比特幣的量子威脅已不再是遙遠的技術寓言,而是逐漸逼近的產業級事件。這場辯論的核心,已從理論推演擴展到操作層面的路線抉擇。如果說過去幾年的討論還停留在「量子運算能否破解比特幣」,那麼 2026 年的焦點則演變為「我們究竟要選擇哪種方式來阻擋它」。
爭論的框架正逐步收窄,三種立場形成鮮明對立:BIP-361 強制遷移路線主張透過協議硬性約束推動全網地址換代;PACTs 時間戳證明路線提供一條無需遷移的軟性自救通道;社群否決路線則堅持網路不可干預的底層信念,寧願被動承受量子來襲,也不願主動破壞「程式碼即法律」的中立性原則。
量子陰影為何加速逼近
2026 年 3 月底,Google 量子人工智慧團隊與以太坊基金會研究員 Justin Drake、史丹佛密碼學教授 Dan Boneh 聯合發布了一份技術白皮書。該白皮書系統評估了量子電腦破解比特幣底層加密所需資源,揭示了一組關鍵數據:一台約 50 萬量子位元的量子電腦,破解比特幣所依賴的橢圓曲線加密演算法所需資源僅為先前學術界預估的二十分之一,整個過程最快可在約 9 分鐘內完成。比特幣平均交易確認時間約為 10 分鐘,攻擊者在特定條件下將有約 41% 的機率搶在交易確認前竊取私鑰並攔截資金。
更直接的風險來自公鑰已永久暴露於鏈上的那部分比特幣。白皮書指出,目前約有 690 萬枚 BTC 因公鑰暴露而面臨量子直接攻擊威脅,其中包括中本聰控制的約 110 萬枚 BTC。
市場並未對這一警示無動於衷。2025 年底比特幣價格出現約 12% 的跌幅,部分分析人士將其與量子運算股票的同步上漲聯繫起來,認為市場開始對遠期量子風險進行定價。
截至 2026 年 5 月 6 日,Gate 行情數據顯示,比特幣價格為 81,108.8 美元,24 小時跌幅 1.40%,市值為 1.49 兆美元,市場佔有率為 56.37%。目前市場情緒指數處於中性區間,量子議題尚未引發大規模恐慌性拋售,但對產業基礎設施的討論正在持續升溫。
暴露面解析:數兆美元懸於量子懸崖
比特幣的量子脆弱性並非均勻分布,不同地址類型面臨截然不同的風險等級。
早期使用的 Pay-to-Public-Key(P2PK)地址直接暴露完整公鑰。在足夠強大的量子電腦面前,攻擊者無需等待交易廣播即可隨時破解私鑰。現今廣泛使用的地址類型預設只公開公鑰雜湊,但在轉帳時仍需將公鑰廣播至網路,這開啟了一條約 9 分鐘的攻擊窗口。
比特幣於 2021 年透過 Taproot 升級引入了 Schnorr 簽名方案,但這並未解決量子脆弱性。Schnorr 簽名同樣基於橢圓曲線離散對數問題,在量子演算法面前安全性並無本質提升。
人類權利基金會於 2025 年 10 月發布的報告顯示,約 651 萬枚 BTC 面臨量子攻擊風險,其中 172 萬枚 BTC 存放於 P2PK 格式的早期地址中,處於完全「永久丟失」狀態。另有約 449 萬枚 BTC 雖然存在攻擊面,但活躍持有者理論上可遷移至安全地址。
Galaxy Digital 研究部門於 2026 年 3 月的分析指出,約 700 萬枚 BTC 在「長暴露」定義下皆面臨風險,但這部分資產在目前公開已知量子能力範圍內尚不可被實際利用。關鍵變數在於量子硬體發展的速度是否會超出社群的應對週期。
路線一:BIP-361——強制遷移與倒數凍結
2026 年 4 月 15 日,由 Casa 聯合創辦人 Jameson Lopp 領銜的六位開發者,在比特幣官方提案倉庫正式提交了 BIP-361,全名為「後量子遷移與舊式簽名廢止」。
三階段時間表
該提案以 BIP-360(同年 2 月註冊,引入抗量子輸出類型 Pay-to-Merkle-Root)為技術基礎,構建了一條倒數式遷移路徑:
- 第一階段(啟動後第 3 年): 禁止用戶向舊格式地址存入新的比特幣,有效阻止更多資產流入量子風險區。
- 第二階段(約啟動後第 5 年): 全面宣告傳統 ECDSA 與 Schnorr 簽名無效,未於此期限前完成遷移的比特幣將被永久凍結並無法使用。
- 第三階段(凍結後): 引入零知識證明機制,允許部分用戶恢復已凍結資金。
保護範圍與核心缺陷
BIP-361 還包含一條對 BIP-32 派生錢包(2012 年引入的確定性密鑰生成標準)的救援路徑。但 2012 年之前的早期錢包(包括大多數已知的中本聰地址)並未使用 BIP-32,因此無法透過此路徑獲得保護。
這使得中本聰的約 110 萬枚 BTC 陷入一個獨特的政策真空地帶——在沒有專屬解決方案的情況下,這些資產在法律與技術雙重意義上皆無法完成遷移。
