量子计算机对比特币的潜在危险：突破破解密码的神话

量子威胁对比特币的威胁被系统性地误解。与广泛传播的说法相反，量子计算机并不会通过直接解密“破解”比特币的加密基础设施。真正的脆弱点在于一个更具体的点：区块链上公开的公钥暴露，以及应用Shor算法从中推导私钥的可能性。

比特币真正受到威胁的是什么：不是加密技术，而是数字签名

比特币并不在区块链上存储加密秘密。这是改变常见叙述的关键点。货币的所有权通过数字签名(ECDSA和Schnorr)以及基于哈希的承诺来保证，而不是通过加密文本。一个足够强大的量子计算机不会“解密”任何东西，而是会利用Shor算法从暴露的公钥中提取私钥，并生成有效的签名以进行竞争性支出。

比特币的开发者和Hashcash的创造者Adam Back曾明确指出：“比特币并不使用按照这种量子风险叙述理解的加密技术。”术语的区分至关重要。加密技术涉及信息的隐藏；比特币运行在一个完全公开的账本上，每一笔交易、金额和地址都是可见的，没有任何内容被加密。

时间窗口与暴露模型：真正的瓶颈

公钥的暴露是关键的脆弱点。不同的地址格式以不同的方式管理这种暴露。许多地址在交易支出时才会暴露公钥的哈希，只有在支出时才会暴露原始公钥。这大大缩小了量子攻击者计算私钥和发布冲突交易的时间窗口。

然而，某些类型的脚本会提前暴露公钥。地址的重复使用将一次暴露变成持续的目标。Project Eleven创建了“比特币风险清单”，精确映射了这些脚本和地址层面的暴露场景，识别出哪些公钥已经可以被装备了Shor算法的潜在攻击者利用。

今天的风险衡量与未来的角色：Taproot的影响

Taproot升级显著改变了暴露模型。Taproot (P2TR)输出在输出脚本中直接包含一个32字节的修改后公钥，而不是之前的公钥哈希。这不会立即带来漏洞，但从根本上改变了在私钥恢复变得可行时默认暴露的内容。

关键在于可衡量性。由于暴露可以在今天量化，易受攻击的UTXO池可以在当前进行监控，无需预测未来量子计算机在加密方面的可用时间。Project Eleven每周自动扫描，其公开追踪器显示大约有6.7百万BTC符合公钥暴露的条件。

量子比特的景观：从理论到具体数字

科学文献提供了关于所需计算能力的合理估算。Roetteler等人已确定，在素数域上对椭圆曲线的离散对数，逻辑量子比特最多需要约2330个。转换为物理量子比特（考虑误差率和冗余）才是真正的瓶颈。

根据Litinski 2023年的分析，采用模块化方法，使用大约6.9百万个物理量子比特可以在大约10分钟内计算出256位私钥。其他估算显示，约需要1300万个物理量子比特在一天内破解。扩展到一小时的窗口，可能需要约3.17亿个物理量子比特，具体取决于周期时间和误差率的假设。

哈希的稳健性：Grover不等同于Shor

量子叙述中常提到对哈希的威胁。Grover算法在暴力搜索中提供平方根加速，但这与Shor算法破解离散对数不同。对于SHA-256的预映像，成本仍在2^128操作级别，即使在Grover之后，也不足以构成实际威胁。

行业背景：迈向2029年的路径

IBM近期讨论了量子纠错组件的进展，重申了2029年前后实现容错系统的路线。NIST已标准化了后量子密码原语，如ML-KEM (FIPS 203)。在比特币生态系统中，BIP 360提出了“Pay to Quantum Resistant Hash”输出，而qbip.org则设定了遗留签名的截止日期，以推动迁移。

挑战不是技术的立即问题，而是协调

对于比特币操作而言，实际的杠杆仍然是行为和协议层面。地址的重复使用增加了暴露，而钱包的有意识设计可以显著降低暴露。如果私钥恢复在某一天变得计算上可行，攻击者将会争夺暴露输出的支出，而不是试图重写共识历史。

迁移到后量子签名面临具体挑战：后量子签名通常占用千字节，而不是几十字节，这会改变交易的重量经济性和钱包的用户体验。比特币基础设施必须应对带宽、存储、手续费和协调的限制。

结论：基础设施，而非紧急

量子威胁对比特币而言，是一场迁移和基础设施规划的挑战，而非立即的风险。关键监控元素是暴露公钥的UTXO比例、钱包行为的变化，以及网络在保持验证约束和手续费经济的同时，快速采用抗量子路径的能力。“量子计算机破解比特币加密”的说法在术语和底层机制上都站不住脚。