Christopher Wood 刚刚清仓了他所有的比特币。
这位 Jefferies 备受关注的华尔街策略师——他的「Greed and Fear」通讯能左右市场——本周将比特币从他的模型投资组合中剔除。理由?量子计算。
他用黄金替代了 BTC。那种你能握在手里的黄金。那种不在乎 Shor 算法的黄金。
这发生在 Coinbase 研究主管暗示比特币 33% 的供应量可能面临量子攻击风险之后。Bankless 说得更夸张,称量子计算可能「让比特币除以零」。
那么,这是末日降临?还是 FUD(恐惧、不确定性和怀疑)?
让我们拆解一下。
量子计算真正威胁的是什么
首先,搞清楚一些技术细节。比特币依赖两个加密原语:
-
ECDSA(椭圆曲线数字签名算法) — 用于签署交易。它证明你拥有私钥而不暴露私钥本身。
-
SHA-256 — 用于挖矿(工作量证明)以及从公钥生成地址。
量子计算机对这两者的威胁程度完全不同。
ECDSA:真正的风险
Shor 算法运行在足够强大的量子计算机上,理论上可以在多项式时间内从公钥推导出私钥。今天的经典计算机完成同样的任务需要的时间比宇宙的年龄还长。
关键词是「理论上」。我们后面会说为什么。
攻击场景是这样的:
1. 你广播一笔交易(暴露你的公钥)2. 攻击者有大约 10 分钟的窗口(交易被打包前)3. 量子计算机从公钥推导出私钥4. 攻击者双花你的资金
这叫做「交易拦截攻击」。理论上可行,但需要:
- 拥有数百万个稳定量子比特的量子计算机
- 目前还不存在的纠错技术
- 10 分钟内完成计算
SHA-256:基本没风险
Grover 算法理论上可以加速暴力搜索,但只是二次方加速。对于 SHA-256,这意味着安全性从 256 位降到 128 位。
128 位的安全性在可预见的未来仍被认为是不可破解的。你的地址面对量子哈希攻击是安全的。
「33% 面临风险」的说法
Coinbase 的研究指出,大约 33% 的比特币供应量存放在公钥已经暴露的地址中。
这包括:
- P2PK 地址(中本聪时代的原始格式,公钥就是地址)
- 已经花费过的地址(花费会暴露公钥)
- 丢失的币(许多早期地址使用 P2PK)
中本聪估计持有的 100 万枚 BTC?就放在公钥已暴露的 P2PK 地址里。
以下是不面临风险的:
- 现代 P2PKH 和 P2SH 地址(公钥隐藏在哈希之后)
- 你从未花费过的地址
- 任何使用较新格式的地址
如果你用的是现代钱包并遵循最佳实践(每次交易用新地址),你的比特币在你花费之前不会面临风险。
时间线问题
FUD 在这里就站不住脚了:我们离那一天还远着呢。
Google 的 Willow 芯片在 2024 年底发布,拥有 105 个量子比特。它因为在 5 分钟内解决了一个经典计算机需要 10^25 年才能解决的特定基准问题而登上头条。
厉害吗?确实。跟比特币有关系吗?不太大。
破解 ECDSA-256 估计需要 1500 到 4000 个逻辑量子比特(logical qubits)。但逻辑量子比特需要纠错,这意味着你需要数百万个物理量子比特才能产生几千个逻辑量子比特。
目前的估算:
- **物理量子比特:**今天约 1000 个 → 攻击 BTC 需要数百万个
- **逻辑量子比特:**今天约 0 个 → 攻击 BTC 需要 1500-4000 个
- **错误率:**今天很高 → 攻击 BTC 需要接近零
- **预计时间线:**2030-2050 年以后才可能出现具有密码学意义的量子计算机
即使是量子计算的乐观派也不认为具有密码学意义的量子计算机会在 2030 年之前出现。大部分严肃的研究人员说的是 2040-2050 年。
比特币能做什么
比特币还有时间,也有方案。
1. 后量子密码学
NIST 在 2024 年敲定了首批后量子密码学标准。包括:
- CRYSTALS-Dilithium — 抗 Shor 算法的数字签名
- SPHINCS+ — 基于哈希的签名(更加保守)
- CRYSTALS-Kyber — 面向未来的密钥封装
比特币可以通过软分叉(soft fork)支持这些新的签名方案。社区从 2016 年就开始讨论量子抗性的 BIP(比特币改进提案)了。
2. 地址格式迁移
协调迁移到量子抗性地址可以保护整个网络。这有先例——比特币已经多次升级地址格式(P2PKH → P2SH → P2WPKH → P2TR)。
3. 终极方案
紧急情况下,硬分叉(hard fork)可以:
- 冻结所有 P2PK 地址(有争议——包括中本聪的币)
- 在截止日期前要求迁移到新地址格式
- 立即实施量子抗性签名
没人想走到这一步。但这个选项存在。
激励机制论证
末日论者忽略了一点:量子计算机的拥有者有更强的动机去挖比特币,而不是攻击它。
一台能够破解 ECDSA 的量子计算机也能更快地找到 SHA-256 哈希(通过 Grover 算法)。第一个拥有这样计算机的实体可以选择:
- 攻击比特币 — 偷一些币,摧毁网络信心,你偷来的一切暴跌
- 挖比特币 — 在网络正常运行的情况下持续获得合法的区块奖励
选项 2 显然更赚钱。你是在为了一顿饭杀掉那只下金蛋的鹅。
我的看法
Christopher Wood 是个聪明人。他也是在管理别人的钱,需要考虑尾部风险。
对于有受托责任的机构投资者来说,「量子计算可能在某天破解比特币」是一个合理的风险点。这是保守的风险管理。
对个人持有者呢?我觉得被夸大了。
时间线很长。解决方案已经存在。激励机制对比特币有利。而且那 33% 所谓「面临风险」的供应量中,有很大一部分大概是永远丢失的币(包括中本聪的那些,如果这些币动了,那才是比量子计算更大的新闻)。
我在关注的:
- 量子纠错的进展(真正的瓶颈)
- 比特币社区提出的量子抗性升级 BIP
- NIST 后量子标准在其他协议中的采用情况
如果你看到一台拥有 10000 个量子比特并且纠错稳定的量子计算机,那时候再开始担心。在那之前,你的比特币面临的最大风险是忘记你的助记词。
资料来源和延伸阅读
- Google Willow 量子芯片公告 — 引发近期头条的 105 量子比特芯片
- NIST 后量子密码学标准 — 官方的量子抗性加密标准
- Bitcoin Magazine:量子计算与比特币安全 — 攻击向量的技术深度分析
- RAND:当量子计算机破解加密 — 安全研究人员的时间线估算
这不是金融或密码学建议。我是开发者,不是量子物理学家。请自己做研究——但也许别因为一个还要几十年才到来的威胁就卖掉你的比特币。
Stay Updated
Get notified about new posts on automation, productivity tips, indie hacking, and web3.
No spam, ever. Unsubscribe anytime.
