量子攻击逼近:9分钟可破解比特币私钥

谷歌量子AI实验室联合以太坊基金会研究员Justin Drake及斯坦福密码学家Dan Boneh发布白皮书,揭示破解比特币所依赖的secp256k1椭圆曲线加密所需资源较此前乐观估计降低约20倍。仅需50万个物理量子比特与9分钟运算时间,即可从公钥推导出私钥。这一速度接近比特币平均出块周期,意味着攻击者可在交易广播后、区块确认前完成劫持,伪造更高手续费交易并成功转移资金。

内存池劫持成功率高达41%

一旦用户发起转账,其公钥即在内存池中暴露。若攻击者拥有足够算力的量子计算机,可在出块前完成私钥破解,利用手续费优先原则实现资金窃取。整个过程无错误提示,用户难以察觉,钱款直接消失。

690万枚比特币处于静态暴露风险中

并非所有比特币均同等脆弱。早期采用P2PK地址的约170万枚BTC,以及因地址重用导致公钥长期暴露的约520万枚,合计近690万枚处于可被量子攻击的状态。按当前价格计算,风险敞口超6000亿美元。 Taproot升级虽提升隐私与功能,但其采用的Schnorr签名在链上直接暴露经微调的公钥,削弱了传统哈希保护机制,在量子环境下构成安全倒退。截至2025年,Taproot交易已占网络总量21%且持续增长。

中本聪时代比特币或将成最大公海财富

约110万枚中本聪时代的比特币使用原始P2PK脚本,私钥极可能已丢失,无法迁移到抗量子地址。一旦量子计算机问世,这些沉睡资产将成为首个被大规模收割的目标,成为人类历史上最大规模的数字财富争夺战焦点。

量子硬件距离现实还有多远?

50万物理量子比特看似遥远——谷歌当前最强芯片仅含105个量子比特。然而,量子发展非线性推进。谷歌已在Willow芯片验证量子纠错可行性,并将内部系统迁移至后量子密码的截止日期定为2029年。 IBM计划2029年推出Starling系统,目标达200逻辑量子比特与亿级门操作;远期蓝鸟项目(Blue Jay)瞄准2000逻辑量子比特。结合qLDPC纠错码,物理比特开销可降低90%。初创公司Oratomic研究显示,中性原子架构仅需约2.6万物理量子比特即可破解,耗时10天。

挖矿层暂时安全,风险集中于签名层

虽然Grover算法理论上可加速哈希计算,但实际量子门开销远高于现有ASIC矿机。要实现有效量子挖矿,需物理量子比特数量达到10²³级别,耗电量接近恒星输出。因此,比特币共识机制尚不受威胁,真正危机在于签名验证环节。

社区自救:抗量子方案加速落地

开发者正积极应对。BIP-360提案(Pay-to-Merkle-Root)已于2026年初合并进官方仓库,核心思路是不再在链上明文展示公钥,转而使用默克尔根作为验证依据,使量子计算机无法从哈希值反推公钥。 另一路径由StarkWare首席产品官Avihu Levy提出——量子安全比特币(QSB)方案。该方案不依赖软分叉,基于现有OP_RIPEMD160构建复杂哈希谜题验证签名,安全性锚定于哈希函数抗原像能力。但代价高昂,每笔交易需75至150美元GPU成本,更适合超高净值资产保护。

沉睡资产何去何从?三个残酷选项

对于无法迁移的早期比特币,社区面临三难抉择:维持现状任由首个掌握量子能力的实体收割;通过硬分叉强制作废未迁移币,动摇“代码即法律”信仰;或建立坏账侧链,让真实所有者通过非对称加密外方式证明身份。 谷歌甚至建议各国制定类似海事法的“数字打捞”法规,允许受监管机构使用量子计算回收遗失资产,引发密码朋克社群强烈争议。

倒计时开始:窗口期或仅剩三至五年

尽管量子计算机尚未建成,但谷歌设定2029年迁移截止日、IBM激进路线图、算法效率持续跃升,共同指向一个结论:留给比特币的抗量子准备时间,可能不足五年。 钟声轻响,却步步逼近。