逾 170 万枚 BTC 面临攻击？比特币再陷量子攻击争议，公链开启防御战

量子攻击长期存在于比特币的叙事中。过去，这种威胁更多被视为理论层面的黑天鹅。然而，随著量子运算技术的快速演进，这场争议似乎正在转变。

近期，Castle Island Ventures 共同创办人 Nic Carter 指出，量子运算距离破解比特币仅剩「工程性难题」。这项论点在社群引发了分歧，有人斥其为故意制造恐慌，也有人认为这是必须正视的生存危机。同时，目前已有不少项目开始未雨绸缪，积极探索并部署防御量子攻击的方案。

量子攻击警报升级？协议修改或耗时十年

量子运算对比特币的威胁并非新议题。近期，量子运算技术的快速进展再次将此问题推到台前。例如，Google 不久前发布的最新量子处理器，在特定任务上的运算速度已实证性地超越全球最强超级电脑，这类突破虽未直接威胁比特币，但重新加剧了对比特币安全性的讨论。

上周末，比特币倡议者 Nic Carter 发布长文痛斥比特币开发者正以梦游般的状态，走向一场可能导致系统崩塌的危机。

文章核心指出，比特币赖以生存的椭圆曲线密码学（ECC），理论上是可以被电脑科学家 Peter Shor 提出的演算法攻破。中本聪在设计比特币时就考虑过这一点，并认为比特币需要在量子运算变得足够强大时升级。尽管目前量子算力距离破解理论门槛仍有几个数量级，但量子技术突破正在加速。著名量子理论学家 Scott Aaronson 将其称为「极其困难的工程难题」，而不是需要新的基础物理发现的问题。今年以来，量子领域在纠错技术和资金投入上均取得显著进展，NIST（美国国家标准与技术研究院）等机构已要求在 2030 至 2035 年间弃用现有的加密演算法。

Carter 指出，目前约有 670 万枚 BTC（价值逾 6000 亿美元）直接暴露在量子攻击风险下。更棘手的是，其中包括约 170 万枚属于中本聪及早期矿工的 P2PK 地址比特币，处于「永久遗失」状态。即便比特币升级了抗量子签名，这些无人认领的「僵尸币」也无法完成迁移。届时，社群将陷入残酷的两难选择，要么违背「私有财产不可侵犯」的绝对信条，透过硬分叉强制冻结这些资产，从而引发信仰危机，要么放任量子攻击者窃取这些币成为最大持有者，导致市场崩溃。

理论上，比特币可以进行软分叉，并采用后量子（PQ）签名方案。目前确实存在一些抗量子加密签章方案。但主要问题在于如何确定具体的后量子方案、组织软分叉，以及如何费力地将数千万个拥有余额的地址全部迁移过去。而参考过往 SegWit 和 Taproot 的升级历程，完成抗量子迁移的讨论、开发及共识达成可能耗时长达十年，这种迟缓是致命的。 Carter 批评开发者陷入了严重的战略误判，过去十年，大量资源被耗费在闪电网络扩容或次要争论上，对于区块大小和脚本的细微改动表现出极端偏执的谨慎，却唯独对这一能让系统归零的威胁表现出令人费解的冷漠与自满。

相较之下，以太币和其他公链凭借著更灵活的治理机制或已率先启动的后量子测试，在韧性上远远超越比特币。 Carter 最后警告，如果继续忽视这一「房间里的大象」，等到危机临头时，仓促的恐慌性反应、紧急分叉乃至社群内战，恐怕会比量子攻击本身更先摧毁机构对比特币的信任。

Carter 的言论迅速引发社群讨论。 Bitcoin Core 开发者 Jameson Lopp 回应称，「我已经公开讨论量子运算对比特币构成的风险问题已有 18 个月。我的主要结论是：我真心希望量子运算的发展能够停滞甚至消退，因为为了适应后量子时代，比特币的改造将非常棘手，原因有很多。

