比特币准备好应对量子威胁了吗？

大约有 6.9 万枚比特币存放在公钥暴露的钱包中，其中包括估计与中本聪有关的 1 万枚。如果量子计算机发展足够迅速，能够破解椭圆曲线密码学，那么这些比特币就可能被他人窃取。比特币社区现在面临着一个可能决定未来十年走向的选择：保护这些比特币，还是任其流落？

本周在ETH丹佛大会上，这场辩论成为焦点。BIP 360的两位共同作者Hunter Beast和Isabel Foxen Duke在会上阐述了问题的严重性。据他们所述，该网络的Taproot地址格式会将篡改过的公钥暴露在链上，而且这并非唯一存在漏洞的类型。

究竟哪些方面面临风险？

比特币的安全性依赖于椭圆曲线数字签名算法（ECDSA 和 Schnorr 算法）来保护私钥。传统计算机需要数十亿年的时间才能暴力破解这种加密方式。而运行 Shor 算法的量子计算机则有可能以更快的速度完成破解。

最容易受到攻击的比特币是那些存储在传统支付到公钥 (P2PK) 地址中的比特币，这些地址的公钥会永久地暴露在区块链上。CoinShares 估计，大约有 1.6 万枚比特币（约占总供应量的 8%）存储在这些旧式地址中。但风险远不止于此。Taproot 地址也会泄露经过修改的公钥，重复使用的地址会在早期交易中暴露密钥，总而言之，大约 30% 的比特币都存储在暴露的公钥下。

比特币分析师 Willy Woo 去年底指出了一个不寻常的现象：Taproot 的使用率从 2024 年预计的 42% 下降到仅 20%。他指出，他从未见过一种较新的地址格式失去市场，并补充说，Taproot 容易受到量子攻击，而较旧的 SegWit 和 Legacy 格式则不存在这个问题。

Q日还有多久？

这才是真正分歧所在。

卡普里奥基金创始人查尔斯·爱德华兹于2月20日发布报告，认为比特币的公允价值应该已经折价20%，以反映量子风险。他的模型预测，Q日（量子计算机能够破解比特币加密技术的时刻）在2028年到来的概率为20%。爱德华兹警告说，如果网络未能升级，到2027年折价幅度将接近40%，到2028年将达到60%。

爱德华兹指出，2025年就是市场已经消化这一预期的例证。尽管减半后市场环境有利，全球流动性也在上升，但比特币却经历了历史上首次减半后的负增长。他将这种表现不佳归因于他所谓的“量子事件视界”，即升级所需的时间与Q日剩余时间大致相同的点。

CoinShares提出了截然不同的评估。他们在2月份的报告中指出，这种威胁至少还要10到20年才会出现，需要比现有系统强大约10万倍的量子系统才能实现。他们估计，只有大约10,200个比特币有可能被窃取并迅速出售，从而造成市场混乱。其余的比特币分散在超过32,000个不同的钱包中，每个钱包平均持有约50个比特币，即使在乐观的量子系统假设下，快速利用这些比特币也几乎不可能。

发现有前途的项目...

有前景的项目...

（广告）

文章继续...

人工智能呢？这个近期内无人提及的威胁。

虽然量子计算占据了新闻头条，但还有一个更直接的漏洞就隐藏在人们的眼皮底下：比特币早期密钥生成机制的薄弱环节。

多起事件表明，2011 年至 2015 年间创建的钱包有时使用存在缺陷且熵值可预测的随机数生成器。2025 年底披露的 Libbitcoin Explorer 漏洞暴露了超过 120,000 万个比特币私钥，因为该软件仅使用系统时间生成随机数。其使用的 Mersenne Twister-32 算法的种子空间限制在约 4.3 亿个可能值，这使得任何大致知道钱包创建时间的人都可以轻松进行暴力破解。

这就是人工智能发挥作用的地方。现代机器学习擅长模式识别。神经网络可以分析弱伪随机数生成器，检测种子序列中的偏差，并比传统的蛮力方法更高效地预测输出。与量子计算不同，这种能力现在已经存在。

2020年，中国卢比矿池被盗的超过127,000万枚比特币（按当前价格计算价值超过8亿美元）可能源于可预测的私钥。所谓的“区块链大盗”发现了732个弱密钥。 Ethereum 私钥被盗，并在数年间悄无声息地窃取了约 45,000 个以太币。广泛使用的钱包生成工具 BitcoinJS 被发现生成的密钥熵不足，影响了 2012 年 3 月之前创建的数百万个钱包。

