撰文：Clow

1943 年，英国布莱切利庄园里，一群数学家围坐在一台叫「炸弹机」的机械装置前，试图破解纳粹德国的 Enigma 密码。他们成功了。这件事的意义从来不在于解了一道数学题，而在于谁先破译密码，谁就能在战争中改写结局。

密码学的攻防，从来都是真金白银的战争。

八十多年后，这个逻辑正在以一种更安静、但可能更致命的方式重演。2026 年 3 月 30 日，谷歌量子 AI 实验室联合以太坊基金会研究员 Justin Drake 和斯坦福密码学家 Dan Boneh，发布了一份白皮书：破解比特币所依赖的 secp256k1 椭圆曲线加密，所需的量子资源比此前最乐观的学术估计降低了约 20 倍。50 万个物理量子比特，9 分钟，就能从公钥推导出私钥。

比特币的锁还在。但有人正在磨钥匙。

01 9 分钟能做什么？

比特币的平均出块时间是 10 分钟。这个数字你可能听过无数遍，但从来没觉得它是个安全漏洞。

现在它是了。

谷歌团队开发了两种针对 secp256k1 曲线的优化电路方案。低门数变体只需约 1450 个逻辑量子比特和 7000 万次托夫利门操作，单次破解私钥的有效时长约 18 分钟。如果加上预计算优化，这个时间可以压到 9 分钟以内。

这意味着什么？想象一下：你刚在钱包里点了「发送」，一笔交易广播到了比特币网络的内存池里。你的公钥在这一刻暴露了。一台足够强的量子计算机可以在出块之前完成私钥破解，伪造一笔手续费更高的竞争交易，把你的钱转到攻击者的地址。矿工只认手续费高的那笔。根据谷歌的估算，这种「内存池劫持」的成功率大约是 41%。

你甚至不会收到任何错误提示。钱就是没了。

值得注意的是，谷歌并没有把完整的攻击电路公之于众。他们采用了一种极具创新性的「负责任披露」模式：发布一个基于 SP1 和 Groth16 SNARK 的零知识证明，允许第三方在不掌握攻击细节的前提下，验证谷歌宣称的资源消耗量是否属实。说白了，他们证明了自己做得到，但不告诉你怎么做。

这种克制本身，就是一种警告。

02 690 万枚比特币，排队等着被敲碎

并不是所有比特币在量子面前都同样脆弱。谷歌的报告把风险分得很清楚。

最先倒霉的是早期的 P2PK 地址，大约 170 万枚 BTC。这些地址的公钥直接明文写在区块链上，连猜都不用猜，量子计算机可以直接开工。紧随其后的是因为地址重用而暴露公钥的约 520 万枚。只要你用同一个地址发起过一次交易，公钥就永远挂在链上了。

加起来，大约 690 万枚比特币处于「静态暴露」状态。按当前价格，这是一个超过 6000 亿美元的风险敞口。

更讽刺的是 Taproot。2021 年，比特币社区花了大力气推动的这次升级，本意是提升隐私和支持更复杂的智能合约。但 Taproot 采用的 Schnorr 签名方案，在设计上选择了直接在链上暴露经过微调的公钥。这消除了传统 P2PKH 地址通过哈希函数掩盖公钥的那层防护。在经典计算环境下，这无伤大雅。但在量子环境下，这是一次安全性的倒退。到 2025 年，Taproot 交易已占比特币网络交易量的 21%，而且还在增长。

然后是房间里的大象：中本聪时代的约 110 万枚 BTC。这些币用的都是 P2PK 脚本，私钥极有可能已经丢失，没有人能把它们迁移到抗量子地址。一旦 50 万比特的量子计算机出现，这将成为人类历史上最大的一笔「公海财富」。谁先造出那台机器，谁就拿走这笔钱。

03 硬件还差多远？没你想的那么远

50 万物理量子比特听起来是个天文数字。谷歌当前最强的 Willow 芯片只有 105 个量子比特，差距大约是 4760 倍。看起来还早得很？

但量子计算的进步从来不是线性的。

谷歌已经用 Willow 芯片证明了量子纠错的可行性，并把内部所有系统的后量子密码迁移截止日期定在了 2029 年。他们自己信这个时间表。IBM 的路线图更激进：2029 年推出 Starling 系统，目标是 200 个逻辑量子比特和 1 亿次门操作；远期的 Blue Jay 目标是 2000 个逻辑量子比特。更关键的是，IBM 明确表示将通过 qLDPC 纠错码把物理比特开销降低 90%。初创公司 Oratomic 的研究则显示，用中性原子架构，仅需约 26000 个物理量子比特就能破解 secp256k1 曲线，虽然需要 10 天。

不需要实时劫持，慢慢来也行。对于那些公钥已经永久暴露在链上的沉睡钱包，攻击者有的是时间。

不过，有一个好消息：挖矿层暂时是安全的。虽然 Grover 算法理论上能为哈希计算提供平方级加速，但实际物理实现中的量子门开销远高于现有的 ASIC 矿机。要用量子计算机有效挖矿，所需的物理量子比特数量达到 10 的 23 次方级别，耗电量接近一颗恒星的能量输出。比特币的风险集中在签名层，不在共识层。

04 比特币社区的自救

开发者们并没有坐以待毙。

进展最快的是 BIP-360 提案，也叫 Pay-to-Merkle-Root（P2MR），已经在 2026 年初合并到了官方 BIP 仓库。它的思路很直接：不再在链上显示任何公钥信息，取而代之的是脚本树的默克尔根。量子计算机再强，也没法从一个哈希值反推出公钥。虽然花费时公钥仍需短暂暴露，但它为后续引入抗量子签名方案铺平了道路。

另一条路线是 StarkWare 首席产品官 Avihu Levy 提出的 QSB（量子安全比特币）方案。它不需要任何软分叉，利用现有的 OP_RIPEMD160 操作码构建一套复杂的哈希谜题来验证签名。安全性锚定在哈希函数的抗原像能力上，量子计算机对此没有比 Grover 算法更好的手段。但代价不小：每笔交易需要 75 到 150 美元的 GPU 计算成本，更像是给超高净值资产准备的「量子避难所」。

最棘手的问题，始终是那些无法迁移的沉睡资产。社区面前摆着三个选项，每一个都很残酷：什么都不做，任由第一个造出大功率量子计算机的国家或组织收割；通过硬分叉强制作废所有未迁移的早期币，但这将从根本上动摇「代码即法律」的信仰；或者建立一条「坏账侧链」，让真实所有者通过非对称加密以外的方式证明身份。

谷歌甚至建议各国政府制定类似海事法的「数字打捞」法规，允许受监管实体通过量子计算回收遗失资产。这个提议在密码朋克社区引发的反应，可想而知。

05 小结

量子计算机还没有造出来。但谷歌的 2029 年迁移截止日期，IBM 的硬件冲刺计划，算法效率每隔几年就跳一个台阶的速度，都指向同一个结论：留给比特币的窗口期，可能只剩下三到五年。

倒计时不等人。钟在走，声音很轻。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。