BIP-360 詳解:比特幣邁向量子防護的第一步——以及為何它僅是「第一步」
BIP-360 詳解:比特幣邁向量子防護的第一步——以及為何它僅是「第一步」
量子運算這個話題,時而聽似科幻小說,時而又化為嚴峻的風險控管現實——尤其對於像比特幣這樣價值兆美元、且充滿敵對動機的金融網路來說。近兩年來,大家討論的焦點已從「這真的會發生嗎?」轉變為「一旦成為現實,最安全的升級路徑為何,且不破壞比特幣的社會契約?」
一篇近期在 Cointelegraph 上發表的分析文章,標題為*《比特幣的量子升級路徑:BIP-360 改變了什麼,又沒改變什麼》*,成功將一個關鍵論點推向主流:比特幣最可信的量子應對策略,很可能是循序漸進的,而非突如其來的密碼學替換。
這便是 BIP-360 登場的契機。
為何量子影響比特幣(以及為何威脅模型如此細緻)
比特幣的安全性高度依賴橢圓曲線密碼學(ECC)。一個足夠強大的量子電腦,若運行 Shor 演算法,理論上可以從已公開的公鑰推導出私鑰——將「不可偽造的簽章」變成一個可解的謎題。
然而,「量子風險」並非單一情境,而是至少分裂為兩種實際的攻擊窗口:
- 長期暴露風險 (Long-exposure risk): 當公鑰(或等效的 ECC 材料)在鏈上長時間可見,給予攻擊者充裕的時間嘗試恢復私鑰。
- 短期暴露風險 (Short-exposure risk): 當公鑰僅在交易發送過程中(例如,佇留在 Mempool 中)才變得可見,這需要攻擊者以更快的速度在交易被確認前竊取資金。
BIP-360 的設計正是圍繞著這個區別——這也是為何它是「僅為第一步」的關鍵線索。(bip360.org)
BIP-360 試圖做到的事情,用一句話總結
BIP-360 提出了一種新的比特幣輸出類型,它保留了類似 Taproot 的腳本樹結構,但移除了 Taproot 的「金鑰路徑」支付方式——這能在不強迫比特幣立即採用後量子簽章的前提下,降低長期的量子暴露風險。(bip360.org)
目前的草案可直接在 Bitcoin BIPs 儲存庫 中閱讀,或透過更簡潔的規格鏡像網站 BIP360.org 瀏覽。
截至 2026 年 3 月 14 日,它仍為 草案 (Draft) 狀態(未啟用,未排程),但已從一個模糊的「之後再處理」的構想,變成了比特幣公開設計討論中的一個具體組成部分。(bip360.org)
關鍵點:Taproot 存在特定的長期暴露量子弱點
Taproot (BIP-341) 帶來了重大好處——隱私性、效率,以及透過 tapscript 提供的現代化腳本體驗。然而,它也引入了一個在「長期暴露」量子威脅模型下至關重要的特性:
- Taproot 輸出(P2TR)以一個類似 公鑰 的物件作為鎖定條件。
- 這意味著鏈上可能包含 ECC 材料,這些材料可能在所有者實際花費之前,就暴露於攻擊目標之下。
BIP-360 的作者將此視為「輕易可得的果實」:如果比特幣能在不強制將長期存在的公鑰納入 UTXO 的情況下,保留 Taproot 的腳本模型,那麼比特幣就能降低早期最有可能出現的量子攻擊向量之一——而無需在現階段選擇一個重量級的後量子簽章方案。(bip360.org)
若想深入技術討論(包括批評意見),最能追蹤進度的途徑是參與 Delving Bitcoin 上的持續協定討論。(delvingbitcoin.org)
BIP-360 的實際改動(實用檢查表)
1) 新的輸出類型:Pay-to-Merkle-Root (P2MR)
在目前的草案中,BIP-360 定義了 Pay-to-Merkle-Root (P2MR),這是一種承諾(commits to)腳本樹的 Merkle 根 的輸出類型。其精神類似於 Taproot 的腳本路徑能力——但不包含金鑰路徑支付。(bip360.org)
2) 無金鑰路徑支付(僅限腳本路徑)
Taproot 提供兩種主要的支付路徑:
- 金鑰路徑 (Key path): 「簡單」的支付方式,效率高,但涉及會影響長期暴露模型的 ECC 暴露。
- 腳本路徑 (Script path): 揭露所使用的腳本分支。
BIP-360 移除了金鑰路徑,強制透過腳本路徑的語義進行支付(但仍使用 tapscript 生態系統)。這也是為何其被定位為「類似 Taproot 腳本的量子抗性」,而非「後量子比特幣」。(bip360.org)
3) 新的 SegWit 版本和新的地址前綴
草案指定 P2MR 使用 SegWit v2,在主網上產生的地址前綴為 bc1z。(bip360.org)
這不僅是為了美觀:新的見證版本是比特幣透過軟分叉(soft fork)添加新驗證規則,同時不破壞舊節點的方式之一。
4) 刻意的「升級路徑」思維
BIP-360 最重要(也最容易被忽略)的方面之一,是它所傳達的文化訊號:
- 比特幣能夠在不恐慌的情況下,承認量子風險。
- 比特幣能夠引入一個低風險的基礎原件,為未來的密碼學保留選擇空間。
