编译：白话区块链

这篇文章讨论的重点，不是“量子计算会不会摧毁比特币”这种耸动问题，而是比特币社区能否在威胁真正逼近前完成升级协调。作者指出，量子风险的时间表正在收紧，早期暴露公钥的老地址会先成为靶子，而真正更难的不是密码学方案本身，而是让一个高度保守的网络及时达成迁移共识。

1200。这是 Google Quantum AI 在 2026 年 3 月一篇里程碑式白皮书中给出的数字。

通过对 Shor 算法进行优化实现，研究团队展示：破解保护每一个比特币地址的 256 位椭圆曲线加密，所需的规模不超过 1200 个逻辑量子比特，以及不到 50 万个物理量子比特。与 5 年前主导这一领域的估算相比，这一数字大约缩小了 20 倍。

IonQ 官方路线图计划在 2028 年实现 1600 个逻辑量子比特，到 2030 年提高到 8 万个；IBM 的量子路线图则预计，其 Blue Jay 系统将在 2033 年达到 2000 个逻辑量子比特。

威胁窗口，已经有了一个日期

要理解量子计算机究竟会威胁比特币的哪一部分，首先必须明白，比特币在密码学上究竟建立在什么之上。

比特币的安全性依赖两根不同的支柱。第一根是 SHA-256，这是一种哈希函数，用于保护挖矿过程和地址生成。第二根是 ECDSA，也就是椭圆曲线数字签名算法，它负责“所有权”这一层。每当你发送比特币，ECDSA 都会生成一个数字签名，用来证明你控制该钱包并授权这笔交易。比特币所使用的具体椭圆曲线是 secp256k1，它能生成公私钥对。你的私钥是一个随机数；公钥则通过椭圆曲线乘法从私钥推导而来——这种计算在一个方向上很容易完成，但对任何经典计算机来说，几乎不可能反向求解。正是这种“单向性”，构成了比特币所有权安全的全部基础。

量子计算机对这两套系统的攻击方式完全不同，而这一区别至关重要。

量子计算的确可以加速某些搜索，但幅度远不足以让今天正在建设中的任何硬件对比特币挖矿系统构成现实威胁。挖矿系统不是问题所在。

真正的关键在于 Shor 算法。它能够破解保护每一个比特币私钥的数学锁，而这是任何经典计算机都做不到的。按照 Google Quantum AI 白皮书中的估算，一台拥有 1200 个逻辑量子比特的机器，大约可以在 9 分钟内推导出一个私钥——这已经接近比特币确认一个区块所需的时间。

多种量子硬件路线，正在朝着这一门槛收敛。威胁时间线更像一个下限，而不是上限：只要其中任何一种技术路线提前突破，这个窗口就会被进一步压缩。

把它看作 10 年吧。甚至可能更短。

“先收集，后解密”其实已经开始

这个问题还有一种版本，它并不需要等到 2029 年才成立。

国家级情报机构今天并不需要拥有量子计算机，才能从比特币交易中提取价值。它们只需要存储能力——而这很便宜；以及耐心——而机构最不缺的就是耐心。策略非常直接：现在先把加密后的区块链数据录下来，等到未来硬件赶上，再统一解密。在安全领域，这被称为“Harvest Now, Decrypt Later”，也就是“先收集、后解密”，缩写为 HNDL。按多数可信判断，这种做法很可能已经在发生。

对于多数比特币交易来说，这更像是一种麻烦，而不是生存危机——因为这些数据本来就是公开的，比特币提供的从来只是化名性，而不是匿名性。但对那些构建在区块链基础设施之上的隐私应用来说，HNDL 的威胁更深。无论是机密交易，还是加密的跨链消息，只要今天被记录下来，都可能被锁进一个“等待量子钥匙到来”的保险柜里。这些系统长期保密性的假设，其实已经被提前削弱了，无论用户是否意识到这一点。

还有第二个较少被讨论的攻击面。每一笔还躺在内存池里的未确认交易，都会在确认前广播自己的公钥。在一个拥有足够能力的量子计算机的世界里，这个广播窗口——比特币大约是 10 分钟，有时更长——就会变成攻击窗口。如果攻击者能在新区块被挖出前，更快地从公钥推导出私钥，他就可以在原交易结算前将其重定向。这个技术名词叫“实时替换攻击”。这意味着，问题不仅关乎那些已经暴露多年、静静躺着的钱包；它还关乎每一笔正在发生的交易，关乎量子硬件一旦越过阈值后的实时风险。

