Ледяной сигнал тревоги: квантовые вычисления могут угрожать третьей части биткоинов, 6,5 миллиона BTC подвергаются окончательному испытанию безопасности?

Coinbase 全球投资研究主管 David Duong 发出重磅警告，指出量子计算的进展速度可能超出市场预期，约三分之一的比特币供应因其公钥已在链上暴露而面临潜在的“长程量子攻击”风险。据其基于第 90 万个区块的链上数据估算，约 650 万枚比特币（价值约 1000 亿美元）的地址类型较为脆弱。

此风险已获机构重视，贝莱德在其比特币 ETF 修订说明书中明确将量子计算列为风险因素。这标志着比特币的安全叙事正从理论探讨步入现实风险评估与防御准备的新阶段。

脆弱的基石：三分之一比特币暴露于“Q日”威胁之下

当比特币价格在波动中寻找方向时，一个更为根本且静默的威胁正在地平线上加速显现。David Duong 的最新分析揭示了一个严峻的现实：比特币的长期安全可能正在进入一个全新的“体制”。问题的核心在于一个被称为 “Q日” 的概念——即密码学相关量子计算机强大到足以破解当前公钥密码体系的那一天。对于比特币而言，这一天虽非迫在眉睫，但其阴影已足以投射到今日的价值评估框架之中。

具体而言，威胁的根源在于比特币的椭圆曲线数字签名算法 与量子计算机强大算力之间的潜在对决。比特币钱包的安全依赖于一个精妙的非对称密码学设计：由私钥生成公钥，再由公钥生成地址。在经典计算机世界，从公钥反向推导私钥在计算上是不可行的。然而，一旦能够运行 肖尔算法 的量子计算机达到足够规模，它便能理论上破解这套机制，从暴露的公钥中反推出私钥。Duong 指出，关键在于，大约 32.7% 的比特币供应（约 650 万枚）所存放的地址类型，其公钥已经在区块链上公开可见。

这些高风险地址主要包括几类：早期使用的 Pay-to-Public-Key 输出、部分裸多重签名脚本，以及一些公钥已在链上暴露的 Taproot 构造。其中最引人注目的一个子集是“中本聪时代”的比特币——那些十多年来从未移动过的古老硬币。每一次比特币交易在花费时，也会短暂地暴露公钥，这为理论上拥有即时量子算力的攻击者创造了一个极短的“短程攻击”窗口。这些脆弱性并非设计缺陷，而是在量子计算这一颠覆性技术面前，现有密码学标准面临的代际挑战。

比特币量子风险核心数据剖析

根据 David Duong 基于第 90 万个区块数据的分析，比特币面临的量子风险可以量化为几个核心维度。首先，潜在受影响的比特币数量高达约 650 万枚，这占到了比特币总供应量的约 32.7%。这些脆弱资产主要集中于几种特定的地址类型：包括早期遗留的 Pay-to-Public-Key 输出、裸多重签名脚本，以及那些公钥已在链上暴露的 Taproot 构造。此外，一个常被忽视的风险点是，每一笔比特币交易在发生的那一刻，都会短暂暴露公钥，形成一个理论上可被利用的攻击窗口。业内公认，最典型的脆弱资产代表是那些长期未动的“中本聪时代”比特币。

从攻击技术角度看，威胁主要来自量子计算机运行的两类算法：用于从公钥推导私钥的 肖尔算法，以及可能威胁挖矿共识的 格罗弗算法。目前，业界共识是签名安全（即私钥泄露风险）的紧迫性远高于对挖矿经济模型的潜在冲击。这些数据共同勾勒出量子威胁并非均匀分布，而是高度集中于特定历史链上足迹的图景。

时间线之争：从“未来之忧”到“当务之急”的认知转变

量子计算对比特币的威胁究竟有多紧迫？在这个问题上，行业专家和研究者之间存在着显著的分歧，而正是这种分歧，凸显了风险从边缘讨论走向中心舞台的进程。一方以 Blockstream 首席执行官 Adam Back 为代表，认为“比特币面临迫在眉睫的量子危机”的说法言过其实。他指出，开发人员早已在未惊动市场的情况下， quietly 进行长期保护方案的研究，比特币社区有足够的时间和智慧应对这一挑战。

然而，以 Coinbase 的 Duong 和风险投资人 Nic Carter 为代表的另一方则敲响了更急促的警钟。Carter 直言不讳地批评生态系统中仍有太多人处于“否认”状态，并指出各国政府（如美欧敦促关键基础设施在 2035 年前迁移至后量子密码学）和激增的量子公司投资，都是风险正在逼近的现实信号。一些量子研究人员的预测则更为激进，例如有研究者曾向媒体表示，预计量子计算机在 4 到 5 年内 就可能破解比特币的密码学。

