比特币面临量子计算的结构性风险

ARK Invest与专注于比特币的金融服务公司Unchained合作发布《比特币与量子计算》白皮书,揭示了约34.6%的比特币总供应量所存放的地址类型,在未来可能受量子计算攻击影响。该比例涵盖公钥已链上暴露的重复使用地址、早期P2PK格式中的丢失币以及部分P2TR地址。剩余65.4%的比特币已被认为以抗量子格式持有,表明网络具备一定抵御能力。

风险来源与具体分布

比特币的安全依赖于椭圆曲线密码学和SHA-256哈希算法。理论上,若量子计算机突破足够算力阈值,可从公开的公钥推导出私钥,从而窃取资金。风险集中于三类地址:约500万枚比特币(25%)位于公钥已暴露的重复使用地址;约170万枚(8.6%)为永久锁定在早期P2PK格式中的资金;另有20万枚(1%)存于特定路径暴露的P2TR地址。其中,部分资金可能归属于比特币创建者中本聪。

量子计算需跨越巨大技术鸿沟

当前量子计算机处于“嘈杂中型量子”阶段,仅具备约100个逻辑量子比特,远未达到破解比特币所需的能力。报告指出,真正构成威胁需至少2330个逻辑量子比特及数千万至数十亿量子门操作。这一差距意味着现实层面尚无即时风险。此外,任何重大突破极可能先冲击银行、政府等关键基础设施,为比特币留出应对窗口期。

风险属于长期而非迫在眉睫

量子计算发展被划分为五个阶段。只有进入第三阶段后,量子机器才可能对256位椭圆曲线密钥构成实质性威胁。而第五阶段才可能实现比比特币10分钟出块周期更快的破解速度。因此,该风险属于长期结构性挑战,非短期危机。过程中将伴随逐步显现的预警信号,而非突然爆发的“量子危机日”。

预警机制与社区应对空间

ARK Invest认为,进展将是渐进的,社区拥有充足时间进行协议升级。目前已有方案如BIP-360提议引入新输出类型,以消除Taproot密钥路径漏洞,降低长期暴露风险。同时,基于格密码的ML-DSA与基于哈希的SLH-DSA等后量子签名标准已被广泛认可,技术路径清晰。

与其他研究的差异与互补性

另一分析认为,现实中易受攻击的比特币仅约10,200枚(0.05%),聚焦实际攻击可行性。而ARK Invest的34.6%包含理论暴露范围,涵盖尚未迁移但可能成为目标的资产。两者并不矛盾,分别反映不同维度的风险评估——一个关注当前可攻击面,另一个着眼长期需解决的总量问题。

结论:风险可控,升级路径明确

白皮书并非宣告比特币不安全或即将崩溃。它强调,占总量近三分之一的比特币仍存在尾部风险,主要源于老旧地址结构。然而,65.4%的供应量已处于抗量子状态,显示网络基础稳固。通过共识层面的软分叉推进后量子密码学集成,技术可行性强。最大挑战在于去中心化治理下的协调难度,需在数学证明不作为代价高昂前完成升级。