觀點:比特幣社群正朝著量子威脅路線圖匯聚——這預示著後量子軟分叉時代的來臨
觀點:比特幣社群正朝著量子威脅路線圖匯聚——這預示著後量子軟分叉時代的來臨
量子運算多年來一直被比特幣社群視為「有趣但遙遠」的事物。而這個「遙遠」的距離正在縮短。
2026 年的變化並非在於量子機器今天就能夠破解比特幣,而是社群的討論正從零散的辯論轉向一條可行的升級路徑:逐步透過軟分叉導入後量子密碼學 (PQC),同時為用戶和企業預留長期的遷移通道,以便將資金轉移到抗量子地址類型。這篇來自 Galaxy Research 的最新研究報告詳細概述了目前的提案和時間表:Galaxy Research — 比特幣的量子準備度。
以下是一個著眼於生態系統的實用觀點,探討新興的共識、它對持有者的意義,以及「量子驗證比特幣」在現實世界中可能樣貌。
1) 為何量子風險正從「黑天鵝」轉變為工程待辦事項
比特幣過去曾在不確定性中進行升級:從 SegWit 到 Taproot,從舊式腳本模式到更具表現力的基元,從一個小眾實驗發展成為關鍵基礎設施。
現在,量子風險也正被以類似的方式對待——不再是單一的末日時刻,而是一個長達多年的遷移問題,其特徵如下:
- 去中心化系統(錢包、交易所、託管機構、礦工、節點運營商和用戶)的協調需要多年時間。
- 密碼學轉型已在加密貨幣之外發生,尤其是在 PQC 標準穩定之後。
特別是,NIST 發佈了 PQ 標準,為更廣泛的安全產業提供了堅實的基礎。在簽章方面,NIST FIPS 204 (ML-DSA,源自 CRYSTALS-Dilithium) 已成為廣泛參考的基準,而 NIST 關於最終確定後量子標準的公告 總結了更廣泛的背景。
這對比特幣很重要,因為「稍後再選擇 PQ 簽章」已不再是一個令人滿意的答案。產業正在標準化,比特幣作為價值儲存工具的長期信譽,越來越依賴於建立一個可靠的路線圖。
2) 量子運算威脅比特幣的哪些方面(以及哪些不受威脅)
比特幣的核心風險是簽章偽造,而非挖礦崩潰。
- 受威脅: 橢圓曲線簽章(ECDSA 和 Schnorr)依賴於離散對數問題的難解性。一台足夠強大且容錯的量子電腦運行Shor 演算法,理論上可以從已知的公鑰推導出私鑰。請參閱 Shor 的原始著作 「量子電腦上素因數分解和離散對數的 الزمن多項式演算法」。
- 相對更具彈性: SHA-256 等雜湊函數不像橢圓曲線簽章那樣容易受到 Shor 演算法的影響。它們面臨另一類型的量子加速(通常透過 Grover 演算法討論),這會改變安全邊際,而不是像上述那樣能夠「從公鑰恢復私鑰」的攻擊。Galaxy 的報告在其技術部分對這些區別進行了清晰的比特幣特定分析:比特幣正在迎接量子準備度的挑戰。
因此,量子的話題主要圍繞著公鑰何時會暴露,以及一旦暴露,攻擊者能多快採取行動。
3) 實際風險:「公鑰可見性」與遺留輸出
比特幣在結構上比基於帳戶的鏈更有優勢,其重要性在於:許多地址類型僅在幣被花費前才顯示公鑰的雜湊。這造成了不同的風險層級:
長期暴露的幣(公鑰已在鏈上)
這些是討論最多的,因為一旦出現具有密碼學相關性的量子運算,攻擊者就可以「先收集,後解密」。
兩種廣泛引用的長期暴露來源包括:
- 非常早期的腳本類型,直接嵌入公鑰(通常描述為 P2PK 輸出)。
- 不良習慣/地址重複使用,一旦第一次花費後,公鑰就會永久可見,並與剩餘資金相關聯。
估計因定義不同而差異很大。Galaxy 引用了另一種較高的估計,約有700 萬枚 BTC 在某些「長期暴露」分類下可能面臨風險,同時強調了不確定性和方法論的依賴性(Galaxy Research)。其他分析則側重於較窄範圍的「市場相關」風險。
另一種角度來自 Ark / Unchained 的一篇白皮書,由 Cointelegraph 摘要,其中強調約有170 萬枚 BTC 屬於早期的 P2PK 輸出,是一個獨立且永久暴露的類別(Cointelegraph 摘要)。
短期暴露的幣(花費時才揭露公鑰)
在此情況下,攻擊者的窗口受到 mempool 動態和確認時間的限制:敵方必須能夠在花費期間內推導出私鑰並搶先一步,以盜取正在傳輸中的資金。這與大規模掃描長期暴露的資產是不同的工程目標。
4) 新興技術方向:先軟分叉,再逐步導入 PQ 簽章
新共識中引人注目的一點是程序性的:最有說服力的路徑不是突然的「標記日」簽章交換。而是透過軟分叉實施一系列的逐步、可審查的步驟。
步驟 A:在導入完整 PQ 簽章前,透過新的輸出類型降低暴露風險
一個重要的里程碑是 BIP 360,該提案提出Pay-to-Merkle-Root (P2MR),透過移除 Taproot 的金鑰路徑花費並依賴腳本樹承諾,來減少某些長期暴露模式。規範草案位於比特幣 BIPs 儲存庫中:BIP 360 (bip-0360.mediawiki)。