这一点带来的含义并不轻松：比特币脆弱性的时钟，并不是从 2029 年才开始滴答作响。对于那些数据值得被收集和长期存储的人来说，它其实已经开始了。

不是所有比特币，暴露程度都一样

一旦量子能力真正到来，它不会均匀打击整个网络。损害会是定向的，而决定它去打谁的，是绝大多数比特币持有者从未认真想过的一项技术差异。

并不是所有比特币地址承受的风险都相同。更早期的 点对点K 地址，会把公钥永久暴露在区块链上，因此会成为未来任何量子攻击者的固定靶子。更新的格式——例如 点对点KH、P2WPKH——则会在真正花费资金之前，把公钥隐藏起来，从而把脆弱窗口压缩到极短的一瞬间。

问题在于，旧格式里仍然放着很多币。

按照多数估计，中本聪早期挖出的超过 100 万枚比特币，就是记录在旧的 点对点K 格式中。它们的公钥都已经上链，而且已经裸露了 17 年以上。没有人能够迁移这些币，因为没有人掌握对应私钥。如果一种在密码学上真正相关的量子计算机，在比特币基础设施完成升级之前率先出现，这些地址并不会收到任何预警——它们会立刻成为最优先的目标。尽管围绕抗量子硬分叉的讨论确实存在，但对攻击者来说，阻力最小的路径，很可能就是第一时间把这些币洗劫一空。除非社区采取高度争议性的集体行动，否则“迅速盗走”会是最可信的结果。

这并不等于系统性崩塌，而是一种定向崩塌。量子能力攻击的第一批受害者，不会是随机选出来的，而会是按暴露程度被精准挑出来的。而比特币历史上暴露最彻底、体量最大的那部分头寸，恰恰没有一个能够主动采取行动的所有者。

真正比物理学更难的，是治理

加密层面的解决方案其实已经存在。这不是一个整个行业还在等待科学突破的局面。NIST 已经在 2024 年正式敲定了后量子密码学标准——CRYSTALS-Dilithium、Falcon、SPHINCS+。这些算法已经公开、经过同行评审，也已经可用。真正的问题在于：比特币能不能在窗口关闭前，真的把它们部署上去。

要回答这个问题，就必须诚实面对后量子迁移的代价。

后量子签名的体积，比今天比特币使用的签名大得多，在某些方案下甚至会大出数百倍。2026 年一篇发表于《Journal of the British Blockchain Association》（JBBA）的研究，直接对迁移进行了建模：吞吐量会下降 52% 到 57%，手续费会提高 2 到 3 倍，而整个网络的存储需求也会显著膨胀。

而这些代价，并不会换来更快的网络、更便宜的交易，或者更好的用户体验。它只是在为一个尚未真正发生的威胁购买保护。这是一种防御性的“降级”。成本立刻发生，而收益则抽象、且发生在未来。

再看看要批准这件事的治理结构。

比特币的 SegWit 升级，明明提供了真实而具体的性能改善，却依然从正式提案到激活花了大约两年时间，而且还是在一个严重分裂的社区里艰难推进的。SegWit 至少还有支持者可以指出那些立刻可见、可以量化的改进。而后量子迁移没有这样的说服力。它给社区开的条件是：接受 57% 的吞吐下降，支付 2 到 3 倍的手续费，承受多年的实施风险，只为了让一台尚不存在的量子计算机，将来无法破解一个目前也还没有真正失效的签名方案。

截至目前，比特币社区一共提出了两项方案。BIP 360 提议基于 Taproot 引入一种新的抗量子地址格式，去掉容易受量子攻击的密钥花费路径，从而避免在交易发生前暴露公钥。BIP 361 走得更远：它计划分阶段淘汰当前的签名系统，并最终冻结那些没有迁移的钱包中的资金，直到钱包所有者完成操作。按比特币一贯的标准来看，这已经接近“激进”。

相比之下，以太坊的姿态显得不同。Vitalik Buterin 已经公布了一份“量子紧急路线图”，尝试在多个层面同时处理这一问题。即将到来的协议升级，将允许单个账户独立切换到抗量子签名，而不需要一次全网投票。与此同时，以太坊也在替换那些未来可能被量子计算机攻破的底层密码学组件，并开发压缩技术，以在迁移过程中保持网络效率。这是一种由创始人公开推动、且横跨多层的协同应对。

这两条路径之间的差距，并不意味着对比特币文化的批评。对于一种货币协议来说，极度保守本身就是一种可以自洽的哲学。但当威胁时间表由外部工程路线图决定，而不是由内部共识决定时，保守主义也有代价。JBBA 的研究估计，要就后量子迁移形成社区共识，可能需要 10 到 15 年；而威胁窗口本身，也是 10 到 15 年。这两个数字，其实是同一个数字。

