资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
量子计算对比特币及加密货币的威胁:一个狭窄但致命的原因
一台足够强大的量子计算机可以从钱包的公钥反向推导出私钥,然后签署交易并转移资金。对于今天的计算机而言,这种逆向计算在数学上几乎不可能实现,但对运行着正确算法的量子机器来说,这一防线将不复存在。
这样的机器目前还不存在。但今年的讨论风向已然转变。6月22日,美国总统特朗普签署了两项关于量子技术的行政命令:一项旨在建造强大的量子计算机,另一项则要求联邦系统加强防御以应对量子攻击。三个月前,谷歌量子AI(Google Quantum AI)发布的研究表明,破解比特币加密所需的硬件远比专家此前认为的要少。政策推动与研究进展共同将量子计算从遥远的隐忧变成了人们正在着手规划的截止日期。
究竟面临什么风险?
多数报道在这一问题上存在偏差,因此有必要精确说明。比特币及几乎所有主流区块链都使用椭圆曲线密码学来保障交易安全,具体而言是secp256k1曲线上的ECDSA算法。从私钥计算公钥很容易,但反向推导则是保护资金安全的核心难题。经典计算机无法在有效时间内完成这一操作。
1994年彼得·肖尔(Peter Shor)提出的肖尔算法改变了这一点。在大型、纠错能力强的量子计算机上,该算法能高效完成逆向推导,将经典计算机需要比宇宙年龄还长的时间才能解决的问题缩短到几分钟之内。这是核心威胁,并且直接针对数字签名。
第二种量子方法——格罗弗算法(Grover's algorithm)——常被提及,但在此处重要性低得多。它能加速对SHA-256等哈希函数的暴力破解(比特币挖矿和地址生成使用该函数)。问题在于,加速效果仅为二次方量级,大致将256位安全强度降至128位等价水平,而网络可通过提高难度来抵消这一影响。挖矿并非薄弱环节,签名才是。
比特币为何尤其脆弱?
比特币的历史使其处境不利。根据比特币自身开发者提案引用的链上数据,截至2026年3月1日,超过34%的BTC(约650万至690万枚)存在于已在链上暴露过公钥的地址中。这包括约170万枚BTC的早期“支付到公钥”(Pay-to-Public-Key)输出,其中部分据信属于中本聪(Satoshi Nakamoto)所有。
需要理解两种攻击形态:
静态攻击:
攻击者利用量子计算机从链上已暴露的公钥推导出私钥,例如那些长期未动的早期币种。这里没有时间压力,因此属于更近期的风险。
交易时攻击:
攻击者在交易进入内存池(mempool)时进行拦截,并在原始交易确认之前伪造一笔竞争交易。在最快的量子架构上,研究显示密钥推导平均耗时约9分钟,而比特币的出块时间为10分钟。在刻意对攻击者有利的假设条件下(单签名目标、密钥快速传播、无网络防御),该模型将每个区块的成功概率设定为略低于41%。在出块更快的链上,概率急剧下降:以莱特币(Litecoin)2.5分钟的区块时间为例,概率低于3%,因为完成计算的时间更短。这一场景所需的机器比静态攻击场景更为强大。
威胁并不在于比特币链本身被破坏,而在于资金的直接被盗,以及随之而来的信心冲击——一旦那些被认为已经丢失的古老币突然开始移动。
比特币正在采取什么措施?
目前有两项提案正在进行中,它们展现了协调这一过程的难度。
BIP-360于2026年2月被分配编号并已在测试网上线,它引入了一种新的抗量子输出类型(描述为“支付到量子抗性哈希”或“支付到梅克尔根”)。该提案通过将脆弱的密钥保留在链下,并使用NIST批准的后量子签名来保护新创建的币。
BIP-361由Jameson Lopp(@lopp)及五位合著者于2026年4月14日发布,它解决了BIP-360无法帮助处理的历史遗留币这一更棘手的问题。该提案标题为“后量子迁移与遗留签名淘汰”,制定了一个分阶段计划:激活约三年后,网络停止允许向旧地址类型发送交易;再过约两年,网络完全停止认可旧签名,从而冻结所有从未迁移的币。第三阶段仍在研究中,将允许合法所有者通过与其种子短语关联的零知识证明来取回被冻结的资金。
这正是比特币文化与其自身产生冲突的地方。冻结币——即使是为了保护它们——也违背了许多持有者视为神圣的“你的密钥,你的币”原则。支持者反驳说,无所作为注定这些币日后会被盗,那本身就是一种损失,而且局面更加混乱。BIP-361目前尚无激活时间表,仍是一份草案。
加密货币领域的其他项目暴露程度如何?
