量子計算破解15位私鑰？真相恰恰相反

BTC繼續小幅回落，來到77k。每當這種時候，總會有一些消息出來推波助瀾。這一次，又是量子計算。

cointelegraph報導了一則新聞：研究員Giancarlo Lelli使用量子計算機成功破解了一個15位的橢圓曲線密鑰，而比特幣使用的正是同類型加密算法。[1] 消息一出，網路上立刻像炸了鍋。有人驚呼比特幣要歸零，有人開始推銷所謂的抗量子幣，更有甚者直接斷言留給BTC的時間不多了。

教鏈看到這類消息，第一反應是此中有詐。

每隔一兩年，量子計算就會出來刷一波存在感。每次都是同樣的配方、熟悉的味道。只不過這次被搬上舞台的，是一台破解了15位密鑰的量子計算機。聽起來很唬人，但仔細一看，裡面藏著好幾個陷阱。

陷阱一：15位 vs 256位

報導的核心賣點在於強調了同類型加密。言下之意，量子計算機已經能破解比特幣所用的算法了。

但這裡藏著一個關鍵的細節：被破解的密鑰是15位的，而比特幣用的是256位的。這個差距有多大？教鏈給你一個直觀的概念。

15位的密鑰空間大約是3.2萬種可能（哈哈哈）。你用目前手邊任何一台筆記本電腦，甚至是一部手機，都能在不到一毫秒的時間裡暴力窮舉出來。這不是一個技術難題，而是一個初中生都能完成的作業。

而256位的密鑰空間有多大？是2的256次方。這個數字大到什麼程度？它比宇宙中所有原子的總數還要多出好幾個數量級。用地球上所有傳統計算機一起去暴力破解，從宇宙誕生算到毀滅，也猜不出一個正確的私鑰。

報導把破解15位和威脅256位混為一談，就像有人宣稱自己打破了百米世界紀錄，結果你一看，他跑的距離只有一米。原理上沒錯，都是跑步，但實際意義天差地別。

陷阱二：量子優勢的代價被隱藏了

也許有人會辯解說，量子計算機不是靠暴力窮舉，而是靠Shor算法的數學巧勁。即便現在只能破解15位，未來總能擴展到256位，而且時間只會線性增長。

這個說法在數學上沒錯，但在物理和工程上忽略了一個致命問題：成本爆炸。

教鏈在之前文章裡反覆強調過一個觀點：沒有免費的午餐。傳統計算機破解加密，代價是時間指數級增長；量子計算機要破解加密，代價不是時間，而是物理資源的指數級增長。[2]

要破解15位密鑰，可能需要幾十個物理量子比特。但要破解256位密鑰，研究機構估計需要數百萬個高品質、低錯誤的物理量子比特。[3] 從幾十個到數百萬個，這不是線性增長，而是四個數量級的跨越。

更要命的是，量子比特極其脆弱，需要極低溫環境、複雜的糾錯機制和近乎完美的控制。每增加一個數量級的量子比特，工程難度和成本不是翻倍，而是爆炸式上升。目前最先進的Google Willow量子計算機也不過105個物理量子比特。[4] 從105個到數百萬個，這中間隔著的不是幾年時間，而是一個技術上的天堑。

報導对此只字不提，彷彿從15位到256位只是一步之遙。這種省略，恰恰是製造恐慌的關鍵手法。

陷阱三：比特幣不是裸奔的

即便退一萬步講，假設未來某一天量子計算機真的發展到了那個地步，比特幣也不是毫無防備地裸奔。

中本聰在設計比特幣時就已經考慮過這個問題。比特幣地址存儲的不是公鑰本身，而是公鑰的哈希值。哈希函數對量子計算有天然的抵抗力。Grover算法只能把攻擊哈希的難度從2的256次方降低到2的128次方，這依然是一個天文數字。[5]

只要你的比特幣存在P2PKH地址（1開頭）或P2WPKH地址（bc1q開頭），並且從未動用過（即未暴露公鑰），那麼量子計算機面對的就是這層哈希外殼，而不是脆弱的橢圓曲線簽名。正如中本聰在2010年所說：支付到比特幣地址的交易，安全性只和哈希的安全性一樣。[6]

