花旗銀行：量子運算突破正在加速 — 比特幣面臨「過度的量子風險」

2026年5月18日

花旗銀行：量子運算突破正在加速 — 比特幣面臨「過度的量子風險」

量子運算已不再僅僅是加密貨幣領域的學術話題。花旗銀行研究院（Citi Institute）近期發布的一份研究報告指出，量子硬體及周邊安全生態系統的進展，其速度已超出許多市場參與者的預期。該報告認為，與許多其他數位系統相比，區塊鏈—特別是比特幣—承載了「過度」集中的長期量子曝險。花旗銀行的報告《量子威脅：兆元級的安全競賽開打》（Quantum Threat: The Trillion-Dollar Security Race Is On）是一個很好的入門參考，該報告強調了為何公開金鑰的曝露是數位資產和更廣泛的網際網路基礎設施面臨最直接的鏈上風險表面，（花旗銀行研究院報告（PDF），另可參考其問答形式的簡短概述：管理區塊鏈的量子威脅）。

對於持有比特幣者、開發者以及評估比特幣安全性和自我託管的機構而言，重要的問題不是「量子電腦明天會破解比特幣嗎？」而是：「比特幣的哪些部分今天最為曝險，以及在量子時間線壓縮的情況下，哪些升級和操作習慣可以縮小衝擊範圍？」

1) 量子電腦威脅比特幣的哪些方面（哪些不會）

比特幣的所有權模型最終取決於數位簽章。目前，該網絡依賴橢圓曲線密碼學（ECC）：傳統的交易使用ECDSA，而Taproot風格的交易則使用Schnorr簽章。理論上，足夠強大的量子電腦可以利用量子演算法解決ECC後面的數學難題，從已知的公開金鑰推算出私密金鑰，從而實現未經授權的支出。

有兩點澄清很重要：

量子風險不是「挖礦風險」。量子運算並不會神奇地重寫比特幣的歷史。核心問題在於金鑰洩露—能夠冒充他人進行簽章。
影響最大的情況是選擇性盜竊。早期「密碼學相關」的量子機器（如果/當它們出現時）可能會稀少且昂貴，因此攻擊者可能會針對高價值、高確定性的錢包，而不是試圖「一次性破解比特幣」—花旗銀行在其關於實際限制和優先級的討論中也強調了這一點。

2) 為何比特幣的「公開金鑰曝露」會產生更大的攻擊面

在比特幣中，許多現代地址類型要到交易支出時才會在鏈上顯示公開金鑰；它們通常僅發布一個雜湊，該雜湊是對公開金鑰的承諾。這種設計減少了長期曝險的風險。

然而，仍有相當一部分BTC與輸出相關聯，這些輸出中的公開金鑰已在鏈上可見，包括：

早期的 P2PK（Pay-to-Public-Key）輸出，其中公開金鑰直接嵌入鎖定腳本中。
先前已支出輸出的金鑰，支出操作可能會洩露公開金鑰（特別是如果用戶重複使用地址或遵循舊的錢包行為）。

這便是「過度的量子風險」論述的來源。根據採用的方法論（以及何為「曝露」的定義，預估結果有所不同。花旗銀行發布的《量子威脅》資料將量子曝險的比特幣池描繪成佔有相當比例的少數，但具體範圍取決於定義。同時，其他行業討論則經常引用「約三分之一」的範圍，在市場評論中常落在約 650 萬至 690 萬 BTC 的區間内—這些數字乘以BTC的價格後，變得更加引人注目。

即使確切數字有所變動，其核心訊息是一致的：比特幣存在大量可識別的高價值目標，其公開金鑰已經暴露在外。

3) 「即刻採集，稍後解密」遇上加密貨幣

花旗銀行強調的第二個風險是**「即刻採集，稍後解密」**（Harvest Now, Decrypt Later, HNDL）策略：敵人現在收集加密或敏感數據，等到量子能力成熟後再進行解密。

對於加密貨幣，HNDL有兩種實際的解釋：

鏈下曝露：KYC數據、交易所帳戶記錄、機構結算訊息和私人通信都具有長久的生命週期。即使資金在鏈上是安全的，機密性也可能被追溯性地破壞。
鏈上編目：公開區塊鏈數據是永久性的。如果公開金鑰今天被曝露，它們現在就可以被索引，並在未來遭到攻擊—無需「破解」鏈本身。

