密码学家 Adam Back 表示，比特币在未来 20 至 40 年内将不会受到量子计算威胁

比特币量子安全时间表：20–40 年窗口期

根据密码朋克及 Blockstream 首席执行官 Adam Back 的观点，未来至少 20 到 40 年内，量子计算不太可能对比特币构成实质性威胁。这位长期从事密码学研究、曾被比特币白皮书引用的专家，近期针对加密货币社区对量子计算影响比特币安全的担忧作出了回应。

Back 的判断是对社交平台上“量子攻击”即将威胁比特币加密基础的讨论热度上升而作出的回应。他指出，目前的担忧被过度夸大，且缺乏与量子计算实际进展相符的技术依据。

在最新声明中，Back 回应了全球量子研究加速下社区对比特币脆弱性的提问。他表示，比特币“很可能”在“20–40 年”内不会受到影响，并强调美国国家标准与技术研究院（NIST）已批准后量子加密标准。这些标准为比特币在量子计算机具备破解 SHA-256 算法能力前，提前采用抗量子加密提供了清晰路径。

他的观点既基于当前量子硬件的局限性，也依托于后量子密码方案的前瞻研发。这一时间窗口为比特币开发者社区留出充足时间，在不影响网络完整性或用户资金安全的前提下，推进必要的安全升级。

尽管预测引发热议，实用量子攻击距离现实仍然遥远

Back 的理性评估与近月来流传甚广的危机论预测形成鲜明对比。一则由风险投资人 Chamath Palihapitiya 主持的热门视频称，量子威胁可能在两到五年内就会出现，引发加密货币投资者和开发者的广泛关注。

Palihapitiya 的预测基于破解 SHA-256 加密哈希函数大约需要 8,000 个量子比特（qubit）的计算。对此，Back 通过强调理论上所需量子比特数量和实际量子计算能力之间的巨大差距，质疑了该时间表的可行性。

当前的量子计算系统主要受限于噪声水平和规模。加州理工学院（Caltech）研发的最大中性原子量子系统已实现约 6,100 个物理量子比特。尽管这是量子计算研究的重要进展，但由于系统固有的高错误率，这些物理量子比特距离实际用于破解加密还相差甚远。

关键在于物理量子比特与逻辑量子比特的区别。物理量子比特极易受环境影响和量子退相干，需要大量纠错机制。实际应用要求逻辑量子比特——即经过纠错、能稳定运算的量子比特。目前如 Quantinuum 的 Helios 处理器等较为先进的系统，仅能提供约 48 个逻辑量子比特，远未达到加密攻击所需规模。

基于门控的量子系统近期已突破 1,000 个物理量子比特门槛，Atom Computing 宣布其系统超过了这一里程碑。然而，与运行 Shor 算法（即可破解如 RSA-2048 或比特币 ECDSA 等现有加密标准）所需的数千逻辑量子比特相比，尚有数个数量级的差距。

尽管量子计算与密码学专家普遍认为目前技术条件下无法对比特币发起实用量子攻击，但长期威胁趋势仍然不可忽视。“现在收集，日后解密”（harvest now, decrypt later）的策略在传统网络安全领域已成为隐忧，攻击者会收集加密数据，待量子计算机能力提升后再行破解。虽然此类攻击因比特币特有的加密结构对其所有权模式影响有限，但也反映出数字基础设施需及时升级安全机制，以应对量子能力不断演进的现实。

比特币真的准备好迎接量子时代了吗？

去年以来，比特币开发社区关于量子安全防护的讨论日益激烈。各类技术议题、改进提案和安全评估不断涌现，开发者和研究人员致力于保障比特币在面对量子威胁时的长期安全。

近几个月，链上分析师 Willy Woo 建议用户将比特币从 Taproot 地址迁出，理由是直接暴露公钥的地址格式在量子攻击情境下可能最先受到威胁。Taproot 是比特币近期最大升级，带来了全新签名方案，提升了隐私和效率，但和传统地址格式相比，其量子安全表现或存在差异。

前比特币核心开发者 Jonas Schnelli 进一步指出，旧地址格式短期内对量子威胁的防护可能更优。但他强调，一旦量子计算机具备攻击内存池（mempool）中交易的能力，任何用户自主迁移方案都无法被视为完全安全。内存池是待确认交易的缓冲区，该环节一旦被量子计算机攻破，未上链交易就有被截获和篡改的风险。

比特币开发者社区正在积极推进比特币改进提案 360（BIP-360），旨在引入抗量子 ML-DSA（基于模块格的数字签名算法）签名。该方案已被 NIST 于 2024 年选定为后量子密码标准化项目的一部分。由著名比特币开发者 Jameson Lopp 起草的提案，制定了多年的过渡策略，计划在量子计算机构成现实威胁前淘汰旧签名方案。

