Google提出「9分鐘量子電腦破解Bitcoin交易」不可怕，最怕的是 crypto 該開始搬家了

最近Google團隊與學界合作提出用量子電腦破解加密貨幣（比特幣為例）交易的理論，其提出的速度令加密社群警醒了一波，但我們要弄懂其背後的真正要警覺的是什麼。 （前情提要：Google量子電腦傳9分鐘破解比特幣，數字怎麼算出來，真正威脅在哪裡？ ） （背景補充：能破解比特幣的量子電腦開始動工了？Nvidia 投資的 PsiQuantum 目標明年商轉 ）   原始論文：Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations。作者：Ryan Babbush, Adam Zalcman, Craig Gidney 等（Google Quantum AI + UC Berkeley + Ethereum Foundation + Stanford） TL;DR 如果只用一句話總結這篇 paper，那就是： 量子威脅不再「理論上會怎樣」，而是已經被壓縮成像工程規格書的細節與數字。 Google Quantum AI 這次不是在空泛地談「量子電腦未來可能會威脅 crypto」，而是直接對 Bitcoin / Ethereum 使用的 secp256k1 做 Shor’s algorithm 資源估算。結論非常直接： 約 1200–1450 個 logical qubits 約 7000–9000 萬個 Toffoli gates 在他們假設的 超導體 + surface code 路線下，約 50 萬個 physical qubits就可能足夠 這個意義很大。因為它不是拿 RSA-2048 橫向類比，不是再講一遍老掉牙的「Shor’s algorithm 很可怕」，而是直接對 ECDLP 本體 下手。也就是說，這篇論文不是在問「量子會不會威脅加密貨幣」；它是在問：威脅長什麼樣子、要多少資源、會先打哪裡。 更微妙，也更值得警惕的是：Google 沒有公開完整攻擊電路，而是用零知識證明證明「我們真的做出來了，只是現在不放出exploit 細節」。這個動作本身就是一個訊號：量子計算的密碼學分析正在從學術展示，走向類似漏洞揭露的時代。 也就是說，從現在開始，你看到的公開資訊，很可能只會越來越少，而不是越來越多。 為什麼這次不一樣：這次不是拿 RSA 影射，而是直接對 Bitcoin 心臟開刀 過去很多「量子威脅加密貨幣」的討論，說穿了都還停留在一種很鬆的推理鏈：先估算 RSA-2048 要多少量子資源，再把這個數字半定量地外推到 ECDLP。 問題是，RSA 不是 ECDLP。前者是整數分解，後者是橢圓曲線離散對數。雖然 Shor’s algorithm 兩邊都能打，但電路結構、資源瓶頸、最佳化空間，根本不是同一題。你不能因為兩者都叫「量子可破」，就把它們當成只是換個參數表而已。 這篇論文做的事情是：直接編譯出針對 secp256k1（Bitcoin/Ethereum 使用的橢圓曲線）的 Shor’s algorithm 量子電路。他們給出了兩個 trade-off 變體： Low-qubit variant：≤ 1200 logical qubits + ≤ 9000 萬 Toffoli gates Low-gate variant：≤ 1450 logical qubits + ≤ 7000 萬 Toffoli gates 在 spacetime volume（量子計算中「同時」考慮 qubit 數量和 gate 數量的核心指標）上，這比先前最好的結果改善了大約一個數量級。 更關鍵的是，他們沒有公開完整的攻擊電路，而是用 SP1 zkVM 產生了一個 zero-knowledge proof 來證明電路的存在性和正確性。這個做法借鑒了傳統資安領域的 Coordinated Vulnerability Disclosure（CVD）精神——你不會在漏洞修補前就公開完整的 exploit code。Google 的態度很明確：量子密碼分析已經進入了需要「負責任揭露」的階段。 這也暗示了一件事：不要再幻想可以永遠靠 arXiv 公開文獻，精確追蹤 CRQC 的真實進度。量子計算一旦開始碰到有直接資安、金融、國安價值的區域，前沿成果自然會逐步轉入不透明。Google 這次用 ZK proof 而不是直接公開電路，本身就是一個非常清楚的時代信號。 高速 CRQC vs. 慢速 CRQC：不是每台量子電腦都一樣危險 CRQC（Cryptographically Relevant Quantum Computer）指的是能在合理時間內破解現有密碼學的量子電腦。但「合理時間」這四個字，背後藏著一個巨大的物理現實：不同硬體平台的「時鐘速度」差了好幾個數量級。 論文引入了一組關鍵的架構分類： Fast-clock CRQC（高速 CRQC）：以超導體量子位元（superconducting qubits）、矽基自旋量子位元（silicon spin qubits）和光學量子位元（photonic qubits）為代表。這些平台的基本操作速度在 GHz 到近 GHz 的量級，量子糾錯循環時間大約在微秒等級（~1 μs）。 Slow-clock CRQC（慢速 CRQC）：以離子阱（trapped ions）和中性原子（neutral atoms）為代表。基本操作速度在 kHz 到 MHz 量級，量子糾錯循環時間約在 100 微秒或更長。 一點個人脈絡：我博士做的是離子阱量子計算（Ion Trap QC），所以這裡不是站在旁邊看熱鬧，而是大概知道這兩條硬體路線各自的痛點在哪。 很多人喜歡爭論「超導體 vs. 離子阱誰會先到達 CRQC」。平心而論，這兩個平台在 coherence time 和 gate time 的比值上其實差不多打平——離子阱的 T2 coherence t...