Nic Carter：量子计算距离破解比特币只差一个工程难题，还有170万枚比特币处于危险区

Yael

/2025年12月20日

要点总结

• 比特币面临的量子威胁已成为现实，需引起重视。

• 量子计算的进步使得破解比特币的风险增加，尤其是对椭圆曲线密码学的攻击。

• 约172万枚比特币因长期休眠或无法转移而处于风险中。

• 不重复使用地址和及时迁移比特币是降低风险的有效措施。

• 未来的后量子签名方案可以通过软分叉实现，需提前准备。

比特币面临的量子威胁已不再是科幻小说中的假设。在今年秋季的一系列文章和公开评论中，Castle Island Ventures 联合创始人 Nic Carter 提出，比特币长期面临的最大威胁是量子计算——而应对这一风险在很大程度上是工程问题，而非物理定律的问题。这一论述与量子理论学家 Scott Aaronson 的观点不谋而合：构建一台能够大规模运行 Shor 算法的机器是一个「极其艰巨的工程挑战」，但并不需要颠覆已有的物理定律。Carter 的第一部分文章对比特币的加密结构和潜在风险进行了简明介绍，而 Aaronson 对于为何问题本质是工程而非理论的解释，则提供了关键背景。详见 Carter 的文章与 Aaronson 的访谈：《比特币与量子问题 – 第一部分》以及《Scott Aaronson 关于为何这一挑战是工程问题》。

到2025年，「只是一个工程问题」实际意味着什么？

硬件和算法正在迅速进步。2025年5月，Craig Gidney 演示了如何仅用不到一百万个噪声量子比特、在一周内因式分解 RSA‑2048，这一成果相比2019年对所需2000万个量子比特的估计有了巨大跃进，其背后是更高效的算术运算和纠错技术。尽管RSA与椭圆曲线密码学（ECC）不同，但技术发展的趋势已十分明确：与加密计算相关的量子计算机（CRQC）所需资源持续优化。参考 Gidney 的2025年论文与2019年原始里程碑：arXiv:2505.15917 与 arXiv:1905.09749。
相较于RSA，ECC 对量子攻击者来说可能「更易破解」。Roetteler、Naehrig、Svore 与 Lauter 的一项基础研究显示，在相同的传统安全等级下，破解椭圆曲线离散对数问题所需资源或少于整数因式分解，这也让比特币更应提前布局。参考研究：量子计算破解 ECC 离散对数的资源估计。
物理学已定论，难题是规模化。Aaronson 指出，目前所需的不是新的物理理论，而是能够内部纠错、支持规模化操作的量子比特，以及在材料、控制、错误校正等方面的世界级工程能力。可参考他在此处的简明总结：YC 采访实录。

有多少比特币实际上处于风险中？

人权基金会（Human Rights Foundation）在2025年的一份分析报告中估计，约有651万枚比特币面临「远程」量子攻击风险，这类攻击的目标是已经公开地址的公钥，如早期的 Pay-to-Public-Key（P2PK）输出、重复使用的地址或 Taproot 支出结构。其中，约有172万枚比特币被认为长期休眠或实际上已无法转移（包括许多早期 P2PK 代币，如中本聪的钱包），这就是标题中提及的「170万枚处于枪口下的比特币」。活跃用户仍可在「Q日」到来之前，将约449万枚比特币迁移到较安全的输出地址上。阅读全文报告：比特币的量子威胁

德勤（Deloitte）提供的另一篇技术分析亦得出了类似结论——大约四分之一的比特币供应已暴露在易受攻击的密钥类型或遭多次使用的地址之下，这进一步强调了避免地址重复使用、以及谨慎从传统旧地址中支出的重要性。详见报告：德勤：量子计算机与比特币区块链。

两种威胁模型：远程攻击 vs. 近程攻击

远程攻击指向那些公钥早已在链上曝光的币（如 P2PK、重复使用的 P2PKH、某些脚本类型）或通过其他方式公开的密钥（例如泄露的 xpubs）。一旦 CRQC 出现，这类目标将是攻击者眼中的「低垂果实」。详见 HRF 对威胁的分类：远程 vs. 近程攻击。
近程（内存池 mempool）攻击则瞄准交易在广播但尚未确认的阶段——因为在此过程中支付的公钥会被公开。这种攻击方式需要极其快速且可纠错的量子计算机，但它也提醒我们：「永不重复使用地址」在后量子时代并非充足防护。有关地址格式及其暴露窗口的简明指南可参考 Project 11 的文章：比特币地址的量子漏洞，以及行业更广泛的解读：ForkLog：Q日将至，比特币开发者如何应对量子计算机。