这种紧迫感已经传导至最主流的金融机构。贝莱德 在 2025 年 5 月为其旗舰产品 iShares 比特币信托提交的修订版说明书中，史无前例地明确将量子计算列为一项风险因素。这一举动绝非偶然，它标志着大型资产管理机构在尽职调查中，已将此类远期科技风险纳入了正式的风险评估框架。这不仅是合规要求，更是一种信号：为千亿级别传统资金提供入口的机构，必须审视所有可能威胁其底层资产完整性的长期变量。

时间线的分歧本身，恰恰说明了问题的重要性。无论“Q日”是十年后还是更久之后到来，未雨绸缪的窗口期正在流逝。Capriole Investments 创始人 Charles Edwards 警告，若不及早升级，量子威胁可能在十年内成为现实。而策略上的悖论在于：比特币网络达成重大共识升级本就艰难，若等到威胁迫在眉睫时才行动，可能会因时间仓促和恐慌情绪而引发更大的市场动荡。因此，当前的讨论核心已从“是否”会发生，转向了“何时”会发生以及我们“如何”做好准备。

比特币的“盾牌”升级：技术路径与治理挑战

面对量子计算的潜在威胁，比特币并非赤手空拳。全球密码学界和比特币核心开发者早已开始探索 后量子密码学 解决方案。美国国家标准与技术研究院在 2024 年最终确定了数个后量子加密标准，这为包括比特币在内的所有数字系统提供了可选的技术工具箱。比特币可能采用的方案包括基于格的签名、哈希签名等算法，这些算法被认为能够抵御量子计算机的攻击。

然而，为比特币部署一道量子“盾牌”，其技术复杂性远低于其 社会与治理挑战。这很可能需要一次硬分叉——即所有节点都必须升级软件以遵循新规则。这个过程将面临几个巨大难题：首先是如何处理那些已然暴露的“脆弱币”。若直接作废，将引发巨大的公平性和法律争议；若尝试“抢救”，则技术操作极其复杂。Strategy 的执行主席 Michael Saylor 曾提出一个乐观视角：量子突破最终将“强化”比特币，因为活跃的币会迁移至新标准，而无法访问的旧币将被永久冻结，反而减少了有效供应，可能推高价格。但这过程必然伴随阵痛。

其次，最大的障碍可能是那些长期休眠的钱包。如果其所有者不再出现，这部分比特币将永远无法主动迁移到安全的量子抵抗地址中，成为网络中永久存在的“脆弱资产”。这不仅是一个安全问题，更是一个伦理和经济设计问题。整个升级过程需要全球开发者、矿工、交易所、托管服务和普通用户之间达成高度共识，其协调难度可想而知。这与简单的功能升级不同，这是一次事关网络安全根基的“心脏手术”。

因此，当前的准备工作远比编写代码更为基础，它更多地是关于风险教育、方案讨论和社区动员。Duong 在报告中强调，签名安全是当前的核心议题，而量子挖矿对经济模型的冲击尚属次要。这种优先级划分至关重要，它指引社区将有限的注意力和研发资源集中在最紧迫的签名算法升级上。一些研究者甚至警告，对手可能已经在今天收集和存储区块链上的公开密钥数据，等待未来量子算力成熟时进行追溯破解。这为防御升级增添了一层时间压迫感。

多米诺骨牌效应：量子计算将如何重塑整个加密生态？

比特币作为市值最大、最受关注的加密货币，其面临的量子挑战只是冰山一角。量子计算的崛起，事实上是对整个以非对称密码学为基石的数字时代的一次根本性质疑。以太坊、众多 Layer 1 公链、以及所有使用类似签名算法的加密资产和 DeFi 协议，都将面临同样的考验。整个加密行业的价值存储、身份验证和交易安全模型，都可能需要一场深刻的革新。

这不仅仅是安全升级，更可能引发一系列连锁市场反应。首先，投资者可能会开始重新评估不同加密资产的量子抵抗属性。那些采用更现代、更容易升级签名算法的区块链，或从一开始就关注后量子密码学的项目，可能会获得一定的估值溢价。其次，巨额“脆弱比特币”的存在本身就是一个不确定性的源头。一旦市场对量子进展的预期升温，可能会引发从老旧地址向被视为更安全的新地址的迁移潮，甚至可能影响市场流动性。

