量子風險：Chaincode Labs 評估了對比特幣的威脅

研究機構Chaincode Labs的專家發布了關於量子計算機對比特幣潛在威脅的詳細報告。這份55頁的文件由安東尼·米爾頓博士和克拉拉·希克爾曼於2025年5月準備。

有多少比特幣面臨風險

作者估計，在流通的所有比特幣 0192837465748392014-1000 萬BTC(中，有 20% 到 50% 可能容易受到使用加密相關量子計算機)Cryptographically相關量子計算機 CRQC( 的攻擊。

對2025年1月17日Project Eleven的最準確評估顯示爲6 262 905 BTC。資金分配如下：

• 中本聰時代的比特幣 — 從 600,000 到 1.1 百萬 BTC 保留在具有完全公開密鑰的 P2PK 類型地址上；
• 丟失的幣 — 大約有200萬到300萬BTC屬於失去私鑰訪問權限的用戶。並非所有這些幣都受到量子攻擊的威脅，但相當一部分處於危險之中；
• 公開密鑰地址 — 數百萬比特幣位於因重復使用而公開的地址上。

研究人員特別關注交易所地址上的資金集中情況。其中一些地址包含數十萬個比特幣，使它們成爲潛在量子攻擊的優先目標。

«關於公開密鑰資產，許多大型持有者，包括交易所和機構托管人，歷史上管理他們的冷錢包時，爲了操作的簡單性而重復使用地址。 […]

因此形成了一個經濟優先的潛在量子攻擊目標列表：破解這些地址可能會提供最大回報的投資回報，報告中提到。*

什麼時候期待“Q日”

在2024年，加拿大全球風險研究所對32位學術界的頂尖專家進行了調查。近三分之一的受訪者)10認爲，在未來10年內出現CRQC的概率爲50%或更高。

報告的作者注意到國家倡議，這些倡議證實了威脅的嚴重性：

• 美國。 喬·拜登總統於2022年5月發布的國家安全備忘錄設定了目標，即“在2035年前減輕可能的量子風險”。NIST將2030年定爲放棄RSA-2048和ECC-256的最後期限，並在2035年前全面禁止；
• 英國。 國家網路安全中心發布了三階段遷移計劃：在2028年前識別脆弱系統，2028年至2031年進行優先更新，2031年至2035年完成全面遷移；
• 歐洲聯盟。 ETSI通過量子安全密碼學工作組協調方法，盡管具體時間表尚未確定；
• 中國。 代替接受NIST標準，中國在2025年2月推出了自己的“下一代商業使用密碼算法”計劃，通過商業密碼標準化研究院。該計劃的具體實施時間未公開宣布。

研究人員還指出，量子計算領域的進展加速。2024年12月，谷歌推出了具有105個物理量子位的Willow處理器，達到了量子錯誤修正的重要裏程碑。2025年2月，微軟推出了Majorana 1——首個基於拓撲量子位的量子處理器。

兩種量子攻擊的類型

量子計算機通過使用肖爾算法攻擊橢圓曲線密碼學，威脅比特幣。該算法可以在幾個小時或幾天內計算出私鑰，而不是傳統計算機所需的千萬億年。

長期攻擊針對三種具有已知公鑰的腳本：

• Pay to Public Key (P2PK) — 最早用於早期挖礦獎勵的類型。佔 0.025% UTXO，但包含 8.68% 的比特幣供應；
• 支付給多重籤名 (P2MS) — «原始多重籤名」，於2011年引入。涵蓋1.037%的UTXO，約57 BTC；
• Pay to Taproot (P2TR) – 2021 年推出，佔 UTXO 的 32.5%，供應量爲 0.74% (146,715 BTC)。

短期攻擊影響所有交易，但它們發生在一個狹窄的時間窗口內，當用戶在確認(之前在內存池中公開密鑰)。

燒掉還是留下

關於量子脆弱資產的命運問題已經將社區分爲兩個陣營。

以詹姆森·洛普 （Jameson Lopp） 爲首的銷毀支持者認爲，移除易受攻擊的硬幣將維護比特幣的完整性。在他們看來，允許量子計算機獲取資金無異於將財富從那些無法獲得比特幣的人重新分配給那些將贏得量子計算機技術競賽的人。