量化波及面
據開發者估算,BIP-361 覆蓋的 P2PK 格式地址中約有 170 萬枚早期 BTC 受直接影響。若將地址重複使用導致公鑰暴露的資產納入統計,總暴露面可擴展至 670 萬枚 BTC 以上。
路線二:PACTs——在區塊鏈上蓋章,而非遷移資產
2026 年 5 月 1 日,創投機構 Paradigm 的普通合夥人 Dan Robinson 公開提出了可證明地址控制時間戳(Provable Address-Control Timestamps,簡稱 PACTs)。
與 BIP-361 的強制遷移邏輯截然不同,PACTs 的核心原則是:不移動代幣、不公開身分、不提前決定是否凍結。持有者只需「現在播下種子」,以備未來防護措施被啟動時使用。
四步技術流程
PACTs 的運作機制可分為四個步驟:
- 生成承諾: 持有者使用 BIP-322(無需花費即可從比特幣地址簽名訊息的標準)生成地址控制證明,結合一段隨機鹽值(salt)創建密碼學承諾,確保無法被偽造或猜測。
- 加蓋鏈上時間戳: 上述承諾透過 OpenTimestamps 服務錨定於比特幣區塊鏈上,形成一條不可篡改的時間紀錄,全程不公開錢包資訊。
- 私密保存: 鹽值、證明文件與時間戳資料皆由持有者私密保管,鏈上僅留存雜湊錨點,外部無法倒推出具體地址或金額。
- 未來解鎖: 若比特幣網路透過軟分岔啟動量子脆弱地址凍結機制,協議可納入一條救援路徑:持有者在希望花費時提交 STARK 零知識證明,驗證其承諾創建於量子硬體出現之前,網路據此釋放資產。
填補 BIP-361 的空白
值得特別關注的是,PACTs 有針對性地填補了 BIP-361 的一個重要空白:它可覆蓋 BIP-32 派生錢包,而這正是 BIP-361 在凍結後提供救援的地址範圍。Robinson 本人明確指出,PACTs 仍無法保護 2012 年之前的早期錢包(其中包含中本聰的地址),但至少為 BIP-32 之後的用戶群提供了一條完整的保護鏈路。
現實落地條件
PACTs 的落地依賴一項尚未達成社群共識的前置條件:比特幣需透過軟分岔引入 STARK 驗證基礎設施。這意味著比特幣必須在其協議層面整合一類全新的零知識證明驗證功能——這與比特幣一貫堅持的極簡技術主義形成明顯張力。
路線三:社群否決——網路「中立性」不能破產
在 BIP-361 與 PACTs 各自提出技術路線之際,社群內部還存在一股聲音強烈的第三種立場:比特幣網路不應進行任何協議層面的干預。
核心論點:協議中立性是唯一不可替代的核心資產
反對派認為,比特幣的價值錨點不在於某一代密碼學方案的安全性,而在於其不可干預的交易清算機制。一旦開發者能以「量子防護」為由凍結某類地址,則客觀上已為未來出於其他理由(如監管合規、制裁執行)干預資產建立了操作先例。
「凍結任何代幣,即使只是『丟失』的代幣,都在告訴市場:所有約 1,980 萬枚流通中的 BTC 都只是有條件地屬於你,」Op Net 創辦人 Samuel Patt 在 4 月下旬的評論中表示。「機構風險部門不會在意凍結的理由,他們在意的是這個先例本身。」
TFTC 創辦人 Marty Bent 則在 4 月 15 日直接將該提案評價為「荒謬」。
賽局論視角:量子攻擊可能成為另一種形式的「市場清算」
部分分析人士從賽局論角度提出更激進的推論:如果量子攻擊確實發生,它本身就是一種發現真實價格的機制。比特幣鏈上分析師 James Check 認為量子威脅更多是一個共識問題而非技術問題,因為社群「不可能達成共識來凍結」未遷移的舊地址代幣,這意味著當量子攻擊變得可行時,大量丟失的比特幣將重新湧入市場。
Mati Greenspan 的表述更為形象:如果量子電腦破解了早期比特幣錢包,「它不會觸發回滾或凍結,而將觸發人類歷史上最大規模的漏洞賞金」。
技術懷疑論派:威脅時間線被嚴重高估
並非所有反對意見都來自理念層面。部分技術人員對威脅的迫切性本身提出質疑。截至 2026 年,最強大的量子電腦僅約 1,500 個物理量子位元,而破解 256 位 ECDSA 至少需要 50 萬個。量子硬體發展的「最後一哩路」仍涉及大量工程難題,短期內不具備實際攻擊能力。
三大路線橫向對比
根據上述拆解,三種方案在核心維度上的差異可歸納如下:
| 對比維度 | BIP-361 強制遷移 | PACTs 時間戳證明 | 社群否決(不作為) |
|---|---|---|---|
