花旗银行：量子计算的突破正在加速——比特币面临“过度的量子风险”

2026年5月18日

花旗银行：量子计算的突破正在加速——比特币面临“过度的量子风险”

量子计算不再仅仅是加密货币领域纯粹的学术故事情节。在花旗研究所（Citi Institute）近期分享的研究中，分析师们认为，量子硬件和周边安全生态系统的进展速度比许多市场参与者想象的要快，并且与许多其他数字系统相比，区块链——尤其是比特币——承载着“过度”集中的长期量子暴露风险。一个很好的起点是花旗银行自己的报告《量子威胁：万亿美元的安全竞赛已经打响》（Quantum Threat: The Trillion-Dollar Security Race Is On），该报告强调了公开密钥暴露是数字资产和更广泛的互联网基础设施最直接的链上风险来源（花旗研究所报告 (PDF)，以及他们在问答中的简短概述：管理区块链的量子威胁）。

对于持有、构建和评估比特币安全及自我托管的机构而言，重要的问题不是“量子计算机会在明天破解比特币吗？”而是：“今天比特币的哪些部分暴露最多，以及如果量子威胁的时间表缩短，哪些升级和操作习惯可以减小影响范围？”

1) 量子计算机威胁比特币什么（以及什么不威胁）

比特币的所有权模型最终依赖于数字签名。如今，该网络依赖于椭圆曲线密码学（ECC）：传统交易使用ECDSA，而Taproot式交易使用Schnorr签名。如果拥有足够能力的量子计算机，理论上可以用量子算法解决ECC背后的数学问题，并从已知的公钥推导出私钥，从而实现未经授权的支出。

有两个重要的澄清点：

量子风险并非“挖矿风险”。 量子计算不会神奇地重写比特币的历史。核心问题是密钥泄露——即冒充他人进行签名的能力。
影响最大的场景是选择性盗窃。 首批“密码学相关”的量子机器（如果/当它们出现时）很可能稀少且昂贵，因此攻击者可能会针对高价值、高确定性的钱包，而不是试图“一次性破解比特币”——这是花旗银行在其关于实际约束和优先级讨论中强调的一个观点。

2) 为何比特币的“公钥暴露”会产生更大的攻击面

在比特币中，许多现代地址类型的公钥在支出前不会在链上显示；它们通常发布一个承诺公钥的哈希值。这种设计减少了长期暴露的风险。

然而，有相当一部分BTC仍与已经公开显示公钥的输出相关联，包括：

早期的P2PK（Pay-to-Public-Key）输出，其中公钥直接嵌入锁定脚本中。
已支出过的输出，支出过程可能会暴露公钥（尤其是在用户重复使用地址或遵循旧的钱包行为时）。

这就是“过度量子风险”叙事源于的地方。根据衡量方法（以及什么被算作“暴露”），估计值各不相同。花旗银行发布的《量子威胁》材料将量子暴露的池子描述为相当大一部分的BTC供应（具体范围取决于定义）。与此同时，其他行业讨论通常引用“约三分之一”的范围，在市场评论中经常落在约650万至690万枚BTC的区间内——当乘以BTC的价格时，这些数字就更加引人注目了。

即使确切数字有所变动，核心信息是一致的：比特币有一个庞大、可识别的高价值目标群体，其公钥已公开可见。

3) “先收集，后解密”与加密货币的交集

花旗银行强调的第二种风险是**“先收集，后解密”（Harvest Now, Decrypt Later, HNDL）**策略：对手方今天收集加密或敏感数据，然后在量子能力成熟后对其进行解密。

对于加密货币而言，HNDL有两种实际应用：

链下暴露： KYC数据、交易所账户记录、机构结算消息和私人通信具有较长的生命周期。即使资金在链上是安全的，机密性也可能被追溯性地破坏。
链上目录编目： 公共区块链数据是永久性的。如果今天公钥已暴露，它们现在就可以被索引，并在未来受到攻击——而无需“破解”链本身。

