Galaxy Digital 的最新报告指出,量子计算对比特币构成的风险真实存在,但保护网络的工作也已在推进。报告将这一问题视为长期工程与治理挑战,而非迫在眉睫的危机。
量子计算机如何攻破比特币
比特币依靠基于椭圆曲线密码学(ECC)的数字签名来证明所有权。这些签名在经典计算机面前是安全的,但足够先进的量子计算机可以利用肖尔算法破解这一假设——从链上公钥推导出私钥,从而未经授权动用资金。行业内将这一时刻称为“Q-day”(量子计算突破日)。时间表仍不确定,估计从数年到数十年不等,专家之间没有共识。报告强调,不确定性本身就是问题:比特币的去中心化结构意味着任何重大升级往往需要以年为单位的时间。不过,风险分布不均:目前大部分比特币是安全的——钱包只有在动用资金时才会暴露公钥;存储在被哈希地址下的未动资金仍然受到保护。脆弱性主要有两种情况:一是公钥已在链上可见的币(例如过往交易中已暴露地址的余额),二是交易过程中正在转移的币。
哪些比特币真正面临风险
Galaxy 引用估算指出,可能有数百万比特币属于第一类风险,包括早期网络活动相关的币和长期未动的钱包。这些币往往与早期用户甚至化名创始人中本聪有关,构成了独特挑战:如果量子能力在保护措施部署之前到来,这些持仓可能成为主要攻击目标。影响不仅限于个人损失——突然解锁休眠供应可能冲击市场,给价格带来压力,进而削弱挖矿激励机制,这构成了系统性风险。报告基调谨慎而非恐慌,并着重介绍了多项正在进行的准备措施:比特币改进提案 BIP 360 提出的 Pay-to-Merkle-Root(支付到默克尔根)交易结构,通过消除链上始终可见的公钥,减少攻击面;另一个方案“Hourglass”(沙漏)则限制脆弱币在最坏情况下的花费速度,为市场吸收冲击留出缓冲时间;此外,基于哈希的签名方案如 SPHINCS+ 已成为后量子密码学的热门候选,它依赖不同的数学假设,被认为更保守但更安全。
后量子密码学的取舍与治理难题
新签名方案面临效率取舍:更大的签名会增加交易体积,加重网络带宽和存储负担。同时,开发者也在探索应急机制——一种“提交-揭示”过程可以在未部署新密码学之前临时保护交易;另一条路线利用零知识证明,允许用户在不暴露公钥的前提下验证资产所有权。这些努力构成了一套多层防御工具箱。然而,最棘手的挑战不在技术层面:比特币没有中央权威,每次升级都需要开发者、矿工、交易所和用户的协调。过去的重大升级如隔离见证(SegWit)和 Taproot 均历时数年才激活,并曾引发激烈争论;量子预防的复杂性可能更甚。一些提案触及敏感核心:未能迁移到安全格式的币是否应永久失去可花费性?这引发了关于财产权与网络社会契约的哲学讨论。报告指出,与以往内部分歧不同,量子风险是外部共同威胁——所有参与者(从长期持有者到基础设施提供商)都有动机维护网络安全。因此,最终结果不取决于量子计算机何时到来,而取决于一个去中心化网络能否在时间压力下达成共识。正如比特币历史所示,答案将来自缓慢的共识,而非突发变革。