比特币能通过软分叉迁移到后量子签名吗？

可以——至少在原则上可以。一个领先的提案是 BIP‑360（「支付到抗量子哈希」，即 P2QRH），它将使后量子签名验证可以通过 tapscript 中的新操作码或叶子版本实现，从而允许比特币在不替换整个脚本系统的前提下，添加符合 NIST 标准的后量子密码。这意味着可以通过软分叉的方式实现抗量子支付和迁移工具。请参阅活跃规范和技术讨论：BIP‑360 网站和 Delving Bitcoin 讨论。

在标准方面，NIST 于 2024 年 8 月完成了首个后量子密码套件的标准化——用于密钥协商的 ML‑KEM（Kyber），用于签名的 ML‑DSA（Dilithium）和 SLH‑DSA（SPHINCS+）——为协议设计者提供了稳定的目标。详见 NIST 公告和 FIPS 页面：NIST 关于后量子密码标准的新闻、FIPS 204（ML‑DSA）和 FIPS 203（ML‑KEM）。

权衡依然重要。后量子签名比 ECDSA/Schnorr 更大，因此启用后将涉及手续费和区块空间的影响，同时，钱包用户体验方面也需要针对密钥管理、HD 导出、以及格子结构下的多签机制进行重新设计。目前的研究方向包括将后量子方案映射到 HD 钱包、隐私地址和签名聚合等方面：后量子 HD 钱包与聚合签名想法。

此话题近期为何成为焦点

Carter 多次呼吁比特币开发者和机构应将量子威胁视为一项紧迫的长期工程任务，而非恐慌制造。他于 2025 年 10 至 11 月发表的文章详细阐述了现有系统的暴露面、可能的破解情境，以及迁移的优先事项。请参阅第一部分与第二部分：《比特币与量子问题（第一部分）》和《第二部分：量子霸权》。欲了解当前辩论（2025 年 12 月 18 日至 20 日）的速览，请参考他与开发者及研究人员交流的报道：ForkLog：「专家评估量子计算对比特币的影响」。

面向持币人和开发者的实用指南（2025）

在比特币正式支持后量子密码方案之前，你可以降低（但无法完全消除）风险：

不要重复使用地址，也避免接收到提前暴露公钥的脚本。优先使用 SegWit 单签名和现代多签名方式，这些方式只有在支付时才会暴露公钥；同时尽可能迁移离使用 P2PK 和重复使用的 P2PKH 地址。参考指南：Deloitte 的概述和 Project 11 的地址暴露参考。
理解内存池窗口风险。即使是「安全」的地址类型，也会在支付时暴露公钥；在后量子计算机时代，交易确认的延迟将至关重要。参阅：ForkLog 关于远程攻击与近距离攻击的分析。
关注 BIP‑360 和相关提案。早期测试、混合模式（EC‑Schnorr + 后量子密码）以及钱包和工具的准备工作，将对有序迁移起重要作用。资源：BIP‑360 规范和 Delving Bitcoin 讨论主题。
跟踪 NIST 后量子密码指导和时间表，以便在比特币启用 PQ 签名时，贵组织能及时更新 HSM、签名服务及合规流程。更多信息：NIST 后量子标准公告。

关于时间预期与资源的说明

目前尚无可信证据表明存在能够破解比特币的量子计算机。但资源需求估计的压缩（如 Gidney 2025 年对 RSA 的研究）以及纠错技术的稳步进展，增强了 Carter 所提出的应保持谨慎立场的观点。椭圆曲线密码（ECC）仍是 Shor 算法的首要攻击目标，专家一致认为，设计、实施和部署迁移路径至节点、钱包、托管人以及交易所，通常需要数年时间。关于量子环境下 ECC 与 RSA 的背景信息，请参阅：Roetteler 等人 (2017)。关于比特币有可能通过软分叉采用的最新后量子密码标准，请参阅：FIPS 204 / ML‑DSA。

对当下自我托管的意义

自我托管并不能神奇地消除量子威胁风险，但它可以帮助你快速应对：

你可以自主决定何时以及如何将比特币从易受攻击的输出迁移。
你可以养成良好的钱包使用习惯——从不重复使用地址、分散 UTXO、防止比特币在内存池中停留时间过长——无需依赖交易所操作。
你可以为未来的后量子升级做好操作层面的准备（备份、派生路径、测试交易等）。

如果你正在使用 OneKey 进行自我托管，你已经是在离线状态下签署交易，并能轻松生成新的接收地址——这两个习惯都能减少你面临的风险窗口，并避免地址重复使用。当后量子标准趋于稳定，以及比特币通过软分叉激活后量子加密技术时，像 OneKey 这类支持固件升级的硬件钱包可以通过地址轮换和直观的用户界面，引导用户完成安全迁移。这就是实用优势所在：为一个历时多年的过渡过程做好准备，而不是在「Q 日」来临时陷入恐慌。

进一步阅读资料