为什么亚当·巴克认为比特币的20年量子跑道比今天的头条新闻更重要

！image

资料来源：CryptoNewsNet 原始标题：为什么Adam Backs认为比特币的20年量子跑道比今天的头条新闻更重要 原始链接： 多年来，量子计算一直是加密货币最喜欢的末日场景，一种遥远但存在的威胁，每当某个实验室宣布量子位的里程碑时，它就会周期性地重新出现。

这个叙述遵循一个可预测的弧线，研究人员取得一些渐进的突破，社交媒体爆发出"比特币已死"的预测，新闻周期则转向其他话题。

但亚当·巴克在11月15日于X上的言论打破了这种噪音，提供了讨论中急需的东西：一个基于物理学而非恐慌的时间线。

Back，Blockstream的首席执行官，其Hashcash工作量证明系统早于比特币本身，他对加速量子研究的问题作出了直截了当的评估。

比特币在大约20到40年内"可能不会"面临对加密相关的量子计算机的任何漏洞。

更重要的是，他强调比特币不必被动地等待那一天。

NIST已经标准化了量子安全签名方案，例如SLH-DSA，比特币可以通过软分叉升级在任何量子机器构成真正威胁之前很早就采用这些工具。

他的评论将量子风险重新框定为一个可以解决的工程问题，而不是一个不可解决的灾难，具有数十年的时间空间。

这个区别很重要，因为比特币真正的脆弱性并不在大多数人认为的地方，因为威胁并不来自于保护挖矿过程的哈希函数SHA-256。威胁来自于secp256k1椭圆曲线上的ECDSA和Schnorr签名，这种加密技术证明了所有权。

运行Shor算法的量子计算机可以解决secp256k1上的离散对数问题，从公钥推导出私钥，从而使整个所有权模型失效。

在纯数学中，Shor算法使椭圆曲线密码学变得过时。

理论与现实之间的工程差距

但数学和工程存在于不同的宇宙中。破解一个256位的椭圆曲线需要大约1,600到2,500个逻辑纠错量子比特。

每个逻辑量子比特需要数千个物理量子比特来维持相干性和纠正错误。

根据马丁·罗特勒和其他三位研究者的工作进行的一项分析计算，在与比特币交易相关的狭窄时间窗口内，破解一个256位的EC密钥大约需要317百万个物理量子比特，前提是误差率在现实范围内。

必须考虑量子硬件的实际状况。加州理工学院的中性原子系统约有6,100个物理量子比特，但这些量子比特噪声较大，且缺乏错误纠正。

来自Quantinuum和IBM的更成熟的基于Gate的系统在逻辑质量量子比特的数量上运行在十到低百之间。

当前能力与密码学相关性之间的差距跨越了几个数量级，这不是一个小的增量步骤，而是一个需要在量子比特质量、错误纠正和可扩展性方面实现根本性突破的鸿沟。

NIST自己的后量子密码学解释明确指出：目前不存在任何具有密码学相关性的量子计算机，专家对其到来的估计差异很大，以至于一些专家认为“少于10年”的可能性依然存在。相比之下，另一些人则坚定地认为它将在2040年之后出现。

中位数观点集中在2030年代中期到后期，使得Back的20至40年时间窗口显得保守而非鲁莽。

迁移路线图已经存在

Back的“比特币可以随着时间增加”的评论指向开发者之间已经流传的具体提案。

BIP-360，标题为“支付给量子抗性哈希”，定义了新的输出类型，其中支出条件包括经典签名和后量子签名。

在这两种方案下，一个单一的UTXO变得可支出，从而允许逐渐迁移，而不是硬性截止。

Jameson Lopp 和其他开发者已经在 BIP-360 的基础上制定了一个多年的迁移计划。首先，通过软分叉添加支持 PQ 的地址类型。然后逐步鼓励或补贴将易受攻击的输出中的币移动到 PQ 保护的输出中，每个区块专门保留一些区块空间用于这些 “救援” 移动。