从更积极的层面看，这场迫在眉睫的挑战也可能成为推动加密行业乃至全球数字基础设施进步的强大动力。比特币和加密社区在解决这一难题过程中形成的技术方案、升级路径和治理经验，将为传统金融、物联网和国家安全领域提供极其宝贵的参考。它迫使我们去思考在去中心化系统中如何协调进行关乎存亡的升级，这本身就是一项前所未有的社会实验。

最终，量子计算对比特币的威胁，与其说是一个预示着毁灭的预言，不如说是一次终极压力测试。它测试的是比特币网络及其社区在面临存续危机时的适应性、韧性和智慧。David Duong 的报告和贝莱德的风险披露，不应被单纯视为利空，而应被理解为一场必要且及时的预警。它提醒着这个价值数十万亿的行业，在追逐价格波动和应用创新的同时，绝不能忽视其赖以生存的密码学根基所面临的、缓慢但确定无疑的代际变迁。比特币的故事，从来不只是关于价格，更是关于在时间的长河中，一种去中心化价值系统如何持续维护自身的安全与可信。量子时代，将是它诞生以来最严峻，也最引人注目的一章。

什么是量子计算对比特币的威胁？

简单来说，量子计算对比特币的威胁主要在于其能够破解保护比特币钱包安全的 “非对称加密” 技术。

传统计算机 vs. 量子计算机：传统计算机使用比特（0 或 1）处理信息，而量子计算机使用量子比特，可以同时处于 0 和 1 的叠加状态。这种特性使它们能并行处理海量数据，解决一些传统计算机需要漫长时间才能解决的问题。

对比特币的两大攻击向量：

1. 破解数字签名（核心威胁）：比特币使用椭圆曲线数字签名算法来证明你对私钥的所有权。经典计算机无法从公钥反推私钥，但量子计算机运用 肖尔算法，理论上可以高效完成这种反向计算。一旦成功，攻击者就能盗取对应地址中的比特币。
2. 威胁挖矿共识（次要威胁）：比特币挖矿基于 SHA-256 哈希算法。量子计算机运用 格罗弗算法，可加速寻找有效哈希值的过程，从而可能颠覆现有的挖矿竞争格局和激励机制。

关键在于，这种威胁对于 “公钥已暴露” 的地址是直接的。许多早期的比特币交易和未花费输出都直接使用或暴露了公钥，这正是约三分之一比特币被认为脆弱的原因。而对于只使用过比特币地址（公钥的哈希值）且从未花费过的资金，量子计算机目前仍无法直接攻击，因为需要先破解哈希函数才能得到公钥。

比特币抗量子升级的路线图与争议

比特币社区应对量子威胁的潜在路径充满技术复杂性与治理挑战，目前尚未有明确路线图，但讨论已围绕几个核心方向展开：

1. 软分叉与硬分叉之争：
   1. 软分派路径：试图通过向后兼容的方式引入新的量子抵抗签名方案。这可能涉及复杂的脚本升级，让用户逐步将资金转移到新类型的地址中。优点是可能避免链分裂，但技术设计极其复杂，且可能无法彻底解决所有旧币的问题。
   2. 硬分派路径：在设定的区块高度激活新规则，强制要求所有交易使用新的抗量子签名。这是最彻底但风险最高的方案，可能导致网络分裂，且必须解决长期休眠地址的遗留问题。
2. 核心争议与挑战：
   1. “沉睡币”难题：如何处理那些公钥已暴露但私钥持有者可能永远不再出现（如丢失或持有人已故）的比特币？这是一个巨大的技术、经济和伦理困境。
   2. 升级紧迫性与时机：社区需要在威胁成为现实之前很久就达成共识并完成升级。行动过早可能带来不必要的复杂性和风险；行动过晚则可能措手不及。达成这种时机判断的共识本身就很困难。
   3. 候选算法选择：后量子密码学本身仍在发展中，选择哪个标准化算法（如基于格的、哈希的）需要深入评估其安全性、签名大小和对网络性能的影响。
3. 当前的准备状态：
   1. 比特币核心开发者和密码学家已在持续研究和讨论，但出于避免引发不必要恐慌的考虑，许多工作是在后台进行的。
   2. 广泛的社区教育和风险意识提升（如本次Coinbase报告引发的讨论）是推动未来共识形成的重要第一步。
   3. 最终，任何重大升级都需要矿工、节点、交易所、钱包服务商和用户的广泛支持，这将是对比特币去中心化治理能力的终极考验。这个过程可能比解决技术难题本身更为漫长和艰难。