比特币面临量子计算机的威胁：技术神话还是实际问题？

Question

普遍流传的关于量子计算机对比特币加密构成威胁的观点，基于对网络架构的误解。实际上，比特币的安全性并不依赖于存储在区块链中的加密秘密——相关问题在许多技术文献中有所提及，但很少被公众所知。相反，真正的挑战在于数字签名和公开密钥的泄露，这才是真正的量子威胁的潜在攻击向量。

真实威胁在哪里？

将加密与数字签名系统混淆，是关于quantum-ready比特币大部分错误信息的根源。区块链是一个公开的账本——每一笔交易、金额和地址对所有人都是可见的。在这个系统中，没有任何内容是以传统意义上的加密方式保护的。

比特币的安全性依赖于两个支柱：(ECDSA和Schnorr)的签名系统，以及(哈希函数)。这些机制保证了对密钥对的控制，但并不通过加密保护信息。当一个足够先进的量子计算机能够运行Shor算法时，它可以从区块链中公开的公钥推导出私钥。这实际上是伪造授权，而非解密。

漏洞并不在整个网络中均匀分布。许多地址格式依赖于对公钥的哈希——原始公钥在交易发布前保持隐藏。这缩小了潜在攻击者的时间窗口。

Project Eleven每周进行扫描，并发布“Bitcoin Risq List”，以追踪已泄露公钥的地址。目前估算大约有6,7百万个BTC存放在符合量子暴露标准的地址中。这为整个风险分析提供了参考依据。

其他类型的脚本，尤其是Taproot (P2TR)，会在输出脚本中直接泄露32字节的修改后公钥。这改变了暴露的轮廓，但目前还没有引入新的漏洞——只有当出现与密码学相关的机器时，这才会变得关键。

研究表明，目标明确、可衡量。为了计算出256位椭圆曲线私钥，约需要(参考：Roetteler等)的2330个逻辑量子比特。但要将其转化为实际的机器，还需要数百万个物理量子比特，考虑到误差校正。

2023年的估算显示：

架构设计中的时间、误差率和误差校正的选择，会导致实际成本出现巨大差异。

当涉及到哈希函数时，会提到Grover算法。它只提供了对暴力搜索的平方加速，而不能像Shor算法那样破解离散对数。对于SHA-256的预映像，目标工作量仍在2^128量级——即使经过量子优化，也远不及椭圆曲线的威胁。

量子风险主要是迁移挑战，而非技术灾难。NIST已标准化了后量子密码原语，如ML-KEM(FIPS 203)。比特币社区也在讨论诸如BIP 360之类的提案，提出“支付到抗量子哈希”。

迁移的关键限制在于带宽、存储和交易费用。后量子签名的大小通常为几千字节，而非几十字节。这会改变交易的经济性和钱包的用户体验。

最新报告显示，IBM等公司估算到2029年前后，系统实现抗误差的路径已基本明确。这意味着适应的时间窗口是几年，而非几个月。

真正重要的因素包括：有多少UTXO的公钥已被泄露，钱包的行为如何应对这种暴露，以及网络能多快采纳抗量子支付路径，同时保持验证和费用市场的稳定。

重复使用地址会增加暴露的时间窗口——未来对同一地址的存入仍然是公开的。相反，钱包设计可以通过合理管理地址和提前迁移到后量子格式，降低风险。

量子计算机对比特币的威胁并非虚构，但其性质与流行叙述所暗示的完全不同。这不是破解加密的问题，而是需要整个生态系统协调演进的问题，每个决策的参考都应基于对当前网络暴露情况的可衡量数据。