比特幣面臨量子威脅：保護最大型區塊鏈的方向路徑

目前尚不存在足夠強大的量子電腦來破解並瓦解 Bitcoin 的區塊鏈。然而，開發者已經開始討論一波升級潮，目的是在這個潛在威脅來臨之前建立防禦層——而這完全有其依據，因為這個風險如今已不再是純粹的假設。

在本週，Google 的研究人員公布了一項研究，顯示一台足以破解 Bitcoin 核心密碼的量子電腦可以在不到 9 分鐘內完成——比一個 Bitcoin 區塊的平均確認時間快 1 分鐘左右。一些分析師認為這種威脅可能在 2029 年成為現實。

風險非常巨大：約 650 萬枚 bitcoin，價值達數千億美元，正位於量子電腦可能直接鎖定的地址之中。其中一部分屬於 Satoshi Nakamoto，Bitcoin 的匿名創辦人。除此之外，若被入侵，這將損害 Bitcoin 的核心原則——「相信程式碼」以及「健全的貨幣」。

以下是這項威脅如何運作，以及目前正在被考慮的緩解提案。

量子機器如何用兩種方式攻擊 Bitcoin

首先，先理解漏洞，再談提案。

Bitcoin 的安全性建立在一種單向數學關係上。當你建立錢包時，一把私鑰和一些秘密會被生成，接著再由此推導出公鑰。

要花費 bitcoin，你必須證明你擁有私鑰——並不是透過揭露它，而是用它來產生一個加密簽章，網路能夠驗證這個簽章。

這套系統之所以安全，是因為現代電腦需要數十億年才能破解橢圓曲線密碼——也就是用橢圓曲線數位簽章演算法（ECDSA）——從而推導出私鑰。因此，區塊鏈被視為在計算上幾乎不可能被入侵。

但未來的量子電腦可能把這條單向道路變成雙向：先從公鑰推導出私鑰，再把你的錢一掃而空。

公鑰會以兩種方式被暴露：要嘛是來自長期停留在鏈上的 coin（長期暴露攻擊），要嘛是正在移動的 coin 或等待在交易記憶池（mempool）的交易（短期暴露攻擊）。

Pay-to-Public-Key（P2PK）地址——由 Satoshi 與最早期的挖礦者使用——以及 Taproot（P2TR）、在 2021 年啟用的現行地址格式，都容易受到長期暴露攻擊的影響。這些地址中的 coin 不需要移動就能暴露公鑰；暴露已經發生，而且任何人都能讀到，包括未來的量子攻擊者。約 170 萬 BTC 正位於舊式的 P2PK 地址中——其中也包含 Satoshi 的 coin。

短期暴露攻擊涉及 mempool——未被確認交易的「候場室」。當交易待在那裡等著被納入區塊的同時，你的公鑰與簽章會對整個網路顯示。

一台量子電腦可以存取這些資料，但它只有極短的時間——在交易被確認、並被隨後的區塊「掩埋」之前——用來推導出相對應的私鑰並採取行動。

各項倡議

BIP 360：移除公鑰

如上所述，透過 Taproot 今天建立的所有新 Bitcoin 地址，都會永久在鏈上暴露公鑰，等於替未來的量子電腦提供了一個永遠不會消失的目標。

Bitcoin 改進提案（BIP）360 移除那種被永久嵌入鏈上、並向所有人展示的公鑰：透過引入一種新的輸出類型，稱為 Pay-to-Merkle-Root（P2MR）。

請記住，量子電腦會研究公鑰，反向推算出私鑰的精確形狀，並產生一個可運作的副本。如果我們移除了公鑰，攻擊者就不再有任何可依循的東西。與此同時，其餘所有內容——包含 Lightning 付款、多重簽章設定與其他 Bitcoin 功能——都維持不變。

