量子威胁比特币：恐慌如何在物理定律失效之前摧毁加密货币

专家表示，比特币面临的真正危险不是量子机器，而是人类的恐慌和缓慢的准备。

简而言之

科学家表示，比特币面临的量子风险至少还要十年或更久才会出现。

新的加密标准旨在“Q日”之前加强系统，但专家警告说，比特币的治理机制使得升级缓慢且具有政治性。

在量子数学推演之前，市场可能仅因恐慌而崩盘。

比特币的量子危机或许还要几年才会到来，但人们的担忧已经蔓延开来。谷歌、加州理工学院和IBM的突破性进展，再次引发了关于即将到来的“Q日”的争论——“Q日”指的是量子计算机可能破解比特币和去中心化金融所依赖的加密技术的时刻。

然而，专家警告说，真正的危险可能首先来自人，而不是方程式——恐慌、过早的市场反应和开发人员准备不足可能会在任何代码实际出错之前很久就动摇人们的信心。

恐惧的传播速度比数学计算更快。

在加密货币领域，恐慌情绪的蔓延速度远超理性。市场或许由代码驱动，但情绪依然左右着价格走势。

后量子密码学公司BOLTS Technologies的创始人 Yoon Auh警告说，即使只有一条关于量子计算机可以破解比特币的错误说法，也可能引发连锁反应，他指出上个月市场就发生了一次闪崩。

“加密货币市场出现了一次小小的闪崩，”Auh告诉Decrypt。“5000万到1亿美元的抛售——这在传统市场几乎可以忽略不计——却引发了区块链资产的巨额损失。这表明该系统仍然非常脆弱。”

本月初，美国总统唐纳德·特朗普的一条帖子威胁要对中国进口商品征收 100% 的关税，引发了历史上最大的单日加密货币暴跌，比特币一度跌破 102,000 美元，导致 190 亿美元的资金化为乌有。

Auh表示，量子恐慌之后也可能出现同样的情况：“想象一下，如果有人说，‘椭圆曲线密码学现在就可以被破解了，也许不会立刻被破解，但很快就会被破解。’所有人都会争先恐后地逃离。整个系统会崩溃。”

业内人士对此并不陌生。2017年，4Chan上一则虚假帖子声称以太坊创始人Vitalik Buterin去世，在交易员意识到这是假消息之前，该帖子就导致数十亿美元的市值蒸发。这次抛售表明，当信息传播速度超过验证速度时，信任会以多快的速度崩塌。

量子时间线：你在这里

量子计算机的运行原理与经典计算机截然不同。与只能是0或1的比特不同，量子比特可以同时处于多种状态。当量子比特相互关联（这种特性称为纠缠）时，它们可以同时处理多种可能性。这一特性使得某些类型的数学运算，例如因式分解和离散对数运算，效率呈指数级提升。

1994年，数学家彼得·肖尔证明，理论上，一台足够强大的量子计算机可以破解从信用卡到比特币钱包等所有加密技术的保护机制。比特币依赖于椭圆曲线密码学（ECC），它通过易于计算但几乎不可能逆向破解的方程式将私钥转换为公钥。

足够大的量子计算机可以运行 Shor 算法来逆转这种数学运算，从而揭示区块链上任何已暴露的公钥背后的私钥。

比特币的特定系统，即secp256k1，使用这些椭圆曲线方程来生成和验证签名。一台功能强大的量子计算机可以执行这些计算，从而恢复与可见公钥关联的私钥和空钱包。一个 256 位椭圆曲线密钥提供的安全性与一个 3072 位 RSA 密钥的安全性大致相同——以今天的标准来看，这已经非常强大了。

展开全文

目前，这种危险仍停留在理论层面。世界上最大的量子处理器——IBM 的 Condor（拥有 1121 个量子比特）和加州理工学院的中性原子阵列（超过 6000 个量子比特）——距离产生容错计算所需的几千个逻辑量子比特所需的数百万个物理量子比特还相差甚远。

