顶尖密码学家对“比特币最大的量子风险困境”意见不一——但他们一致认为,我们必须立即开始后量子签名规划
顶尖密码学家对“比特币最大的量子风险困境”意见不一——但他们一致认为,我们必须立即开始后量子签名规划
量子计算和比特币在日常钱包决策中很少发生碰撞——直到它们突然发生。截至2026年6月13日,行业内的讨论再次升温,并非因为量子计算机“今天”就能盗取比特币,而是因为一个全球性、去中心化货币网络的“升级路径”本身就非常缓慢。
一个有用的参考点是2026年4月21日由Coinbase独立量子计算与区块链咨询委员会发布的立场文件,该委员会包括Scott Aaronson教授(德克萨斯大学奥斯汀分校)、Dan Boneh教授(斯坦福大学)以及Justin Drake(以太坊基金会)等人。他们的核心信息很明确:量子风险“并非迫在眉睫”,但规划和工程工作必须立即开始,因为迁移需要数年时间,而“不确定性本身就会成为系统性风险”(阅读文件:量子计算与区块链)。
与此同时,即使是顶尖密码学家,也没有就比特币最终将面临的最棘手问题达成一致:那些永远不迁移的比特币应该怎么办?
本文将深入分析技术现实、治理的潜在分歧,以及比特币持有者现在可以做什么——无需恐慌,也无需等待完美的共识。
1)“量子威胁”主要在于签名,而非挖矿
比特币的安全堆栈通常被概括为“SHA-256 + ECDSA/Schnorr”,但量子风险在这堆栈中的分布并不均匀。
- 挖矿和哈希函数(SHA-256)在大多数可信的场景中并非最主要的近期担忧。
- 主要的长期风险在于,一个加密学相关的量子计算机可以运行Shor算法,并最终破解数字签名的公钥密码学——使攻击者能够从已知的公钥推导出私钥,然后进行有效的交易。
这就是为什么迁移讨论集中于用后量子密码学替换(或增强)当今的签名方案,而不是重新设计工作量证明(参见咨询委员会在Coinbase文件中的概述和建议)。
2)比特币暴露的风险点:“公钥可见性”是核心概念
量子攻击者不需要你的硬件钱包、助记词或恶意软件访问权限。在签名破解场景中,攻击者需要的是你的公钥。如果它可见,它就可能成为目标。
两个主要的暴露类别
A)“始终暴露”的输出(公钥从一开始就在链上)
早期比特币的设计选择留下了一个长长的尾部:
- P2PK(Pay-to-Public-Key) 输出直接在链上发布公钥。
- 某些现代脚本类型也通过设计使公钥可见。
咨询委员会指出,约170万枚比特币存放在遗留的P2PK输出中,这些“中本聪时代”的UTXO由约2万个公钥聚合控制——其中许多可能已被废弃,因此无法主动迁移(Coinbase文件)。
B)“重复使用暴露”的输出(公钥在花费后才被知晓)
即使你收到到一个公钥哈希地址,你的公钥也可能在你花费时被揭露,而地址重复使用可能导致价值滞留在已揭露的密钥后面。
Project Eleven的链上分析在这里尤其具体。在其2026年的报告中,它估计约690万枚比特币存放在容易受到量子攻击的地址中,其中约500万枚比特币归因于地址重复使用暴露(参见Project Eleven 2026年报告中的表格)。
这对用户为何重要: 即使是“最佳实践”钱包也无法改变比特币的 UTXO 集包含大量已公开密钥的这一事实——这些比特币不仅是加密问题,更成为治理和市场结构的问题。
3) 治理分歧:“强制迁移日” vs. 绝对财产权
咨询委员会认为,最大的未决问题不是“比特币是否应该采用后量子签名?”(它应该为此做计划),而是:
从未迁移的比特币会怎样?
