Citi：量子计算的突破正在加速——比特币面临“过度的量子风险”

2026年5月18日

Citi：量子计算的突破正在加速——比特币面临“过度的量子风险”

量子计算不再只是加密货币领域纯粹的学术话题。在花旗银行（Citi Institute）最近发布的研究报告中，分析师们认为，量子硬件及其周边安全生态系统的进展速度，已经超出了许多市场参与者的预期。报告指出，与许多其他数字系统相比，区块链——尤其是比特币——在长期量子暴露方面，存在着“过度”集中的风险。作为参考，可以先阅读花旗银行的报告《量子威胁：万亿美元的安全竞赛已打响》（Quantum Threat: The Trillion-Dollar Security Race Is On），该报告强调了暴露的公钥是数字资产和更广泛的互联网基础设施最直接的链上风险来源（花旗研究院报告（PDF），以及更简短的概述问答：管理区块链的量子威胁）。

对于持有者、开发者以及评估比特币安全性和自我托管的机构而言，关键问题并非“量子计算机明天会破解比特币吗？”而是：“今天比特币的哪些部分暴露风险最高？哪些升级和操作习惯能够降低在量子计算时间表压缩时的影响范围？”

1）量子计算机威胁比特币的哪些方面（哪些不受威胁）

比特币的所有权模式最终依赖于数字签名。目前，该网络采用椭圆曲线密码学（ECC）：ECDSA用于旧的交易类型，Schnorr签名用于Taproot风格的交易。理论上，如果拥有足够强大的量子计算机，攻击者可以利用量子算法破解ECC背后的数学难题，并从已知的公钥推导出私钥，从而实现未经授权的支出。

需要明确两点：

量子风险并非“挖矿风险”。量子计算不会神奇地改写比特币的历史。核心担忧是密钥泄露——即模仿他人进行签名的能力。
影响最大的场景是选择性盗窃。早期“密码学相关”的量子计算机（如果/一旦出现）很可能稀少且昂贵，因此攻击者可能会瞄准高价值、高确定性的钱包，而不是试图“一次性攻破比特币”——花旗银行在其对实际限制和优先级的讨论中也强调了这一点。

2）比特币的“公钥暴露”为何形成了更大的攻击面

在比特币中，许多现代地址类型在花费硬币之前，并不会在链上公开公钥；它们通常发布一个承诺公钥的哈希值。这种设计降低了长期暴露的风险。

然而，仍有相当一部分BTC与那些公钥已在链上可见的输出相关联，包括：

早期的P2PK（Pay-to-Public-Key）输出，其中公钥直接嵌入锁定脚本中。
先前已花费的输出，因为花费行为可能暴露公钥（特别是如果用户重复使用地址或遵循旧的钱包行为）。

这就是“过度量子风险”说法的由来。根据不同的统计方法（以及如何定义“已暴露”），估计结果各不相同。花旗银行发布的《量子威胁》材料将量子暴露的比特币数量描述为占总供应量的相当一部分（具体范围取决于定义）。同时，行业内其他讨论通常引用“约三分之一”的范围，在市场评论中常常落在约650万至690万枚BTC的区间内——当乘以BTC的价格时，这些数字会更加引人注目。

重点是，即使具体数字有所变动，结论也是一致的：比特币拥有大量可识别的高价值目标，其公钥已经公之于众。

3）“现在收集，以后解密”遇上加密货币

花旗银行强调的第二个风险是**“现在收集，以后解密”（Harvest Now, Decrypt Later, HNDL）**策略：攻击者现在收集加密或敏感数据，待量子能力成熟后再进行解密。

对于加密货币而言，HNDL有两个实际的应用场景：

链下暴露：KYC数据、交易所账户记录、机构结算消息和私人通信具有很长的生命周期。即使资金在链上是安全的，其机密性也可能被追溯性地破坏。
链上目录化：公开的区块链数据是永久性的。如果公钥今天已经暴露，它们现在就可以被索引，并在未来受到攻击——而无需“破解”链本身。

