比特幣的量子威脅：Michael Saylor樂觀之外的真實情況

邁克爾·塞勒（Michael Saylor），MicroStrategy的共同創始人兼執行長，於12月16日提出了一個大膽的論點：量子電腦不會摧毀比特幣，反而會增強它。這個說法聽起來誘人——後量子簽名的遷移、受威脅的幣種的凍結、安全性的提升、供應量的下降，最終形成一個更強大的網絡。然而，當我們分析技術現實和鏈上數據時，情況變得更加複雜。我們發現，已有超過170萬比特幣處於直接的危險之中，而遷移的成功也並非一定。

什麼是量子，為何它對比特幣構成威脅？

在分析塞勒的擔憂之前，必須理解什麼是量子威脅。量子電腦，也稱為量子機器，是利用量子力學的原理——疊加和糾纏——來進行信息處理的裝置，其運作方式與經典電腦截然不同。這種量子能力並非用來加快所有計算，而是針對某些特定類型的問題——尤其是大數分解和破解加密雜湊函數——提供極大的加速。

比特幣通過兩個主要機制來保護資產：基於SHA-256的工作量證明（proof-of-work）和基於secp256k1曲線的ECDSA與Schnorr數字簽名。Shor算法——一種能破解公鑰密碼的量子算法——對第二種簽名機制構成直接威脅。當一台抗錯誤的量子電腦達到約2000到4000個邏輯量子比特時，它就能從公開密鑰中推導出私鑰。目前的設備遠未達到這個規模——這意味著，現階段的實際威脅尚未出現。根據NIST和行業專家的估計，這個窗口至少還有十年的時間。

安全窗口存在——但空間緊湊

塞勒的觀點有一部分是正確的：理論上，我們還有時間準備。NIST已經批准了比特幣所需的抗量子攻擊的數字簽名標準：ML-DSA（也稱為Dilithium）和SLH-DSA（SPHINCS+），並將其列入FIPS 204和205標準。第三個候選方案FN-DSA（Falcon）正在等待FIPS 206的批准。這些方案可以通過新型輸出或混合簽名（結合傳統與後量子保護）來整合到比特幣中。

目前，Bitcoin Optech正在追蹤後量子簽名的聚合方案和基於Taproot的構造。性能測試顯示，SLH-DSA在與現有比特幣網絡相當的負載下可以運行。然而——這是一個重要的限制——遷移涉及隱藏成本，塞勒沒有提及。研究表明，現實中的遷移可能需要做出重大妥協：由於後量子簽名的尺寸較大，區塊容量可能會減半。驗證成本也會增加，交易費用上升。這不是一個無痛的升級——它是用安全性換取容量。

實際威脅：已被攻擊者看到的170萬比特幣

這裡才是塞勒忽略的核心問題。他聲稱“活躍的幣在遷移，丟失的幣保持凍結”，這大大簡化了區塊鏈的現實。量子攻擊的脆弱性完全取決於地址類型以及公鑰是否已在鏈上曝光。

早期的pay-to-public-key（P2PK）輸出，將未經哈希的公鑰直接暴露在鏈上，從第一天起就存在風險。標準的P2PKH和SegWit P2WPKH地址，將公鑰隱藏在哈希後，直到幣被花費時才曝光。此時，公鑰變得可見，成為攻擊目標。最新的Taproot P2TR輸出，從一開始就將公鑰編碼在輸出中，甚至在未花費前就已處於危險之中。

鏈上數據分析，並得到德勤（Deloitte）等研究的支持，以及近期專注於比特幣的研究，顯示約25%的比特幣已經處於公鑰曝光的輸出中。估計約有170萬BTC來自Satoshi時代的P2PK輸出，還有數十萬在新型Taproot輸出中，公鑰已曝光。這些資產並非“凍結”——它們已經暴露，等待第一個擁有量子電腦的攻擊者。

一些“丟失”的幣確實屬於未知所有者，可能成為攻擊目標；但也有不少屬於不活躍的錢包、托管機構或忘記自己持有比特幣的人。當第一台能進行攻擊的量子電腦出現時，這些持有者可能會全部失去——除非提前完成遷移。這不是假設情境，而是數學和鏈上現實。

三種競爭場景：供應真的會下降嗎？

塞勒認為“安全性提升，供應下降”。這純粹是推測，並非保證。在量子攻擊的世界中，供應的動態並非自動運行——至少存在三種不同的場景，每個都對價格有不同的影響。

第一種場景——“縮減式遺棄”：那些在脆弱地址中且所有者從未更新的幣，被視為丟失或明確列入黑名單。在這種情況下，實際流通供應可能會下降。這是看漲的情景，但需要整個比特幣網絡的政治共識——而比特幣的共識本就難以達成。

第二種場景——“被盜造成的扭曲”：攻擊者利用量子能力找到脆弱的錢包，趁所有者未遷移前將其清空。這些幣流入市場，供應不會減少，反而出現混亂的再分配。價格可能受到負面影響，尤其是在大規模盜竊被公開的情況下。

第三種場景——“恐慌與預期”：即使在量子電腦尚未出現之前，僅憑對未來可能性的預期，就可能引發拋售、鏈分裂或預先“分叉”以重置脆弱地址。結果難以預料。

這些場景都不保證純粹的牛市供應下降。每個都涉及政治、技術和經濟的複雜性，塞勒未提及。實際的供應可能會下降，也可能被盜、出售或內部衝突扭曲。

管理、政策與時間：比加密更大的挑戰

文章中最重要的部分，經常被忽略，是比特幣的治理問題。比特幣沒有中央權威可以強制推行後量子遷移。軟分叉需要開發者、礦工、交易所和大戶的廣泛共識——在量子電腦真正出現之前。

A16z的最新分析強調：協調和時間比加密本身更具風險。比特幣已經運行了超過15年，靠的是共識，也有過阻礙和爭議（如區塊大小戰爭）。後量子遷移將更為複雜——結合技術共識、經濟激勵和地緣政治的抗干擾能力。如果等待太久，一些幣可能會被盜；如果行動太快，則可能陷入關於老地址特殊規則的爭議。

此外，還存在較少討論的風險：“簽名並盜取”在內存池中。當一筆交易試圖花費帶有公鑰哈希的地址時，公鑰在等待礦工確認時會曝光。量子攻擊者監控內存池，能迅速獲取私鑰，並與其他交易競爭高額手續費。這不需要完整的量子電腦，只需快速觀察網絡。

數學和數據真正顯示了什麼

數學明確指出：比特幣不會在某天突然崩潰。存在一個窗口，也許是十年或更長時間，讓網絡進行謹慎的後量子遷移。NIST和Bitcoin Optech已經在推進解決方案。SHA-256的工作量證明相對抗量子，因為Grover算法只提供平方級的加速，這可以通過增加參數來抵消。

但鏈上數據也同樣清楚：約25%的比特幣已經在公鑰曝光的輸出中，約有170萬BTC來自Satoshi時代的P2PK輸出，還有數十萬在新型Taproot輸出中，公鑰已曝光。這些資產並非“凍結”。它們在等待。

塞勒的確有道理，比特幣可以在量子攻擊來臨時變得更強——但前提是管理層合作，持有者提前遷移，攻擊者永遠不會利用這段時間。這不是保證，而是一場關於協調、政治和技術的賭注。數學支持他的樂觀，但比特幣的治理現實則充滿變數。