短答案:2033年前被量子计算机攻破,是值得纳入规划的风险情景,但不是已经被公开证据证明的时间表。更准确地说,问题不是量子计算机去“解密整条区块链”,而是攻击比特币用来证明资金所有权的公钥签名。比特币签名依赖 secp256k1 椭圆曲线;如果未来出现足够强大的容错量子计算机,Shor 算法可用于攻击其背后的椭圆曲线离散对数问题。[1][
12]
2033不是宣判日,但不能当耳旁风
目前提供的公开资料并不能证明比特币一定会在2033年前被攻破。需要警惕的是,近年的资源估计对现有椭圆曲线系统并不友好:Google Quantum AI 与合作者的研究估计,在一种建模路径下,求解 secp256k1 的椭圆曲线离散对数问题大约需要1200个逻辑量子比特、且不超过9000万个 Toffoli 门;相关报道还提到,在足够先进的机器上,某些场景可低于50万个物理量子比特,攻击时间以分钟计。[1][
7]
这并不等于比特币今天就能被攻击。同一报道也明确说量子攻击目前尚不可行;Bitcoin Magazine 的报道则说得更直白:今天还没有这样的计算机。[7][
10]
因此,合适的态度不是恐慌,而是把它当作一项需要多年准备的基础设施迁移。英国国家网络安全中心(NCSC)把后量子密码学迁移称为需要数年完成的大规模技术变更,这个判断同样适合区块链行业。[20]
攻击目标:不是账本,而是已暴露公钥
未来的攻击者不需要“解密区块链”。真正高价值的目标,是从公钥反推出私钥;一旦攻击者能足够快地完成这一步,就可能伪造一笔有效支出。[1][
12]
这也不意味着量子计算机会自动改写比特币历史,或立刻赢下所有挖矿竞争。比特币还使用 SHA-256 等哈希机制用于挖矿和地址相关处理,但当前量子准备研究中最突出的风险,集中在公钥签名层,而不是 SHA-256 挖矿本身。[4][
15]
为什么地址复用会变成麻烦
并不是每一枚比特币面临同样的量子风险。用户花费某些输出时,公钥可能被公开;如果反复使用同一地址,暴露出来的公钥就更容易被整理、标记和优先盯上。[6][
7]
这带来两个准备问题。第一,已经与公开公钥绑定的资金,未来应是迁移清单上的高优先级对象。第二,当用户广播交易后,交易进入内存池(mempool,待确认交易池)到最终确认之间,公钥和支出意图可能已经可见;如果未来量子机器能在这个窗口内恢复私钥,攻击者就可能尝试发起竞争性支出。[7]
现有估计并没有显示这种攻击今天可行。但它提醒我们,钱包设计、交易广播隐私、内存池策略和确认时间,不应等到威胁真正落地后才讨论。[7]
后量子标准已经不只是论文
提前准备的一个重要原因是:后量子密码学(PQC)已经进入标准化和部署阶段。2024年8月,美国国家标准与技术研究院(NIST)正式发布首批三个后量子密码学标准,并鼓励系统管理员尽快开始迁移。[19]
这些标准包括用于密钥封装的 FIPS 203(ML-KEM)、用于数字签名的 FIPS 204(ML-DSA),以及无状态哈希签名标准 FIPS 205(SLH-DSA)。[23] NIST 也发布了从量子易受攻击算法迁移到后量子数字签名和密钥建立方案的规划材料。[
18]
英国 NCSC 的迁移时间表同样强调,这不是一次简单升级,而是多年工程;其早期里程碑包括到2028年明确迁移目标,并完成全面的资产发现和评估。[20]
对比特币和其他区块链来说,选一个算法只是第一步。后量子签名还必须适配交易大小、验证成本、手续费市场、硬件钱包、托管系统、轻客户端、交易所、跨链桥和社区共识。
加密行业现在该做什么
1. 先盘点密码学暴露面
