量子威脅：比特幣會被破解嗎？

比特幣的SHA-256哈希在量子攻擊下仍然相對安全，但一旦存在大規模量子機器，ECDSA籤名就會完全被破解。

專家們對時間線存在分歧：一些人說量子威脅可能要到2035年之後才會出現，另一些人則警告它可能會在2027年至2030年之間到來。

開發者正在準備分階段的遷移計劃以應對後量子籤名，但行動的延遲帶來的風險大於量子計算本身。

SHA-256、橢圓籤名算法與當今量子機器的局限性

比特幣的安全基礎是兩個算法：SHA-256 哈希和橢圓籤名算法。SHA-256 保護區塊鏈的不可變性，而 ECDSA 是交易認證和資金轉移的關鍵。在經典計算機的世界裏，這兩者被視爲幾乎不可破譯。但量子計算是對這一假設的首次真正挑戰。

理論上，Shor 算法可以以指數級的速度解決橢圓曲線離散對數問題，從而使得從公鑰推導私鑰成爲可能。一旦攻擊者擁有足夠強大的量子計算機，他們就可以僞造籤名並竊取資金。與此同時，Grover 算法可以將 SHA-256 的暴力搜索從 2^256 降低到 2^128，仍然龐大，但在長期內不再不可及。

然而，現實遠遠落後於理論。今天最好的處理器僅持有稍超過一千個量子位。破解256位ECDSA需要數百萬個量子位。研究表明，在一天內破解一個私鑰需要大約1300萬個量子位，而在一個小時內則需要超過3億個。與IBM的1000量子位Condor芯片相比，這個差距是四個數量級。

目前，比特幣依然安全。量子威脅仍然是遠在地平線上的一朵雲。沒有人能說它何時會到來，但每個人都知道，一旦它到來，比特幣的安全故事將永遠改變。

時間線辯論：2030年還是更遠？

關於量子計算何時會成爲真正的威脅尚無共識。保守派人士認爲這至少還有十年的時間。2021年，NSA明確表示：目前尚不清楚何時，甚至是否會存在一臺足夠強大的量子計算機來破壞當前的加密。如果這是真的，比特幣還有時間準備。

但激進的預測指向一個更接近的時間窗口。一些研究人員認爲，到2027年至2030年，能夠威脅比特幣的機器可能會出現。錯誤糾正和拓撲量子比特的進展可能會將預期時間縮短數年甚至幾十年。“量子奇點”可能會比許多人想象的早到來。

這造成了一個困境。過早切換到後量子算法會增加成本並降低效率。等待太久則有可能在量子計算能力到來時面臨突然崩潰。因此，2030年成爲了一個折中之年。到那時，比特幣應該完成向量子安全籤名的遷移路徑。

對於投資者來說，這個時間線很重要。如果你認爲量子計算還很遙遠，比特幣仍然是“數字黃金”。如果你相信它即將到來，那麼保管、存儲和策略必須立即適應。

構建抗量子比特幣

開發者們已經開始進行規劃。直接的解決方案是用後量子籤名替代ECDSA。NIST已經選擇了CRYSTALS-Dilithium、Falcon和SPHINCS+作爲首批標準。這些基於格、哈希和一次性籤名的方案對已知的量子攻擊具有抵抗力。

在2025年，一份草案BIP提議了一個分階段遷移的計劃：首先限制舊地址的使用，然後凍結基於ECDSA的輸出，最後爲丟失的幣創建一個恢復路徑。整個過程的目標是到2030年。

其他路徑是存在的。有些人提議新的腳本指令，以允許自願的量子安全一次性籤名。還有人建議升級閃電網絡密鑰交換。

實用的最佳實踐也很有幫助。避免地址重用，將資金分散到未使用的地址，並縮短公鑰暴露的時間窗口。薩爾瓦多的財政部將其比特幣分成超過十個地址，每個地址下限爲500 BTC，以作爲對未來量子威脅的防御措施。

比特幣的力量在於它的社區。開發者、礦工、公司和持有者共同可以建立安全升級所需的共識。

如果量子計算打破比特幣

如果比特幣在升級之前遭遇強大的量子攻擊，後果可能是災難性的。在鏈上，任何公開密鑰暴露的地址都將被耗盡。大約四分之一的所有UTXO處於這種狀態，包括許多舊的“沉睡幣”。它們將會在一夜之間被盜。

共識也會受到影響。使用Grover算法的量子礦工可以在工作量證明中獲得二次加速。這樣，他們可能會主導哈希算力並進行51%攻擊：雙重支付、審查交易或重寫歷史。

市場將立即作出反應。比特幣的價值建立在對其不可變性的信任上。如果這一點失去，價格崩潰隨之而來。交易所和支付服務可能會停止，恐慌將在加密貨幣中蔓延，並溢出到更廣泛的金融系統中。

社區可以嘗試進行硬分叉到一個量子安全鏈並凍結被盜幣。但快速達成全球共識很困難，而分叉風險會導致網路分裂。事實上，威脅並不是量子計算本身，而是在它到來之前行動的延遲。

量子不是比特幣的末日。拖延和自滿才是。

〈量子威脅：比特幣會被攻破嗎？〉這篇文章最早發布於《CoinRank》。