BIP-360 详解:比特币迈向量子防御的第一步——以及为何它仅是“第一步”
BIP-360 详解:比特币迈向量子防御的第一步——以及为何它仅是“第一步”
量子计算是科幻小说与严肃风险管理之间摇摆不定的热门话题之一,尤其对于像比特币这样价值万亿美元、且充满博弈的金融网络而言。在过去的两年里,相关的讨论已从“这是否真实存在?”转变为“一旦成为现实,最安全的升级路径是什么,同时又不破坏比特币的社会契约?”
一篇题为《比特币的量子升级路径:BIP-360 带来了什么,又带来了什么》在Cointelegraph 上的分析,帮助普及了一个关键观点:比特币最可靠的量子响应很可能是渐进式的,而不是一次突然的加密算法切换。
这便是 BIP-360 登场的契机。
量子计算为何对比特币至关重要(以及风险模型为何如此微妙)
比特币的安全在很大程度上依赖于椭圆曲线密码学(ECC)。理论上,一台足够强大的量子计算机运行 Shor 算法,可以从暴露的公钥推导出私钥——将“不可伪造的签名”变成一个可以解决的谜题。
但“量子风险”并非单一场景。它至少分裂为两个实际的攻击窗口:
- 长期暴露风险: 当一个公钥(或等效的 ECC 材料)长时间保留在链上时,攻击者有充足的时间尝试密钥恢复。
- 短期暴露风险: 当公钥仅在交易进行中(例如,还在内存池中)才可见时,需要一个速度更快的攻击者才能在确认前窃取资金。
BIP-360 的设计正是围绕这一区别展开——这也是它“仅是第一步”的第一个线索。(bip360.org)
BIP-360 试图做什么,用一句话概括
BIP-360 提出了一种新的比特币输出类型,它保留了类似 Taproot 的脚本树,但移除了 Taproot 的“密钥路径”花费方式——从而降低了长期暴露的量子风险,而无需立即在比特币中强制引入抗量子签名。 (bip360.org)
当前的草案可以直接在比特币 BIPs 仓库中阅读,或通过BIP360.org 上更清晰的规范镜像查阅。
截至 2026 年 3 月 14 日,它仍处于草案状态(未激活,未安排),但它已成为比特币公开设计讨论中一个具体的部分,而非含糊的“以后再说”的想法。(bip360.org)
核心思想:Taproot 存在特定的长期暴露量子弱点
Taproot(BIP-341)带来了诸多好处:隐私性、效率以及通过 Tapscript 实现的现代化脚本体验。然而,它也引入了一个在“长期暴露”量子威胁模型下至关重要的特性:
- Taproot 输出(P2TR)以一个公钥般的对象作为锁定条件。
- 这意味着链上可以包含 ECC 材料,这些材料在所有者花费之前就可能成为攻击目标。
BIP-360 的作者将此视为“低垂的果实”:如果比特币能在不强制引入长期存在的公钥到 UTXO 的情况下,保留 Taproot 的脚本模型,那么比特币就能减弱一个早期可行的量子攻击向量——而无需在此时选择一个重量级的抗量子签名方案。(bip360.org)
关于更深入的技术讨论(包括批评),最佳去处是持续关注Delving Bitcoin 上的协议讨论。(delvingbitcoin.org)
BIP-360 的改动内容(实用清单)
1) 新的输出类型:Pay-to-Merkle-Root(P2MR)
在当前草案中,BIP-360 定义了Pay-to-Merkle-Root (P2MR),这是一种提交到脚本树的 Merkle 根的输出,其精神与 Taproot 的脚本路径功能相似——但没有密钥路径花费。(bip360.org)
2) 无密钥路径支出(仅脚本路径)
Taproot 提供了两种主要的支出路径:
- 密钥路径: “简单”的支出方式,效率高,但涉及 ECC 暴露,对于长期暴露模型而言至关重要。
- 脚本路径: 暴露所使用的脚本分支。
BIP-360 移除了密钥路径,强制通过脚本路径语义进行支出(但仍使用 Tapscript 生态系统)。这就是为什么它被定性为“Taproot 式脚本的抗量子性”,而不是“后量子比特币”。(bip360.org)
3) 新的 SegWit 版本和新的地址前缀
该草案指定 P2MR 使用 SegWit v2,在主网上产生以 bc1z 开头的地址。(bip360.org)
这不仅仅是表面功夫:新的见证版本是比特币如何通过软分叉添加新验证规则而不破坏旧节点的一部分。
4) 深思熟虑的“升级路径”思维
BIP-360 最重要(也最容易被忽略)的方面之一是它所传达的文化信号:
- 比特币可以在不恐慌的情况下承认量子风险。
- 比特币可以引入一个低风险的原语,为未来的密码学保留选择。
“保留选择”之所以重要,是因为后量子密码学仍在标准化和广泛审计的选择中进行调整。例如,NIST 在 2024 年最终确定了多种后量子标准,包括数字签名的 FIPS 204 (ML-DSA)——这是一个里程碑式的成就,但与“明天就可以在比特币共识中部署”还是有区别的。(nist.gov)
