量子電腦末日倒數？Blockstream CEO：比特幣還有 20 年準備時間

Blockstream 執行長 Adam Back 表示，比特幣在未來 20 到 40 年內「可能」不會面臨任何與密碼學相關的量子電腦攻擊。多年來，量子電腦一直是加密貨幣領域最受關注的末日場景，每當某個實驗室宣布量子位元里程碑時，這種威脅就會週期性再現。

量子電腦末日論的週期性恐慌

多年來，量子電腦末日場景一直是加密貨幣領域最受關注的威脅，一種遙遠但又具有生存威脅的現象，每當某個實驗室宣布量子位元里程碑時，這種威脅就會週期性地再次出現。故事的發展遵循著可預測的軌跡：研究人員取得了一些漸進式的突破，社交媒體上爆發了「比特幣已死」的預測，然後新聞週期繼續向前。

但 Adam Back 11 月 15 日關於 X 的評論打破了這種混亂局面，提出了一種該領域迫切缺乏的東西：一個基於物理學而不是恐慌的時間線。Blockstream 的執行長 Back 曾表示，他的 Hashcash 工作量證明系統比比特幣本身還要早出現。當被問及如何加速量子研究時，他給了一個直言不諱的評價：比特幣在未來 20 到 40 年內「可能」不會面臨任何與密碼學相關的量子電腦的攻擊。

更重要的是，他強調比特幣不必被動地等待那一天的到來。NIST 已經將量子安全簽名方案（例如 SLH-DSA）標準化，比特幣可以在任何量子機器構成真正威脅之前很久，透過軟分叉升級來採用這些工具。他的評論將量子電腦末日風險從一場無法解決的災難重新定義為一個可以解決的工程問題，並有數十年的時間來解決。

這種區別至關重要，因為比特幣真正的漏洞並非大多數人所想的那樣。威脅並非來自用於保障挖礦過程安全的哈希函數 SHA-256，而是來自基於 secp256k1 橢圓曲線的 ECDSA 和 Schnorr 簽名，即用於證明所有權的加密技術。運行 Shor 演算法的量子電腦可以解決 secp256k1 上的離散對數問題，從公鑰導出私鑰，從而使整個所有權模型失效。在純數學領域，Shor 演算法使得橢圓曲線密碼學過時了。

工程理論與現實之間的巨大鴻溝

但數學和工程學存在於不同的領域。打破一條 256 位元橢圓曲線需要大約 1600 到 2500 個邏輯糾錯量子位元。每個邏輯量子位元都需要數千個實體量子位元來維持相干性和修正錯誤。根據 Martin Roetteler 和其他三位研究人員的工作進行的一項分析計算得出，在與比特幣交易相關的狹窄時間窗口內破解 256 位 EC 密鑰，在實際錯誤率下大約需要 3.17 億個物理量子比特。

了解量子硬體的現狀至關重要。加州理工學院的中性原子系統運作約 6100 個實體量子比特，但這些量子位元有噪聲，缺乏糾錯機制。Quantinuum 和 IBM 的更成熟的基於閘的系統可以運行數十到數百個邏輯品質的量子位元。當前能力與密碼學相關性之間的差距跨越了幾個數量級，這不是一個小小的進步，而是一道鴻溝，需要量子位元品質、糾錯和可擴展性方面取得根本性的突破。

美國國家標準與技術研究院（NIST）在其後量子密碼學解釋中明確指出：目前尚無任何與密碼學相關的量子電腦，專家對其出現時間的預測也存在很大差異，一些專家認為「不到 10 年」仍有可能實現，而另一些專家則斷言，量子電腦的出現至少要等到 2040 年以後。中位數觀點集中在 2030 年代中後期，這使得 Back 提出的 20 至 40 年的時間窗口顯得保守而非魯莽。

從當前 6100 個物理量子比特到所需的 3.17 億個物理量子比特，這個數量級的躍升需要的不僅是工程優化，更需要基礎物理學的突破。量子電腦末日論者往往忽略了這種指數級的差距，將漸進式的量子比特數增長誤讀為即將到來的威脅。

遷移路線圖已經存在且正在成熟

Back 的「比特幣可以隨著時間的推移而升級」的評論指向了開發者之間已經流傳的具體提案。BIP-360，標題為「支付抗量子哈希」，定義了新的輸出類型，其中支出條件包括經典簽名和後量子簽名。單一 UTXO 在兩種方案下均可使用，從而實現逐步遷移而不是硬性終止。