但这观点也引发了不小的争议。例如，Blockstream 执行长 Adam Back 批评 Carter 夸大了人们对量子运算可能对比特币构成威胁的担忧。比特币专家 Pledditor 则表示 Carter 在故意制造焦虑，他旗下的基金（Castle Island Ventures）投资了一家新创公司，该公司销售用于将区块链过渡到抗量子攻击的工具。

多方视角的量子挑战，时间判断、技术应对与落地难题

围绕量子运算是否会威胁比特币安全，比特币 OG 、 VC 、资管和从业人员等均给出了不同的判断。有人认为这是迫在眉睫的系统性风险，有人视其为被过度放大的科技泡沫，也有人认为，量子威胁反而可能强化比特币的价值叙事。

对一般投资人而言，核心问题只有一个：威胁何时到来？目前的产业主流共识倾向于，短期内无需恐慌，但长期风险真实存在。

灰度在「2026 年数位资产展望」中明确表示，尽管量子威胁真实存在，但对于 2026 年的市场而言，这只是一个「假警报」，不会影响短期估值；F2Pool 联合创始人王纯更直言，量子运算目前仍属「泡沫」，即便遵循摩尔定律，要实质性破解比特币的加密标准（secp256k1），仍需 30 至 50 年；a16z 也在报告中指出，能够破解现代加密系统的电脑在 2030 年前出现的可能性极低；Adam 比特币推动者出现的可能性极低；Adam 比特币出现的可能性极低； Back 也持乐观态度，认为比特币至少在 20 到 40 年内是安全的，且 NIST（美国国家标准与技术研究院）已批准了后量子加密标准，比特币有足够​​的时间进行升级。

不过，加密资产管理公司 Capriole Investment 创始人 Charles Edwards 发出警告，认为威胁比普遍认知的更迫近，敦促社群在 2026 年前构建防御体系，否则在量子竞赛中迟到可能导致比特币「归零」。

而当量子攻击到来，风险的大小取决于比特币的储存方式以及持有年代。长期比特币持有者 Willy Woo 和德勤均指出 P2PK（直接公钥，目前持有约 171.8 万枚 BTC）地址将是重灾区。原因在于，早期比特币地址（如中本聪使用的）在花费或接收时会在链上直接暴露完整的公钥。理论上，量子电脑可以透过公钥反推私钥。一旦防线突破，这些地址将首当其冲。若不及时转移，这些资产可能被「定点清除」。

但 Willy Woo 也补充道，较新的比特币地址类型并不那么容易受到量子攻击，因为它们不会在链上暴露完整的公钥；如果公钥未知，量子电脑就无法据此产生对应的私钥。因此，绝大多数一般用户的资产并不会立刻面临风险。而如果市场因量子恐慌而发生闪崩，那将是比特币 OG 进场的良机。

从技术层面来看，市场已有解决方案，例如升级到抗量子签名，但如前文所提到的，但问题在于落地难度。

a16z 近期犀利指出，比特币面临两大现实困境，一是治理效率低下，比特币的升级极度缓慢，若社群无法达成共识，可能引发破坏性的硬分叉；二是迁移的主动性，升级无法被动完成，用户必须主动将资产转移到新地址。这意味著大量休眠的币种将失去保护。据估算，此类易受量子攻击且可能被弃置的比特币数量达数百万枚，以当前市值计算价值高达数千亿美元。

Cardano 创办人 Charles Hoskinson 也补充道，全面部署抗量子加密代价高昂。抗量子加密方案本身已在 2024 年由美国国家标准与技术研究院完成标准化，但在缺乏硬体加速支援的情况下，其运算成本和数据规模将显著降低区块链吞吐量，可能带来约一个数量级的效能损失。他指出，判断量子运算风险是否进入可用阶段，应多参考 DARPA 的量子基准测试计划（预计 2033 年评估可行性）。只有当科学社群确定量子硬体能稳定执行破坏性运算时，全面换装加密演算法才有急迫必要。过早行动，只是将稀少的链上资源浪费在不成熟的技术上。