追溯至2017年的学术工作已经推荐了类似的过渡。罗伯特·坎贝尔在2025年的预印本中提出了混合后量子签名，其中交易在延长的过渡期内同时带有ECDSA和PQ签名。

用户端的图片揭示了这为什么重要。大约25%的比特币，介于四百万到六百万BTC，存放在公钥已经在链上暴露的地址类型中。

比特币早期的支付到公钥输出、重用的 P2PKH 地址以及一些 Taproot 输出都属于这一类别。一旦 Shor 算法在 secp256k1 上变得可行，这些币就会成为立即的目标。

现代最佳实践已经提供了实质性的保护。使用全新的 P2PKH、SegWit 或 Taproot 地址且不重复使用的用户可以获得关键的时间优势。

对于这些输出，公钥在第一次消费之前保持在哈希后面，压缩了攻击者在内存池确认期间运行 Shor 的时间窗口，这个时间以分钟而不是年为单位来衡量。

迁移工作不是从零开始，而是建立在现有的良好实践之上，并将传统币种过渡到更安全的结构中。

后量子工具箱已准备好

Back提到SLH-DSA并不是随意的名字提及。2024年8月，NIST最终确定了第一波后量子标准：FIPS 203 ML-KEM用于密钥封装，FIPS 204 ML-DSA用于基于格的数字签名，以及FIPS 205 SLH-DSA用于无状态的哈希基础数字签名。

NIST还将XMSS和LMS标准化为有状态的基于哈希的方案，基于格的Falcon方案也在规划中。

比特币开发者现在有一系列 NIST 批准的算法可供选择，以及参考实现和库.

以比特币为中心的实现已经支持BIP-360，这表明后量子工具箱已经存在并不断成熟。

该协议不需要发明全新的数学，它可以采用经过多年密码分析的现有标准。

这并不意味着实施没有挑战。一篇2025年的论文审查了SLH-DSA，发现其易受Rowhammer风格的故障攻击，强调尽管安全性依赖于普通的哈希函数，但实施仍然需要加强。

后量子签名的资源消耗也比经典签名更多，这引发了关于交易大小和手续费经济性的疑问。

但这些代表的是具有已知参数的工程问题，而不是未解决的数学谜题。

为什么2025与量子无关

一家主要资产管理公司的比特币信托在2025年5月修订了其招募说明书，包含了关于量子计算风险的广泛披露，警告说，足够先进的量子计算机可能会破坏比特币的加密技术。

分析师立即将其视为标准的风险因素披露，通用的技术和监管风险的模板语言，而不是该公司预计即将发生量子攻击的信号。

短期威胁是投资者情绪，而不是量子计算技术本身。

一项2025年的SSRN研究发现，与量子计算相关的新闻会导致一些明确的量子抗性币种的轮动。然而，传统加密货币在此类新闻出现时仅表现出适度的负回报和交易量激增，而不是结构性的重新定价。

在审视2024年和2025年比特币走势的实际驱动因素时，ETF流动、宏观经济数据、监管和流动性周期等因素频繁出现，而量子计算很少作为直接原因。

CPI数据发布、ETF资金流出日以及监管冲击推动价格波动，而量子计算则引发头条新闻。

即使是那些发出最响亮警报的文章，关于“25%的比特币面临风险”，也将这一威胁框架设定为几年后的事情，同时强调现在就开始升级的必要性。

框架始终聚焦于“治理和工程问题”，而不是“立即出售”。

赌注关乎默认，而非截止日期

比特币的量子故事并不是关于一个在2035年或2045年到来的具有加密相关性的量子计算机。关键在于协议的治理是否能够在该日期变得相关之前协调升级。

每一个严肃的分析都得出相同的结论：准备的时间就是现在，正是因为迁移需要十年的时间，而不是因为威胁迫在眉睫。

决定比特币量子韧性的问题在于，开发者是否能够在 BIP-360 或类似提案上达成共识，社区是否能够激励传统币的迁移而不导致分裂，以及沟通是否能够保持足够的稳定，以防止恐慌超越物理学。

在2025年，量子计算带来了治理挑战，这需要一个10到20年的路线图，而不是一个将决定这一周期价格走势的催化剂。

物理学进展缓慢，且有一条路线图可见。

比特币的角色是在硬件到达之前就采用准备好的PQ工具，并且在没有治理僵局的情况下做到这一点，治理僵局可能会将一个可解决的问题变成自我造成的危机。