这就是为什么量子准备被越来越多地视为一个多年期迁移问题，而非一次性的补丁。

4）为何比特币的升级速度可能慢于发展更快的PoS生态系统

花旗银行的分析还指出了治理速度：比特币的文化优先考虑保守、向后兼容和最小化共识风险。这通常是优点——直到面临截止日期。

与发展更快的新型PoS网络（例如以太坊更快的协议迭代节奏）相比，比特币的变更流程通常需要：

漫长的审查周期
广泛的对抗性测试
节点运营商、矿工、钱包开发者和机构之间广泛的社会共识

当量子计算的时间表收紧时，这使得“立即调转方向”变得更加困难。

5）自2024-2026年以来发生了什么：PQC从理论走向标准

一个重要的转变——在加密货币圈通常被低估——是后量子密码学（PQC）已不再仅仅是“研究论文”。它正在成为标准化基础设施。

2024年8月，美国国家标准技术研究所（NIST）发布了首批最终确定的后量子密码学标准，旨在广泛采用（NIST公告，以及底层标准，如FIPS 203（最终版））。
2025年3月，NIST选择HQC作为额外的后量子加密算法，以实现假设的多样化（NIST HQC选择）。

这对加密货币很重要，因为它加速了供应商的路线图、合规期望以及更广泛的“抗量子能力”（crypto-agility）运动——使钱包、托管堆栈和企业能够更现实地规划迁移，而不是等待一个完美、单一的解决方案。

6）比特币社区新兴的路线图：BIP-360和BIP-361

在量子韧性讨论中，两个日益被提及的比特币改进提案是BIP-360和BIP-361。

BIP-360：通过新的输出类型（P2MR）减少长期暴露风险

BIP-360提议Pay-to-Merkle-Root（P2MR），一种类似Taproot的输出结构，不含密钥路径支出。从概念上讲，它旨在更容易地使用脚本树，同时减少公钥持续暴露的情况。

重要细节：BIP-360最好被理解为一个结构性的垫脚石。它改进了比特币在长期暴露威胁模型下的行为方式，但它本身并不等同于“比特币拥有后量子签名”。

BIP-361：为遗留签名计划的“日落条款”（以及强制迁移激励）

BIP-361更进一步：它概述了一个预先宣布的迁移路径，通过分阶段的限制和一种救援机制，在预定的时间线上迫使生态系统放弃遗留的ECDSA/Schnorr支出。

无论是否同意这种方法，其重要性在于BIP-361将量子风险重新定义为协调问题：如果大量暴露的硬币可以在遗留规则下永远花费，那么未来的量子攻击者就可以选择性地窃取休眠钱包中的资金——这可能会削弱人们对比特币货币溢价的信心。

7）比特币持有者现在可以做什么（无需等待后量子硬分叉）

即使在协议层面的后量子签名出现之前，用户也可以减少最可避免的量子暴露部分：

停止地址重用 重用增加了你的公钥成为长期目标的机会。
审计遗留暴露情况 如果你持有非常旧脚本类型（尤其是早期输出）的硬币，或者在有历史地址重用的钱包中持有，请考虑迁移到现代钱包实践。
在托管设置中规划“抗量子能力” 机构应将量子准备视为任何其他多年期安全迁移：盘点、优先级排序、分阶段推出和演练。
保持密钥离线并易于升级 量子风险并非唯一风险。网络钓鱼、恶意软件和社会工程仍然是眼前的威胁。硬件钱包通过在日常操作中将私钥与网络设备隔离来提供帮助，并且在你最终需要迁移到新的脚本类型或签名策略时，它也提供了一条更安全的路径。

OneKey 在“后量子准备”心态中的定位

目前没有任何硬件钱包能够神奇地使ECC“免疫量子攻击”。但是，一种易于升级且运行稳健的安全态势仍然至关重要。OneKey的自我托管工作流程——离线生成密钥、设备内交易确认以及强调可验证性的设计理念——与长期的、分阶段过渡的实际需求高度契合：你需要保持签名环境的隔离，并且在你最终采取新标准时，需要一条清晰的采用路径。

换句话说：后量子比特币将是一场迁移，而非一个瞬间。现在就做好托管卫生管理，可以降低当今的威胁，也能减少未来的不确定性。