比特币草案BIP 360引入P2MR，推动量子抗性发展

比特币开发者已更新草案BIP 360，引入了支付到默克尔根（P2MR）——一种旨在降低长期量子风险同时保留Taproot脚本灵活性的提议输出类型。该提案完全移除了Taproot的钥路径支出，直指现代比特币地址中最易受到未来量子攻击的部分。

P2MR或许为比特币迈向量子抗性提供保守的第一步

比特币改进提案（BIP）360目前仍在审查中，尚未激活，提出了P2MR作为一种量子抗性替代方案，取代Pay-to-Taproot（P2TR），通过直接承诺Tapscript树的默克尔根，而不包括用于钥路径支出的公钥。在实际操作中，它表现得像只使用脚本路径的Taproot输出。

这一区别很重要，因为Taproot的钥路径支出会暴露一个公钥。在当前的密码学条件下，从公钥推导私钥在计算上是不可行的。但理论上，运行Shor算法的强大量子计算机可以逆向破解椭圆曲线密码学。P2MR仅仅是将这个暴露的公钥从方程中移除。

值得注意的是，P2MR没有引入新的签名方案或操作码。它保留了完整的Tapscript（BIP 342）功能和默克尔化抽象语法树（MAST）风格的脚本树，包括叶子版本、控制块和附加数据——只是不包括内部公钥。钱包可以重用其现有的Taproot代码。

输出仍然是32字节的哈希值，标记为“TapBranch”，提供128位的碰撞抵抗能力，类似于P2WSH。开发者将其描述为迈向量子抗性的保守第一步，而非全面的密码学革新。

该提案已多次重写和更名。最初在2024年草拟为P2QRH（“支付到量子抗性哈希”），到2025年末改为P2TSH（“支付到Tapscript哈希”），最终在社区反馈认为名称应更准确反映输出承诺内容后，定为P2MR（“支付到默克尔根”）。

目前，BIP 360仍是一个草案拉取请求，尚未合并或安排激活。相关讨论仍在比特币开发者邮件列表和社区论坛中进行。

为什么存在量子担忧

比特币的主要量子脆弱点在于签名方案，而非哈希。暴露在链上的公钥地址最易受到攻击，因为Shor算法理论上可以计算出私钥。

传统的Pay-to-Public-Key（P2PK）地址将公钥直接嵌入锁定脚本中，持有约170万比特币，成为主要的长距离目标。重复使用的Pay-to-Public-Key-Hash（P2PKH）地址在花费时揭示公钥后也变得脆弱。Taproot的钥路径支出同样会暴露一个经过调整的公钥。

关于面临风险的比特币比例估计差异很大。一些分析认为在某些定义下，20%到50%的供应可能受到影响，而另一些则认为只有少部分会引发市场的重大动荡。量子计算机在密码学上相关的时间表通常被预测为数年或数十年后，但不确定性促使人们展开辩论。

P2MR并不能解决在内存池窗口期的短期暴露风险，也不引入后量子签名。它关注的是开发者所称的“长时间暴露”威胁——即持币多年且公钥公开可见的情况。

实际上，P2MR允许用户——尤其是长期持有者或参与Lightning、BitVM或Ark风格协议的用户——将资金迁移到消除最明显ECC暴露的输出中，同时保留Taproot的脚本优势。这是演化性的，而非革命性的。

对于偏好渐进式软叉而非大规模重构的网络来说，这种态度是有意为之。量子威胁或许尚远，但BIP 360表明开发者至少在“检查出口”——冷静、系统地，并带着密码学的功课。

常见问答 ❓

• 比特币的BIP 360中的P2MR是什么？

P2MR（支付到默克尔根）是一种提议的输出类型，移除了Taproot的钥路径支出，同时保留完整的Tapscript功能。

• 为什么一些比特币地址容易受到量子攻击？

暴露在链上的公钥地址可能被Shor算法用量子计算机推导出私钥，从而带来风险。

• BIP 360引入后量子签名吗？

没有，它是一个保守的步骤，不增加新的签名方案或操作码。

• BIP 360目前在比特币中激活了吗？

没有，它仍是一个处于审查中的草案拉取请求，没有激活时间表。