量子電腦不會「破解」比特幣——但以下才是真正威脅你的金鑰的因素

對於量子計算與比特幣的最大誤解是什麼？大家一直在談論破解不存在於區塊鏈上的加密。

讓我們先澄清事實。比特幣並不在鏈上加密資料——公開帳本的全部意義在於每筆交易、地址和金額對所有人都是可見的。理論上，量子電腦可以利用 Shor’s 演算法從暴露的公鑰推導出私鑰，然後偽造未授權的簽名。那不是解密；那是授權偽造。正如比特幣開發者 Adam Back 直言不諱地說：比特幣根本不使用加密。

真正的弱點：暴露的公鑰，而非加密的秘密

比特幣的安全模型依賴於數位簽名 (ECDSA 和 Schnorr 協議) 來證明私鑰所有權。當你產生有效簽名並被網絡接受時，幣就會轉移。問題不在於隱藏的加密資料——而在於公開在鏈上的公鑰等待被利用。

不同的地址格式處理方式不同。許多地址會將公鑰的雜湊值存放在鏈上，因此原始公鑰在你花幣前保持隱藏。這個暴露窗口很狹窄。但其他腳本類型會較早揭示公鑰，如果你重複使用同一地址，那麼這次一次的揭示就會成為有心攻擊者的永久目標。

Project Eleven 的「比特幣風險清單」追蹤了公鑰已在鏈上可見的確切位置——映射量子電腦理論上可能攻擊的面向。他們的每週掃描顯示約有 670 萬比特幣符合量子暴露標準，公鑰已在輸出中，等待擁有足夠計算能力的人利用。

需要多少量子比特才真正可行？

數學上可以估算，即使時間線尚不明確。研究人員估計，破解一個 256 位橢圓曲線密鑰大約需要 2,330 個邏輯量子比特——這是理論上的最低值。轉換成實際的、錯誤更正的量子機器，則需要巨大的額外開銷。

這些估算大致集中在以下基準：

• 690 萬個物理量子比特，用於 10 分鐘內破解密鑰 (Litinski 2023 年的估計)
• 1300 萬個物理量子比特，在一天內破解
• 3.17 億個物理量子比特，在一小時內破解

IBM 最近的路線圖預計，2029 年左右能建構出容錯系統，但即使如此，這個時間線也假設錯誤更正技術能快速進展。每一種架構選擇都會大幅改變所需時間。

為什麼基於雜湊的防禦（如 SHA-256）不會面臨同樣的壓力

雖然 Shor’s 演算法能摧毀橢圓曲線加密，但像 SHA-256 這樣的雜湊函數面臨不同的量子挑戰：Grover’s 演算法，能在暴力破解中提供約平方根的加速。經過 Grover 的攻擊後，安全等級約維持在 2^128 的工作量——遠遠比不上離散對數攻擊的威脅。雜湊碰撞抗性在這裡不是瓶頸；而是公鑰的暴露。

錢包行為的改變帶來一切

如果量子電腦能比區塊時間更快地破解私鑰，攻擊者不會重寫比特幣歷史——他們只會比你更快花掉暴露的地址中的幣。地址重用是一個放大器；Project Eleven 的分析指出，一旦公鑰出現在鏈上，未來所有回到該地址的支付都會變得脆弱。

Taproot 輸出 (P2TR) 改變了暴露模式，將 32 字節的經過調整的公鑰直接包含在輸出中，而非藏在雜湊後面。這並未立即構成威脅，但如果破解私鑰變得實用，這就會改變暴露的內容。今天可以追蹤可測量的脆弱池，而不必猜測何時量子攻破成為現實。

真正的挑戰：遷移，而非緊急應對

這不是末日場景——而是基礎建設的升級。NIST 已經標準化了後量子原語，如 ML-KEM (FIPS 203)。比特幣的提案如 BIP 360 建議「抗量子雜湊支付」作為遷移方案。

阻礙點是真實存在的：後量子簽名的資料量是數千字節，而非數十字節，這會重塑交易經濟、錢包設計和手續費市場。舊簽名的退役可能迫使遷移，同時減少長期暴露的私鑰數量。

量子威脅比特幣的核心在於行為選擇 (地址重用)、協議設計 (Taproot 暴露) 和網絡協調 (簽名遷移速度)——而非破解從未存在的加密堡壘。