新闻

（广告）

比特币量子攻击可能导致中本聪的比特币被盗，而 Paradigm 已找到解决方案。

Paradigm公司的Dan Robinson提出了PACTs，这是一种无需转移比特币即可保护比特币钱包免受量子攻击的方法。以下是它的工作原理以及对中本聪持有的比特币意味着什么。

Soumen Datta

2026 年 5 月 4 日

（广告）

比特币面临的量子威胁是什么？BIP-361 提出了什么内容？为什么它会引起争议？PACTs是如何运作的？什么是 STARK 检验标准？它在这里为何如此重要？PACTs有哪些风险？该提案如何融入更广泛的量子力学辩论中？总结相关资源常見問題解答

Paradigm 普通合伙人 Dan Robinson 拥有出版一项名为“可证明地址控制时间戳”（PACT）的系统提案，该系统将允许比特币钱包持有者目前私下证明其所有权，并可在网络冻结易受量子攻击的地址时使用该证明取回资金。该提案旨在保护休眠钱包，包括据信属于中本聪的钱包，而无需目前采取任何公开的链上操作。

该系统分两步运作：首先是今天利用现有资源做出的私人承诺。比特币工具，以及一份抗量子力学的证明，如果软分叉导致旧地址类型冻结，则稍后会提交。没有比特币需要进行交易才能创建承诺，而且该过程不会公开透露持有人的任何信息，包括他们的地址或余额。

量子威胁究竟是什么？比特币 ?

比特币已暴露公钥的地址容易受到一种名为密码学相关量子计算机（CRQC）的未来计算机的攻击。足够强大的CRQC可以从已知的公钥推导出私钥，从而使攻击者能够从任何已在链上暴露公钥的地址窃取资金。

Paradigm估计，价值数千亿美元的比特币这些资金存放在公钥暴露的地址中。据信属于中本聪的钱包仅持有约 1.1 万枚比特币。 BTC按当前价格计算，这些钱包价值超过75亿美元。这些钱包早于2012年推出的BIP-32密钥生成标准，根据目前的提案，目前尚无任何补救措施。

BIP-361 提出了什么内容？为什么它会引起争议？

开发者詹姆森·洛普和五位合著者发表了 BIP-361 4月中旬，他们提出了一项为期五年的计划，逐步淘汰易受量子攻击的地址。任何未在截止日期前迁移到量子安全格式的加密货币都将被永久冻结。

该提案给长期不活跃的持有者带来了一个严重问题。转移代币是一种公开的链上操作，它会暴露钱包仍然活跃，泄露时间模式、钱包之间的关联，甚至可能泄露IP地址。具体到中本聪而言，转移代币将证实这位匿名创始人仍然在世，并且仍然持有自己的私钥。这对于许多业内人士来说都是一个严重的信息泄露。比特币社区认为强迫行为是不可接受的。

BIP-361确实包含一条针对通过BIP-32生成的钱包的恢复路径，该路径使用父密钥知识的零知识证明。但2012年之前的钱包，包括中本聪已知的大部分地址，并未采用BIP-32，因此无法通过该路径恢复。

PACTs是如何运作的？

PACTs提供了第三条途径。该方案分为两个截然不同的阶段。

第一步：承诺

持有者生成一个 256 位的秘密盐值，这是一段随机的私有数据，使承诺具有唯一性和不可猜测性。然后，他们使用 BIP-322（一种用于对来自……的消息进行签名的标准）比特币在不广播交易的情况下获取地址，以证明对易受攻击地址的控制权。

盐值和 BIP-322 证明被合并成一个单一的承诺哈希值。然后使用 OpenTimestamps 为该哈希值添加时间戳。OpenTimestamps 是一个免费的开源服务，它将数据批量处理成默克尔树，并将根节点嵌入到…… 比特币 OP返回输出。持有者会私下存储盐值、证明文件和时间戳文件。不会广播任何信息，也不会泄露任何信息。此过程不产生任何费用。

发现有前途的项目...

有前景的项目...

（广告）

文章继续...

罗宾逊指出，这之所以可能，是因为中本聪设计了比特币 OpenTimestamps 在 2008 年的白皮书中将其设计为分布式时间戳服务器，多年来一直使用该设计提供免费、无需信任的时间戳服务。

第二步：营救

If 比特币随后，该机制会激活一个软分叉，冻结易受量子攻击的地址。此次升级也可能为 PACT 持有者提供一条补救途径。要使用被冻结的代币，持有者需要提交 STARK 证明。STARK 证明是一种零知识证明，能够抵御量子计算机的攻击，它需要证明三件事：