這類變更並不能神奇地讓比特幣「量子驗證」,但它符合以工程為先的理念:立即縮小攻擊面,保持兼容性,並為未來的密碼學建立基礎。
步驟 B:保守地導入 PQC(通常採用雙簽章)
在導入完整 PQ 簽章時,許多提案都匯聚於一個務實的折衷方案:
- 在遷移期間使用冗餘(例如,同時要求傳統簽章和 PQ 簽章),這樣即使有一種方案日後受到質疑,網路仍然安全。
- 避免強制所有參與者立即切換。
這是在社群討論中經常提到「Dilithium」的地方——儘管以標準化形式,它通常是根據 NIST 的命名在 NIST FIPS 204 下以 ML-DSA 來引用。實際上,比特幣的最終選擇還會考慮簽章大小、驗證成本、頻寬、硬體限制和長期信心。
5) 治理上的難點:「遷移窗口」與未遷移幣的去向
提供新的抗量子地址類型是比較容易的部分。難點在於決定網路如何處理無法或不願遷移的幣——特別是公鑰已公開的長期暴露輸出,以及那些可能永遠遺失的幣。
這就是社群討論經常聚焦於有時限的遷移窗口的地方:
- 導入新的地址類型和簽章規則。
- 給予用戶和機構數年時間進行遷移。
- 在長期的寬限期後,強制執行剩餘資金的政策(範圍從「不鼓勵」到「限制」,在某些提案中則為「凍結」或「銷毀」)。
比特幣為何會考慮如此嚴厲的措施?因為在極端情況下,另一種選擇更糟:如果具有量子能力的一方能夠掃描大量暴露的幣並將其拋售,可能會造成一次性的市場衝擊和嚴重的合法性危機。
一種尋求折衷方案的嘗試體現在「Hourglass」系列提案中,該提案側重於限速提取,而非立即沒收或無所作為。例如,一個更新的設計討論了限制每區塊可提取的金額;請參閱 Hourglass V2 更新 (Delving Bitcoin)。
另外,分階段遷移和結束的概念在 BIP 361: 後量子遷移和遺留簽章結束 等提案中得到了正式化,這反映了討論從抽象風險轉向具體協議設計的速度有多快。
6) 「密碼學敏捷性」成為首要要求
如果說現代安全工程有什麼教訓,那就是密碼學並非靜態。
比特幣生態系統越來越多地討論演算法敏捷性:設計升級機制,使比特幣能夠在不破壞網路穩定的情況下切換或添加簽章方案。這不代表「每年更換密碼學」。它意味著建立一個協議姿態,使得未來的變更成為可能。
開發者之間的討論非常活躍,包括在 bitcoin-dev 郵件列表中的專題討論,例如 比特幣的演算法敏捷性。對於長期資產而言,敏捷性不是奢侈品——它是確保「價值儲存」數十年信譽的一部分。
7) 使用者現在可以做什麼(在 PQ 地址存在之前)
即使量子威脅仍然是長期的風險,也有一些實際的步驟符合發展方向:
- **避免地址重複使用。**地址重複使用會增加長期暴露的風險,因為一旦公鑰被揭露,與該金鑰關聯的任何剩餘資金都可能成為「長期暴露」的目標。
- **盤點遺留持倉。**如果您有非常舊的 UTXO 或歷史錢包,請確定它們是否與早期的腳本模式或重複的地址行為相關聯。
- **將遷移視為常規生命週期事件進行規劃。**最現實的後量子未來包括在多年的時間窗口內將幣轉移到新的輸出類型——其精神(技術上不相同)類似於用戶逐步採用 SegWit 和後來的 Taproot。
- **保持升級就緒。**PQ 遷移很可能需要錢包軟體更新、新的地址格式和新的簽章流程。操作上的準備程度與密碼學同等重要。
硬體錢包的定位
硬體錢包無法阻止 Shor 演算法。但它確實能保護當下最重要的東西:您的私鑰和簽章授權。
在未來的遷移窗口中,用戶需要授權從遺留輸出到新的抗量子地址的受控轉移。自行託管的設置——金鑰從不接觸聯網環境——可以在用戶需要執行高風險遷移的時刻,降低遺失的風險。
這也是像 OneKey 這樣的產品可以成為後量子準備計劃的實用組成部分的原因:保護金鑰隔離,讓遵循良好的地址衛生習慣變得更容易,並在比特幣的地址和簽章標準不斷演進時,提供安全的簽章環境。
結論:漫長的跑道,更清晰的路線圖
最重要的轉變是心理和社會層面的:量子威脅不再僅被視為一個迷因或未知的生存威脅。它正被塑造成一個可管理的協議升級序列:
- 在可能的情況下降低暴露風險(例如,新的輸出結構)。
- 保守地導入 PQ 簽章(通常透過冗餘)。
- 設定長期的遷移跑道。
- 建立密碼學敏捷性,以便比特幣在需要時能夠再次演進。
這種結合將「量子威脅」從一個令人癱瘓的故事,轉變為一個具體的待辦事項清單——比特幣憑藉足夠的時間和協調,能夠切實執行。
如果您長期持有 BTC,最佳的態度既非恐慌也非否認:而是保持知情,將您的幣保存在良好管理的自行託管設置中,並在網路標準化抗量子地址類型時準備好遷移。
