「量子危機」逼近現實，比特幣還剩多少時間？

原文標題：Bitcoin 的量子期限剛剛提前
原文作者：Protos
編譯：Peggy，BlockBeats

編者按：最近，兩項量子加密研究大幅壓縮了破解比特幣底層加密所需的資源與時間，這一原本遙遠的風險正變得更加具體。

觸發這輪討論的，是前一天幾乎同時發布的兩篇論文：一篇來自 Google Quantum AI 團隊，另一篇來自中性原子量子計算公司 Oratomic。單獨看，各自都是重要進展；放在一起看，它們分別壓縮了量子計算堆疊的不同環節，效果呈現出「相乘式」提升。

從數百萬量級到數萬量級，攻擊門檻的快速下探，正在重塑市場對加密安全邊界的判斷。

但另一條同樣清晰的線索是，應對也在同步推進。從比特幣社區的後量子方案探索，到科技機構給出的遷移時間表，一場圍繞「量子時代」的安全重構已經啟動。

以下為原文：

本週一，兩項關於量子加密的研究大幅壓低了破解私鑰所需的硬體門檻，這些私鑰對應的資產規模巨大，其中包括中本聰持有的逾一百萬枚比特幣（BTC）。有觀點認為，比特幣遷移至後量子加密體系的時間視窗，已經被提前了整整兩個數量級。

換句話說，這兩支研究團隊帶來的，是「乘法級」而非「加法級」的進展。儘管它們分別從量子計算體系的不同層面入手，但其改進效果是疊加放大的。

簡而言之，用於破解暴露的比特幣公鑰所對應私鑰的橢圓曲線簽名，其所需的物理量子比特數量，已經從大約 900 萬個驟降至最低約 1 萬個。

Google Quantum AI 發布的一篇白皮書（與斯坦福研究員 Dan Boneh 以及以太坊基金會的 Justin Drake 合作撰寫）指出，利用 Shor 算法，只需不到 1200 個邏輯量子比特和 9000 萬個 Toffoli 門，就可能解決比特幣協議中的 256 位橢圓曲線離散對數問題（ECDLP）。在超導量子計算機上，這相當於不到 50 萬個物理量子比特，並且可以在數分鐘內完成。谷歌稱，這一結果相比此前估算實現了約 20 倍的下降。

數小時後，由加州理工學院和哈佛大學學者創立的 Oratomic 也公佈了自己的突破。該團隊在「中性原子」量子硬體上採用了新的純錯策略，使得 Shor 算法能夠在僅約 1 萬個物理量子位元的規模下達到破解私鑰的速度。如果使用一個更快的變體，在約 2.6 萬個量子位元的條件下，僅憑公鑰即可在大約 10 天內破解一個比特幣私鑰。

「乘法式突破」的含義

儘管兩篇論文描述的仍是未來才可能實現的私鑰破解能力，但超導量子計算的進展，實際上放大了中性原子路線的效果，兩者形成「相乘」關係。因此，對相關硬體何時真正落地的時間預期，被整體提前了數年。

過去，許多比特幣安全專家認為，對中本聰所持 BTC 發起攻擊的風險，大致會出現在 2030 年代甚至 2040 年代。但這些新技術，可能將這一威脅提前到未來五年之內。

一般來說，一次量子攻擊所需的物理量子位元總數，等於算法所需的邏輯量子位元數量，乘以每個邏輯量子位元所需的物理量子位元數量（用於純錯）。純錯是量子計算中的關鍵環節，因為在如此微觀的物理狀態下，計算結果本身具有高度不確定性。

具體來看，谷歌的研究主要壓縮了第一個變量——邏輯量子位元數量。通過電路優化，比特幣所使用的 ECDLP-256 問題，其所需邏輯量子位元已從 2017 年約 2330 個，降至 1200 個以下。

而 Oratomic 則壓縮了第二個變量——純錯開銷。傳統的表面碼（surface code）通常需要約 400 個物理量子位元來支撐 1 個邏輯量子位元；而 Oratomic 提出的 lifted-product codes，將編碼效率提升至接近 30%，使這一比例降至約 10:1，在相同純錯性能下效率提升約 160 倍。

此前的最優估計來自 2023 年 Daniel Litinski 的論文，認為大約需要 900 萬個物理量子位元。

有加密研究機構總結，自 2012 年以來，破解 ECC-256 所需的量子運算規模，已累計下降約五個數量級：

2012 年：10 億個物理量子位元

2019 年：2000 萬個

2025 年：低於 100 萬個

2026 年：低於 2.5 萬個

比特幣仍在應對量子風險

支持以太坊的研究者 Justin Drake 表示，他對「2032 年前實現密碼學突破」的判斷顯著提高。他估計，到那時，量子計算機從已暴露的 BTC 公鑰中恢復 secp256k1 ECDSA 私鑰的機率至少達到 10%。

目前，仍有數百萬枚 BTC（價值數千億美元）存放在對量子攻擊脆弱的地址中。其中約 170 萬枚屬於早期的「pay-to-public-key」輸出，包括中本聪時代的挖礦獎勵。

在應對層面，提出後量子簽名方案的比特幣改進提案 Bitcoin Improvement Proposal 360（BIP 360），至今仍未在核心開發者群體中形成廣泛共識。

與此同時，圍繞比特幣節點軟體進行硬分叉以引入抗量子機制的相關工作，也仍在持續推進之中。

量子計算對比特幣構成潛在威脅，但行業已經在應對

激進的時間表與前提假設

當然，這兩篇論文本身也存在合理的保留意見。谷歌並未公開其具體量子電路，而是通過零知識證明的方式對結果進行了驗證。Justin Drake 也指出，Oratomic 的成果依賴於尚未在大規模上驗證的 qLDPC 編碼，這一點本身就值得保持審慎態度。

此外，Oratomic 的九位作者同時也是公司股東，而該公司可能借助這波媒體關注推進融資，這也意味著其研究動機並非完全中立。

更重要的是，兩篇論文基於完全不同的硬體路徑：谷歌假設的是超導量子位元，而 Oratomic 使用的是中性原子體系。將兩者的「最優結果」簡單疊加，視作一個可實現的統一硬體產品，本身忽略了底層工程實現的巨大複雜性。

但這些因素，並未改變一個更清晰的趨勢：量子計算對比特幣構成的威脅，正在以「按月加速」的節奏推進。谷歌內部提出的「2029 年前完成加密系統遷移」的時間表，本身也說明其對這一技術路徑的嚴肅判斷。

政策層面同樣在同步推進。National Security Agency（NSA）已要求國家安全系統在 2030 年前完成向抗量子算法的遷移；National Institute of Standards and Technology（NIST）則計劃在 2035 年前，讓所有美國政府機構全面淘汰易受量子攻擊的加密系統。