然而，若被實作，這項提案只會保護未來的新 coin。此刻已在暴露公鑰的地址中流通的 170 萬 BTC，則是另一個問題，將透過下方其他提案來處理。

SPHINCS+ / SLH-DSA：基於雜湊函式的後量子簽章

SPHINCS+ 是一種建立在雜湊函式之上的後量子簽章機制，用以避免橢圓曲線密碼（Bitcoin 正在使用的那種）面對量子風險所引發的問題。儘管 Shor 演算法威脅 ECDSA，但像 SPHINCS+ 這樣基於雜湊函式的設計，被認為不會像同樣方式那樣容易受損。

這套方案已在多年公開審視之後，於 2024 年 8 月由美國國家標準與技術研究院（NIST）以 FIPS 205（SLH-DSA）的名義完成標準化。

作為換取更高等級的安全性，代價是更大的體積。當目前的 Bitcoin 簽章只有 64 位元組長時，SLH-DSA 簽章大小是 8 KB（千位元組）或更大。因此，如果採用 SLH-DSA，區塊空間需求將大幅增加，交易費用也會更高。

因此，像 SHRIMPS（另一種基於雜湊的後量子簽章方案）以及 SHRINCS 這樣的提案，已被提出以降低簽章大小，同時不犧牲後量子安全性。兩者都建立在 SPHINCS+ 之上，但目標是以更接近實務的方式保留其安全保證，並為區塊鏈節省更多空間。

Tadge Dryja 的 Commit/Reveal 系統：為 mempool 立下緊急煞車

這項提案是由 Lightning Network 的共同創辦人 Tadge Dryja 提出的一個 soft fork，目的在於保護 mempool 中的交易，免於未來遭受量子攻擊者的威脅。它透過把交易執行拆分為兩個階段：Commit 與 Reveal。

想像你跟合作夥伴說你會寄電子郵件給他們，然後你真的寄出了那封電子郵件。第一句是 commit 階段，而實際寄出郵件是 reveal 階段。

在區塊鏈上，這意味著你必須先公布你意圖的密封指紋——只是個雜湊函式，沒有揭露任何關於交易的資訊。區塊鏈會把時間戳永遠地蓋在那個指紋上。接著，當你發出真正的交易時，公鑰就會暴露——而這確實意味著：正在監控網路的量子電腦可能從中推導出私鑰，並建立一筆競爭交易來偷走你的資金。

但那筆偽造交易會立刻被拒絕。網路驗證：這筆花費交易是否有先前記錄在鏈上的承諾？你的交易是有的。攻擊者的交易沒有——因為他們剛剛在幾分鐘前才建立它。先行登記的指紋就是你得到排除嫌疑的證據。

問題在於成本會上升，因為交易被拆成兩個階段。因此，它被視為一種中繼性的橋梁——足夠實用、可以在社群持續建構量子防禦措施的同時先行部署。

Hourglass V2：放慢舊幣的拋售速度

由開發者 Hunter Beast 提出，Hourglass V2 瞄準一個與約 170 萬 BTC 相關的量子漏洞——這些硬幣位於舊地址中，已經公開暴露。

該提案承認那些 coin 可能在未來的量子攻擊中被竊取，並尋找方法透過把拋售限制在每個區塊最多 1 bitcoin，來放慢資金流失的速度；目的是避免隔夜的大規模清算引發市場崩潰。

類似的例子是大規模提款：你無法阻止所有人提款，但你可以限制提款速度，讓系統不會在一晚之內崩潰。這項提案存在爭議，因為即使是將限制設定到最低限度，仍被 Bitcoin 社群中的一些人視為違反原則：任何人都不應介入你花費 coin 的權利。

結論

這些提案目前都尚未啟用，而 Bitcoin 的分散式治理機制——包含開發者、礦工與節點營運者——意味著任何升級都需要時間才能落地實現。

即便如此，各項倡議之所以能持續定期出現，在本週 Google 的報告出爐之前就已顯示該問題早已在開發者的視野之中；這或許能減輕市場的擔憂。