2025 年曾有报道指出，至少有一家全球投资机构已经把比特币从其推荐名单中移除，而长期量子安全不确定性正是原因之一。它或许不会是最后一家。随着 IBM 和 IonQ 的路线图越来越难被忽视，尽职调查框架会开始把“后量子迁移计划”从脚注，提升成一个正式项目。

问题从来不是“会不会”，而是“来不来得及”

真正会发生的事情，其实更细碎，也在某种程度上更令人不安。

第一波会先打向那些早已暴露的目标：点对点K 地址、早期挖矿奖励，以及上文提到的中本聪时代那 100 多万枚比特币。一台具备能力的量子机器并不会通过市场崩盘来宣告自己的存在，它更可能通过一连串异常交易来暴露自己：那些钱包的拥有者要么已经失去访问权限、要么无法联系、要么从未被确认，而它们的资金被持续抽走。相关链上数据一直都在那里，而且已经放了很多年。

第二波则是心理层面的。比特币的价值从来不只是建立在技术属性之上。它还建立在一种信念上：规则是固定的，数学是可靠的，这种资产不受任何拥有足够资源的行为者操控。一旦一次被确认的量子突破登上新闻头条，这种信念会受到一次可能无法迅速恢复的打击。BlackRock 和 Fidelity 建立比特币 ETF，并不是围绕某个技术规格书，而是围绕一套叙事。叙事的脆弱性，和密码学完全不是一回事。

第三波则完全取决于治理。如果比特币社区真的行动起来——不是象征性讨论，而是以时间线所要求的紧迫性行动——那么协议本身能够活下来，它的价值逻辑也能一起活下来。技术上这是做得到的。物理学本身并没有让比特币变得不可防御。但这个窗口要求社区做出一些决定，而这些决定恰恰违背了一个长期围绕“不信任中心化协调”“抵抗变更”“对一切紧迫叙事保持深度怀疑”而形成的社区本能。

我的判断是：比特币不会归零。但它通往生存的道路，比最坚定的支持者承认的要窄，而这条路所要求的工作，也比这个网络此前做过的任何事情都更难。物理学大概给了比特币到 2033 年左右的时间。它的治理能不能跟上这个节奏，才是真正唯一悬而未决的问题。

如果你读到这里，更想采取行动，而不是旁观，那么：

如果你持有的是较老钱包格式中的比特币，先检查你的地址是否已经暴露公钥。以“1”开头的地址（点对点KH）或“bc1”开头的地址（P2WPKH/P2TR），会在你真正花费之前隐藏公钥；而最早期的 点对点K 格式，则会永久暴露公钥。如果你的钱包是在过去十年里创建的，你大概率已经使用的是较新的格式；但如果你从早年就一直持有比特币，最好亲自核验。迁移只需要支付一笔交易手续费，也不需要信任任何第三方，没有理由拖延。但这只是一个“降风险”动作，而不是根治：公钥仍然会在花费时暴露，签名方案本身也仍然是 ECDSA，而它并不具备抗量子能力。真正的量子安全迁移，仍然取决于后量子地址格式——例如 P2QRH——的部署；这些方案目前还处于 BIP 草案阶段，尚未在主网上激活。

如果你是以专业方式在配置数字资产，那么现在就该在你的框架里增加一列：“后量子迁移路线图”。它应该从今天开始就进入你的尽调清单。BlackRock 在 2025 年 5 月已经把量子风险披露加入了其比特币 ETF 招股文件。到 2028 年，这一列大概率会进入所有人的框架——这是一种预测，但考虑到机构关注升温的速度，它是合理的。

如果你从事政策工作，也需要明白：CBDC 基础设施与数字金融轨道面临的是同一类威胁、同一条时间线，因为它们依赖的是同样的椭圆曲线密码学，而 Shor 算法同样可以将其攻破。对去中心化网络来说，迁移协调更难，正是因为它们没有行政权威。公共基础设施没有这个借口，但它也未必拥有更快的技术路径。

这场竞赛，并不是量子计算与比特币之间的竞赛。它真正比拼的是：量子计算的发展速度，和比特币在压力之下作出艰难集体决策的能力，究竟谁更快。其中一方已经给出了公开路线图，并拥有数十亿美元工程资源的支撑；另一方则依赖邮件列表中的粗略共识来推动治理，不过这种共识也已经产出了正在测试网部署的 BIP 草案。

从更大的角度看，这项技术的轨迹最终指向一个更广泛的结论：在一个受技术约束持续变化影响的系统里，长期韧性取决于适应能力。与其假定某种永久不变的稳定，不如承认，系统必须随着它所面对的风险一同演化。

本文链接：https://www.hellobtc.com/kp/du/05/6331.html

来源：https://www.forbes.com/sites/digital-assets/2026/05/28/bitcoins-quantum-deadline-isnt-a-physics-problem/