目前尚不存在能够破解比特币区块链的量子计算机。然而,开发者已经在考虑一系列升级来建立针对潜在威胁的防御,这是正确的做法,因为这种威胁不再是假设性的。
本周,谷歌发布的研究表明,一台足够强大的量子计算机可以在不到九分钟内破解比特币的核心加密技术——比比特币区块平均结算时间快一分钟。一些分析师认为,这种威胁可能在2029年成为现实。
风险很高:约650万个比特币代币,价值数千亿美元,存放在量子计算机可以直接攻击的地址中。其中一些币属于比特币的匿名创造者中本聪。此外,潜在的安全漏洞将损害比特币的核心原则——"信任代码"和"健全货币"。
以下是威胁的情况,以及正在考虑的缓解提案。
量子机器攻击比特币的两种方式
在讨论提案之前,让我们先了解漏洞。
比特币的安全性建立在单向数学关系上。当你创建钱包时,会生成一个私钥和一个秘密数字,并从中衍生出公钥。
花费比特币代币需要证明私钥的所有权,不是通过揭示它,而是通过使用它生成网络可以验证的加密签名。
这个系统是万无一失的,因为现代计算机需要数十亿年才能破解椭圆曲线加密技术——特别是椭圆曲线数字签名算法(ECDSA)——从公钥反向推导出私钥。因此,区块链被认为在计算上不可能被攻破。
但未来的量子计算机可以将这条单行道变成双向道,通过从公钥推导出你的私钥并耗尽你的币。
公钥以两种方式暴露:闲置在链上的币(长期暴露攻击)或正在移动的币或在内存池中等待的交易(短期暴露攻击)。
支付到公钥(P2PK)地址(由中本聪和早期矿工使用)和Taproot(P2TR),即2021年激活的当前地址格式,容易受到长期暴露攻击。这些地址中的币不需要移动就能揭示其公钥;暴露已经发生,地球上的任何人都可以读取,包括未来的量子攻击者。大约170万BTC存放在旧的P2PK地址中——包括中本聪的币。
短期暴露与内存池有关——未确认交易的等候室。当交易在那里等待被纳入区块时,你的公钥和签名对整个网络可见。
量子计算机可以访问该数据,但它只有一个短暂的窗口——在交易被确认并埋在额外区块下之前——来推导出相应的私钥并采取行动。
倡议
BIP 360:移除公钥
如前所述,今天使用Taproot创建的每个新比特币地址都会在链上永久暴露公钥,为未来的量子计算机提供一个永不消失的目标。
比特币改进提案(BIP)360通过引入一种称为支付到默克尔根(P2MR)的新输出类型,移除永久嵌入在链上且对所有人可见的公钥。
回想一下,量子计算机研究公钥,反向推导出私钥的确切形状并伪造一个可用副本。如果我们移除公钥,攻击就没有可用的依据。同时,其他一切,包括闪电网络支付、多重签名设置和其他比特币功能,都保持不变。
然而,如果实施,该提案只保护未来的新币。已经存放在旧暴露地址中的170万BTC是一个单独的问题,由下面的其他提案解决。
SPHINCS+ / SLH-DSA:基于哈希的后量子签名
SPHINCS+是一种基于哈希函数构建的后量子签名方案,避免了比特币使用的椭圆曲线加密技术面临的量子风险。虽然Shor算法威胁ECDSA,但像SPHINCS+这样的基于哈希的设计被认为没有类似的脆弱性。
该方案在经过多年公开审查后,于2024年8月被美国国家标准与技术研究院(NIST)标准化为FIPS 205(SLH-DSA)。
安全性的代价是大小。虽然当前的比特币签名是64字节,但SLH-DSA的大小为8千字节(KB)或更大。因此,采用SLH-DSA将大幅增加区块空间需求并提高交易费用。
因此,已经引入了诸如SHRIMPS(另一种基于哈希的后量子签名方案)和SHRINCS等提案,以在不牺牲后量子安全性的情况下减少签名大小。两者都建立在SHPINCS+的基础上,同时旨在以更实用、更节省空间的形式保留其安全保证,适合区块链使用。
Tadge Dryja的提交/揭示方案:内存池的紧急制动
这个提案是闪电网络联合创始人Tadge Dryja建议的软分叉,旨在保护内存池中的交易免受未来量子攻击者的攻击。它通过将交易执行分为两个阶段来实现:提交和揭示。
想象一下,你通知对方你将给他们发电子邮件,然后实际发送电子邮件。前者是提交阶段,后者是揭示阶段。
在区块链上,这意味着你首先发布你意图的密封指纹——只是一个哈希,不会透露任何关于交易的信息。区块链永久地为该指纹加上时间戳。稍后,当你广播实际交易时,你的公钥变得可见——是的,监视网络的量子计算机可以从中推导出你的私钥,并伪造一笔竞争性交易来窃取你的资金。
但这笔伪造的交易会立即被拒绝。网络检查:这笔花费是否有事先在链上注册的承诺?你的有。攻击者的没有——他们刚刚创建的。你预先注册的指纹就是你的不在场证明。
然而,问题在于由于交易被分为两个阶段而增加的成本。因此,它被描述为临时桥梁,在社区致力于构建量子防御时可以实际部署。
Hourglass V2:放慢旧币的花费
由开发者Hunter Beast提出,Hourglass V2针对与持有在较旧的、已暴露地址中的约170万BTC相关的量子漏洞。
该提案接受这些币可能在未来的量子攻击中被盗,并寻求通过将销售限制为每个区块一个比特币来放慢流失速度,以避免可能使市场崩溃的灾难性的一夜间大规模清算。
类比是银行挤兑:你无法阻止人们提款,但你可以限制提款的速度,以防止系统在一夜之间崩溃。该提案存在争议,因为即使这种有限的限制也被比特币社区中的一些人视为违反了任何外部方都不能干涉你花费币的权利的原则。
结论
这些提案尚未激活,而比特币的去中心化治理,涵盖开发者、矿工和节点运营商,意味着任何升级都可能需要时间才能实现。
不过,早于本周谷歌报告的稳定提案流表明,这个问题长期以来一直在开发者的关注范围内,这可能有助于缓和市场担忧。
来源: https://www.coindesk.com/tech/2026/04/04/bitcoin-s-usd1-3-trillion-security-race-key-initiatives-aimed-at-quantum-proofing-the-world-s-largest-blockchain
