比特币开发者面临量子计算威胁：行动迟缓或导致系统性崩溃

作者：Nic Carter 编译：LlamaC

「推荐寄语：主体需知：Nic Carter（Castle Island Ventures 合伙人，加密圈知名意见领袖，此文直接抨击 Bitcoin Core 开发者的治理惰性与战略误判）。本文主要讨论了量子计算对比特币安全性的潜在威胁，比特币开发者对量子计算机威胁的潜在影响似乎持保守态度，但实际上需要现在就开始准备应对可能在未来十年内到来的量子破解风险。」

正文

最近关于比特币量子风险的议论纷纷。我曾在一篇长文中阐述过我的观点，但大多数人并没有读过，只是从 X 上获取了一些零星的辩论片段。因此，我将自己的观点浓缩成了这篇短文。我不打算在这篇文章中堆砌大量的参考文献和细节。

比特币的安全性——即从公钥反向推导私钥的难度——依赖于椭圆曲线加密技术。众所周知，量子计算（QC）在理论上可以破解这一点，这要归功于 David Shor 在 90 年代发明的一种算法。中本聪在发明比特币时就意识到了这一点，并提议如果量子计算变得足够强大，就进行升级。为了让量子计算机实际部署该算法，它需要 1000 到 2000 个所谓的“逻辑量子比特”，或者大约几十万到一百万个“物理量子比特”。作为参考，目前最先进的量子计算机最多拥有约 1000 个物理量子比特和几十个逻辑量子比特。因此，我们距离实现这一能力还有大约三个数量级的差距。虽然这看起来还很遥远，但著名的量子理论家和学者 Scott Aaronson 称其仅仅是一个“极其困难”的工程问题，而不是需要新的基础物理发现。换句话说，量子计算目前所处的阶段相当于 1939 年的核裂变——已知可行且没有理论障碍，但仍需要巨大的工程投入。进一步类比，由于量子计算具有巨大的战略效用，该技术的早期拥有者可能会隐瞒其能力，或者推迟披露。在利益驱动下，量子计算可能会在没有任何预警的情况下突然出现。对于那些认为自己会有充足的预警和准备时间的比特币持有者来说，这是一个坏消息。正如我们在人工智能领域所看到的——以及当缩放法则（scaling law）被开发出来、LLMs 变得强大时，AI 社区所表现出的惊讶程度——技术领域确实会发生非线性增长。我不愿将比特币的未来押注在“量子技术的发展不会带来超预期惊喜”这一单纯的希望之上。

未来十年内发生量子破解的概率是不可知的。然而，2025 年是量子计算历史上最活跃的一年。在技术层面，今年 IONQ 和 MIT 在“保真度”（即量子比特执行预期操作的频率）方面取得了突破。量子纠错旨在捕捉并解决由物理量子比特引入的错误，从而创建纯净的逻辑量子比特，该技术在 2025 年开始取得实质性进展。由于这些错误往往随着量子计算机规模的扩大而增加，实现大规模纠错成为了量子计算领域 最 重大的进展。Google 和 Quantinuum 今年在纠错方面取得了显著成果。

今年量子初创公司至少筹集了 60 亿美元，创下历史新高，且领先幅度巨大。其中一家初创公司 PsiQuantum 筹集了 10 亿美元，旨在建造一台百万量子比特的机器——他们认为利用现有技术是可行的。许多正在研发量子计算机的公司明确预测，到 2020 年代后期或 2030 年代中期，将能够制造出功能完备、具规模化的量子计算机。Metaculus 上的专家平均预计量子计算机将在 2033 年左右问世。

美国政府官方标准制定机构 NIST 已要求政府机构在 2030 年前弃用 ECC256 等易受量子攻击的加密方案，并在 2035 年前结束对其的所有依赖。欧盟和英国等其他主要大国也在按照类似的时间表运作。正如我将解释的那样，这些日期应当激励比特币持有者在今天就采取行动。