「保留選擇空間」之所以重要,是因為後量子密碼學的研究仍在不斷演進,以確立標準化、經過廣泛審計的選擇。例如,NIST 在 2024 年最終確定了多項後量子標準,包括用於數位簽章的 FIPS 204 (ML-DSA)——這是一個機構性的里程碑,但與「今天就能在比特幣共識中部署」的意義仍有差距。(nist.gov)
BIP-360 並未改變的(以及為何這才是重點)
1) 它並未為比特幣加入後量子簽章
這是最顯著的限制:BIP-360 並未將 Schnorr 簽章(BIP-340)替換為後量子簽章方案。
相反地,它試圖降低一種特定類型的暴露風險,為之後更具關鍵性的密碼學轉型爭取時間,並建立一個更安全的過渡區域。(bip360.org)
2) 它不會自動保護你現有的幣
即使 BIP-360 將來被啟用,你現有的 UTXO 也不會「神奇地變得量子安全」。用戶需要轉移資金到新的輸出類型才能受益。
這種「無自動遷移」的特性是一種優勢(基於共識,最小化干擾),但這也意味著量子就緒在一定程度上是錢包和用戶行為的問題,而非僅僅是協定層面的問題。(cointelegraph.com)
3) 它無法解決短期暴露(Mempool)的量子盜竊問題
如果交易在花費過程中暴露了公鑰,一個能力超群的量子攻擊者——至少在理論上——可能會試圖在確認窗口期間竊取資金。
BIP-360 的草案本身就明確指出,其重點是長期暴露的緩解;擊敗短期暴露攻擊,很可能需要真正的後量子簽章(或其他新架構),這些都超出了本提案的範圍。(bip360.org)
4) 它未能解決「凍結的幣」治理爭議
在比特幣的量子討論中,一個反覆出現的問題是社會性的,而非技術性的:那些無法升級的幣會怎樣? 這包括可證明已丟失的幣以及歷史上重要的早期輸出。
BIP-360 避免了在此問題上強加決策。這種克制是故意的——但這也是為何它只能是第一步。
為何這是「第一步」工程,而非密碼學革命
比特幣的升級哲學之所以保守,是因為它必須如此。倉促進行的密碼學遷移,可能會引入新的、災難性的失敗模式——尤其是當新原件存在邊緣案例、實施陷阱或硬體限制時。
換句話說:
- 量子抗性比特幣並非一次性的修補。
- 它是一個分階段的計畫:立即降低簡單的暴露風險、標準化原件、進行測試、小心部署,然後花費數年時間遷移。
即使是 BIP-360 的共同作者和評論者,也曾提出在樂觀假設下需要數年的遷移時間。Cointelegraph 引用 BIP-360 的一位共同作者的說法,提出了比特幣的完整後量子轉型可能需要數年而非數月——屬於長期的升級週期,而非單一的硬分叉事件。(cointelegraph.com)
這個時間範圍,與長期持有者、機構和受監管的託管方在 2025-2026 年日益關注的問題一致:不是「比特幣今天是否量子安全?」,而是「是否有一個可信、低混亂的路線圖,以應對量子威脅?」
BIP-360 最好的理解方式是,比特幣正在宣告:我們將在踩下煞車前,先建好上坡匝道。
比特幣用戶今天該做什麼?(實際、不危言聳聽的建議)
量子運算並非拋棄比特幣的理由——也非基於頭條新聞恐慌式遷移資金的理由。但它確實是一個練習良好金鑰衛生習慣、並理解你自身暴露風險的理由。
以下是一些無需依賴任何未來分叉的明智行動:
- 避免地址重複使用。 重複使用增加了金鑰材料可能被關聯和瞄準的時間。
- 了解你的輸出類型暴露情況。 某些輸出類型比其他類型更早暴露公鑰;這在長期暴露模型中尤為重要。
- 保持錢包軟體和簽名設備更新。 如果比特幣隨著時間採用新的標準輸出類型,你將需要工具來安全地進行遷移。
- 如果你希望掌控升級時機,請優先選擇自我託管。 如果將來量子緩解遷移被推薦,能夠快速行動——無對手方風險——將是關鍵。
硬體錢包在後量子路線圖中的位置
一個量子攻擊者並不需要你的硬體錢包來嘗試長期暴露攻擊——他們的目標是鏈上的公開數據。但硬體錢包依然重要,因為大多數現實世界的損失源於常見問題:惡意軟體、釣魚、供應鏈攻擊,以及在受感染的機器上簽名。
如果比特幣最終推出一個分階段的量子升級路徑(BIP-360 或其後繼者,加上後續的後量子簽章),用戶可能會面臨一個長達數年的時期,屆時他們需要:
- 整合 UTXO。
- 遷移到較新的輸出類型。
- 仔細驗證接收地址。
- 在不斷變化的標準下簽署交易。
這正是注重安全的硬體錢包工作流程發揮作用之處。例如,OneKey 的設計旨在實現長期自我託管:它將私鑰保持離線,支援現代比特幣交易標準,並且適用於日常使用及更謹慎的設置(例如,支援型號的氣隙簽名)。在一個協定升級是漸進且可選的世界裡,擁有可靠的簽名基礎設施是保持升級就緒的一部分——無需急於進行投機性的更改。
結論
BIP-360 之所以重要,是因為它首次將「量子抗性」納入了比特幣的實際工程路線圖——同時也沒有假裝問題已經解決。
- 它實質性地降低了類似 Taproot 腳本的一類量子風險(長期暴露)。
- 它維護了比特幣保守的升級精神。
- 它為未來的後量子簽章敞開了大門,而這才是真正的終局之戰。
這就是為何 BIP-360 是一個里程碑——也是為何它仍僅僅是第一步。
