：比特币在未来 20 到 40 年内「可能」不会面临任何与密码学相关的量子电脑的攻击。

更重要的是，他强调比特币不必被动地等待那一天的到来。NIST 已经将量子安全签名方案（例如 SLH-DSA）标准化，比特币可以在任何量子机器构成真正威胁之前很久，透过软分叉升级来采用这些工具。他的评论将量子电脑末日风险从一场无法解决的灾难重新定义为一个可以解决的工程问题，并有数十年的时间来解决。

这种区别至关重要，因为比特币真正的漏洞并非大多数人所想的那样。威胁并非来自用于保障挖矿过程安全的哈希函数 SHA-256，而是来自基于 secp256k1 椭圆曲线的 ECDSA 和 Schnorr 签名，即用于证明所有权的加密技术。运行 Shor 演算法的量子电脑可以解决 secp256k1 上的离散对数问题，从公钥导出私钥，从而使整个所有权模型失效。在纯数学领域，Shor 演算法使得椭圆曲线密码学过时了。

工程理论与现实之间的巨大鸿沟

但数学和工程学存在于不同的领域。打破一条 256 位元椭圆曲线需要大约 1600 到 2500 个逻辑纠错量子位元。每个逻辑量子位元都需要数千个实体量子位元来维持相干性和修正错误。根据 Martin Roetteler 和其他三位研究人员的工作进行的一项分析计算得出，在与比特币交易相关的狭窄时间窗口内破解 256 位 EC 密钥，在实际错误率下大约需要 3.17 亿个物理量子比特。

了解量子硬体的现状至关重要。加州理工学院的中性原子系统运作约 6100 个实体量子比特，但这些量子位元有噪声，缺乏纠错机制。Quantinuum 和 IBM 的更成熟的基于闸的系统可以运行数十到数百个逻辑品质的量子位元。当前能力与密码学相关性之间的差距跨越了几个数量级，这不是一个小小的进步，而是一道鸿沟，需要量子位元品质、纠错和可扩展性方面取得根本性的突破。

美国国家标准与技术研究院（NIST）在其后量子密码学解释中明确指出：目前尚无任何与密码学相关的量子电脑，专家对其出现时间的预测也存在很大差异，一些专家认为「不到 10 年」仍有可能实现，而另一些专家则断言，量子电脑的出现至少要等到 2040 年以后。中位数观点集中在 2030 年代中后期，这使得 Back 提出的 20 至 40 年的时间窗口显得保守而非鲁莽。

从当前 6100 个物理量子比特到所需的 3.17 亿个物理量子比特，这个数量级的跃升需要的不仅是工程优化，更需要基础物理学的突破。量子电脑末日论者往往忽略了这种指数级的差距，将渐进式的量子比特数增长误读为即将到来的威胁。

迁移路线图已经存在且正在成熟

Back 的「比特币可以随着时间的推移而升级」的评论指向了开发者之间已经流传的具体提案。BIP-360，标题为「支付抗量子哈希」，定义了新的输出类型，其中支出条件包括经典签名和后量子签名。单一 UTXO 在两种方案下均可使用，从而实现逐步迁移而不是硬性终止。

Jameson Lopp 和其他开发者基于 BIP-360 制定了一个多年迁移计划。首先，透过软分叉新增支援 PQ 的位址类型。然后，逐步鼓励或补贴将代币从易受攻击的输出地址转移到受 PQ 保护的输出地址，并在每个区块中专门预留一些区块空间用于这些「救援」操作。早在 2017 年，学术界就已经提出类似的过渡方案。

用户端的分析揭示了这一点的重要性。大约 25% 的比特币（约 400 万到 600 万枚）存在于公钥已公开在链上的地址类型中。比特币早期的公钥支付（P2PKH）输出、重复使用的 P2PKH 地址以及一些 Taproot 输出都属于此类。一旦基于 secp256k1 的 Shor 攻击变得可行，这些币种就会立即成为攻击目标。

量子威胁下的比特币保护层级

高风险资产（25%）：公钥已暴露的旧地址，量子电脑可直接攻击

中等风险资产：重复使用的现代地址，公钥在首次交易后暴露

低风险资产：全新未使用的 SegWit/Taproot 地址，公钥隐藏在哈希后

零风险资产：未来采用 PQ 签名方案的地址，完全抗量子攻击

现代最佳实践已经提供了相当程度的保护。使用全新 P2PKH、SegWit 或 Taproot 位址而不重复使用的用户，可以获得关键的时间优势。对于这些输出，公钥在首次花费之前一直隐藏在哈希值后面，从而压缩了攻击者在内存池确认期内运行 Shor 的时间窗口，该时间以分钟而不是年来衡量。

后量子工具箱已准备就绪

Back 提到 SLH-DSA 并非随意提及。2024 年 8 月，NIST 最终确定了第一批后量子标准：FIPS 203 ML-KEM 用于密钥封装，FIPS 204 ML-DSA 用于基于格的数位签名，以及 FIPS 205 SLH-DSA 用于无状态杂凑数位签章。NIST 也将 XMSS 和 LMS 标准化为有状态杂凑方案，而基于格的 Falcon 方案也正在开发中。

比特币开发者现在可以从一系列经 NIST 批准的演算法中进行选择，同时还可以参考相应的实作和函式库。以比特币为中心的实现已经支持 BIP-360，这表明后量子工具箱已经存在并不断成熟。该协议不需要发明全新的数学，它可以采用经过多年密码分析的既定标准。

但这并不意味着实现过程一帆风顺。一篇发表于 2025 年的论文研究了 SLH-DSA，发现其易受 Rowhammer 式故障攻击，并强调虽然安全性依赖于普通的哈希函数，但实现过程中仍需要进行加固。后量子签名也比经典签名消耗更多资源，这引发了人们对交易规模和费用经济性的问题。但这些是具有已知参数的工程问题，而不是未解的数学谜题。

量子电脑末日场景与实际工程挑战之间的差异在于：前者是不可控的物理威胁，后者是可以透过软体升级、社群协调和时间管理来解决的问题。

2025 年的威胁是治理而非量子物理

贝莱德旗下的 iShares 比特币信托（IBIT）于 2025 年 5 月修改了招股说明书，纳入了有关量子电脑风险的大量披露信息，并警告称，足够先进的量子电脑可能会破坏比特币的加密技术。分析师立即意识到这是标准的风险因素揭露，是与通用技术和监管风险一起列出的格式语言，而不是贝莱德预期即将发生量子攻击的讯号。近期的威胁在于投资人情绪，而不是量子电脑技术本身。

SSRN 2025 年的研究发现，与量子电脑相关的新闻会引发部分资金转向专门针对量子计算的加密货币。然而，传统加密货币在此类新闻发布前后仅表现出轻微的负收益和交易量激增，而非结构性重定价。在研究 2024 年和 2025 年比特币走势的真正驱动因素时，透过 ETF 资金流动、宏观经济数据、监管和流动性周期，量子计算很少被视为直接原因。

决定比特币量子韧性的问题是：开发者能否围绕 BIP-360 或类似提案达成共识；社区能否在不分裂的情况下激励传统币种的迁移；以及沟通能否保持足够理性，以防止恐慌超出物理规律。到 2025 年，量子电脑带来治理方面的挑战，需要制定 10 到 20 年的路线图，而不是决定本轮价格走势的催化剂。物理学的发展是缓慢的，但其发展路线图是清晰可见的。比特币的作用是在硬体到来之前就采用 PQ 就绪工具，并且这样做不会造成治理僵局，从而避免将一个可解决的问题变成一场自找的危机。