近年围绕量子计算与加密货币安全性的讨论不断升温。前华尔街交易员Josh Mandell在社交平台上发表的声明引发关注,他声称某"大型参与者"利用量子计算从长期沉睡的钱包中悄然提取比特币,且行动方式避开公开市场,仅靠链上取证才能发现蛛丝马迹。该说法一出,社区内外立刻展开激烈质疑与辩论。要判断这种指控的可信度,需要从密码学原理、当前量子硬件能力、链上可观测的证据,以及社区专家的观点四方面综合评估。本文将逐项拆解,让读者对风险有更清晰的认识,并提供切实可行的防护建议。 Mandell的主张表面看起来具有挑动性的合成因素:目标多为长时间未动的旧钱包,这些地址的持有人可能已故或失联;攻击者以"不在公开市场直接买入"的方式累积大量比特币,从而避免价格波动与监管注意;攻击手段被暗示为量子破解私钥。
关键问题并非说法新奇,而是证据稀缺。Mandell本人未提供可验证的链上或技术证明,更多基于"可能性推断":如果量子计算足够强大,就能实现这样的窃取。技术上,这种可能性是否已成现实,是判断其可信度的核心。 理解风险的第一步是把握比特币所依赖的密码学基础。比特币的签名算法主要是椭圆曲线数字签名算法(ECDSA),以及在升级后逐步使用的Schnorr和Taproot等改进方案。ECDSA基于特定椭圆曲线(secp256k1),其安全性建立在通过公钥反推私钥的困难性上。
量子计算带来的主要威胁来自Shor算法:在理论上,Shor算法能在多项式时间内求解大整数因式分解和椭圆曲线离散对数问题,从而能从已知公钥推导出私钥。一旦私钥被推导,攻击者就能随意花费对应地址的比特币。 然而,从"理论上可行"到"现实中可行"之间存在巨大技术鸿沟。当前量子硬件面临三大难题:物理量子比特的不稳定性、纠错所需的巨大开销、以及实现Shor算法所需的量子门保真度和规模。物理量子比特容易受到噪声影响,必须通过量子纠错技术将大量物理比特打包成一个容错的逻辑比特。相关估计普遍显示,破解单个secp256k1私钥所需的物理量子比特数量,考虑纠错开销后可能是数十万乃至数百万级别,而目前公开的量子处理器仅有数十到数百个物理比特;即便有上百个量子比特,也远不足以完成大规模的椭圆曲线离散对数运算。
近年来在量子门保真度方面虽有进展,例如部分研究机构宣称在某些量子操作上取得了非常低的错误率(如每670万次操作一次错误的记录),以及谷歌等公司展示了百余物理量子比特的原型机(例如报道中的105量子比特机),但这距离需要的容错逻辑比特还有数量级差距。 因此,当前主流量子研究者与比特币社区的共识是:量子破解ECDSA在现阶段仍不现实,但不可否认这是一个必须前瞻准备的长期风险。多数专家预计,实现能够普遍威胁比特币私钥的量子计算机至少还要十年或更久,除非出现重大的技术突破。显著的技术突破包括大幅提升量子比特的相干时间、显著降低量子门错误率,以及能够高效实现量子纠错方案。 链上证据层面,如果存在量子驱动的盗取行为,理论上区块链会留下可辨识的痕迹。常见的可疑信号包括:大量长期沉睡地址突然在短时间内被连环转移且路径非同寻常、在揭示公钥后几乎同步被提走的行为、或者大量来自不同旧地址但操作模式高度一致的花费交易。
实际观测到的情况更多是旧地址被主动重新启用,用来迁移资产到新的地址格式或进行合并手续费优化等。例如,多个早期2009-2011年的地址在多年沉睡后将比特币迁移至SegWit或Taproot地址,这类活动在链上可见,但并不直接指向被动的窃取。分析人员通常将此类迁移解释为持有人出于维护资产安全或优化成本的主动操作。 此外,攻击的可行性也依赖于目标地址是否已暴露公钥。比特币的几种脚本类型在公钥暴露方面各有不同。早期的P2PK(pay-to-public-key)在链上直接包含公钥,一旦未被保护便存在被人基于公钥进行破解的理论风险。
P2PKH(pay-to-public-key-hash)在地址未被花费前仅暴露公钥哈希,实际公钥只有在花费时才会公开,因此长期未动的P2PKH地址在未花费状态下并不直接暴露可被量子攻击的公钥。升级后的SegWit与Taproot等也在某些情形下改变了花费时公钥暴露的机制,Taproot在启用关键路径签名时会以x-only公钥形式暴露,但仍存在在花费过程后公开密钥的情况。因此,真正被量子攻击威胁的场景多半集中在那些已经公开了公钥或采用了早期地址格式但长期保留资金的大户。 对Mandell主张的另一个重要反驳点是观察性证据的缺失。区块链分析公司长期监控大额地址动向,对异常聚合行为特别敏感。如果某个"大型参与者"在链下以量子技术系统性吸取长期沉睡的钱包并将收益汇聚到少数地址,分析团队极有可能在流入模式、时间分布或关联性上发现异常。
到目前为止,并没有公开发表的经链上证据与技术复现相结合、能够确证量子攻击发生的案例。已知的大额移动多半能找到合理解释 - - 如私人持有人重新激活、遗产继承中的资金转移、或交易所与托管方的资金整理。 尽管如此,不能因为当下没有证据就掉以轻心。量子威胁的潜在性与时间不确定性都要求加密货币社区与持币者采取防护措施。对个人持币者而言,最直接的建议是尽量避免地址重用,并优先将资金迁移到不易暴露公钥的现代地址格式。使用冷钱包与多重签名方案是降低被动风险的有效方法。
对长期持有者来说,分散资产、定期检查钱包技术状态并在必要时迁移到支持后量子密码或更安全签名方案的地址,都是值得考虑的做法。 从行业层面看,开发者与研究机构应当加速对后量子密码学(PQC)的研究与应用测试。后量子算法,如基于格(lattice)的签名算法,被视为对抗未来量子攻击的候选方案。比特币生态若要实现向后量子安全的迁移,将面临兼容性、签名大小、效率与软硬件支持等挑战。逐步引入混合签名机制、在第二层或新的协议升级中试验PQ算法、以及推动钱包厂商与托管服务商提供后量子兼容选项,都是现实可行的路径。行业监管机构与交易平台也应提高警觉,建立监测异常链上行为的预警机制,并与学术界保持沟通以跟踪量子计算最新进展。
回到Mandell事件本身,它在公共讨论中起到了正面作用:唤起更多人对量子风险的关注并促使社区重新评估长期安全策略。尽管当前证据不足以支持"量子计算正在广泛窃取比特币"的断言,这类警示仍具有价值,提醒大家准备未来可能出现的技术转折点。一个健康的反应不是恐慌性清仓,而是理性评估风险、更新安全实践、并推动技术与政策层面的应对。 综合看,量子破解比特币私钥在理论上成立,但在现阶段被广泛应用于链上窃取的情形缺乏可信证据。多数专家与分析者认为,量子计算对比特币构成的实质性威胁还需数年乃至十年以上的发展时间。然而,面对可能的未来风险,持币者与生态建设者应当从现在开始评估与实施恰当的防护措施:优化地址使用、采用更安全的钱包实践、关注后量子密码学发展以及支持生态内的长期安全升级。
只有将警觉转化为主动准备,才能在量子时代来临时最大限度地降低潜在损失。 关注链上动态、信任可验证的链上取证与科学研究、并采取稳健的安全措施,是在不确定时代保护数字资产的理性之道。 。
