比特币面临的真实量子威胁不在“破解”，而在签名伪造：为什么我们现在就能衡量这个风险

许多人谈论量子电脑对Bitcoin的威胁时，反复说着同一句话——“量子电脑会破译Bitcoin的加密”。但这个说法从根本上就错了。实际上，Bitcoin根本没有需要被"破译"的加密数据。

为什么Bitcoin的加密不是真正的问题

对Bitcoin的所有权保护并非通过加密文本实现的。相反，它依靠数字签名（ECDSA和Schnorr）和哈希承诺来确保安全。区块链是完全公开的账本——每笔交易、每个金额、每个地址都能被任何人查看。没有什么东西被隐藏起来。

换句话说，一台量子电脑无法破译Bitcoin，因为区块链上根本没有任何被加密的秘密。Adam Back是Bitcoin的早期开发者和Hashcash的发明人，他在X平台上直截了当地指出：“Bitcoin不使用加密。学习基础知识，否则这会暴露你的无知。”

真正的风险在于什么？如果一台密码学相关的量子电脑能够运行Shor算法，它可以从区块链上的公钥反推出私钥，进而为冲突交易创建有效的签名。这不是"破译加密"，而是窃取验证权限。

公钥暴露：Bitcoin安全的真正瓶颈

Bitcoin的签名系统要求用户通过创建签名来证明对密钥对的控制——这正是交易有效的原因。因此，公钥何时以及如何暴露成为量子威胁的核心。

许多地址格式使用公钥的哈希值，这意味着公钥本身在交易发生时才会被暴露。这个狭窄的时间窗口限制了攻击者计算私钥并发布冲突交易的机会。

但并非所有输出格式都是这样。某些脚本类型会更早暴露公钥，而地址重复使用会将一次性暴露变成持续目标。

Project Eleven的开源工具"Bitcoin Risq List"对这些场景进行了映射，显示哪些比特币可能已暴露于拥有Shor算法的攻击者面前。根据他们的追踪，大约670万BTC所在的地址符合其风险标准。

Taproot如何改变了暴露的预期

Taproot（P2TR地址）改变了默认暴露的方式。根据BIP 341标准，Taproot输出在脚本中包含32字节的修改公钥，而不是公钥的哈希值。

这在今天不会带来新的漏洞。但它确实改变了一旦密钥恢复成可能时会暴露什么。这很重要，因为暴露是可测量的——我们无需猜测量子威胁的时间表，就可以追踪潜在的易损比特币池。

Project Eleven每周自动扫描并发布其"Bitcoin Risq List"，涵盖所有易受量子攻击的地址及其余额。

量子威胁需要多少计算能力？

从计算角度看，关键的区别在于逻辑量子位和物理量子位之间的鸿沟。

Roetteler及其合作者在研究中确定，计算256位椭圆曲线上的离散对数需要不超过2,330个逻辑量子位的上限（公式为9n + 2⌈log₂(n)⌉ + 10，其中n=256）。

但将这转化为能够执行深度计算且故障率低的紊错机器时，物理量子位的开销才是主要瓶颈。根据2023年Litinski的估计，计算256位椭圆曲线私钥需要约5000万個Toffoli门。在模块化方法下，这可能在10分钟内完成，使用约690万個物理量子位。

Schneier on Security的分析将估计值集中在1300万物理量子位用于一天内破解，以及约3.17亿物理量子位用于一小时内破解（取决于时间和错误率假设）。

为什么时间框架这么重要

执行时间决定了攻击的可行性。如果量子电脑需要10分钟才能从公钥恢复私钥，而Bitcoin区块的平均时间是10分钟，那么攻击者可能会竞争已暴露输出的支配权。他不必重写共识历史。

还有哈希的问题，常在这个背景下提及。但这里的量子杠杆是Grover算法，它为蛮力搜索提供平方根加速，而不是Shor对离散对数的攻击。NIST关于Grover式攻击实际成本的研究表明，开销和错误纠正使系统级成本达到2^128操作的量级。这与破解ECC离散对数相比微不足道。

为什么适应意味着迁移挑战，而非迫在眉睫的危险

在Bitcoin之外，NIST已标准化了后量子原始密码学，如ML-KEM（FIPS 203），作为更广泛迁移计划的一部分。在Bitcoin内部，BIP 360提议了一种名为"Pay to Quantum Resistant Hash"的新输出类型。与此同时，qbip.org主张弃用旧签名以促进迁移和消除长期公钥尾部。

最近的企业路线图提供了背景，说明为什么这被视为基础设施挑战，而非紧急事项。Reuters报道，IBM讨论了错误纠正组件的进展，并确认了通往容错系统的路径大约在2029年。

这样看来，"量子电脑会破译Bitcoin加密"既是术语上的误解，也是机制上的误判。

真正可测量的指标是：UTXO集合中有多少部分暴露了公钥、钱包行为如何应对这种暴露，以及网络能多快部署抗量子支出途径，同时维持验证和费用市场约束。

当涉及到量子电脑与Bitcoin的未来时，谈话应该围绕适应性展开，而不是危机。