Q-Day 逼近?Google 量子運算論文詳解比特幣潛在安全漏洞
當「量子運算」與「比特幣」這兩個詞彙同時出現時,所引發的不僅是技術圈的震撼,更是對全球最大加密資產安全根基的深刻拷問。近期,Google Quantum AI 團隊發布的一篇重要論文,將這場討論推向了新一波高潮。論文的核心發現指出,運用 Shor 演算法破解比特幣所採用的 secp256k1 橢圓曲線密碼學,所需的量子運算資源,特別是邏輯量子位元的數量,較以往最佳估算「約減少一個數量級」,降幅高達 20 倍。這並非遙不可及的科幻情節,而是對「Q-Day」(量子電腦能夠破解現行主流密碼學的那一天)的重新校準,為整個加密貨幣產業敲響了警鐘。
量子運算威脅的重新評估
2026年3月,由 Google Quantum AI 聯合多家機構發表的論文《Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities》(確保橢圓曲線加密貨幣免受量子漏洞威脅)成為產業焦點。該論文在負責任揭露原則下,透過零知識證明技術,在不公開攻擊細節的前提下,向外界證實他們已大幅優化破解比特幣等主流加密貨幣核心密碼學(secp256k1 曲線)的量子電路。
論文指出,破解 256 位 secp256k1 橢圓曲線離散對數問題(ECDLP),現僅需約 1,200 至 1,450 個邏輯量子位元,以及 7,000 萬至 9,000 萬個 Toffoli 門。而在最樂觀的工程假設下,執行這些電路的物理量子位元數量可控制在 50 萬以內。這個數字相較於過去部分研究提出的數百萬物理量子位元估算,已有顯著下降。
這項發現意味著,打造一台能夠攻擊比特幣的「密碼學相關量子電腦」(CRQC)的工程門檻降低了,威脅到來的時間表可能比許多人預期得更早。儘管論文強調這仍屬「理論風險」,但它直接將產業從「量子威脅還很遙遠」的舒適區,拉回到「技術演進可能加速」的現實考量。
來源:Google 論文
從理論到逼近的演進軌跡
比特幣的安全性建立在兩大核心密碼學假設之上:一是橢圓曲線數位簽章演算法(ECDSA)所依賴的 ECDLP 難題,二是工作量證明(PoW)所依賴的 SHA-256 雜湊函數計算難度。量子運算的威脅,主要針對前者。
- 1994年: 數學家 Peter Shor 提出了能高效解決大整數分解與離散對數問題的量子演算法(Shor 演算法),從理論上宣告量子運算對現有公鑰密碼體系的顛覆性潛力。
- 2017年至今: 隨著量子硬體(特別是超導量子位元)與量子糾錯技術的快速發展,關於「何時能破解比特幣」的量化研究層出不窮。早期估算通常需數百萬甚至數千萬物理量子位元。
- 2021-2025年: 學界在演算法優化與電路編譯上不斷突破,如採用「視窗演算法」、「模數批次處理」等技術,逐步降低對邏輯量子位元與閘數的需求。
- 2026年3月(本事件): Google 團隊的最新成果,再次大幅降低實現 ECDLP 所需的資源門檻。論文同時引入「快時鐘」(如超導、光子)與「慢時鐘」(如離子阱、中性原子)量子電腦的概念,指出前者可能在數分鐘內完成一次私鑰推導,理論上具備執行「交易過程中攻擊」的潛力。
風險資產的量化與分類
論文提供了大量數據,揭示比特幣生態系統中潛在的量子風險曝險,這是本次事件最具衝擊力的部分。
首先,論文依據比特幣地址的腳本型態與地址重複使用情形,對量子風險進行分類:
- P2PK(Pay-to-Public-Key): 直接暴露公鑰的腳本。這類地址自收到比特幣起,即處於「靜止攻擊」威脅之下。論文估算約有 170 萬枚比特幣鎖定於此類腳本,多數屬於早期「中本聰時代」的挖礦獎勵,極可能已遺失私鑰,成為無法移轉的「休眠資產」。
- P2TR(Pay-to-Taproot): 作為 2021 年 Taproot 升級引入的新腳本,雖提升了隱私性與靈活性,但將「公鑰」直接記錄在鎖定腳本中,使其同樣面臨與 P2PK 類似的靜態風險。
- 地址重複使用: 即便是通常能隱藏公鑰的 P2PKH 或 P2WPKH 地址,一旦用戶曾進行支出(導致鏈上公鑰暴露),該地址下剩餘的所有比特幣也會瞬間暴露於靜止攻擊風險。論文數據分析指出,考量地址重複、公鑰暴露等因素,目前約有 670 萬枚比特幣(約佔流通供應量 33%)處於理論上的量子攻擊風險,其中約 230 萬枚為超過 5 年未動的「休眠資產」。
| 風險類型 | 鎖定腳本類型 / 行為 | 風險特徵 | 受影響資產規模(BTC) |
|---|---|---|---|
| 靜止攻擊 | P2PK, P2TR | 公鑰直接暴露於鏈上,攻擊者可隨時離線計算私鑰 | 約 170 萬 |
| 地址重複使用風險 | P2PKH, P2WPKH, P2SH | 用戶多次使用同一地址,導致公鑰於首次支出時暴露 | 約 500 萬 |