他们知道有效的盐和 BIP-322 控制证明
该组合哈希值指向 PACT 截止日期之前的一个承诺时间戳。
救援证明与特定交易绑定，无法被复制或重复使用。

兑换过程中，盐值和 BIP-322 验证信息绝不会泄露。网络仅确认持有者在截止时间前拥有控制权。金额、地址和时间戳等信息均保持私密。

什么是 STARK 检验标准？它在这里为何如此重要？

STARK 代表可扩展透明知识论证（Scalable Transparent Argument of Knowledge）。它是一种零知识证明，允许一方在不透露具体内容的情况下证明自己知道某些信息。与旧式证明系统不同，STARK 不依赖于椭圆曲线密码学，这意味着即使量子计算机能够破解加密，它仍然安全。比特币目前使用。

添加 STARK 验证比特币这将需要进行软分叉，Robinson 也承认，这对协议而言代表着大量的新基础设施。

PACTs有哪些风险？

罗宾逊直言不讳地指出了该方案的局限性。

比特币可能永远不会实施量子日落机制，从而使 PACT 变得没有必要。
即使日落之后，这条特定的救援路径也可能不会包含在升级改造中。
在救援协议正式纳入协议之前，持有人不应仅仅依赖 PACT 来获得保护。
该设计无法直接扩展到多重签名钱包、复杂脚本或托管账户，所有这些都需要额外的标准化工作。
持有者必须妥善保管其盐值、BIP-322 证明文件和 OpenTimestamps 文件作为恢复凭证，因为丢失其中任何一个都会使恢复选项失效。

罗宾逊认为，即使存在这些不确定性，一旦就标准格式达成一致，制定承诺的成本也很低，因此采取行动是合理的。

该提案如何融入更广泛的量子力学辩论中？

PACTs提案是在BIP-361的基础上发展而来，而非取而代之。它填补了BIP-361留下的一个特定空白：即BIP-32之前的钱包缺乏现有的救援路径。Robinson引用了Jeremy Rubin在Delving中对类似概念的早期讨论。比特币论坛作为先前朝同一方向开展的工作。

比特币 X 发表后，开发者和量子研究人员迅速做出了回应。讨论主要集中在以下几个方面：

STARK 集成时间表以及通过软分叉添加零知识证明验证需要做些什么
在对抗条件下，隐私保护措施在实践中是否有效？
设定早于任何实际的CRQC能力的PACT截止日期是否可行

罗宾逊承认该设计仅为示意图，需要密码学家的参与。比特币在正式提案被考虑之前，需要先征求开发者和更广泛的社区的意见。

总结

Paradigm 的 PACTs 提案给出比特币钱包持有者现在可以使用 BIP-322 签名和 OpenTimestamps 以一种免费、私密的方式为钱包控制权证明添加时间戳。比特币如果通过软分叉实现量子日落，持有者可以提交 STARK 证明来取回被冻结的资金，而无需透露其地址、余额或身份。该系统需要添加 STARK 验证基础设施。比特币并且取决于未来的任何终止升级中是否包含救援方案。它并不完全适用于多重签名钱包或托管钱包，也无法保证会被采用。对于 BIP-32 之前的钱包，包括与中本聪估计的 1.1 万个钱包关联的钱包，也存在同样的问题。 BTC这是目前提出的唯一救援方案。

常見問題解答

比特币中的PACT是什么？

PACT，即可证明地址控制时间戳，是一种私有的加密承诺，允许比特币持有者证明他们在量子计算机能够推导出私钥之前就控制了钱包。目前，持有者使用 OpenTimestamps 为承诺添加时间戳，如果比特币通过软分叉冻结了易受量子攻击的地址，持有者可以提交 STARK 证明来追回资金。

创建 PACT 是否需要比特币交易？

不。创建 PACT 不需要持有者进行任何链上交易。承诺哈希值会被时间戳服务批量处理到 OpenTimestamps Merkle 树中，并嵌入到比特币的 OP_RETURN 输出中，而不是由持有者操作。此过程免费，且不会泄露持有者的地址、余额或身份信息。

PACT 能否保护中本聪的比特币？

理论上可行，但前提是控制这些密钥的人必须在量子计算机推导出私钥之前或社区强制冻结生效之前创建 PACT。中本聪的钱包早于 BIP-32，在 BIP-361 下没有现成的补救方案。PACT 的设计初衷正是为了弥补这一漏洞，但必须先通过软分叉将其纳入比特币协议，才能使用补救方案。

免责声明

免责声明：本文表达的观点不一定代表 BSCN 的观点。本文提供的信息仅用于教育和娱乐目的，不应被视为投资建议或任何形式的建议。BSCN 对基于本文提供的信息做出的任何投资决策不承担任何责任。如果您认为文章应该修改，请通过电子邮件联系 BSCN 团队 chingyeel@cchphealthplan.com.

作者

Soumen Datta

Soumen 自 2020 年起从事加密货币研究，拥有物理学硕士学位。他的文章和研究成果已发表于 CryptoSlate、DailyCoin 以及 BSCN 等刊物。他关注的领域包括比特币、DeFi 以及以太坊、Solana、XRP 和 Chainlink 等高潜力山寨币。他将深度分析与清晰的新闻报道相结合，为加密货币领域的新手和资深读者提供深刻见解。

（广告）

公司动态