BIP-360 没有改变什么(以及为什么这才是重点)
1) 它没有为比特币添加后量子签名
这是核心限制:BIP-360 没有用后量子签名方案替换 Schnorr 签名(BIP-340)。
相反,它试图降低一种特定的暴露风险,争取时间,并为后续更重大的密码学过渡创建一个更安全的过渡区域。(bip360.org)
2) 它不会自动保护你现有的币
即使 BIP-360 未来被激活,你现有的 UTXO 也不会“神奇地变得抗量子安全”。用户需要转移资金到新的输出类型才能受益。
这种“无自动迁移”的特性是一种优势(确保同意,最小化干扰),但这也意味着量子就绪部分是一个钱包和用户行为问题,而不仅仅是协议问题。(cointelegraph.com)
3) 它无法解决短期暴露(内存池)的量子盗窃问题
如果一个交易在支出时暴露了公钥,理论上,一个能力超强的量子攻击者可以在确认窗口期间尝试窃取资金。
BIP-360 的草案本身就明确指出,它是关于长期暴露的缓解;击败短期暴露攻击可能需要真正的后量子签名(或其他新结构),这超出了该提案的范围。(bip360.org)
4) 它没有解决“冻结的币”治理争议
比特币的量子安全讨论中,一个反复出现的问题是社会性的,而非技术性的:那些无法升级的币怎么办? 这包括可证明丢失的币和具有历史意义的早期输出。
BIP-360 避免强制做出决定。这种克制是故意的——但这也意味着它只能作为第一步。
为什么这是“第一步”工程,而不是密码学革命
比特币的升级理念之所以保守,是因为它必须如此。仓促的密码学迁移可能会引入新的、灾难性的故障模式——尤其是当新的原语存在边缘案例、实现陷阱或硬件限制时。
换句话说:
- 抗量子比特币不是一个单一的补丁。
- 这是一个分阶段的计划:现在就减少容易暴露的地方,标准化原语,测试,谨慎部署,然后经过数年时间进行迁移。
即使 BIP-360 的合著者和评论者也设想了在乐观假设下的多年迁移时间表。Cointelegraph 援引 BIP-360 的一位合著者的话称,比特币的全面后量子过渡可能需要数年而非数月——属于一次漫长的升级周期,而不是简单的分叉事件。(cointelegraph.com)
这个时间跨度与长期持有者、机构和受监管的托管方在 2025-2026 年日益提出的问题相符:不是“比特币今天是否具备量子安全性?”,而是“如果量子威胁变得可信,是否存在一个可信、低混乱的路线图?”
BIP-360 最好的理解方式是比特币在说:我们在刹车之前,先修好上车道。
普通比特币用户今天应该怎么做?(实用、不引起恐慌的指导)
量子计算不是抛弃比特币的理由——也不是恐慌性地根据新闻标题迁移资金的理由。但它确实是练习良好密钥卫生习惯并了解自己所面临风险的理由。
以下是一些不依赖于未来分叉的明智行动:
- 避免地址重复使用。 重复使用会增加密钥材料可能被关联和瞄准的时间。
- 了解你的输出类型暴露情况。 某些输出类型比其他类型更早暴露公钥;这在长期暴露模型中尤为重要。
- 保持钱包软件和签名设备更新。 如果比特币随着时间的推移采用新的标准输出类型,您将需要能够安全迁移的工具。
- 如果希望控制升级时间,则优先选择自我托管。 如果将来建议进行量子缓解迁移,能够快速行动——没有对手方风险——将很重要。
硬件钱包在后量子路线图中的作用
量子攻击者不需要你的硬件钱包来进行长期暴露攻击——他们针对的是链上的公开数据。但硬件钱包仍然很重要,因为大多数现实世界的损失源于日常问题:恶意软件、网络钓鱼、供应链攻击和在受感染的机器上签名。
如果比特币最终推出分阶段的量子升级路径(BIP-360 或其后续版本,以及后来的后量子签名),用户可能会面临一个为期多年的时期,他们需要:
- 合并 UTXO,
- 迁移到更新的输出类型,
- 仔细验证接收地址,
- 并在不断变化的规则下签名交易。
这正是关注安全的硬件钱包工作流程发挥作用的地方。例如,OneKey 的设计旨在实现长期自我托管:它将私钥保持离线状态,支持现代比特币交易标准,并且可以适应日常使用和更谨慎的设置(例如,支持型号的空气隔离签名)。在一个协议升级是渐进式且可选的世界里,拥有可靠的签名基础设施是保持升级就绪的一部分——而无需仓促进行投机性更改。
结论
BIP-360 很重要,因为它首次将“量子抵抗”纳入比特币的实际工程路线图——但并没有声称问题已解决。
- 它有效地降低了 Taproot 风格脚本的一种量子风险(长期暴露)。
- 它保留了比特币保守的升级理念。
- 它为未来的后量子签名敞开了大门,而这才是真正的终局所在。
这就是为什么 BIP-360 是一个里程碑——也是为什么它仍然只是第一步。
