量子電腦對比特幣的危險：超越破解加密的神話

量子威脅對比特幣的威脅被系統性地誤解。與廣泛傳播的說法相反，量子電腦並不會通過直接解密來「破解」比特幣的加密基礎設施。真正的脆弱點在於一個更具體的點：在區塊鏈上公開的公鑰暴露，以及利用 Shor 演算法從中推導私鑰的可能性。

真正威脅比特幣的是什麼：不是加密技術，而是數位簽名

比特幣並未在區塊鏈上存儲加密秘密。這是改變普遍敘事的關鍵點。幣的所有權由數位簽名 (ECDSA 和 Schnorr) 以及基於哈希的承諾來保證，而非加密文本。一台足夠強大的量子電腦不會「解密」任何東西，而是會利用 Shor 演算法從暴露的公鑰中提取私鑰，並生成有效的簽名來進行競爭性支出。

比特幣的開發者、Hashcash 的創始人 Adam Back 曾明確指出：「比特幣並未以這個量子風險敘事所理解的方式使用加密技術。」術語的區分至關重要。加密技術涉及信息的隱藏；比特幣運作在一個完全公開的帳本上，每一筆交易、金額和地址都是可見的。沒有任何東西是加密的。

時間窗口與暴露模型：真正的瓶頸

公鑰的暴露是關鍵的脆弱點。不同的地址格式以不同的方式管理這種暴露。許多地址在交易支出時才會揭示公鑰的哈希，只有在支出時才會暴露原始公鑰。這大大縮小了量子攻擊者計算私鑰並提交衝突交易的時間窗口。

然而，某些類型的腳本會提前暴露公鑰。地址的重複使用將一次暴露轉變為持續的目標。Project Eleven 建立了「比特幣風險清單」，精確映射這些在腳本和地址層面上的暴露場景，識別出已經可以被裝備 Shor 演算法的攻擊者利用的公鑰位置。

今日風險衡量與未來預測：Taproot 的角色

Taproot 升級顯著改變了暴露模型。Taproot (P2TR) 的輸出在輸出腳本中直接包含一個經過修改的 32 字節公鑰，而非之前的公鑰哈希。這並不立即造成漏洞，但從根本上改變了在私鑰可行的情況下預設會暴露的內容。

關鍵在於可衡量性。由於今日可以量化暴露範圍，受影響的 UTXO 池可以即時監控，而不必預測量子電腦何時能在加密層面達成可行性。Project Eleven 進行每週自動掃描，其公開追蹤器顯示約有 6,7 百萬 BTC 符合公鑰暴露的條件。

量子比特的景觀：從理論到具體數字

科學文獻對所需計算能力提供了合理估計。Roetteler 等人指出，在素域上對 256 位橢圓曲線離散對數的計算，最多需要約 2,330 個邏輯量子比特。轉換為實體量子比特（考慮錯誤率和冗餘）才是真正的瓶頸。

根據 Litinski 2023 年的分析，一種模組化方法可以在約 10 分鐘內用約 6.9 百萬個實體量子比特計算出一個 256 位的私鑰。其他估計則認為約 1,300 萬個實體量子比特在一天內破解。擴展到一小時的時間窗口，則約需要 3.17 億個實體量子比特，具體取決於循環時間和錯誤率假設。

哈希的堅韌性：Grover 不等於 Shor

量子敘事常涉及對哈希的威脅。Grover 演算法在暴力破解中提供平方根加速，但這與 Shor 提供的離散對數破解不同。對於 SHA-256 的 preimage，經過 Grover 後，成本仍約為 2^128 次操作，並未構成實質威脅。

工業背景：走向 2029 年的路徑

IBM 最近討論了量子誤差校正元件的進展，重申了約 2029 年達到容錯量子系統的路徑。NIST 已經標準化了後量子原語，如 ML-KEM (FIPS 203)。在比特幣生態系中，BIP 360 提議「Pay to Quantum Resistant Hash」輸出，而 qbip.org 則設定了遺留簽名的截止期限，以促進遷移。

挑戰不在技術本身，而在協調

對比特幣的操作來說，實務層面的挑戰在於行為和協議層面。地址重複使用會增加暴露，而有意識的錢包設計可以大幅降低這種風險。如果私鑰的恢復在某天變得在計算上可行，攻擊者將競爭花費暴露的輸出，而非試圖重寫共識歷史。

向後量子簽名的遷移面臨具體挑戰：後量子簽名通常佔用千字節而非數十字節，改變了交易的重量經濟和錢包的用戶體驗。比特幣基礎設施必須應對帶寬、存儲、手續費和協調的限制。

結論：基礎設施，而非緊急

量子威脅對比特幣來說，是一個遷移和基礎設施規劃的挑戰，而非立即的風險。關鍵監控元素包括：暴露公鑰的 UTXO 比例、錢包行為的變化，以及網絡在保持驗證約束和手續費經濟的同時，快速採用抗量子支出方案的能力。「量子電腦破解比特幣加密」的說法在術語和底層機制上都站不住腳。