谷歌量子研究显示：比特币在 Taproot 风险下只需更少的量子比特也会暴露漏洞

Google 的 Quantum AI 团队在 2026 年 3 月 30 日发表研究称，破解比特币和以太坊的椭圆曲线密码学可能只需要少于 500,000 个物理量子比特，以及大约 1,200 到 1,450 个高质量逻辑量子比特，显著低于此前的数百万估计。

论文警告称，实时量子攻击可能在大约九分钟内劫持比特币交易，有可能以约 41% 的时间胜过确认，并指出比特币的 Taproot 升级默认使公钥可见，从而将易受攻击的钱包规模扩大到估计的 6.9 million bitcoin。

量子资源估算显示所需量子比特减少 20 倍

Google 研究人员汇编了两套量子电路，用于实现用于 256 位椭圆曲线离散对数问题（ECDLP-256）的 Shor 算法，该问题构成比特币、以太坊以及许多其他区块链网络的加密基础。一套电路使用少于 1,200 个逻辑量子比特和 90 million Toffoli gates，而第二套电路使用少于 1,450 个逻辑量子比特和 70 million Toffoli gates。

研究人员估计，这些电路可在少于 500,000 个物理量子比特的前提下，于几分钟内在一台具有密码学相关性的量子计算机（CRQC）上执行，且假设硬件能力与 Google 旗下部分旗舰量子处理器相一致。该发现相较于先前估计，在求解 ECDLP-256 所需物理量子比特数量上实现了约 20 倍的减少，并延续了将量子算法编译为容错电路的渐进式优化趋势。

Google 先前曾将 2029 视为有用量子系统的潜在里程碑，而更新后的资源估算表明，当前技术与可行攻击之间的差距可能小于此前所假设的。该公司自 2016 年以来一直在推动向后量子密码学迁移的相关工作。

实时交易攻击可能以 41% 的时间率胜过确认

该研究概述了两种潜在的攻击方法，针对正在传输中的比特币交易。当比特币交易被广播时，发送方的公钥会在交易确认之前短暂暴露。只要量子计算机足够快，就可以从该公钥计算出对应的私钥，并在原交易完成结算之前将资金重定向。

在 Google 的模型下，量子系统可以提前准备计算的一部分，然后一旦交易出现在网络上，就能在大约九分钟内完成攻击。比特币交易通常需要约 10 分钟才能完成确认，这使得攻击者在原始转账尚未最终完成之前成功重定向资金的概率大约为 41%。

以太坊可能在这一特定风险上暴露更少，因为其更快的出块时间为攻击留出的时间更短。然而，这两套网络都依赖同一套椭圆曲线密码学基础，并且需要进行后量子迁移，才能继续抵御未来的量子威胁。

Taproot 升级使更多钱包暴露于潜在的量子攻击

论文估计，大约 6.9 million bitcoin（约占总供应量的三分之一）已经存放在某种程度上已暴露公钥的钱包中。这包括来自网络早期年份的约 1.7 million bitcoin、因重复使用地址而受到影响的资金，以及在 2021 年引入的 Taproot 地址格式下持有的比特币。

Taproot 是比特币在 2021 年的升级，旨在提升隐私性和效率，它默认使公钥在区块链上可见，移除了较旧地址格式中使用的一层保护。Google 的研究人员表示，这一设计选择可能会扩大未来量子攻击中易受影响的钱包数量，因为暴露的公钥使攻击者无需破解用于保护传统地址的哈希函数。

这些发现与 CoinShares 的近期估计相反：CoinShares 认为，只有大约 10,200 bitcoin 被高度集中到足以在被盗后显著推动市场。Google 的分析表明，处于风险中的比特币池规模要大得多。

Google 通过零知识证明披露漏洞，以避免攻击路线图

Google 开发了一种新方法，用于披露量子漏洞研究，而不提供攻击者的路线图。团队并未发布如何破解加密系统的逐步细节，而是使用零知识证明来证明其研究结论是准确的，同时不暴露底层方法。这使得第三方能够验证结果，同时将该研究可能被滥用的风险降到最低。

该公司与美国政府合作开发了这种披露方式，并敦促其他研究团队采用类似的做法。Google 指出，区块链技术中的安全漏洞披露之所以复杂，是因为加密货币的价值同时来自数字安全性与公众信心，而不科学的资源估计本身也可能通过恐惧、不确定性和怀疑构成一种攻击。

该研究与斯坦福区块链研究院（Stanford Institute for Blockchain Research）、以太坊基金会（Ethereum Foundation）以及 Coinbase 合作开展，作为更广泛的行业努力的一部分，以转向后量子密码学。

后量子密码学迁移建议

Google 的论文为加密货币社区提供了建议，旨在在量子攻击变得可行之前提升安全性与稳定性。主要建议是将区块链迁移到后量子密码学：它能够抵御量子攻击，并且代表了一条理解充分的通往后量子区块链安全性的路径。

其他建议包括：避免暴露或重复使用易受攻击的钱包地址，加速采用在资金花出之前不揭示公钥的地址格式，并考虑政策选项来应对可能因被动风险而变得易受攻击的已放弃加密货币。

研究人员指出，尽管存在可行的后量子解决方案，但它们要在去中心化网络中落地需要时间，从而带来越来越紧迫的行动需求。Google 对 2029 年有用量子系统的时间表代表的是迁移的目标，而非迫在眉睫的威胁；但更新后的资源估算表明，规划视野可能比先前理解的更短。

常见问题（FAQ）

破解比特币的加密需要多少量子比特？

Google 研究人员估计，破解比特币和以太坊所使用的椭圆曲线密码学将需要少于 500,000 个物理量子比特，以及大约 1,200 到 1,450 个高质量逻辑量子比特。这相当于比此前估计（落在数百万量级）减少了 20 倍。

比特币的 Taproot 升级如何影响量子漏洞？

Taproot 是比特币在 2021 年的升级，它默认使公钥在区块链上可见，从而移除较旧地址格式中使用的一层保护。Google 估计，这使得易受攻击的钱包数量扩大到了约 6.9 million bitcoin，其中包括来自网络早期年份的约 1.7 million bitcoin。

针对比特币的实时量子攻击会如何运作？

攻击者可以瞄准正在传输中的交易，利用广播过程中揭示的公钥，使用足够快的量子计算机计算出对应的私钥。在 Google 的模型下，攻击可以在约九分钟内完成，并且可能以约 41% 的时间胜过 10 分钟的确认窗口。