P2MR可能为量子抗性比特币提供保守的第一步

比特币改进提案（BIP）360，仍在审查中，尚未激活，提议P2MR作为量子抗性的Pay-to-Taproot（P2TR）的替代方案，通过直接承诺Tapscript树的Merkle根而不包括用于密钥路径支出的公钥。在实际操作中，它的行为类似于只使用脚本路径的Taproot输出。

这个区别很重要，因为Taproot的密钥路径支出暴露了一个公钥。在当前的密码学下，从公钥中推导出私钥在计算上是不可行的。但充分强大的量子计算机运行Shor算法理论上可以逆转椭圆曲线密码学。P2MR简单地将那个暴露的密钥从方程中移除。

重要的是，P2MR并没有引入新的签名方案或操作码。它保留了完整的Tapscript（BIP 342）功能和Merkle化抽象语法树（MAST）风格的脚本树，包括叶版本、控制块和附录数据——减去内部公钥。钱包可以重用他们现有的多数Taproot代码。

输出仍然是32字节的哈希，被标记为“TapBranch”，提供与P2WSH相当的128位碰撞抗性。开发者将其描述为朝向量子抗性的保守第一步，而不是彻底的密码学改革。

该提案已经经历了多次重写和更名。最初在2024年草拟为P2QRH（“支付至量子抗性哈希”），在2025年末变为P2TSH（“支付至Tapscript哈希”），在社区反馈后最终确定为P2MR（“支付至Merkle根”），该名称更准确地反映了输出的承诺。

目前，BIP 360仍然是草案拉取请求，尚未合并或定于激活。在比特币开发者邮件列表和社区论坛中讨论仍在继续。

为何存在量子担忧

比特币的主要量子脆弱性在于签名方案，而非哈希。那些在链上暴露公钥的地址最易受到攻击，因为Shor算法理论上可以从那些公钥计算出私钥。

传统的支付至公钥（P2PK）地址直接在锁定脚本中嵌入公钥，持有大约170万个BTC，使其成为理想的长距离目标。一旦支出暴露了公钥，重复使用的支付至公钥哈希（P2PKH）地址就变得脆弱。Taproot的密钥路径支出也会暴露一个修改过的公钥。

被认为处于风险中的比特币数量估计差异很大。一些分析表明在特定定义下20%到50%的供应可能会受到暴露，而另一些分析则认为只有一小部分会造成有意义的市场干扰。关于密码学相关的量子计算机的时间线通常被预测为几年或几十年后，但不确定性引发了争论。

P2MR并没有解决在内存池窗口期间的短期暴露风险，并且并未引入后量子签名。相反，它解决了开发者所称的“长期暴露”威胁——那些几年来持有的可公开见公钥的硬币。

实际上，P2MR允许用户——尤其是长期持有者或参与Lightning、BitVM或Ark风格协议的参与者——将资金迁移到消除最明显ECC暴露的输出中，同时保留Taproot的脚本优势。这是渐进的，而不是革命性的。

对于一个更倾向于渐进的软分叉而非彻底重设计的网络来说，这种语调是故意的。量子警报可能遥远，但BIP 360表明开发者至少在检查出口——冷静、系统地进行，手中还握有他们的密码学作业。

常见问题 ❓

• 比特币的BIP 360中的P2MR是什么？
  P2MR（支付至Merkle根）是一种提议的输出类型，通过消除Taproot的密钥路径支出来保留完整的Tapscript功能。
• 为什么某些比特币地址容易受到量子攻击？
  在链上暴露公钥的地址理论上可能允许使用Shor算法的量子计算机推导出私钥。
• BIP 360引入后量子签名吗？
  不，它是一个保守的步骤，没有添加新的签名方案或操作码。
• BIP 360今天在比特币上活跃吗？
  不，它仍然是一个处于积极审查中的草案拉取请求，没有激活时间表。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。