交易所、托管机构、钱包开发者、跨链桥、稳定币发行方、L2 团队和企业金库,都应梳理自己在哪些环节依赖量子易受攻击的公钥密码学。清单应覆盖签名流程、密钥存储硬件、备份格式、恢复程序、多签策略、智能合约、桥验证者以及长期暴露的公钥。
这与 NCSC 建议的早期迁移工作一致:先定义目标,再完成发现和评估。[20] 对比特币而言,高优先级清单应包括地址复用、已暴露公钥、旧类型输出、高价值冷钱包,以及频繁暴露公钥的热钱包流程。[
6][
7]
2. 不要继续增加可避免的风险
钱包和交易所应让“每次收款使用新地址”更容易,让地址复用更难发生。已经暴露或反复出现的公钥,是未来量子准备工作最清晰的重点之一。[6][
7]
基础设施团队也应研究交易广播隐私。如果未来攻击模型是合法支出与伪造支出之间的竞速,那么减少可见性、缩短暴露窗口,会在全面迁移到后量子签名前就变得重要。[7]
3. 提前设计后量子交易格式
区块链社区需要尽早提出可信的后量子签名方案,以及安全引入它们所需的共识和部署路径。Google 在披露相关研究时表示,希望加密货币社区在量子攻击成为可能前提升安全性和稳定性,包括向后量子密码学过渡。[4]
但 NIST 标准不是比特币的“一键升级”。FIPS 204 和 FIPS 205 属于数字签名标准,区块链系统仍需评估签名大小、验证成本、带宽、手续费影响、钱包易用性、硬件钱包支持,以及长期密码分析信心。[23]
4. 测试分阶段和混合迁移
现实可行的路线,可能不是一次性切换,而是在一段时期内让现有签名与后量子机制并行。这样可以降低对新方案的单点依赖,也给节点、钱包、交易所、托管机构和用户留出学习与升级时间。
代价是复杂度和成本:签名可能更大,交易权重可能上升,钱包流程可能变复杂,低手续费用户也可能受影响。与其在危机中发现这些问题,不如通过试点先量出来。
5. 托管和钱包基础设施要提前演练
运营风险最容易集中在托管环节。交易所、机构托管方、稳定币发行方、跨链桥和大型金库,应测试签名模块、HSM、硬件钱包、策略引擎、审计日志和灾备流程能否支持后量子或分阶段迁移。
既然后量子迁移被公共指南视为多年工程,就应在威胁仍属理论阶段先试点,而不是等到可信攻击能力出现后再匆忙改造。[20]
6. 先把社区规则讲清楚
密码学迁移也是治理问题。去中心化网络需要提前形成关于用户提醒、资金迁移、遗失密钥、以及长期暴露且无人移动资金的处理原则。
Google 称披露研究的目的,是帮助加密货币社区在威胁成为现实前提升安全性和稳定性。[4] 等到生态系统相信真实量子攻击窗口已经打开时,再争论迁移规则,就太晚了。
从现在到2033,应该盯哪些信号
不要只看新闻标题里的“物理量子比特数量”。更关键的指标包括逻辑量子比特、错误率、纠错开销、门深度、Toffoli 门成本,以及大规模容错计算是否被实际展示出来。[1][
7]
标准采用也同样重要。NIST 已经发布首批后量子标准,NIST 的迁移规划正在推进,NCSC 也给出了分阶段迁移里程碑;加密网络不应假设自己可以无限期推迟共识和钱包升级工作。[18][
19][
20]
结论
比特币并没有被判定会在2033年前灭顶,也没有公开资料显示今天已经存在能攻破它签名体系的量子计算机。[7][
10] 但这个风险已经足够可信,值得严肃团队现在行动。
真正的瓶颈不只是量子硬件本身,还包括标准选择、钱包部署、托管升级、交易所支持、手续费经济和社会共识。等到量子计算机“快要能够”攻击 secp256k1 时再开始迁移,整个加密行业可能就没有足够时间安全转身了。[4][
20]