如果制造出足够强大的“密码学相关量子计算机”（QC），它可能会通过使攻击者能够从暴露的公钥中窃取私钥，从而对比特币构成威胁。并非所有代币目前都已暴露（部分公钥位于哈希地址中，且 SHA-256 不被认为易受量子攻击），但在撰写本文时，有 670 万枚 BTC 处于危险之中 ——价值 6040 亿美元。此外，在代币被花费到被包含进区块之间的短暂窗口期内，足够强大的量子计算机理论上可以逆向工程出私钥并重定向支出。这适用于任何类型地址中的代币，无论是否经过哈希处理。

理论上，Bitcoin 可以通过软分叉采用“后量子”（PQ）签名方案。确实存在一些提议的抗量子密码签名。撇开技术问题不谈，例如大幅增加的数据需求（需要更大的区块或降低吞吐量），主要问题将在于确定具体的后量子方案、组织软分叉，并费力地迁移数千万个有余额的地址。采用新的密码学技术具有风险，这是另一个问题。我们不想因为恐慌而转向 PQ 加密，结果后来发现它甚至能被经典计算机破解。剥离 Bitcoin 系统核心的密码学是一项巨大的工程，必须谨慎进行。如果你回想起 Bitcoin 社区在达成共识并实施（相对没有争议的）SegWit 和 Taproot 软分叉时有多么困难，你就会明白 Bitcoin 的行动并不敏捷。

比特币的后量子分叉（或者更确切地说，是多次分叉，因为可能需要进行多次）将比该协议以往的任何更新都更具侵入性且更加复杂。密码学是该协议的核心，将其替换会迫使系统几乎所有方面以及用户与之交互的方式都发生改变。显而易见，这样一个分叉所需的辩论、开发和测试时间，将比 SegWit（从提案到激活耗时两年）或 Taproot（三年）还要长。

实际上，在分叉之后让比特币进入安全状态会更加困难。处于量子易感地址中的代币必须进行轮换，并发送到新的抗量子地址类型中。最终，所有地址类型都必须被弃用并进行轮换。即使每个比特币持有者都意识到这一点，并且能够随时访问他们的钱包和私钥，这种过渡在最好的情况下也需要数月时间。更现实的情况是，你需要给比特币持有者几年的通知时间来轮换他们的代币。

情况变得更糟。一些比特币已经丢失或被遗弃。其中很大一部分——170 万枚 BTC——属于中本聪和其他早期矿工，存储在被称为“支付给公钥”（pay to public key）的旧地址类型中。如果这些比特币真的丢失了，它们就无法被转移到抗量子地址类型中以确保安全。它们就像沉船残骸中散落在海底的古代金币，曾被认为无法追回——直到有人造出了更好的潜水艇。因此，比特币社区必须决定如何处理它们。是冻结它们，从而参与一种制度化的盗窃；还是放任不管，允许一个未知的、可能怀有敌意的量子代理人成为最大的比特币持有者。两种选择都不理想，目前社区内尚未达成共识。比特币社区从未投票冻结或固定过任何人的比特币，无论其多么令人厌恶。事实上，这种集体盗窃（即使是出于正当理由）正是早期许多比特币信奉者蔑视以太坊的原因。如果这样做，比特币信奉者将表明他们并不比他们所憎恨的对手高明。这也会向未来的持有者发出信号：在紧急情况下，集体没收是一个可选方案。没收将开创一个危险的先例。因此，被遗弃的 P2PK 比特币的命运必须经过辩论，并且必须实施和部署一套解决方案（例如通过分叉来冻结或征用它们）。这绝非易事，且在比特币历史上将是完全史无前例的。

如果你算一下，就会发现所需的缓解时间表可能长达近十年。我们需要时间来讨论策略、解决分歧、就协议和受威胁代币的路线图达成一致、编写代码、测试密码学，并实际执行迁移。这意味着，即使量子审判日（即所谓的“Q-day”）在十年后才到来，我们也必须从今天开始准备。提前或意外到来的 Q-day 将是灾难性的。我们将不得不仓促决定是否冻结受威胁的代币，恐慌性地实施后量子签名方案，并寄希望于该方案是安全的，以及系统信心能够恢复。比特币主要开发公司 Chaincode 估计，即使是“短期”应急措施也需要两年时间。改变比特币就像驾驶一艘航空母舰。