而 Strategy 共同创办人 Michael Saylor 则反应认为，任何对协议的更改，都应该非常谨慎。比特币的本质是一种货币协议，而它缺乏快速变化和频繁迭代，正是它的优势，而不是缺陷。因此比特币协议的修改必须极度保守，必须确保达成全球共识。「如果你想破坏比特币网络，最有效的方式之一，就是给一群极其优秀的开发者无限资金，让其不断改进它。」

Saylor 也表示，随著网路最终升级，活跃的比特币将会迁移到安全地址，而那些遗失私钥或无法操作的比特币（包括被量子电脑锁定的）将永久冻结。这将导致比特币有效供应量减少，反而使其更强大。

从理论到实践，公链开启抗量子保卫战

尽管量子风暴尚未到来，公链们已打响了保卫战。

比特币社群方面，今年 12 月 5 日，Blockstream 研究人员 Mikhail Kudinov 和 Jonas Nick 发布的修订论文中提出，基于哈希的签名技术可能是保护价值 1.8 万亿美元的比特币区块链免受量子电脑威胁的关键解决方案。研究人员认为，基于哈希的签章是一个令人信服的后量子解决方案，因为其安全性完全依赖与比特币设计中已有的杂凑函数假设相似的机制。此方案已在美国国家标准与技术研究院的后量子标准化过程中经过广泛的密码分析，增强了其稳健性的可信度。

以太坊将后量子密码学（PQC）纳入其长期路线图，特别是作为 Splurge 阶段的重要目标，以应对未来量子运算的威胁。策略采用层级化升级，利用 L2 作为测试沙箱运行抗量子演算法，候选技术包括基于格和基于杂凑的密码学，确保在保护 L1 安全的同时实现平滑过渡。不久前，以太坊联合创始人 Vitalik Buterin 再次警告称，量子电脑可能在 2028 年破解以太坊的椭圆曲线加密。他敦促以太坊社群在四年内升级至抗量子加密，以保护网路安全，并建议，应将创新重点放在二层解决方案、钱包和隐私工具上，而不是频繁更改核心协议。

新兴公链们也将抗量子方案提上日程。例如，近日 Aptos 宣布提出一项引入抗量子签章的改良提案 AIP-137，计划在帐户层级支持抗量子数位签章方案，以因应量子运算发展可能对现有加密机制带来的长期风险。该方案将以可选形式引入，不影响现有帐户。根据提案，Aptos 拟支援已标准化为 FIPS 205 的基于哈希的签章方案 SLH-DSA；

Solana 基金会也最近宣布与后量子安全公司 Project Eleven 合作，推进 Solana 网路的抗量子安全布局。作为合作的一部分，Project Eleven 已对 Solana 生态进行了全面量子威胁评估，涵盖核心协议、用户钱包、验证者安全及长期加密假设，并成功原型化部署了一个采用后量子数字签名的 Solana 测试网，验证了端到端抗量子交易在现实环境中的可行性与可扩展性。

Cardano 目前正采用渐进手法来应对未来量子运算威胁，例如以 Mithril 协定为区块链建立后量子检查点，在不影响主网目前效能的前提下增加备援。待硬体加速成熟后，将后量子方案逐步合并到主链，包括 VRF 、签章等全面替换。这种做法就像是先把救生艇放到甲板上，再观察风暴是否真的形成，而不是在风暴来临前就慌忙把整艘船改造成迟缓的钢铁堡垒。

Zcash 则开发了量子可恢复机制，让使用者将旧资产迁移至更安全的后量子模式。

总的来说，尽管量子危机尚未兵临城下，但其技术演进的加速度已是不争的事实，防御战略正成为加密项目必须直面的现实，接下来预计会有更多公链将加入这场攻防战。