| 交易過程中攻擊 | 所有類型(如 P2PKH 等) | 交易廣播至記憶池後,至被確認前,攻擊者需於數分鐘內完成破解 | 所有活躍交易 |
| 總計風險曝險 | - | 所有因公鑰暴露(無論原因)而面臨風險的資產 | 約 670 萬 |
輿論觀點拆解:技術社群的分歧與共識
該論文發布後,技術社群、加密貨幣圈及學界迅速出現多方觀點碰撞:
- 「緊迫派」觀點: 認為這是迄今最權威、最嚴謹的量子威脅預警。資源估算大幅降低,意味「Q-Day」不再是數十年後的遙遠議題,而可能在數年內(隨工程進展)成為現實風險。他們呼籲所有依賴 ECDLP 的區塊鏈社群必須立即啟動並加速向後量子密碼學(PQC)遷移。
- 「審慎派」觀點: 強調論文中的「邏輯量子位元」與「物理量子位元」之間仍有巨大鴻溝。將 1,200 個邏輯量子位元轉化為 50 萬個低錯誤率的物理量子位元,並實現可靠閘操作與糾錯,在工程上仍面臨難以預估的挑戰。他們主張,在真正的「快時鐘」CRQC 出現前,仍有充裕時間觀察與準備。
- 「質疑派」觀點: 對 Google 團隊以「零知識證明」而非公開全部技術細節的方式發布報告表示憂慮,認為這削弱了可驗證性。同時,部分觀點指出論文作者與加密貨幣存在潛在利益關聯(如部分作者持有相關資產),可能影響報告的客觀性。
儘管意見分歧,但一項逐漸形成的「共識」是:量子威脅是真實且終將到來的。現今的討論焦點已不再是「會不會來」,而是「何時來」以及「我們該如何應對」。
產業影響分析:從資產安全到生態演化
本次事件的影響遠不僅止於比特幣。
- 對加密資產的影響: 最直接的影響是,約 670 萬枚比特幣的價值錨點——即「持有私鑰即擁有資產」的確定性——受到未來技術的挑戰。這不僅可能影響其長期價值,也為市場引入新的不確定性因素,即技術風險(量子)將與傳統市場、政策風險並列。
- 對生態格局的影響: 論文指出,以太坊因其帳戶模型、智慧合約、權益證明(Proof-of-Stake)共識中對 BLS 簽章與 KZG 承諾的依賴,其量子風險曝險面遠超比特幣。這可能導致在 PQC 遷移浪潮中,不同公鏈(如 Solana、Algorand、XRP Ledger 等已展開 PQC 實驗的公鏈)競爭力發生變化。擁有明確 PQC 路線圖或已具備「抗量子」能力的公鏈,未來可能吸引更多關注與資金。
- 對技術演進的影響: 產業勢必加速對 PQC 的研究與採用。NIST 已標準化的 ML-DSA(原 Crystals-Dilithium)、SLH-DSA(原 SPHINCS+)等後量子簽章方案,以及基於雜湊的零知識證明(zk-STARKs),將進入更務實的部署階段。公鏈的軟硬分叉、錢包升級、資產遷移,將成為一項長達數年甚至十年的系統性工程。
多情境演化推演:未來的幾種可能路徑
面對這股緩慢但確定的技術浪潮,未來可能出現多種情境:
| 情境 | 觸發條件 | 可能演化路徑 | 核心影響 |
|---|---|---|---|
| 情境一:有序遷移 | 主流公鏈於 5-10 年內完成 PQC 遷移,並於 CRQC 出現前「凍結」或「銷毀」絕大多數休眠資產。 | 產業平穩過渡,PQC 成為新標準,量子威脅獲得有效化解。資產價值獲得技術層面的長期保障。 | 產業結構升級完成,信心獲得鞏固。 |
| 情境二:倉促應對 | CRQC 於部分公鏈完成遷移前出現,市場恐慌導致拋售,大量「休眠資產」遭惡意竊取。 | 公鏈被迫透過硬分叉緊急補救,導致社群分裂(如比特幣現金)。區塊鏈「不可竄改」的敘事遭受重創。 | 巨大財富轉移,市場劇烈波動,公鏈共識面臨考驗。 |
| 情境三:政策干預 | CRQC 出現前夕,主要經濟體立法,將休眠資產定義為「數位打撈物」,由政府主導或有資格實體運用 CRQC 回收並納入國庫,或規定僅能透過特定「壞帳側鏈」回收。 | 資產所有權問題由純技術與程式邏輯,轉向法律與政治博弈,形成新市場規則與監管框架。 | 加密資產「去中心化」特質與「主權國家」監管權發生深層碰撞。 |
結語
Google 這篇論文,與其說是一次技術的最終宣判,不如說是為整個產業遞上的一份基於嚴謹數學與工程分析的風險體檢報告。它明確指出,依賴 ECDLP 的加密資產世界,正站在由經典電腦主宰的現在,與由量子電腦定義的未來之間的十字路口。6.7M 枚比特幣的理論風險,是個龐大數字,但更像一根引信,點燃的是有關技術迭代速度、資產安全定義、社群治理智慧與政策應變能力的綜合性大討論。對所有加密產業參與者而言,當下最重要的或許不是預測量子電腦到來的確切日期,而是開始理解、討論並支持區塊鏈生態邁向「後量子時代」的演進。這是一場關乎未來數十年數位世界信任根基的接力賽,而現在,發令槍已經響起。
分享一下