对突发性破坏的恐慌反应，而非破坏本身，可能会摧毁 Bitcoin。关于是否应该销毁或认领这些易受攻击的代币的对立观点可能会引发分叉，正如我们在区块大小战争中所见。争夺 Bitcoin 之名的竞争性分叉在 2017 年或许还能勉强维持，当时 Bitcoin 远未成熟且赌注较低，但在今天，这种局面会导致 Bitcoin 所依赖的大型机构资本来源对该协议失去信心。量子计算刺破了 Bitcoin 不可侵犯的承诺。难怪大多数 Bitcoin 持有者甚至不敢承认这一点。他们知道，承认风险的存在就是对 Bitcoin “不可磨灭”这一核心叙事产生怀疑。从资本配置者的角度来看，你不会希望自己的终极避险价值存储资产存在尾部风险。因此，Bitcoin 持有者选择玩一场巨大的囚徒困境游戏，每个人都保持沉默，互不告发。但他们没有料到，会有少数在智识上诚实的 Bitcoin 持有者愿意向世界揭示一个不受欢迎的真相——即便这会损害我们自身的利益。

一些比特币支持者认为，美国法律将阻止任何拥有 CRQC 的人利用它攻击比特币。但将比特币的保障仅仅寄托于对手会遵守法律规则的希望上，这种安慰微乎其微。我们不能指望量子技术的早期掌管者会心怀仁慈。尽管他们不会公开承认，但各大量子计算公司在比特币会议周围遮遮掩掩地试探是有原因的：如果他们能制造出足以获取这笔财富的硬件，就有数千亿美元的巨额赏金在等着他们。中国正投入巨大的国家资源用于量子计算，而且他们对比特币或美国法律没有任何忠诚度。此外，如果美国政府认为中国即将采取行动，他们先发制人地没收存在风险的比特币也不是没有可能。

如果你理解了我的逻辑，就会明白我们今天就应该开始准备。专家和政府的共识表明，量子问题可能在 2030 年至 2035 年间出现，考虑到应对时间表，这意味着我们必须从今天开始着手准备。如果我们没有做好准备，量子崩溃可能造成的损害将是灾难性的——对整个系统的信心将彻底丧失。因此，量子风险对比特币的预期价值是显著的负值。对于那些忽视这一威胁的投资者或开发者，我想问问你们，你们愿意承担多大的彻底崩溃的概率？10%？5%？1%？人们会为那些可能造成灾难性损失的小概率事件购买保险。即使每年发生危险洪水的风险只有 1%，你也可能购买了洪水保险，而且你会庆幸自己这么做了。事实上，为量子风险投保的成本很低，因为开发者们大多都在进行毫无意义的自我反思。过去十年，开发者的主要工作重点一直是基于闪电网络的扩容模型，但事实证明该模型已经失败。关于过滤器以及比特币是否应该承载任意数据的内部争论吸引了开发者的注意力。过去十年，比特币协议仅进行了两次更新。尽管他们最终会进行更新，但开发者不能理直气壮地声称自己忙于其他重要事务而无暇顾及这一日益严重的生存威胁。

比特币社区对此采取了什么行动？遗憾的是，微乎其微。虽然有一些零星的努力在探索后量子签名方案和一些早期的缓解思路，但在实际的具体提案方面却寥寥无几。唯一列出的比特币改进提案（BIP）——BIP360，是由一名相对的局外人主导的，而非那些对比特币重大更新通常拥有决定性话语权的“大祭司”之一。而 BIP360 在现阶段实际所做的，只是在纠正比特币开发者犯下的一个重大错误，即在 2021 年引入了易受量子攻击的 Taproot 地址类型。尽管首席开发者 Pieter Wuille 当时公开承认 Taproot 地址面临量子风险，但他们还是这么做了。甚至到了 2025 年，Wuille 仍然坚持认为 ，对比特币进行量子防护“并无紧迫性”。

