观点:比特币社区正就量子威胁路线图达成共识——并指向后量子软分叉时代
观点:比特币社区正就量子威胁路线图达成共识——并指向后量子软分叉时代
多年来,量子计算一直被置于比特币“有趣但遥远”的范畴。而这个范畴正在逐渐缩小。
2026年并非意味着量子计算机能够立刻破解比特币,而是社区的讨论正从零散的争论转向一个可行的升级路径:逐步引入后量子密码学(PQC),通过软分叉进行,同时为用户和企业留出充足的迁移时间,以便将资金转移到抗量子地址类型中。目前提案和时间表的详细概述,请参见Galaxy Research关于比特币量子就绪性的最新研究报告:Galaxy Research on Bitcoin’s quantum readiness。
以下是关于新兴共识、它对持币者意味着什么,以及“量子化比特币”在现实世界中可能是什么样子的,一种以生态系统为中心的实用观点。
1) 为何量子风险正从“黑天鹅”转变为工程待办事项
比特币曾有过在不确定性下升级的经验:从SegWit到Taproot,从旧的脚本模式到更具表现力的原始函数,从一个小众实验到关键基础设施。
现在,量子风险正被以类似的方式对待——与其说是单一的末日时刻,不如说是一个多年的迁移问题,具有两个特点:
- 去中心化系统(钱包、交易所、托管方、矿工、节点运营商和用户)的协调需要数年时间。
- 加密技术转型已经在加密领域之外发生,尤其是在PQC标准稳定之后。
特别是,NIST发布了PQ标准,为更广泛的安全行业提供了坚实的基础。对于签名,NIST FIPS 204(ML-DSA,源于CRYSTALS-Dilithium)现已成为广泛参考的基准,NIST关于已定稿的后量子标准的公告总结了更广泛的背景。
这对比特币至关重要,因为“以后再选择PQ签名”的说法已不再令人满意。行业正在标准化,而比特币作为价值储存的长期信誉,日益依赖于拥有一个可信的路线图。
2) 量子计算对比特币构成威胁(以及不构成威胁的方面)
比特币的核心风险是签名伪造,而非挖矿崩溃。
- 受威胁: 椭圆曲线签名(ECDSA和Schnorr)依赖于离散对数问题的难解性。一台足够强大的容错量子计算机运行Shor算法,理论上可以从已知的公钥推导出私钥。参见Shor的原始著作,“Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer”。
- 相对更具弹性: SHA-256等哈希函数不像ECDSA和Schnorr那样会被Shor算法破解。它们面临着另一类量子加速(通常通过Grover算法讨论),这会改变安全裕度,而不是启用上述“从公钥恢复私钥”的攻击。Galaxy的报告在其技术部分对这些区别进行了清晰的、针对比特币的分析:Bitcoin Is Rising to the Challenge of Quantum Readiness。
因此,量子问题主要关乎公钥何时暴露,以及攻击者在暴露发生后能够多快采取行动。
3) 真正的暴露: “公钥可见性”和遗留输出
在一点上,比特币的结构比基于账户的链更具优势:许多地址类型只显示公钥的哈希值,直到币被花费。这产生了不同的风险等级:
长期暴露的币(公钥已在链上)
这些是最常被提及的,因为一旦出现密码学相关的量子计算,攻击者就可以“现在收集,以后解密”。
长曝光的两个广为引用的来源包括:
- 非常早期的脚本类型,直接嵌入公钥(通常描述为 P2PK 输出)。
- 糟糕的卫生习惯/地址复用,一旦首次花费,公钥就会永久可见,并始终与剩余的资金关联。
估算值因定义不同而差异巨大。Galaxy 援引一项估算,在某些“长曝光”分类下,大约有 ~700 万枚比特币 存在风险,并强调了不确定性和方法论的依赖性(Galaxy Research)。其他分析则侧重于更窄范围的“市场相关”风险。
Ark / Unchained 的一份白皮书提供了另一种观点,该白皮书由 Cointelegraph 总结,其中强调了早期 P2PK 输出中约 170 万枚比特币 属于独立且永久暴露的类别(Cointelegraph 摘要)。
短曝光币(在花费时公开公钥)
在这种情况下,攻击者的窗口受到内存池动态和确认时间的影响:对手需要足够快地推导出私钥并抢在交易前完成花费,以窃取在途资金。这与长曝光的扫荡是不同的工程目标。
4) 新兴的技术方向:软分叉优先,逐步引入 PQ 签名
新共识中引人注目的一点是其程序性:最可靠的路径不是突然进行“日切”签名交换。而是一系列通过软分叉实现的、可审核的增量步骤。
步骤 A:通过新的输出类型减少曝光(甚至在完全实现 PQ 签名之前)