| 核心機制 | 設定 3-5 年截止期,未遷移資產凍結 | 鏈上時間戳 + STARK 零知識證明 | 維持現有協議不變 |
| 是否需要移動資產 | 是,強制遷移至抗量子地址 | 否,只需生成單次鏈上承諾 | 無需任何操作 |
| 隱私保護程度 | 低,遷移過程公開可見 | 高,時間戳為私密保存 | 無新增隱私影響 |
| 技術落地難度 | 中等,需要社群共識與全網升級 | 高,需引入 STARK 驗證基礎設施 | 最低,無需實施 |
| 協議干預程度 | 高,直接凍結未遵守規則的地址 | 中,依賴軟分岔啟動救援路徑 | 無,保持協議中立 |
| 中本聰地址保護 | 否(非 BIP-32 地址無法進入救援路徑) | 否(需私鑰持有者主動創建承諾) | 否(被動暴露於量子攻擊) |
| 社群接受度 | 爭議激烈,人身攻擊已出現 | 相對溫和,但 STARK 整合門檻高 | 保守派廣泛認同 |
從上表可見,三種方案皆無法完美解決中本聰地址的量子暴露問題——這是目前辯論中最具結構性且最棘手的難題。
「中本聰悖論」:110 萬枚 BTC 何以成為全網的枷鎖
中本聰的約 110 萬枚 BTC 分散於約 22,000 個地址,每個地址約持有 50 BTC。這組資產在量子威脅面前構成了一個典型的「人質困境」:無論社群選擇何種防護路線,它的存在都在持續擾動決策空間。
假設量子威脅於 2030 年左右兌現,存在幾種可能的演化情境:
情境一:中本聰身分仍然活躍。 若在量子硬體成熟之前,掌控中本聰私鑰的人透過 PACTs 創建了時間戳證明,一旦網路後續啟動軟分岔,這些資產可透過 STARK 證明合法恢復。但前提極為嚴苛——私鑰持有者必須主動作為,PACTs 無法被動保護。相對地,若採用 BIP-361 路線,中本聰必須公開移動資產,這在任何意義上都將擾動整個市場心理。
情境二:私鑰已永久丟失。 在此情況下,約 110 萬枚 BTC 處於事實上的「失能資產」狀態。量子攻擊一旦可行,攻擊者將可從容破解這些地址的公鑰並竊取全部資產。屆時約 840 億美元的 BTC 投放市場,將構成加密產業史上最大規模的供給衝擊之一。
情境三:社群提前凍結資產。 若以 BIP-361 為藍本的協議凍結被啟動,這 110 萬枚 BTC 將永遠從流通供給中移除。對整體市場而言,有效供給縮減可能推高剩餘流通中 BTC 的稀缺性,但凍結行為引發的治理爭議與信任損失可能同時壓低估值。兩種力量的淨效果存在高度不確定性,無法事前判斷方向。
情境四:不做任何干預。 這是社群否決路線的核心主張。在量子攻擊最終兌現之前,中本聰的地址處於一個寬限期。若寬限期內量子進展足夠快,市場可能面臨「量子恐慌定價」,比特幣估值模型將被迫納入量子安全折價因子。若寬限期足夠長,技術準備可能在不觸發治理危機的情況下完成——但這一假設正持續被驗證。
產業結構性影響:量子之爭正在改變比特幣的治理基因
這場辯論的含金量遠超一次技術方案比較,它實質上是對比特幣治理模型的一次全面壓力測試。
歷史上,比特幣歷次重大升級——從 SegWit 到 Taproot——雖然過程漫長,但爭議並未觸及「網路是否擁有干預資產的權力」這一根本命題。BIP-361 的問世首次將這一界限推至檯面:若網路有能力強制凍結未遷移地址,那麼「代幣資產屬於私鑰控制者」這一元規則就已被修訂。
此外,大型機構已開始將比特幣的量子準備度納入其風險評估矩陣。據多家分析機構觀察,部分資產管理公司正於內部討論 Quantum Readiness Index 量化指標。對 Gate 平台上的投資者而言,量子防護路線的推進狀況正逐步成為評估比特幣長期持有風險的因子之一。
同時,比特幣與其他公鏈在量子適應性上的差距也引發關注。部分競爭公鏈因採用更靈活的治理機制,在啟動抗量子遷移時面臨更低的共識達成成本。例如,根據公開資訊,XRP Ledger 已制定四階段抗量子計畫,目標於 2028 年前完成。比特幣能否在量子硬體成熟前完成應對,取決於這場辯論能否在社群撕裂中凝聚出最小可行共識。
結語
量子威脅正從學術假設走向工程日程,推動比特幣面臨自誕生以來最深刻的一次技術抉擇。三種應對路線——強制遷移、時間戳證明與社群否決——各自代表不同的安全哲學與技術信念。
這場辯論最重要的或許不是誰說服誰,而是它揭示了比特幣在面對低機率高衝擊事件時的治理全貌:一個由開發者、礦工、節點與持幣者共同組成的分布式決策系統,如何在沒有中心權威的情況下,回應一場有明確技術倒數計時的事件。量子電腦尚未破解任何一枚比特幣,但關於它的選擇,已經提前重塑了比特幣的權力格局。