這是一個容易被忽略但極其重要的技術細節。報導裡沒有提，因為提了就不夠驚悚了。

陷阱四：比特幣是活的

最後，也是最重要的一點：比特幣不是死的。它可以升級。

量子計算的威脅不是今天才被發現，比特幣社群早在很多年前就開始研究應對方案。2021年激活的Taproot升級，已經為未來更換簽名算法鋪好了技術道路。[7] 抗量子簽名的研究也在進行中，只是目前方案還不夠成熟——主要問題是簽名尺寸太大，會讓比特幣區塊膨脹數百甚至上千倍，這違背了中本聰當初選擇ECC而非RSA的根本原因。

等到哪天量子計算真的逼近了威脅閾值，比特幣社群完全可以發起一次軟分叉，將簽名算法更換為抗量子版本。這個過程不會比2021年的Taproot升級更複雜。

相比之下，傳統的銀行系統、互聯網安全體系、軍事通信系統，它們面臨的量子威脅更加直接、更加嚴重，而且升級起來更加困難。如果有一天量子計算機真的實用化了，首先頭疼的絕對不是比特幣持有者，而是各國的央行、五角大樓和全球的網路安全工程師。

恐慌的背後

既然邏輯如此清晰，為什麼每隔一段時間就會有一波量子恐慌？

教鏈觀察，背後大概有三類推手。

第一類是媒體。量子計算破解加密這個標題天然具有傳播力。至於破解的是15位還是256位，實驗室條件還是真實環境，這些細節太枯燥了，放不進標題裡。點擊率是第一位的，真相可以排在後面。

第二類是利用恐慌推銷產品的人。每次量子恐慌來襲，總會有一些項目方跳出來，兜售所謂的抗量子幣。教鏈在去年6月就專門寫過一篇文章，標題就叫警惕抗量子騙局。[8] 這類項目通常技術上一塌糊塗，但概念包裝得天花亂墜，專門收割恐慌中的散戶。遇到這種情況，直接拉黑，大概率不是蠢就是壞。

第三類是被情緒裹挾的普通投資者。他們看到新聞標題就慌了，來不及細看正文，更不會去查證技術細節。恐慌情緒在市場下跌時尤其容易被放大，形成自我強化的負向循環。

未雨綢繆，而非杞人憂天

教鏈寫這篇文章，不是為了否定量子計算的威脅。量子威脅是真實存在的長期風險，我們不能裝作看不見。但對待風險，正確的態度是未雨綢繆，而不是被恐慌牽著鼻子走。

對於普通比特幣持有者，現在就可以做幾件簡單的事情來降低未來的量子風險。

第一，檢查自己的地址類型。盡量使用P2PKH（1開頭）或P2WPKH（bc1q開頭）地址，避免使用P2PK（直接暴露公鑰的早期地址）或P2TR（bc1p開頭的Taproot地址，也會暴露公鑰變體）。[5]

第二，避免地址重用。每個地址最好只使用一次。如果要動用某個地址裡的比特幣，就一次性全部轉走，清空地址後永不再用。這樣可以最大限度縮短公鑰暴露的時間窗口。

第三，不要等到最後一天再行動。如果未來某天真的大量用戶開始遷移，鏈上手續費一定會漲上天。趁著現在網路平靜，未雨綢繆才是明智之舉。

至於那些天天用量子恐慌嚇唬人、然後推銷各種亂七八糟項目的人，請記住一句話：量子計算機還沒來，但他們的鐮刀已經露出來了。

比特幣經歷了無數次的死亡威脅。從政府封殺到礦難崩盤，從51%攻擊到分叉大戰，每一次都有人預言比特幣要歸零。但每一次，比特幣都走過來了。

量子計算不會是比特幣的終結者。它只是漫長歷史中的又一次考驗。而比特幣的設計，從一開始就在為這樣的考驗做準備。

與其被恐慌裹挾，不如靜下心來，理解技術，看清邏輯，做出理性的判斷。