Saylor 關於季度和比特幣：為什麼樂觀主義可能忽視170萬枚受威脅的幣

邁克爾·塞勒斯（Michael Saylor）最近對量子電腦時代比特幣的未來發表了大膽的看法，認為量子電腦不會破壞網絡，反而會加強它。然而，技術現實遠比他的樂觀願景複雜得多，潛在的場景中約有170萬BTC可能被攻擊者奪取。什麼是量子，為何這項技術在安全專家中引發如此熱烈的討論？答案在於比特幣加密的基礎。

什麼是量子，為何它對比特幣構成威脅

量子電腦代表著計算能力的飛躍，但並非全能的毀滅一切的機器。量子運作方式不同於傳統電腦——它利用量子比特（qubit），這些比特可以同時存在於多個狀態（疊加態），而非僅在0或1。這一根本性質使得量子系統能同時探索多條計算路徑。

著名的Shor算法，能有效分解大數，對比特幣構成實質威脅。它的攻擊目標不在於proof-of-work（其中SHA-256相對抗性較強），而在於數字簽名。比特幣使用ECDSA和secp256k1的Schnor簽名方案來驗證交易。如果一台容錯的量子電腦達到約2000到4000個邏輯量子比特，理論上可以從公開的鏈上地址推算出私鑰。

關鍵細節：目前的量子設備遠未達到這個門檻，意味著真正的加密威脅至少還有十年以上的距離。這段時間既是機會，也是詛咒。

量子攻擊對比特幣的實際威脅：哪些資產真正危險

量子威脅並非在整個網絡中均勻分布。風險取決於地址類型，以及私鑰是否已在鏈上公開。

早期pay-to-public-key（P2PK）地址直接將未哈希的公鑰存入區塊鏈，這些資產已成為明顯的目標。估計約有170萬BTC來自“中本共識”時代，且其中不少多年未動。

標準的P2PKH和SegWit P2WPKH地址較安全——它們將公鑰藏在哈希值之後，直到用戶花費時才揭示。交易時，公鑰才會曝光。然而在交易過程中，公鑰一旦公開，攻擊者就能利用量子電腦快速獲取私鑰。潛在風險在於交易的未確認池（mempool）：當交易等待礦工確認時，攻擊者監控網絡，可能迅速獲取私鑰，並用更高的手續費搶先挖礦。

**Taproot輸出（P2TR）**則從一開始就將公鑰編碼在輸出中，即使未被使用的UTXO也已暴露。數十萬BTC在此格式下的資產持續面臨風險。

鏈上分析顯示，約25%的比特幣已經處於公開私鑰的輸出中。所謂“失落的”資產並不一定真的被鎖定——它們可能成為第一個攻擊者的獵物。

後量子時代的遷移：成本與複雜性藏在樂觀之下

塞勒斯的觀點正確，安全標準已經存在。NIST已批准ML-DSA（Dilithium）、SLH-DSA（SPHINCS+）作為FIPS 204和205，FN-DSA（Falcon）正進入FIPS 206認證。這些方案可以通過新型輸出或混合簽名加入比特幣。

然而，他忽略的是經濟與政治成本。研究顯示，現實中的遷移將涉及安全參數的調整：對量子攻擊的抵抗力會降低，但區塊大小可能縮減約一半，因為後量子簽名更大。交易手續費也會上升，因為每個簽名佔用更多空間。

主要挑戰在於管理。比特幣沒有中央權威。軟分叉以後的後量子方案需要開發者、礦工、交易所和大戶的廣泛共識——這些人必須在真正的量子威脅出現之前行動。最新的A16z分析明確指出，協調與時間比加密本身更具風險。

供應場景：從收縮到混亂

塞勒斯認為“供應會下降”，假設理想的過渡。現實可能出現三種競爭性結果：

通過放棄而收縮：那些在易受攻擊地址中的資產，若所有者從未遷移，可能被視為失落。這對市場來說偏多。

通過盜竊而扭曲：攻擊者利用量子電腦清空公開私鑰的錢包，造成混亂。初期可能損失慘重，隨後可能出現鏈上分叉和社群爭議，關於這些交易的合法性。

恐慌性拋售：僅憑對未來量子威脅的預期，投資者可能提前拋售，導致價格崩潰或社群分裂。

這些場景都不保證會導致流通供應的純粹下降。反而可能引發價格劇烈波動、分叉爭議，甚至對舊錢包的攻擊浪潮。

數學角度看比特幣對量子安全的真實狀況

標準和發展路徑的規劃很清楚：量子不會一夜之間摧毀比特幣。存在一個時間窗口——或許十年或更長——用於審慎遷移。比特幣可以通過新簽名方案增強安全性，更新易受攻擊的輸出，並獲得更可靠的安全保障。

但這很大程度上依賴政治與治理因素。開發者和大戶必須提前行動，協調過渡，避免恐慌。約有2000萬比特幣在流通，管理得當，仍有彈性。

塞勒爾的信心建立在協調之上，而非純粹的加密學。比特幣是否會變得更強，或陷入危機，更多取決於網絡能否在物理限制追趕之前，完成昂貴且政治敏感的升級。這個問題沒有簡單答案——這正是塞勒爾可能忽視的，也是每個投資者應該理解的。