这正是共识破裂的地方。
选项 1:强制设定“强制迁移日”来关闭易受量子攻击的签名
一方认为,比特币应该设定一个最后期限,之后不再接受旧的签名类型。未迁移的比特币将无法使用,从而防止未来的量子攻击者突然获得并抛售大量比特币——这种情况可能扰乱市场价格,甚至影响社会合法性。
咨询委员会提出了支持“强制迁移日”的主要论点,包括限制强大对手首先利用该能力并武器化被盗比特币的可能性(Coinbase 论文)。
选项 2:不设定最后期限——即使易受攻击,比特币仍有效
另一方认为,设定最后期限是一种征收行为:如果比特币可以为了“安全”而撤销比特币,那么这就会开创一个先例,即比特币以后可能会在政治压力下被冻结或失效。
咨询委员会明确表示不站队,强调没有一个客观正确的答案,该决定必须来自比特币社区(Coinbase 论文)。
第三种方向:速率限制和“金丝雀”概念
除了“销毁”废弃比特币,论文还讨论了缓解措施,例如限制特别高风险输出的交易速率,将高风险的遗留比特币作为早期预警信号,同时限制损害(Coinbase 论文)。
4) 即使没有治理方案,为何必须立即开始规划
委员会最实际的一点也是最容易被忽略的:
工程工作可以与治理争议分开。
即使社区就“强制迁移日”进行多年的辩论,比特币仍能从现在开始着手以下工作并受益:
- 后量子签名集成路径
- 安全迁移的钱包用户体验
- 更大签名对带宽和费用市场的影响
- 测试向量、硬件支持和加密敏捷性工具
这与当前安全领域应对的趋势相似:美国政府的 PQC 标准化已经完成了包括签名在内的后量子算法的最终标准(参见 NIST 的公告:NIST 首批最终确定的后量子标准 以及签名标准本身:FIPS 204 (ML-DSA))。
同样重要的是,主流金融界已开始将量子计算视为一项已披露的风险。例如,iShares 比特币信托的 2025 年 SEC 文件将量子计算列为可能破坏比特币加密并需要社区主导升级的因素之一(SEC 文件)。
换句话说:市场开始定价的是不确定性,而不是量子比特。
5) 实际上的“量子就绪”:比特币用户今天就可以做什么
后量子迁移并非一次钱包更新就能神奇解决的。但仍然有一些具体步骤可以降低您的风险并提高您的准备度。
比特币持有者清单(务实,不炒作)
-
避免重复使用地址 地址重复使用是现实世界数据集中暴露的主要原因(Project Eleven 2026 报告)。请使用默认生成新接收地址的钱包。
-
了解你持有的是什么 如果你控制着非常旧格式的币(特别是遗留输出),请考虑它们是否存在于可能已暴露公钥的模式中。这与其说是恐慌,不如说是库存管理。
-
在操作上保持「加密敏捷」 量子准备不只是关于比特币共识的改变。它也关乎你的能力:
- 安全地升级钱包软件,
- 验证地址,
- 自信地签署迁移交易,
- 保持备份和恢复流程的完整性。
-
将密钥安全与协议安全分开 硬件钱包无法改变已写入公共区块链的内容——但它确实降低了今天密钥被盗的日常风险,并使未来迁移的执行更安全。
6) OneKey 的定位:今日安全,明日迁移就绪
量子风险是一个协议层面的故事,但升级将在用户层面执行——即在新标准到来时签署交易并转移资金。
这正是硬件钱包的价值所在:它有助于将私钥保持离线状态,减少恶意软件签名暴露的风险,并在生态系统最终协调迁移时支持有纪律的操作安全。
如果你计划着多年以后,可以将后量子准备视为当前的良好比特币卫生习惯与未来能否快速安全地行动的结合。OneKey 就是为此长远考量而构建的:安全自我托管、干净签名以及不依赖于信任持续在线环境的日常实践。
结束语:争论并非 bug,而是工作
比特币的量子风险对话之所以令人不适,是因为它触及了核心理念:不变性 vs. 可生存性,绝对所有权 vs. 系统性安全。
顶尖的密码学家可能无法就处理未迁移币的“最坏情况下的最优解”达成一致——但他们
