关键要点
- 中本聪在2010年7月16日的比特币论坛帖子中为SHA-256辩护。
- 谷歌量子人工智能将2026年打破比特币曲线的估计降低至500,000个量子位。
- 开发者在2026年提出了BIP-360和其他想法,以准备量子抵抗地址。
在2010年7月16日,一位名叫bdonlan的用户在比特币论坛上质疑比特币的双SHA-256哈希。他询问这种设计是否削弱了安全性。
中本聪直接回答。比特币的创始人将SHA-256比作从32位到64位计算的飞跃,而不是位长度的小幅提升。他说,计算机在4GB时耗尽了32位地址空间,但没有人期望在不久的将来耗尽64位地址空间。SHA-256的工作原理相同,数学计算给比特币留出了足够的空间。
中本聪还给网络提供了退出计划。如果SHA-256在未来的某个时刻变得脆弱,开发者可以在设定的区块高度进行软分叉到新的哈希函数。旧哈希和新哈希将并行运行,直到每个节点都升级。
自那以后,比特币的市值已超过一万亿美元,网络每天结算数百亿美元的价值。每一美元的活动仍然依赖于中本聪在十六年前在一个论坛回复中辩护的哈希函数。
比特币的代码将数据哈希两次:SHA256(SHA256(data)),开发者称之为SHA256d。密码学家尼尔斯·费格森和布鲁斯·施奈尔推荐这种方法以对抗区块长度扩展攻击,这是SHA-2使用的Merkle-Damgard结构中的一个缺陷。
矿工为了满足网络的难度目标两次对区块头进行哈希,而节点则两次哈希交易以建立Merkle树。钱包在此基础上增加了第三层,即在SHA-256之上使用RIPEMD-160,以将公钥缩短为地址。
中本聪选择SHA-256是有原因的。美国国家标准与技术研究所于2001年发布了该算法,作为SHA-2家族的一部分,相较于SHA-1提供了更大的强度提升,而在比特币于2009年1月推出时,SHA-1已经显示出裂缝。SHA-256大约需要2^128次运算才能强制发生碰撞,约2^256次运算才能强制发生预像。
十六年后的今天,仍没有人破解这一设计。没有研究者发现针对完整SHA-256的有效碰撞、预像或第二预像攻击。虽然降低轮次的版本已被密码分析攻克,但这些攻击在达到真实的64轮算法之前就停止扩展。NIST和独立团体如ECRYPT-CSA继续将完整功能评估为安全。
矿业硬件讲述了同样的故事。专用集成电路(ASIC)制造商围绕SHA-256d构建了整条产品线,网络哈希率现在达到埃克萨哈希范围。中本聪预测,仅靠摩尔定律永远不会威胁这一功能,而尽管挖矿能力呈指数增长,难度调整仍使区块时间保持在十分钟左右。
经典的暴力破解从未让中本聪担忧,它仍然不会威胁比特币。量子计算将风险分解为两个独立的问题。

格罗弗算法加速了暴力搜索。针对SHA-256运行时,它将有效安全性从256位降低到约128位,这一数字仍然遥不可及。研究人员表示,攻击者需要的量子硬件规模全球尚未建成,因此目前仍然安全。
肖尔算法则带来了更大的问题,它针对的是签名,而不是哈希。运行肖尔算法的量子计算机可以从比特币所使用的椭圆曲线的公开钥匙中提取私钥。估计约700万个比特币,接近35%的供应,存放在公开密钥暴露的地址中,如果存在该硬件,它们将面临风险。
谷歌量子人工智能在2026年发布的研究将打破比特币曲线所需的量子位数量降低至约500,000个物理量子位。当前的量子机器的量子位范围在1,000到1,500之间。研究人员仍然预测实际威胁将在2029至2035年之间,具体取决于纠错的进展。
中本聪在2010年多次回到了与哈希相关的担忧,包括如果SHA-256遭遇部分碰撞会发生什么。他的回答保持一致:在麻烦蔓延之前锁定诚实链,然后迁移到新的函数。

之后的比特币升级没有触及核心哈希。隔离见证在2017年激活,Taproot在2021年激活,二者旨在提高效率和隐私,而不是哈希。量子抵抗在2020年代密码学社区意识到格罗弗和肖尔算法之前并没有成为开发者的热门话题。
比特币开发者已经提出了中本聪在2010年描述的迁移路径,只是针对签名而不是哈希。几个想法已经被提上日程。
BIP-360引入了一种新的地址格式,即以bc1z开头的支付到Merkle根地址,围绕量子抵抗签名方案构建。开发者在2026年合并了这一提案。一个伴随提案BIP-361则阐明了网络如何最终逐步停用旧的暴露地址类型。后一个方法争议略多。
现在,钱包提供商面临压力,要求停止地址重用,并在任何量子截止日期到来之前将用户引导向较新的输出类型。
迁移也带来了自己的障碍。开发者仍需要为锁定在旧地址中的比特币制定计划,这些地址的所有者不活跃或无法联系,包括任何与中本聪自己的早期钱包相关的比特币。后量子签名占用的区块空间也比比特币今天使用的签名要多,研究人员正在测试基于哈希的签名方案,以确保这一迁移可控。
有关SHA-256的任何事情都不需要今天采取行动。保护挖矿和交易历史的哈希函数仍然没有受到任何已知的攻击,无论是经典的还是量子攻击。
签名暴露是值得关注的项目。在旧式地址上持有比特币的持有者,或者任何重复使用比特币地址的人,其暴露程度都高于使用现代输出类型的用户,后者的公钥在消费之前都保持隐藏。
中本聪在2010年线程结束时发出警告,这一警告仍然被视为当前政策。任何足够强大的攻击以破坏SHA-256的攻击可能也会损害像SHA-512这样更强的算法,因此单独发生完全破坏的可能性看起来不大。比特币的防御从来就不是永久性,而是在威胁变得真实之前采取行动的能力。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。