Jameson Lopp 和其他開發者基於 BIP-360 制定了一個多年遷移計劃。首先，透過軟分叉新增支援 PQ 的位址類型。然後，逐步鼓勵或補貼將代幣從易受攻擊的輸出地址轉移到受 PQ 保護的輸出地址，並在每個區塊中專門預留一些區塊空間用於這些「救援」操作。早在 2017 年，學術界就已經提出類似的過渡方案。

用戶端的分析揭示了這一點的重要性。大約 25% 的比特幣（約 400 萬到 600 萬枚）存在於公鑰已公開在鏈上的地址類型中。比特幣早期的公鑰支付（P2PKH）輸出、重複使用的 P2PKH 地址以及一些 Taproot 輸出都屬於此類。一旦基於 secp256k1 的 Shor 攻擊變得可行，這些幣種就會立即成為攻擊目標。

量子威脅下的比特幣保護層級

高風險資產（25%）：公鑰已暴露的舊地址，量子電腦可直接攻擊

中等風險資產：重複使用的現代地址，公鑰在首次交易後暴露

低風險資產：全新未使用的 SegWit/Taproot 地址，公鑰隱藏在哈希後

零風險資產：未來採用 PQ 簽名方案的地址，完全抗量子攻擊

現代最佳實踐已經提供了相當程度的保護。使用全新 P2PKH、SegWit 或 Taproot 位址而不重複使用的用戶，可以獲得關鍵的時間優勢。對於這些輸出，公鑰在首次花費之前一直隱藏在哈希值後面，從而壓縮了攻擊者在內存池確認期內運行 Shor 的時間窗口，該時間以分鐘而不是年來衡量。

後量子工具箱已準備就緒

Back 提到 SLH-DSA 並非隨意提及。2024 年 8 月，NIST 最終確定了第一批後量子標準：FIPS 203 ML-KEM 用於密鑰封裝，FIPS 204 ML-DSA 用於基於格的數位簽名，以及 FIPS 205 SLH-DSA 用於無狀態雜湊數位簽章。NIST 也將 XMSS 和 LMS 標準化為有狀態雜湊方案，而基於格的 Falcon 方案也正在開發中。

比特幣開發者現在可以從一系列經 NIST 批准的演算法中進行選擇，同時還可以參考相應的實作和函式庫。以比特幣為中心的實現已經支持 BIP-360，這表明後量子工具箱已經存在並不斷成熟。該協議不需要發明全新的數學，它可以採用經過多年密碼分析的既定標準。

但這並不意味著實現過程一帆風順。一篇發表於 2025 年的論文研究了 SLH-DSA，發現其易受 Rowhammer 式故障攻擊，並強調雖然安全性依賴於普通的哈希函數，但實現過程中仍需要進行加固。後量子簽名也比經典簽名消耗更多資源，這引發了人們對交易規模和費用經濟性的問題。但這些是具有已知參數的工程問題，而不是未解的數學謎題。

量子電腦末日場景與實際工程挑戰之間的差異在於：前者是不可控的物理威脅，後者是可以透過軟體升級、社群協調和時間管理來解決的問題。

2025 年的威脅是治理而非量子物理

貝萊德旗下的 iShares 比特幣信託（IBIT）於 2025 年 5 月修改了招股說明書，納入了有關量子電腦風險的大量披露信息，並警告稱，足夠先進的量子電腦可能會破壞比特幣的加密技術。分析師立即意識到這是標準的風險因素揭露，是與通用技術和監管風險一起列出的格式語言，而不是貝萊德預期即將發生量子攻擊的訊號。近期的威脅在於投資人情緒，而不是量子電腦技術本身。

SSRN 2025 年的研究發現，與量子電腦相關的新聞會引發部分資金轉向專門針對量子計算的加密貨幣。然而，傳統加密貨幣在此類新聞發布前後僅表現出輕微的負收益和交易量激增，而非結構性重定價。在研究 2024 年和 2025 年比特幣走勢的真正驅動因素時，透過 ETF 資金流動、宏觀經濟數據、監管和流動性週期，量子計算很少被視為直接原因。

決定比特幣量子韌性的問題是：開發者能否圍繞 BIP-360 或類似提案達成共識；社區能否在不分裂的情況下激勵傳統幣種的遷移；以及溝通能否保持足夠理性，以防止恐慌超出物理規律。到 2025 年，量子電腦帶來治理方面的挑戰，需要製定 10 到 20 年的路線圖，而不是決定本輪價格走勢的催化劑。物理學的發展是緩慢的，但其發展路線圖是清晰可見的。比特幣的作用是在硬體到來之前就採用 PQ 就緒工具，並且這樣做不會造成治理僵局，從而避免將一個可解決的問題變成一場自找的危機。