比特币的量子盲点：已曝光的1.7M BTC为何比时间表承诺更重要

对比特币后量子未来的乐观情绪常常忽略一个关键细节：大约170万BTC已经位于易受量子攻击的输出中。虽然主流评论员指出的理论时间线以几十年计，但链上实际暴露的情况揭示出一个更为复杂的局面，立即协调可以防止灾难性损失。

量子威胁是真实存在的，但时机并非一切

比特币的脆弱性不在于工作量证明，而在于数字签名方案。当前网络依赖于secp256k1上的ECDSA和Schnorr签名——一旦容错量子计算机达到大约2000到4000个逻辑量子比特，这些加密技术就会变得可破解。如今的设备远远达不到这一水平，意味着在量子计算机真正投入使用之前，至少还有十年的窗口期。

防御框架已经存在。NIST已将ML-DSA（Dilithium）和SLH-DSA（SPHINCS+）作为FIPS 204和205的官方标准，Falcon也在FIPS 206中推进。Bitcoin Optech追踪了多项通过新输出类型和混合签名结构集成这些后量子方案的提议。性能测试表明，后量子签名可以在类似比特币的计算负载下正常工作。

但问题在于：采用不是自动的，加密学只是战斗的一半。

真正的问题：25%的比特币已暴露

“量子安全”与“量子脆弱”的区别，完全取决于地址类型以及公钥是否已在链上可见。这也是数字变得令人担忧的地方。

早期的pay-to-public-key（P2PK）输出将原始公钥直接放在区块链上。一旦被揭示，它们就会永久暴露，任何拥有足够计算能力的量子攻击者都可以访问。Satoshi时代的输出代表了一个重要的历史集中，估计仅这些早期输出就包含约170万BTC。

Taproot P2TR输出引入了不同的问题：它们在创建时就将公钥编码在输出中。不同于传统的P2PKH或P2WPKH地址在花费前隐藏密钥，Taproot UTXO在被转移之前就暴露了其公钥。现代研究表明，现在有数十万BTC存放在公钥可见的Taproot输出中。

标准的P2PKH和SegWit P2WPKH地址提供了临时保护：在花费之前，公钥保持隐藏状态，直到被花费时才会暴露，成为量子攻击的目标。这就形成了一个特定的漏洞窗口——交易广播到确认之间的时间段。在此期间，量子攻击者理论上可以监控内存池，恢复私钥，并用更高手续费的替代交易执行“签名并窃取”攻击。

在所有类别中，大约25%的比特币总供应已处于公钥已暴露或即将暴露的状态。这一数字包括德勤的分析、链上研究和托管钱包的模式。其含义十分严峻：今天流通中的一部分资产可能成为目标，而非被冻结的资产。

迁移并非没有成本——它需要空间和手续费

Saylor的说法是“安全性提升，供应减少”，但实际情况更为复杂。后量子签名比当前的ECDSA更大，验证也更耗算力。英国区块链协会期刊的研究指出，现实中的迁移可能会使区块容量减少约50%，增加节点运营成本，并大幅提高交易手续费。

这带来了协调难题。比特币没有中央权威。进行后量子软分叉需要开发者、矿工、交易所和大户的压倒性共识——在量子威胁真正到来之前同步行动。近期由风险投资支持的研究团队强调，协调和治理的风险远大于加密技术本身。

时机压力既是心理上的，也是技术上的。如果在实际能力出现之前，市场就对即将到来的量子能力产生恐慌，可能引发抛售、链分裂或有争议的硬分叉——这些都不会让比特币变得更强大、更清晰。

供应动态：三种竞争结果，没有一种是自动的

声称比特币“供应减少”实际上混淆了三种不同的情景，每种都具有不同的含义：

**情景1：通过放弃实现供应收缩。**那些在易受攻击的输出中，且所有者从未升级的币，将被视为丢失或明确列入黑名单。这假设高度遵守规则，并接受供应减少作为政策。

**情景2：通过盗窃实现供应扭曲。**量子攻击者利用升级窗口，窃取暴露的钱包。在所有者迁移之前，攻击者就已控制部分流通资产。这不会干净地减少流通供应，而是集中在攻击者手中，造成价格剧烈波动。

**情景3：在物理实现之前的恐慌。**市场参与者预期量子威胁，提前抛售或引发有争议的硬分叉，甚至在量子计算机尚未出现时就开始行动。供应“减少”是通过短期市场压力实现的，而非永久的密码学硬化。

这些都不能保证实现一个干净、看涨的供应减少。它们同样可能带来短暂的波动、托管危机，以及对遗留钱包的一次性攻击浪潮。

工作量证明的表现优于预期

一个被低估的优势是：比特币的工作量证明不像签名方案那样容易受到量子攻击。Grover算法对SHA-256只提供二次加速，这意味着量子攻击者大约需要2到3倍的计算资源才能破解挖矿。调整难度参数可以在很大程度上中和这一优势。因此，挖矿的安全性并非危机的核心。

真正的考验：压力下的执行

比特币可以对抗量子威胁。加密技术已经存在，标准已定，技术方案也在积极开发中。网络可以采用后量子签名，迁移易受攻击的输出，并以更强的保证出现。

但这依赖于一个假设：比特币的治理能够在量子计算机成熟之前，执行一场成本高、争议大、技术复杂的升级。这是对协调能力的考验，而非纯粹的加密技术。170万BTC已暴露、迁移中的内存池风险、区块容量的权衡，以及缺乏中央强制执行，都表明，时间比十年时间线更紧迫。

比特币面临的不是二元的密码失败，而是一个协调的考验。网络是否能硬化，取决于开发者、矿工和持有者是否能提前行动，升级易受攻击的供应，同时保持共识。这一赌注比物理学本身更不确定。