比特幣在量子時代的安全性：區分幻想與真正的威脅

在媒體中普遍流傳的「比特幣加密被量子電腦破解」的說法，存在根本性的概念性錯誤。比特幣根本不依賴於存儲在區塊鏈中的數據加密。區塊鏈作為一個公開帳本，所有交易、金額和地址對所有人都是可見的。真正需要關注的威脅，不是解密，而是潛在的偽造與已公開的公鑰相關的數字簽名。

真正的脆弱點所在：從加密到簽名

比特幣的簽名系統——ECDSA 和 Schnorr——是資金控制的基礎。通過生成有效的簽名，網絡接受轉帳。在這個架構中，公鑰的公開成為一個關鍵弱點，尤其是在出現能運行 Shor 算法的電腦時。

如果攻擊者擁有一台具有量子能力的機器，他可以：

• 從區塊鏈中公開的公鑰推導出私鑰
• 為另一筆支出生成競爭性簽名
• 控制資金

公開公鑰的暴露範圍決定了這個風險的規模。許多比特幣地址將公鑰用哈希值加密，只有在交易時才會暴露原始公鑰。其他格式——如 pay-to-pubkey 或某些多重簽名（multisig）——會提前暴露公鑰。重複使用地址會延長這個暴露窗口，將一次性暴露轉變為持續的攻擊目標。

量子威脅的數據：今日可衡量的範圍

Project Eleven 每週會掃描區塊鏈，識別出公鑰已公開的 UTXO。他們的公開追蹤器顯示約有 6,7 百萬 BTC 符合量子暴露的標準。

從計算角度來看，根據 Roettler 等人的研究，破解 256 位橢圓曲線離散對數需要：

邏輯量子比特與物理量子比特之間的差異至關重要。將電路轉化為能進行錯誤更正的機器——在低錯誤率下的實用攻擊所需——會產生巨大的擴展成本與時間。

Taproot 改變暴露景觀

引入 Taproot (P2TR) 改變了預設的公鑰公開模式。Taproot 輸出包含一個32字節的經過修改的公鑰，直接嵌入輸出腳本中，而非哈希後的公鑰。這意味著，當量子技術成為實際威脅時，新支出將默認產生較大的 UTXO 集，公鑰會被暴露。

然而，到目前為止，安全性並未改變——暴露變成一個可衡量、可追蹤的變數，決定未來威脅的範圍。

從 Grover 到遷移：整個量子範疇的背景

像 SHA-256 這樣的哈希函數面臨另一類量子攻擊。Grover 算法提供了平方級的加速，用於暴力破解，而非像 Shor 那樣破解離散對數。對於 SHA-256 的預映像，成本仍約為 2^128 次操作，即使應用 Grover，也遠低於破解 ECDSA 的實用門檻。

關於量子威脅的敘事，常常缺乏對這些算法差異的區分。NIST 已經標準化了後量子算法原型——ML-KEM 和 FIPS 203——而比特幣也在推動解決方案，例如 BIP 360 提議的「Pay to Quantum Resistant Hash」。挑戰在於遷移，而非立即崩潰。

為何這是基礎設施問題，而非末日場景

根據路透社的最新報告，IBM 正在設計一條到 2029 年左右抵抗錯誤的系統路徑。在這個背景下，錯誤更正技術的進展暗示，量子破解將是多年發展的結果，而非突如其來的攻擊。

真正的問題在於三個層面：

1. 有多少 UTXO 已經公開了公鑰 (今日即可識別)
2. 錢包和協議能多快接受抗量子支出
3. 在過渡期間，網絡能否維持吞吐量、安全性和手續費經濟性

後量子簽名的大小將從數十字節變成數千字節，改變交易的重量計算和用戶體驗。遷移需要協調，而非瘋狂的重寫。

真正的量子風險是可衡量的，但主要是時間與設計的挑戰——而非對安全格局的恐慌。