量子风险：Chaincode Labs 评估了对比特币的威胁

研究机构Chaincode Labs的专家发布了关于量子计算机对比特币潜在威胁的详细报告。这份55页的文件由安东尼·米尔顿博士和克拉拉·希克尔曼于2025年5月准备。

有多少比特币面临风险

作者估计，在流通的所有比特币 0192837465748392014-1000 万BTC(中，有 20% 到 50% 可能容易受到使用加密相关量子计算机)Cryptographically相关量子计算机 CRQC( 的攻击。

对2025年1月17日Project Eleven的最准确评估显示为6 262 905 BTC。资金分配如下：

• 中本聪时代的比特币 — 从 600,000 到 1.1 百万 BTC 保留在具有完全公开密钥的 P2PK 类型地址上；
• 丢失的币 — 大约有200万到300万BTC属于失去私钥访问权限的用户。并非所有这些币都受到量子攻击的威胁，但相当一部分处于危险之中；
• 公开密钥地址 — 数百万比特币位于因重复使用而公开的地址上。

研究人员特别关注交易所地址上的资金集中情况。其中一些地址包含数十万个比特币，使它们成为潜在量子攻击的优先目标。

«关于公开密钥资产，许多大型持有者，包括交易所和机构托管人，历史上管理他们的冷钱包时，为了操作的简单性而重复使用地址。 […]

因此形成了一个经济优先的潜在量子攻击目标列表：破解这些地址可能会提供最大回报的投资回报，报告中提到。*

什么时候期待“Q日”

在2024年，加拿大全球风险研究所对32位学术界的顶尖专家进行了调查。近三分之一的受访者)10认为，在未来10年内出现CRQC的概率为50%或更高。

报告的作者注意到国家倡议，这些倡议证实了威胁的严重性：

• 美国。 乔·拜登总统于2022年5月发布的国家安全备忘录设定了目标，即“在2035年前减轻可能的量子风险”。NIST将2030年定为放弃RSA-2048和ECC-256的最后期限，并在2035年前全面禁止；
• 英国。 国家网络安全中心发布了三阶段迁移计划：在2028年前识别脆弱系统，2028年至2031年进行优先更新，2031年至2035年完成全面迁移；
• 欧洲联盟。 ETSI通过量子安全密码学工作组协调方法，尽管具体时间表尚未确定；
• 中国。 代替接受NIST标准，中国在2025年2月推出了自己的“下一代商业使用密码算法”计划，通过商业密码标准化研究院。该计划的具体实施时间未公开宣布。

研究人员还指出，量子计算领域的进展加速。2024年12月，谷歌推出了具有105个物理量子位的Willow处理器，达到了量子错误修正的重要里程碑。2025年2月，微软推出了Majorana 1——首个基于拓扑量子位的量子处理器。

两种量子攻击的类型

量子计算机通过使用肖尔算法攻击椭圆曲线密码学，威胁比特币。该算法可以在几个小时或几天内计算出私钥，而不是传统计算机所需的千万亿年。

长期攻击针对三种具有已知公钥的脚本：

• Pay to Public Key (P2PK) — 最早用于早期挖矿奖励的类型。占 0.025% UTXO，但包含 8.68% 的比特币供应；
• 支付给多重签名 (P2MS) — «原始多重签名」，于2011年引入。涵盖1.037%的UTXO，约57 BTC；
• Pay to Taproot (P2TR) – 2021 年推出，占 UTXO 的 32.5%，供应量为 0.74% (146,715 BTC)。

短期攻击影响所有交易，但它们发生在一个狭窄的时间窗口内，当用户在确认(之前在内存池中公开密钥)。

烧掉还是留下

关于量子脆弱资产的命运问题已经将社区分为两个阵营。

以詹姆森·洛普 （Jameson Lopp） 为首的销毁支持者认为，移除易受攻击的硬币将维护比特币的完整性。在他们看来，允许量子计算机获取资金无异于将财富从那些无法获得比特币的人重新分配给那些将赢得量子计算机技术竞赛的人。

Lopp 将量子脆弱性比作需要修复的协议层漏洞。销毁将提供确定性并限制市场波动。

反对者认为，烧毁是对货币所有者的没收和侵犯财产权。在他们看来，比特币是作为一个系统而创建的，用户可以对自己的资金保持完全的主权，并在任何时候访问这些资金。

对某些UTXO进行永久性不可用的修改，构成了第三方的干预，而比特币的创建正是为了抵御这种干预。这将对那些由于某种原因根本不知道量子威胁或无法及时将货币转移到量子安全地址的所有者来说，实际上是一次没收。

该决策将影响比特币的整体供应(，如果发生销毁)，或者将导致财富的重大重新分配(，在“量子盗窃”)的情况下。此外，还出现了关于开发者和社区参与者对任何所作决策潜在责任的法律问题。

提供的解决方案

开发人员正在考虑几种量子保护的方法，每种方法都有其优缺点和折中。

OP_CAT 在 Tapscript (BIP-347019283746574839201. Ethan Heilman 和 Armin Saburi 提议恢复中本聪在 2010 年禁用的 OP_CAT作码。这将允许创建 Lamport 签名 — 可抵抗量子攻击的基于哈希的签名。

QuBit )BIP-360019283746574839201. 一位化名 Hunter Beast 的开发者在经过数月的讨论后提交了最详尽的提案。P2QRH 引入了一种使用 NIST 批准的 FALCON 算法以及 CRYSTALS-Dilithium 和 SPHINCS+ 的新型输出。

**量子安全的Taproot脚本。**Matt Corallo提议添加OP_SPHINCS操作码来验证后量子签名。这将使钱包能够创建具有量子安全支出路径的Taproot输出。Luke Dash － Junior指出，钱包可以在规范最终确定后立即开始实施，而无需等待软分叉的激活。

通过 STARK 进行签名压缩。Ethan Heilman 提议将后量子签名聚合到一个紧凑的 STARK 证明中。这可以提高比特币的吞吐量，同时增加隐私。

转型策略

报告的作者提出了一种两阶段的方法，承认量子威胁的时间不确定性。

• 短期措施 (两年) — 创建一个可行的紧急应用解决方案；
• 长期计划 (七年) — 开发最优的量子安全协议。基于历史先例 SegWit (8,5 年从概念到接受) 和 Taproot (7,5 年)。

根据他们的估计，将所有UTXO迁移到量子安全地址需要76到568天，具体取决于区块中的可用空间。

受保护的挖矿

量子计算机在可预见的未来不太可能破坏比特币的挖矿，因为存在基本限制。

*“与对数字签名的量子攻击不同，量子挖矿必须与经典挖矿竞争。在基于椭圆曲线的比特币签名的情况下，当量子计算机已经达到足够的发展水平时，一台机器(CRQC)能够通过破解所使用的密码学来破坏资金。相比之下，量子挖掘需要大量快速量子机器来匹配当今 ASIC 的性能。与传统挖矿不同，量子挖矿难以并行化，这使得它更难扩展，并且在实践中的效率也大大降低，“报告说。

持有者该做什么

研究人员建议：

• 停止重复使用地址;
• 将资金从脆弱的脚本类型 (P2PK, P2MS, P2TR) 转移到更安全的 (P2PKH, P2SH, P2WPKH, P2WSH);
• 交易所应调整其冷钱包管理方法，以最小化量子风险。

报告强调：尽管量子威胁当前并不迫在眉睫，但随着技术的发展，准备的窗口将会缩小。今天采取主动行动对比特币的长期生存是必要的。

早些时候，Project Eleven 提出了 1 BTC 来进行比特币加密的量子破解。