量子威胁：比特币会被破解吗？

比特币的SHA-256哈希在量子攻击下仍然相对安全，但一旦存在大规模量子机器，ECDSA签名就会完全被破解。

专家们对时间线存在分歧：一些人说量子威胁可能要到2035年之后才会出现，另一些人则警告它可能会在2027年至2030年之间到来。

开发者正在准备分阶段的迁移计划以应对后量子签名，但行动的延迟带来的风险大于量子计算本身。

SHA-256、椭圆签名算法与当今量子机器的局限性

比特币的安全基础是两个算法：SHA-256 哈希和椭圆签名算法。SHA-256 保护区块链的不可变性，而 ECDSA 是交易认证和资金转移的关键。在经典计算机的世界里，这两者被视为几乎不可破译。但量子计算是对这一假设的首次真正挑战。

理论上，Shor 算法可以以指数级的速度解决椭圆曲线离散对数问题，从而使得从公钥推导私钥成为可能。一旦攻击者拥有足够强大的量子计算机，他们就可以伪造签名并窃取资金。与此同时，Grover 算法可以将 SHA-256 的暴力搜索从 2^256 降低到 2^128，仍然庞大，但在长期内不再不可及。

然而，现实远远落后于理论。今天最好的处理器仅持有稍超过一千个量子位。破解256位ECDSA需要数百万个量子位。研究表明，在一天内破解一个私钥需要大约1300万个量子位，而在一个小时内则需要超过3亿个。与IBM的1000量子位Condor芯片相比，这个差距是四个数量级。

目前，比特币依然安全。量子威胁仍然是远在地平线上的一朵云。没有人能说它何时会到来，但每个人都知道，一旦它到来，比特币的安全故事将永远改变。

时间线辩论：2030年还是更远？

关于量子计算何时会成为真正的威胁尚无共识。保守派人士认为这至少还有十年的时间。2021年，NSA明确表示：目前尚不清楚何时，甚至是否会存在一台足够强大的量子计算机来破坏当前的加密。如果这是真的，比特币还有时间准备。

但激进的预测指向一个更接近的时间窗口。一些研究人员认为，到2027年至2030年，能够威胁比特币的机器可能会出现。错误纠正和拓扑量子比特的进展可能会将预期时间缩短数年甚至几十年。“量子奇点”可能会比许多人想象的早到来。

这造成了一个困境。过早切换到后量子算法会增加成本并降低效率。等待太久则有可能在量子计算能力到来时面临突然崩溃。因此，2030年成为了一个折中之年。到那时，比特币应该完成向量子安全签名的迁移路径。

对于投资者来说，这个时间线很重要。如果你认为量子计算还很遥远，比特币仍然是“数字黄金”。如果你相信它即将到来，那么保管、存储和策略必须立即适应。

构建抗量子比特币

开发者们已经开始进行规划。直接的解决方案是用后量子签名替代ECDSA。NIST已经选择了CRYSTALS-Dilithium、Falcon和SPHINCS+作为首批标准。这些基于格、哈希和一次性签名的方案对已知的量子攻击具有抵抗力。

在2025年，一份草案BIP提议了一个分阶段迁移的计划：首先限制旧地址的使用，然后冻结基于ECDSA的输出，最后为丢失的币创建一个恢复路径。整个过程的目标是到2030年。

其他路径是存在的。有些人提议新的脚本指令，以允许自愿的量子安全一次性签名。还有人建议升级闪电网络密钥交换。

实用的最佳实践也很有帮助。避免地址重用，将资金分散到未使用的地址，并缩短公钥暴露的时间窗口。萨尔瓦多的财政部将其比特币分成超过十个地址，每个地址下限为500 BTC，以作为对未来量子威胁的防御措施。

比特币的力量在于它的社区。开发者、矿工、公司和持有者共同可以建立安全升级所需的共识。

如果量子计算打破比特币

如果比特币在升级之前遭遇强大的量子攻击，后果可能是灾难性的。在链上，任何公开密钥暴露的地址都将被耗尽。大约四分之一的所有UTXO处于这种状态，包括许多旧的“沉睡币”。它们将会在一夜之间被盗。

共识也会受到影响。使用Grover算法的量子矿工可以在工作量证明中获得二次加速。这样，他们可能会主导哈希算力并进行51%攻击：双重支付、审查交易或重写历史。

市场将立即作出反应。比特币的价值建立在对其不可变性的信任上。如果这一点失去，价格崩溃随之而来。交易所和支付服务可能会停止，恐慌将在加密货币中蔓延，并溢出到更广泛的金融系统中。

社区可以尝试进行硬分叉到一个量子安全链并冻结被盗币。但快速达成全球共识很困难，而分叉风险会导致网络分裂。事实上，威胁并不是量子计算本身，而是在它到来之前行动的延迟。

量子不是比特币的末日。拖延和自满才是。

〈量子威胁：比特币会被攻破吗？〉这篇文章最早发布于《CoinRank》。