一个值得注意的里程碑是 BIP 360,它提出了支付到 Merkle 根(P2MR),通过删除 Taproot 的密钥路径花费并依赖脚本树承诺来减少某些长曝光模式。标准草案位于 Bitcoin BIPs 仓库中:BIP 360 (bip-0360.mediawiki)。
这种类型的更改并不会神奇地使比特币“防量子”,但它符合以工程为先的理念:立即缩小攻击面,保持兼容性,并为未来的加密技术铺平道路。
步骤 B:以保守的方式引入 PQC(通常是:双签名)
在实现完全 PQ 签名的场景下,许多提案都收敛于一种务实的折衷方案:
- 在过渡期间使用冗余(例如,要求同时使用经典签名和 PQ 签名),这样即使其中一种方案以后受到质疑,网络也能保持安全。
- 避免强制所有参与者立即切换。
这正是社区讨论中经常提到“Dilithium”的地方——尽管在标准化形式下,它通常通过 NIST 的命名ML-DSA 来引用(NIST FIPS 204)。实际上,最终为比特币选择方案还将考虑签名大小、验证成本、带宽、硬件限制以及长期信心。
5)治理难点:“迁移窗口”以及未迁移币的命运
提供新的抗量子地址类型是容易的部分。难点在于如何决定网络如何对待无法或不愿迁移的币——特别是公钥已公开的长曝光输出,以及可能永远丢失的币。
这正是社区讨论经常倾向于有时间限制的迁移窗口的地方:
- 引入新的地址类型和签名规则。
- 给用户和机构数年时间进行迁移。
- 在长期宽限期后,对剩余资金执行政策(范围从“劝阻”到“限制”,在某些提案中为“冻结”或“销毁”)。
比特币为何会考虑如此严厉的措施?因为在极端情况下,替代方案会更糟:如果一个具有量子能力的实体能够扫荡大量曝光的币并将其抛售,可能会造成一次性的市场冲击和严重的信誉危机。
在“漏斗”(Hourglass)系列提案中,人们试图找到一条折衷之路,该系列提案侧重于限制提取速率,而不是立即没收或什么都不做。例如,一个更新的设计讨论了限制每个区块可提取的金额;请参阅 Hourglass V2 更新:关于 Delving Bitcoin。
另外,分阶段迁移和淘汰的想法在 BIP 361:后量子迁移和遗留签名淘汰 等提案中得到了正式化,这反映了对话从抽象风险转向具体协议设计的速度之快。
6) “加密敏捷性”成为首要要求
现代安全工程的一个教训是,加密技术不是一成不变的。
比特币生态系统越来越多地讨论算法敏捷性:设计升级机制,以便比特币能够在不破坏网络稳定的情况下切换或添加签名方案。这并不是说“每年都要改变加密技术”。这意味著要建立一种协议姿态,使未来的变更成为可能。
开发者之间的对话非常活跃,包括在 bitcoin-dev 邮件列表中进行的专门讨论,例如 比特币的算法敏捷性。对于长期资产而言,敏捷性并非奢侈品,而是使“价值储存”在数十年内都具有可信度的关键所在。
7) 用户现在可以采取的措施(在出现后量子地址之前)
即使量子计算仍是一个长期风险,也有一些实际步骤可以与发展方向保持一致:
- 避免重复使用地址。 地址重复使用会增加长期风险,因为一旦公钥被泄露,与该密钥关联的任何剩余资金都可能成为“长期风险”目标。
- 清点现有资产。 如果您持有非常旧的 UTXO 或历史钱包,请确定它们是否与早期的脚本模式或重复的地址行为相关。
- 将迁移视为正常的生命周期事件。 最现实的后量子未来是在一个多年的窗口期内将比特币转移到新的输出类型,这在精神上(在技术上并非完全相同)类似于用户逐渐采用 SegWit 和后来的 Taproot。
- 保持可升级状态。 后量子迁移很可能需要钱包软件更新、新的地址格式和新的签名流程。运营准备能力与加密技术同等重要。
硬件钱包的作用
硬件钱包无法阻止 Shor 算法。但它确实保护了当今最重要的东西:您的私钥和签名授权。
在未来的迁移窗口期,用户需要签署将遗留输出转移到新的抗量子地址的交易。自我托管设置——密钥绝不接触联网环境——可以降低在用户需要执行高风险迁移时发生泄露的风险。
这也是像 OneKey 这样的产品能够成为后量子准备计划的实际组成部分的原因:隔离密钥,更轻松地遵循良好的地址卫生习惯,并在比特币的地址和签名标准不断发展时提供安全的签名环境。
结论:漫长的跑道,更清晰的路线图
最重要的转变是心理和社会层面的:量子威胁不再仅仅被视为一种笑柄或一种存在的未知因素。它正被塑造成一个可管理的协议升级序列:
- 尽可能降低风险(例如,新的输出构造),
- 谨慎地引入后量子签名(通常通过冗余),
- 强制执行漫长的迁移期,
- 建立加密敏捷性,以便比特币在需要时能够再次演进。
这种组合将“量子威胁”从一种令人麻痹的叙事转变为一个具体待办事项列表——一个比特币可以通过足够的时间和协调来实际执行的列表。
如果您长期持有 BTC,最佳姿态既不是恐慌也不是否认:而是保持知情,将您的比特币保存在妥善管理的自我托管设置中,并在网络标准化抗量子地址类型时准备好迁移。