目前的研究表明，要用Shor算法破解比特币的椭圆曲线加密，大约需要2000到3000个逻辑量子比特。达到这个水平可能还需要十年或更长时间，不过IBM和谷歌的乐观预测认为，这样的机器将在2030年代初中期问世。

兰德公司物理学家爱德华·帕克告诉Decrypt网站：“量子技术对密码学的威胁是真实存在的，而且非常严重。有些人认为量子计算机永远不会威胁到加密技术，这或许没错。但风险依然存在，我们需要提前做好充分准备。”

这种审慎的态度经常在网络上被扭曲，原本旨在引发讨论和准备的警告反而助长了恐慌情绪和夸大的“量子末日”言论。

美国政府已开始朝着这个方向努力。2022 年的一项总统指令——国家安全备忘录 10 号——命令联邦机构开始升级到后量子加密技术，这在跨部门长期协调方面实属罕见。帕克指出，密码学家米歇尔·莫斯卡 (Michele Mosca)领导的一项研究在 2023 年发表，该研究预测，具有密码学意义的量子计算机的出现时间中位数约为 2037 年。

研究科学家伊恩·麦科马克也认为，公众的恐惧已经超过了这项技术实际能够做到的事情。

他说：“量子计算机的运算能力远不足以破解RSA-2048或其他任何规模较大的加密算法。要降低错误率，并将数千个量子比特结合起来实现实际应用，需要时间、金钱和反复试验。”

麦考马克表示，量子计算的神秘性往往会加剧人们的恐惧。

他说：“人们一听到量子计算，就觉得它像神一样神奇，难以理解。但无论它的潜力如何，它都只是一个极其复杂的工程难题。开发出能够破解现有加密技术的量子加密方法，几乎肯定会比制造出一台能够破解现有加密技术的量子计算机更快。”

Coin Metrics联合创始人兼Castle Island Ventures合伙人尼克·卡特(Nic Carter)最近称量子计算是“比特币面临的最大风险”。在他的文章《比特币与量子问题》中，他指出，近四分之一的比特币——约400万枚——已经存在于已暴露公钥的地址中。一旦实用的量子解密技术出现，这些地址在理论上将不堪一击。人们对比特币“坚不可摧”的数学模型的信心，可能在数学模型本身失效之前就已动摇。

使比特币具备抗量子能力

尽管威胁还很遥远，但专家表示，现在就是采取行动的时候——但这取决于广泛的协调。

后量子网络安全公司QuSecure的联合创始人兼首席执行官 Rebecca Krauthamer表示，下一步很明确：椭圆曲线密码学必须被淘汰。

“你需要用像 ML-DSA 这样的后量子标准化算法来替换它，”她告诉Decrypt。

ML-DSA，全称为模块格基数字签名算法，是由美国国家标准与技术研究院（NIST）开发的一种新型后量子密码学标准。它基于格基数学，这是一种将信息隐藏在多维数字网格中的密码学分支。

破解这些网格需要解决所谓的“带误差学习”问题——这是一个极其复杂的方程，即使是强大的量子计算机也无法高效地解缠结。这使得 ML-DSA 比当今比特币中使用的椭圆曲线系统更难解密。

目前只有少数区块链真正具备抗量子攻击能力，而大多数区块链仍在适应后量子密码学。

抗量子账本(QRL) 专为量子安全而构建，采用由美国国家标准与技术研究院 (NIST) 标准化的基于 XMSS 哈希的签名方案。Cellframe和Algorand使用 NIST 套件中的基于格的算法——Crystals-Dilithium、FALCON 和 NTRU——从而能够随着标准的演进进行灵活的模块化升级。IOTA在其“Tangle”网络中依赖于 Winternitz 一次性签名，以保护交易免受量子密钥恢复的影响。Nervos Network 将经典系统和基于格的系统结合在一个混合模型中，从而能够逐步过渡到后量子安全。

