比特币量子“末日”担忧被夸大：a16z

值得信赖的编辑内容，由业界领先专家和资深编辑审核。广告披露 一份新的 a16z crypto 研究论文认为，关于量子计算机会瞬间摧毁比特币的“末日叙事”与现实严重不符，区块链真正的风险在于漫长而混乱的迁移过程，而不是突然的“Q日”崩溃。该文章已在 X 上引发投资者的强烈反驳，他们认为威胁比 a16z 所说的更近、更难应对。

量子计算不会让比特币灭亡：a16z

在文章《量子计算与区块链：匹配实际威胁的紧迫性》中，a16z 研究合伙人、乔治城大学计算机科学教授 Justin Thaler 一开始就定下基调，称“与密码学相关的量子计算机到来的时间表经常被夸大——导致人们呼吁紧急、全面地转向后量子密码学。”他认为，这种炒作扭曲了成本效益分析，并让团队忽视了更紧迫的风险，比如实现漏洞。

Thaler 定义了“与密码学相关的量子计算机”(CRQC)，即一台能够完全纠错、可在大约一个月运行时间内运行 Shor 算法、破解 RSA-2048 或 secp256k1 等椭圆曲线方案的机器。根据他的评估，2020 年代出现 CRQC“极不可能”，公开的里程碑也不能证明这种系统在 2030 年前就有可能实现。

他强调，无论是囚禁离子、超导还是中性原子平台，没有任何设备接近数十万到数百万物理量子比特的规模，也没有达到所需的误差率和电路深度，这些都是进行密码分析所必需的。

相关阅读：Coinbase 溢价转为关键——分析师强调其对比特币的意义相反，a16z 的文章在加密与签名之间划出明显界限。Thaler 认为，收割-后解密(HNDL)攻击已经让后量子加密对需要保密数十年的数据变得紧迫，这也是为什么大型服务商在 TLS 和消息传递中推广混合后量子密钥协商。

但他坚称，包括用于保护比特币和以太坊的签名面临的是不同的计算：它们不是为了保护可被事后解密的隐私数据，而是一旦有了 CRQC，攻击者只能在未来伪造签名。

因此，论文认为，“大多数非隐私链”在协议层面并不暴露于 HNDL 风格的量子风险，因为它们的账本已经是公开的；相关攻击是伪造签名盗取资金，而不是解密链上数据。

比特币特有的难题

Thaler 仍然指出，比特币由于治理缓慢、吞吐量有限，以及已经公开在链上的大量暴露、可能被遗弃的币池，面临“特殊难题”，但他将严重攻击的时间窗口界定为至少十年，而不是几年。

“比特币变化缓慢。任何有争议的问题，如果社区无法就合适的解决方案达成一致，都可能引发破坏性的硬分叉，”Thaler 写道，并补充说，“另一个担忧是，比特币切换到后量子签名不能是被动迁移：持有者必须主动迁移他们的币。”

此外，Thaler 指出比特币的“最后一个特有问题”是其交易吞吐量低。“即使迁移方案最终确定，以当前比特币的交易速度，将所有量子易受攻击资金迁移到后量子安全地址也需要数月时间，”Thaler 说。

他同样对在基础层仓促采用后量子签名方案持怀疑态度。基于哈希的签名虽然保守，但极其庞大，往往有数千字节；而基于格的方案，如 NIST 的 ML-DSA 和 Falcon，虽然紧凑但复杂，且在实际实现中已出现多种侧信道和故障注入漏洞。Thaler 警告说，如果区块链过早在媒体压力下采用尚不成熟的后量子原语，可能会削弱其安全性。

行业对风险分歧明显

最有力的反驳来自 Castle Island Ventures 联合创始人 Nic Carter 和 Project 11 首席执行官 Alex Pruden。Carter 在 X 上总结称，a16z 的工作“极大低估了威胁的本质，并高估了我们准备的时间”，并将关注者引向了 Pruden 的长文。

Pruden 首先表示对 Thaler 和 a16z 团队的尊重，但补充道，“我不同意量子计算对区块链不是紧迫问题的观点。威胁比他描述的更近，进展更快，修复难度也更大。”

他认为，讨论应该以最近的技术成果而非市场宣传为基础。Pruden 指出，“我们现在已经有了非退火系统，在中性原子架构下拥有超过 6000 个物理量子比特”，这直接否定了只有不可扩展的退火架构才能达到这一规模的说法。他还指出，加州理工的 6100 量子比特镊子阵列等工作，表明大型、相干、室温的中性原子平台已经成为现实。

在纠错方面，Pruden 写道，“表面码纠错去年已经实验验证，将其从研究问题变为工程问题”，并指出色码和 LDPC 码的快速进展。

他强调，谷歌最新的“跟踪量子分解成本”估算显示，一台拥有大约一百万噪声物理量子比特的量子计算机运行约一周，原则上就能破解 RSA-2048——较谷歌 2019 年两千万量子比特的估算减少了 20 倍。

“CRQC 运行 Shor 算法的资源估算在六个月内下降了两个数量级，”他指出，结论是，“说这种进步轨迹有望在 2030 年前实现量子计算机，并不夸张。”

相关阅读：比特币投资者淡定——2025 年 BTC 不再有负增长日Thaler 强调 HNDL 是加密问题，而 Pruden 则将区块链重新定义为量子攻击的独特目标。他强调，“用于数字签名的公钥和加密消息一样容易被收集”，但在区块链中，这些密钥直接关联着可见的价值。他指出，“这些公钥是分布式且直接与价值绑定的，($150B 仅中本聪的比特币)就如此”，一旦量子对手能伪造签名，“只要能伪造签名，就能盗取资产，无论原始 UTXO/账户是什么时候创建的。”

对 Pruden 来说，这一经济现实意味着“经济激励清晰直白地指向区块链将是第一个与密码学相关的量子应用场景”，即便其他行业也有 HNDL 风险。他补充道，“区块链迁移速度远慢于中心化系统。银行可以升级自己的技术栈。区块链则必须实现全球共识，承受 PQ 签名带来的性能损耗，并协同数百万用户迁移密钥。”

他以以太坊从工作量证明到权益证明的多年转变为例写道，“最接近的例子是 ETH 1.0 到 2.0 的转型，这花了数年时间，且比那更复杂，PQ 迁移更难。任何认为这只是换几行签名代码的人，根本没有真正交付、部署或维护过生产级区块链。”

Pruden 同意 Thaler，认为恐慌有害，但得出相反结论：“我同意仓促是危险的。但这正是为什么现在必须开始工作的原因。最可能的失败模式，是行业等得太久，然后某个量子计算重大突破引发恐慌。”他最后表示，他不同意“量子计算进展缓慢”，“区块链比暴露于 HNDL 风险的系统更不易受攻击”或“行业还有多年的缓冲期才需行动”，他认为“这三种假设都与现实相悖。”

截至发稿时，比特币报 $91,616。

比特币仍低于 0.618 斐波那契线，1周图 | 来源：TradingView.com 的 BTCUSDTFeatured 图片由 DALL.E 生成，图表来自 TradingView.com 比特币资讯的编辑流程以提供经过充分研究、准确且公正的内容为核心。我们坚持严格的信息来源标准，每一页面都由顶级技术专家和资深编辑团队认真审核。该流程确保了内容对读者的诚信、相关性和价值。