这一漏洞是全行业性的,因为大多数区块链都依赖同一家族的椭圆曲线数学。
以太坊(Ethereum)是反应最积极的。以太坊基金会于2026年1月成立了专门的“后量子安全团队”,Vitalik Buterin(@VitalikButerin)于2月发布了一份路线图,点名四个暴露层:账户签名(ECDSA)、验证者签名(BLS)、数据可用性(KZG承诺)和零知识证明。其主要策略是通过EIP-8141实现账户抽象,该方案正在考虑纳入2026年下半年的Hegotá硬分叉中,允许单个账户选择加入量子安全签名,而无需强制整个网络同时切换。在共识层,以太坊计划将BLS替换为一种名为leanXMSS的哈希方案。基金会将核心后量子基础设施的目标时间定在2029年左右。
Solana通过其Ed25519签名面临同样的暴露风险。其两个主要客户端团队Anza和Firedancer都已统一采用基于NIST格密码的方案Falcon,并于2026年4月发布了分阶段迁移计划。
哪些项目已经具备抗量子能力或正在快速推进?
以下几条链值得关注,它们要么从诞生之初就具备量子安全特性,要么已有具体规划:
QRL(Quantum Resistant Ledger):从创世起即为量子安全,采用基于哈希的XMSS签名。市值较小,但在这一个问题上技术上非常纯粹。
Algorand(ALGO):在大市值链中进展最远。Falcon签名已在其状态证明(state proofs)中投入生产,Falcon交易签名正在积极开发中。
Stellar(XLM):于2026年6月9日发布了“量子准备计划”,首先在Soroban智能合约中实现ML-DSA签名验证,随后于2027年推出可选择加入的量子安全签名者。
XRP Ledger:于2026年4月发布了四阶段路线图,目标在2028年前实现完全的后量子就绪,验证者测试正在进行中。
Cardano(ADA):正在运行“夜流计划”(Project Nightstream),这是一项基于格密码的工作,首先通过后量子检查点保护历史账本数据。
Starknet:其STARK证明已依赖哈希函数而非椭圆曲线,因此本身具备量子抗性。
常见的工具包是NIST于2024年8月最终确定的后量子标准:FIPS 203(ML-KEM)、FIPS 204(ML-DSA,也称Dilithium)和FIPS 205(SLH-DSA,即SPHINCS+)。Falcon的标准(FN-DSA)预计将在2027年左右发布。共同的挑战在于,这些签名比当前区块链使用的签名要大,这意味着更大的交易量和需要承担的实际性能成本。
那么你应该有多担心?
不必恐慌,但也不应自满。目前尚不存在具备密码学相关能力的量子计算机。当前最好的机器运行着数千个有噪声的物理量子比特,最多只有约一百个纠错逻辑量子比特。谷歌的论文估计,攻击需要大约1200到1450个逻辑量子比特以及不到50万个物理量子比特,比之前最佳估计(约900万)下降了约20倍。这一差距比一年前该领域所认为的要小,但仍然很大,而跨越这一差距所需的容错硬件尚未出现。
对“Q日”(量子计算突破日)的预估大多集中在本十年末。谷歌将其内部系统迁移的截止日期定为2029年。研究公司Project Eleven将基线定在2033年。以太坊研究员Justin Drake(@drakefjustin)——谷歌论文的合著者——认为概率为:2030年10%,2032年50%。
现在需要关注的原因在于时机,而非紧迫性。迁移一个去中心化网络需要数年的协调,而暴露的数据如今可以被悄悄收集,待功能强大的机器出现后再破解——这就是“先收集,后解密”的问题。那些提前行动的区块链并非在应对攻击,而是在为自己争取一些缓冲时间。威胁仍在前方数年,而保持领先的工作也同样需要数年,这正是行业终于不再拖延的部分。