比特币、以太坊、卡尔达诺和索拉纳等主流区块链仍处于转型期。以太坊 3.0 版本路线图包含对后量子签名技术的积极研究和测试网，而比特币的模块化Taproot和 Schnorr 升级则为未来集成量子安全密码学奠定了基础。

这种升级虽然可行，但在政治上却十分复杂。比特币的安全模型依赖于矿工、开发者和节点运营商之间的全网共识。任何加密方面的改动都需要进行分叉，而这个过程需要数年的讨论和测试。

克劳特哈默说：“量子计算听起来很抽象，但解决方案却出奇地简单。我们已经掌握了相关的数学知识。各国政府正在强制推行量子安全标准，金融机构也会跟进。难点在于如何在问题变得紧迫之前就让人们重视起来。”

大多数专家认为，最安全的方法是循序渐进：现在通过新的地址类型或混合签名添加后量子计算支持，让托管机构和钱包将其用于新资金，然后逐步迁移旧钱包。这样可以避免所有人同时轮换密钥造成的混乱——这种情况对信任的破坏速度可能比任何真正的量子攻击都要快。

比特币贡献者们已经在开发者论坛上探讨过后量子签名和混合方案。真正的挑战不在于找到算法，而在于何时以及如何部署它们。

治理问题

德克萨斯大学奥斯汀分校计算机科学教授斯科特·阿伦森表示，比特币的去中心化模型使得升级变得困难。

“以太坊和大多数其他加密货币链允许用户在紧急情况下迁移到抗量子加密技术，”他告诉Decryp t。“而比特币则需要大多数矿工同意才能进行分叉。而且，价值约 1000 亿美元的早期比特币目前仍然仅受 ECC 保护。”

缺乏中央权威机构可能会减缓比特币的普及速度。分裂或仓促推出可能会导致网络分裂。不过，许多比特币开发者认为，一旦存在可行的升级路径，共识就会围绕可运行的代码形成。

以太坊和索拉纳的治理结构更加灵活，适应能力也更强。比特币的谨慎使其免受不良理念的影响，但也正是这种保守主义使得重大变革难以实施。

Q日还有多久？

目前还没有强大到足以破解比特币加密的量子计算机。现有的原型机拥有数千个量子比特，但远未达到稳定、可扩展攻击所需的数百万个纠错量子比特的规模。

上月底，谷歌宣布其量子研究取得一项新的里程碑：其105量子比特的“ Willow ”处理器仅用两个多小时就完成了一项物理模拟，而Frontier超级计算机则需要三年多的时间才能复现。该实验使用了分布在23个电路层上的65个活跃量子比特，并实现了接近0.0015的双量子比特门误差中值。这一结果标志着量子计算速度的显著提升，但并未对加密技术构成威胁——这是进步，而非危险。

即使是那些将量子计算视为长期威胁的研究人员也表示，真正的危险还要过很多年才会到来。

“我认为量子计算有相当大的概率——比如说超过百分之五——会对比特币和其他加密货币构成重大甚至生死攸关的长期风险，”密歇根大学计算机科学与工程教授克里斯托弗·佩克特告诉Decrypt网站。“然而，在未来几年内，它似乎不会构成真正的风险。量子计算技术和工程距离威胁现代密码学还有很长的路要走。”

佩克特补充说，更难的部分在于后量子系统部署后的性能问题。“后量子签名使用更大的密钥，”他说。“由于加密货币的交易和区块依赖于大量的签名，因此切换到后量子或混合签名将显著增加网络流量和区块大小。”

至于近期防护，佩克特表示，最好的缓解措施是行为上的，而不是技术上的。

他表示：“短期内，除非绝对必要，否则应避免在公共网络上泄露公钥，并缩短公钥的有效期。长期来看，核心协议应谨慎更新，以便将后量子密码技术应用于最重要的功能和资产。”

Express 认为量子计算不会很快摧毁比特币；重要的是，当它真的发生时，社区能否保持冷静。