Starkware首席产品官Avihu Levy近日公布了一套名为QSB(Quantum Safe Bitcoin)的方案,试图在不进行软分叉、不增加新操作码、也无需社区协调升级的情况下,让比特币交易具备面向量子计算威胁的防护能力。这项研究于4月9日公开,并附带论文与开源实现。其核心意义在于:它基于比特币协议中早已存在的规则构建,而不是等待未来的共识层改造。
聚焦量子计算对比特币签名的潜在威胁
QSB针对的核心问题,是比特币当前广泛使用的ECDSA椭圆曲线签名在足够强大的量子计算机面前可能被Shor算法破解。一旦公钥暴露在链上,攻击者理论上可能反推出私钥并伪造签名,从而转移资金。报道指出,P2PK输出、传统地址以及Taproot的keyspend路径,在公钥上链后都可能面临类似风险。
Levy的方案尝试把安全性基础从椭圆曲线难题,转移到RIPEMD-160哈希原像抗性上。与可直接威胁椭圆曲线密码的Shor算法不同,量子计算机对哈希函数通常只能借助Grover算法获得平方级加速,因此其破坏方式和效率并不相同。
如何在现有脚本规则内实现“量子安全”
根据论文说明,QSB完全运行在比特币既有Legacy Script限制之内,包括201个操作码上限与10,000字节约束。它修正了Robin Linus早前提出的Binohash思路中的两个关键问题:一是依赖椭圆曲线特性的签名尺寸工作量证明谜题,二是潜在的sighash标志复用漏洞。
在新设计中,QSB引入所谓hash-to-sig puzzle,通过不断调整交易参数,使交易导出的公钥经RIPEMD-160处理后,恰好形成一个有效的DER编码ECDSA签名。该事件出现的概率约为七十万亿分之一。同时,方案使用固定的SIGHASH_ALL,从而规避原先的相关漏洞。
Levy推荐的Config A配置据称可实现约118位原像抗性与78位碰撞抗性。报道还称,若量子攻击者尝试进行二次原像攻击,工作量大致为2的69次方规模,而Shor算法在这里不再具备对椭圆曲线那样的直接优势。
成本、限制与现实落地问题
QSB并非“零成本”方案。按照当前云端现货价格估算,单笔交易需要大约75至150美元的GPU算力成本,且往往要通过多GPU并行在数小时内完成。不过,这些计算主要属于公开计算过程,私密的HORS原像数据仍保留在用户安全设备中。
更大的障碍在于可用性。QSB交易虽然在共识层面有效,但属于非标准交易,超出默认中继策略,通常需要直接提交给愿意接收此类交易的矿池,例如报道中提到的Marathon旗下Slipstream服务。此外,该方案尚未覆盖闪电网络通道,完整的链上组装与广播功能也仍在推进中。Levy本人将其描述为一种“最后手段”,而非当前比特币日常支付的通用替代方案。
对普通BTC持有者意味着什么
对普通持币者而言,这项研究更像是一条提前准备的技术路径,而不是马上可在钱包中启用的新功能。报道指出,目前并不存在能够立即破解比特币密码学的量子计算机,许多研究者认为这一风险可能还需至少三年至十年才会逼近现实。但一旦地址发生支出、公钥暴露上链,潜在风险窗口就会开启。
因此,现阶段更实际的建议仍是:避免地址复用、关注钱包服务商未来是否加入后量子支持,并在主流软件提供相关功能后,及时迁移资产。QSB的价值,在于它向市场证明:即便不修改比特币协议,围绕量子安全的交易保护机制也已经出现了可验证的技术雏形。