Lopp 將量子脆弱性比作需要修復的協議層漏洞。銷毀將提供確定性並限制市場波動。

反對者認爲，燒毀是對貨幣所有者的沒收和侵犯財產權。在他們看來，比特幣是作爲一個系統而創建的，用戶可以對自己的資金保持完全的主權，並在任何時候訪問這些資金。

對某些UTXO進行永久性不可用的修改，構成了第三方的幹預，而比特幣的創建正是爲了抵御這種幹預。這將對那些由於某種原因根本不知道量子威脅或無法及時將貨幣轉移到量子安全地址的所有者來說，實際上是一次沒收。

該決策將影響比特幣的整體供應(，如果發生銷毀)，或者將導致財富的重大重新分配(，在“量子盜竊”)的情況下。此外，還出現了關於開發者和社區參與者對任何所作決策潛在責任的法律問題。

提供的解決方案

開發人員正在考慮幾種量子保護的方法，每種方法都有其優缺點和折中。

OP_CAT 在 Tapscript (BIP-347019283746574839201. Ethan Heilman 和 Armin Saburi 提議恢復中本聰在 2010 年禁用的 OP_CAT作碼。這將允許創建 Lamport 籤名 — 可抵抗量子攻擊的基於哈希的籤名。

QuBit )BIP-360019283746574839201. 一位化名 Hunter Beast 的開發者在經過數月的討論後提交了最詳盡的提案。P2QRH 引入了一種使用 NIST 批準的 FALCON 算法以及 CRYSTALS-Dilithium 和 SPHINCS+ 的新型輸出。

**量子安全的Taproot腳本。**Matt Corallo提議添加OP_SPHINCS操作碼來驗證後量子籤名。這將使錢包能夠創建具有量子安全支出路徑的Taproot輸出。Luke Dash － Junior指出，錢包可以在規範最終確定後立即開始實施，而無需等待軟分叉的激活。

通過 STARK 進行籤名壓縮。Ethan Heilman 提議將後量子籤名聚合到一個緊湊的 STARK 證明中。這可以提高比特幣的吞吐量，同時增加隱私。

轉型策略

報告的作者提出了一種兩階段的方法，承認量子威脅的時間不確定性。

• 短期措施 (兩年) — 創建一個可行的緊急應用解決方案；
• 長期計劃 (七年) — 開發最優的量子安全協議。基於歷史先例 SegWit (8,5 年從概念到接受) 和 Taproot (7,5 年)。

根據他們的估計，將所有UTXO遷移到量子安全地址需要76到568天，具體取決於區塊中的可用空間。

受保護的挖礦

量子計算機在可預見的未來不太可能破壞比特幣的挖礦，因爲存在基本限制。

*“與對數字籤名的量子攻擊不同，量子挖礦必須與經典挖礦競爭。在基於橢圓曲線的比特幣籤名的情況下，當量子計算機已經達到足夠的發展水平時，一臺機器(CRQC)能夠通過破解所使用的密碼學來破壞資金。相比之下，量子挖掘需要大量快速量子機器來匹配當今 ASIC 的性能。與傳統挖礦不同，量子挖礦難以並行化，這使得它更難擴展，並且在實踐中的效率也大大降低，“報告說。

持有者該做什麼

研究人員建議：

• 停止重復使用地址;
• 將資金從脆弱的腳本類型 (P2PK, P2MS, P2TR) 轉移到更安全的 (P2PKH, P2SH, P2WPKH, P2WSH);
• 交易所應調整其冷錢包管理方法，以最小化量子風險。

報告強調：盡管量子威脅當前並不迫在眉睫，但隨着技術的發展，準備的窗口將會縮小。今天採取主動行動對比特幣的長期生存是必要的。

早些時候，Project Eleven 提出了 1 BTC 來進行比特幣加密的量子破解。