這就是為何量子準備越來越被視為一個多年期的遷移問題，而不是單一的補丁。

4) 為何比特幣的升級速度可能慢於更快速的 PoS 生態系統

花旗銀行的分析也指出了治理速度：比特幣的文化優先考慮保守、向後兼容和最小化共識風險。這通常是一種優勢—直到面臨截止日期。

與更快速演進的 PoS 網絡（例如，以太坊更快的協議迭代節奏）相比，比特幣的變更過程通常需要：

漫長的審查週期
廣泛的敵對測試
節點運營商、礦工、錢包開發者和機構之間廣泛的社會共識

如果量子時間線收緊，這使得「隨時應變」變得更加困難。

5) 自 2024–2026 年以來發生了什麼變化：PQC 從理論走向標準

一個經常被加密貨幣領域低估的重大轉變是，後量子密碼學（Post-Quantum Cryptography, PQC）不再只是「研究論文」。它正在成為標準化的基礎設施。

2024 年 8 月，NIST 發布了首批最終的後量子密碼學標準，旨在立即在許多環境中採用（NIST 公告，以及底層標準，例如FIPS 203 (最終版)）。
2025 年 3 月，NIST 選定了 HQC 作為額外的後量子加密演算法，以實現假設的多樣化（NIST HQC 選定）。

對加密貨幣而言，這很重要，因為它加速了供應商路線圖、合規預期以及更廣泛的「加密敏捷性」運動—讓錢包、託管堆疊和企業能夠更現實地規劃遷移，而不是等待一個完美、單一的解決方案。

6) 比特幣社群新興的路線圖：BIP-360 和 BIP-361

在討論量子彈性時，越來越常被提及的兩個比特幣改進提案是BIP-360 和 BIP-361。

BIP-360：透過新的輸出類型（P2MR）減少長期曝險風險

BIP-360 提出Pay-to-Merkle-Root（P2MR），這是一種類似 Taproot 的輸出結構，沒有金鑰路徑支出。概念上，它旨在更容易使用腳本樹，同時減少公開金鑰持續曝露的情況。

重要細節：BIP-360 最好的理解方式是作為一個結構性的墊腳石。它改善了比特幣如何在長期曝險威脅模型下「表現」，但它本身並不等同於「比特幣擁有後量子簽章」。

BIP-361：針對舊有簽章的預計「日落」（並強制遷移的激勵）

BIP-361 更進一步：它概述了一個預先宣布的遷移路徑，該路徑在規定的時間內，透過分階段的限制和類似救援的機制，促使生態系統遷移，逐步淘汰舊有的 ECDSA/Schnorr 交易。

無論是否同意這種方法，其重要性在於 BIP-361 將量子風險重新定義為一個協調問題：如果一大批曝險的幣種在舊有規則下永遠可支出，那麼未來的量子攻擊者就可以選擇性地從休眠錢包中盜取資金—這可能會破壞對比特幣貨幣溢價的信心。

7) 比特幣持有者現在可以做什麼（無需等待後量子硬分叉）

即使在協議級別的後量子簽章出現之前，用戶也可以減少最可避免的量子曝險部分：

停止重複使用地址 重複使用會增加你的公開金鑰成為一個長期、易於瞄準目標的機會。
審核舊有曝險 如果你持有非常舊的腳本類型的硬幣（特別是早期輸出的硬幣）或託管於有歷史地址重複使用的錢包中，請考慮遷移到現代錢包慣例。
在你的託管設置中規劃「加密敏捷性」 機構應將量子準備視為任何其他多年的安全遷移：盤點、確定優先級、分階段推出和進行演練。
保持金鑰離線並易於升級 量子風險並非唯一風險。釣魚、惡意軟體和社交工程仍然是迫切的威脅。硬體錢包透過在日常操作中將私密金鑰與聯網設備隔離，有助於此，並且在你最終需要遷移資金至新腳本類型或簽章政策時，它也提供了一個更安全的途徑。

OneKey 在「後量子準備」思維中的作用

目前沒有哪個硬體錢包能神奇地讓 ECC 「量子防護」。但是，一種易於升級且操作穩健的安全態勢仍然很重要。OneKey 的自我託管工作流程—離線金鑰生成、設備內交易確認，以及強調可驗證性的設計理念—與長期、分階段過渡的實際需求高度契合：你希望你的簽章環境保持隔離，並且希望隨著生態系統的融合，擁有採用新標準的清晰路徑。

換句話說：後量子比特幣將是一場遷移，而不是一個瞬間。現在就建立良好的託管衛生習慣，是減少當前威脅和未來不確定性的方法。