人工智能不需要数百万个量子比特或纠错量子态。它需要的是模式，而旧式密钥生成器中充满了这些模式。

BIP 360是什么？它能解决这个问题吗？

BIP 360 于 2026 年 2 月 11 日合并到官方比特币改进提案库中。它由 Hunter Beast、Ethan Heilman 和 Isabel Foxen Duke 共同撰写，引入了 Pay-to-Merkle-Root (P2MR)，这是一种新的输出类型，旨在像 Taproot 一样工作，但没有易受量子攻击的密钥路径支出。

简单来说：当前的 Taproot 地址会将经过修改的公钥暴露在链上。P2MR 则完全消除了这种暴露。所有支出都必须通过脚本路径和 Merkle 证明进行。这样做的代价是交易规模更大，但量子攻击面却缩小了。

BIP 360 并非最终解决方案，而是未来软分叉的基础，这些软分叉将引入真正的后量子签名方案，例如 ML-DSA（Dilithium）或 SLH-DSA（SPHINCS+）。目前没有任何自动变更，用户需要逐步自愿地将他们的代币迁移到新的地址格式。

冻结还是偷窃的两难困境

最难的问题是，那些从未移动过的硬币会怎么样？

一些提案建议在设定的期限后冻结所有P2PK地址和中本聪的比特币。另一些提案则认为，冻结比特币违反了比特币的核心产权和不可篡改性承诺。福克斯·杜克在ETH丹佛大会上表示，就冻结提案达成共识将“极其困难，且在政治上极具挑战性”。她警告说，如果量子计算能力在就迁移达成共识之前出现，将对网络造成严重后果。

爱德华兹的立场更为强硬，他认为所有比特币都应该在2028年前迁移到抗量子攻击地址，未迁移的比特币将被销毁。策略主席迈克尔·塞勒则完全不以为然，他表示量子威胁距离成熟还有10到20年的时间，比特币会在时机成熟时自动升级。这使他的观点更接近CoinShares和亚当·巴克，后者称量子威胁“还有几十年才会出现”，而不是像爱德华兹那样认为时间紧迫。目前没有任何一方获得多数支持，而比特币保守的治理结构使得快速推进协议变更变得极其困难。

那么比特币持有者该何去何从？

实际意义很简单。

• 如果您的加密货币存储在最新的 P2PKH 或 P2WPKH（SegWit）地址中，并且您没有重复使用地址，那么您的公钥在您花费之前是不可见的。目前，您的加密货币处于相对安全的状态。
• 如果您将加密货币存储在 P2PK 或 Taproot 地址中，或者如果您使用 2011 年至 2015 年的旧软件生成钱包，那么您的风险敞口会更高。
• 将资金转移到较新的地址类型会产生交易费，但可以消除长期风险。

美国国家安全局的 CNSA 2.0 框架已经要求在 2030 年前实现量子安全系统。美国国家标准与技术研究院 (NIST) 计划在 2030 年代中期之前逐步淘汰联邦系统中的椭圆曲线密码技术。 比特币 不能在真空中运行。

无论Q日是3年后还是20年后到来，准备窗口期都已开启。当所有人都在翘首期盼量子领域的突破时，人工智能驱动的模式识别技术已经开始破解比特币最老旧、最脆弱的钱包。

来源：

• 解码 BIP 360 合作者在 ETH Denver 就量子风险和泄露的公钥举行的专题讨论会报道
• 卡普里奥投资 Charles Edwards关于比特币量子贴现因子和Q日概率模型的研究报告
• CoinShares 完整的研究报告指出，量子威胁将在10-20年内出现，且对市场的影响有限。
• 比特币杂志 2026年2月11日，BIP 360并入官方BIP库的消息发布。
• CoinDesk 分析开发者的立场以及BIP 360在量子准备中的作用
• Cointelegraph 对 Willy Woo 的 Taproot 使用率下降数据和 Charles Edwards 的迁移截止日期提案的报道
• DL新闻 报道了赛勒的观点，即量子计算将在 10-20 年内对比特币构成威胁。
• Tangem博客 深入分析早期比特币钱包中弱随机数生成器的漏洞
• 比特币以太币新闻 报道 Libbitcoin Explorer PRNG 漏洞披露
• BIP360.org 提案共同作者提供的官方 BIP 360 规范和技术文档