这就是为何量子准备正日益被讨论为一个多年迁移问题，而不是一个单一的补丁。

4) 为何比特币的升级速度可能慢于发展迅速的PoS生态系统

花旗银行的分析也指出了治理速度：比特币的文化优先考虑保守、向后兼容和最小化共识风险。这通常是一个优点——直到你面临截止日期。

与发展更快的PoS网络（例如，以太坊更快的协议迭代节奏）相比，比特币的变革过程通常需要：

长期的审查周期
广泛的对抗性测试
节点运营商、矿工、钱包开发者和机构之间的广泛社会共识

如果量子威胁的时间表收紧，这将使其更难“立即作出转变”。

5) 自2024-2026年以来发生了什么变化：PQC从理论走向标准化

一个重大的转变——在加密货币圈通常被低估——是后量子密码学（Post-Quantum Cryptography, PQC）不再仅仅是“研究论文”。它正在成为标准化基础设施。

2024年8月，NIST发布了首批最终确定的后量子密码学标准，旨在广泛采用（NIST公告，以及如FIPS 203 (final)这样的基础标准）。
2025年3月，NIST选择HQC作为一种额外的后量子加密算法，以实现假设的多样化（NIST HQC选定）。

这对加密货币很重要，因为它加速了供应商的路线图、合规性预期以及更广泛的“加密敏捷性”（Crypto-agility）运动——使得钱包、托管栈和企业能够更现实地规划迁移，而不是等待一个完美、单一的解决方案。

6) 比特币社区的路线图：BIP-360 和 BIP-361

在讨论量子韧性时，两个日益被引用的比特币改进提案是BIP-360和BIP-361。

BIP-360：通过新的输出类型（P2MR）减少长期暴露风险

BIP-360提议Pay-to-Merkle-Root (P2MR)，一种类似于Taproot的输出结构，不包含密钥路径支出。从概念上讲，它旨在更容易使用脚本树，同时减少公钥持续暴露的情况。

重要的细微之处：BIP-360最好被理解为一个结构性的垫脚石。它改进了比特币在长期暴露威胁模型下的行为方式，但它本身并不等同于“比特币拥有后量子签名”。

BIP-361：为遗留签名规划的“日落条款”（及强制迁移激励）

BIP-361更进一步：它概述了一个预先宣布的迁移路径，通过分阶段的限制和类似救援的机制，在规定的时间内向生态系统施压，使其从遗留的ECDSA/Schnorr支出模式中迁移出来。

无论是否认同这种方法，其重要性在于 BIP-361 将量子风险重新定义为协调问题：如果根据遗留规则，大量暴露的币可以永远花费，那么未来的量子攻击者就可以选择性地窃取休眠钱包的资产——这可能会削弱人们对比特币货币溢价的信心。

7) 比特币持有者现在可以做什么（无需等待后量子硬分叉）

即使在协议层级的后量子签名出现之前，用户也可以减少最可避免的量子暴露部分：

停止重复使用地址 重复使用地址会增加你的公钥成为长期易受攻击目标的可能性。
审计遗留暴露风险 如果你持有非常古老脚本类型的硬币（尤其是早期输出）或在有历史地址重复使用记录的钱包中持有，请考虑迁移到现代钱包实践。
在你的托管设置中规划“加密敏捷性” 机构应将量子准备视为任何其他多年安全迁移：盘点、优先级排序、分阶段推出和演练。
将密钥离线并使升级易于管理 量子风险并非唯一风险。网络钓鱼、恶意软件和社会工程仍然是迫在眉睫的威胁。硬件钱包通过在日常操作中将私钥与联网设备隔离来提供帮助，并且在最终需要迁移资金到新的脚本类型或签名策略时，它也提供了一条更安全的路径。

OneKey 在“后量子准备”心态中的定位

目前没有硬件钱包可以神奇地使ECC“防水量子”。但是，一种随时可升级且操作稳健的安全姿态仍然很重要。OneKey的自我托管工作流程——离线生成密钥、设备上交易确认以及强调可验证性的设计理念——很好地契合了长期、分阶段过渡的实际需求：你想让你的签名环境保持隔离，并希望在生态系统趋于一致时拥有采纳新标准的清晰路径。

换句话说：后量子比特币将是一个迁移过程，而不是一个瞬间。现在就做好你的托管卫生，就能同时减少当今的威胁和明天的风险。