BIP-360 支持者认为，提案为原本极其复杂、容易混乱的升级过程提供了清晰框架，规定了技术规范、迁移时间表及兼容性要点。但也有批评者认为，只有协议层面的全面改革才能为用户带来真正可靠的量子防护，渐进式改进可能无法彻底应对威胁。

业界对量子威胁时间表的看法依旧分歧明显。包括 Solana 联合创始人 Anatoly Yakovenko 在内的专家警告，随着人工智能加速量子研究和硬件优化，量子技术在五年内取得突破并非不可能。这一观点强调了科技突变的不可预测性和量子能力跃升的潜力。

分析师估算，目前约有 600 万至 700 万枚 BTC 存放在旧地址格式，这部分资产将率先面临潜在量子攻击风险。这些主要是比特币早期采用的 P2PK（公钥付款）地址，其公钥直接暴露在区块链上，理论上比新型仅在花费时公开公钥的地址更易受量子密码分析影响。

量子威胁的实际影响已促使大型比特币持有者采取行动。萨尔瓦多目前有超过 6,000 枚 BTC 作为国家财政储备，近期已将持仓分散至 14 个不同地址。此前，安全专家曾批评该国将所有国库比特币集中存于单一地址，既存在量子安全隐患，也带来运维风险。

近年来，多位量子计算研究者修正了威胁时间预测，越来越多专家认为实际加密攻击或将在 2020 年代末至 2030 年代初成为现实。这一趋势反映出，随着硬件效率提升和纠错技术进步，破解加密所需的量子系统规模正持续缩小。

部分量子计算初创企业甚至宣称开发出拥有数十万量子比特的专用架构，理论上可威胁 256 位椭圆曲线签名。尽管这些预测高度不确定，且面临巨大技术障碍，但也推动了后量子安全准备的紧迫性。

协议开发者普遍认为，升级比特币等去中心化网络远比传统中心化系统需要更多协调和共识。后量子签名方案通常涉及更大密钥和更高算力开销，对钱包开发商、节点运营者和矿工在安全、性能及用户体验间带来挑战。

部分比特币相关项目已率先尝试后量子基础设施。比特币侧链平台 Rootstock 及 Naoris Protocol 已启动抗量子密码实现的研究。在硬件钱包领域，Trezor 等厂商也针对量子威胁开发了 Safe 7 等型号，集成支持未来后量子加密标准的量子安全固件升级方案。

比特币量子安全的路径在于平衡当下需求与长远规划。虽然 Adam Back 提出的 20–40 年窗口期让市场不必恐慌，但比特币开发社区仍在提前部署强健的后量子安全措施。这一前瞻性行动体现了加密生态对比特币安全承诺的坚守，适应计算技术的持续演进。

常见问题

量子计算对比特币安全有哪些威胁？

量子计算机理论上可破解比特币在密钥生成和交易签名环节使用的 ECDSA 加密。但随着量子技术成熟尚需时日，比特币在未来 20–40 年内依然安全。网络可在量子威胁真正到来前升级加密算法，保障长期安全。

Adam Back 为什么认为比特币在 20–40 年内能抵御量子威胁？

Adam Back 认为比特币加密算法在未来 20–40 年内对量子计算仍具防御力，因为当前量子技术尚不足以威胁现有安全协议。比特币可以在量子计算机成为现实威胁前，及时升级至 后量子加密。

量子计算机何时会真正威胁比特币加密算法？

据密码学家 Adam Back 分析，比特币在未来 20–40 年内不会受到量子威胁。目前量子计算机尚无法破解比特币的 ECDSA 加密，须等重大技术突破后，量子计算才会对比特币安全构成现实威胁。

比特币社区正在采取哪些措施应对未来量子威胁？

比特币社区正推进后量子密码研究、开发抗量子算法并规划协议升级。核心举措包括探索格签名、提升钱包安全标准、资助抗量子开发等。专家如 Adam Back 也确认，比特币有 20–40 年窗口期来部署完善的应对方案和迁移路径。

量子计算若成现实，比特币需要哪些升级或改进？

比特币应从 ECDSA 迁移到抗量子加密算法。这可能通过软分叉升级引入后量子签名方案，使用户在保障网络安全和兼容性的同时，迁移至量子安全地址格式。

普通比特币持有者当前需为量子时代做哪些准备？

绝大多数比特币持有者当前无需采取紧急措施。比特币在未来 20–40 年内可有效防范量子威胁。用户应关注协议升级动态，在量子安全地址推出后考虑迁移资产，并及时获取行业进展和官方社区建议。