最令我恼火的是，比特币开发者对量子计算日益逼近的风险表现出的异常冷漠。通常情况下，比特币的开发文化极其谨慎，几乎到了荒谬的地步。开发者们为了避免引入漏洞，不惜付出巨大代价，尽可能减少对第三方库的依赖。众所周知，比特币拒绝了行业标准的椭圆曲线堆栈，也避开了 OpenSSL 的 ECC 实现，而是选择了 secp256k1 作为标准，并维护着自己的定制代码。而这仅仅是其中一个例子。许多人应该还记得，即使是区块大小的微小增加，也曾被讨论多年，被视为潜在的生存威胁。开发者们警告说，增加几兆字节就可能导致网络崩溃或破坏去中心化。系统的脚本语言也被刻意限制——并非缺乏想象力，而是出于对拒绝服务攻击和突发行为的恐惧。这些选择都带有意识形态色彩，根植于一种极端自力更生、抵制当前及未来威胁以及普遍存在的偏执文化。然而令人难以置信的是，如今比特币正面临现代公钥加密技术的彻底淘汰，开发者的反应却是自满。

当面对量子计算带来的风险时，比特币持有者（Bitcoiners）通常回应说，这种威胁同样适用于所有金融技术（以及任何其他依赖加密的系统）。其言下之意是，反正世界末日都要来了，所以不值得担心。但这不仅荒谬（显然，即便在混乱局势下，我们仍然希望比特币能正常工作），而且并不属实。“量子日”（Q-day），假设发生时各国政府和主要金融机构已做好普遍准备，那么它将很像“千年虫”问题（Y2K），即因为准备充分而风平浪静。后量子签名已经存在，并且可以被任何中心化机构轻松实施。主要问题在于区块链，因为它们存在治理惯性和升级困难。Cloudflare 已经为其大部分流量提供了后量子加密保护。AWS 已经在关键服务中部署了后量子密码学。NordVPN 现在提供后量子浏览功能。虽然基础设施升级可能很痛苦，但所有金融机构、软件公司和政府都是高度中心化的，它们只需直接下令升级即可。（有一小部分系统无法升级，例如硬件已固化且无法更新的设备。但这指的是那些寿命超长的硬件，它们无论如何也该被逐步淘汰了。人造卫星是一个例外，它们在应对“量子日”方面也处于劣势。）

像比特币这样的去中心化区块链无法像中心化数据库运营商那样敏捷地进行自我更新。自 2017 年以来，比特币仅推进了两次更新，而且即便这两次更新也是在经历了巨大的怨恨和内斗之后才实现的。此外，由于很大一部分易受攻击的代币存放在被遗弃的地址中，且这些地址的所有者根本无法被强制转移其代币，因此即使比特币确实升级到了后量子签名，它仍然面临着 170 万枚代币被量子攻击者突然夺取的风险。比特币不仅需要有序且及时地进行升级，比特币持有者还必须集体同意没收这 170 万枚代币以化解这一风险——这在比特币历史上是完全史无前例的。

比特币也比其他区块链更脆弱。在供应量占比中，它被推定为丢失或遗弃的代币比例更高。以太坊确实面临一些相同的风险，但其账户抽象和智能合约功能意味着，通过一些技巧，以太坊甚至可以在不进行分叉的情况下实现后量子（PQ）签名。最终仍需要进行后量子分叉，但在以太坊更为活跃的治理流程下，这更有可能实现。以太坊还受益于有一位承认量子威胁并已经提出建议来应对它的领导者。另一个竞争对手 Solana 已经开始测试后量子签名。像 Starkware 这样的二层网络将抗量子性作为核心价值主张。比特币信徒会对这些比较感到恼火，但在“量子日”（Q-day）到来时，比特币极有可能成为唯一暴露在风险中的区块链。

所以，这就是残酷的真相。很少有比特币信徒愿意承认这一点。与其他依赖公钥密码学的系统相比，区块链在量子计算面前显得尤为脆弱，而比特币在区块链中又是最脆弱的。量子计算已从遥远的理论可能性转变为纯粹的工程挑战，它可能在十年甚至更短的时间内到来。如果真是这样，比特币支持者现在就需要开始准备。