量子计算正在从科幻走向现实,它对密码学与区块链的冲击远超想象。围绕比特币安全性的讨论中,一个最引人关注的命题是:先进的量子计算机能否将那些被认为"永久丢失"的比特币重新带回流通?要回答这个问题,必须从量子计算能做什么、比特币如何被保护、哪些钱包最脆弱、攻击实施的技术门槛以及可行的防护措施等层面做全面分析。 量子计算与经典计算根本不同。它利用量子叠加与纠缠来并行处理信息,理论上可以在极短时间内解决某些经典计算机需要耗时数百万年的问题。1994年,彼得·肖尔提出的Shor算法证明了量子计算在因数分解和椭圆曲线离散对数问题上的强大威力,直接威胁目前广泛采用的非对称加密算法。比特币依赖的椭圆曲线数字签名算法(ECDSA)正是基于椭圆曲线难题,换言之,当有足够强大、且错误校正成熟的量子计算机出现时,ECDSA生成的私钥可能被从公钥中高效求解。
并非所有比特币地址都同等脆弱。比特币地址与输出脚本有多种格式,早期的pay-to-public-key(P2PK)格式在链上直接包含了公钥,任何能够读取链上数据的人都能获得该公钥,这类输出如果私钥丢失、持有人无法访问,那么一旦有能破解椭圆曲线签名的量子计算机出现,这些币就可能被"复活"并被他人花费。另一类常见的pay-to-public-key-hash(P2PKH)在未被花费的状态下仅存储公钥的哈希,只有在发起花费交易时才会暴露公钥;因此未花费的P2PKH输出在链上通常并未立即暴露公钥,但如果地址被重复使用或用户曾经花费过相关UTXO,公开的公钥同样会成为量子攻击的目标。近年来普遍推荐的SegWit和Taproot地址通过改进脚本与隐藏签名材料的方式,降低了在链上暴露公钥的概率,从而在一定程度上减缓了量子攻击的直接威胁。 量子"复活"比特币的具体路径可以概括为:发现链上可读取的公钥或在交易广播时捕获将要公开的公钥;利用量子计算机执行Shor算法或等效量子破解算法,从公钥高效推导出对应的私钥;使用该私钥签名并在极短时间内将交易广播到网络,从而将币转移到攻击者控制的地址。关键在于时间窗与计算能力:若目标公钥在链上长期公开存在且未被花费,攻击者可提前准备并在攻破后直接构造花钱交易;若公钥只在交易广播瞬时公开,攻击者必须在极短的时间内完成量子计算并提交交易,时间压力非常大。
现实中的技术门槛不容低估。尽管近年来量子硬件不断进步,诸如谷歌等公司发布了更强的量子芯片并宣称在某些任务上实现加速,但要对抗比特币级别的椭圆曲线难题,需要的不仅是大量"物理"量子比特,更关键的是容错量子计算所需的"逻辑"量子比特和长期稳定的纠错机制。研究估算从破解单个比特币私钥所需的量子资源存在巨大差异,低到数百万级别的物理比特,高到上亿甚至数千万级别的更保守估计都有。再者,实际攻击还要考虑量子门速率、误差率、量子端到端运行时间等工程限制,因此多数密码学家与区块链工程师认为短期内全面突破ECDSA并非迫在眉睫,但长期风险不容忽视。 另一个经常被忽略的现实问题是"失落"的定义。链上估算有数百万比特币被永远锁定在无法访问的地址中,早期对中本聪持币量的估计约为一百万比特币。
如果其中一部分属于以P2PK等格式存储、且公钥已公开的输出,那么成熟的量子攻击确实可能将这些币带回流通。此类事件对市场意味着巨大的冲击:供给突然增加可能破坏稀缺预期,导致价格大幅波动,甚至动摇人们对比特币货币属性的信心。除了市场影响,恢复这些币还伴随复杂的伦理与法律问题:是否应当允许"第三方"使用先进技术收回失主的资产?若是团队或机构抢先攻破并声明所有权,会引发怎样的所有权纠纷?这些问题没有明确答案,社区内关于销毁、上交或重新分配等方案早有争论。 为应对潜在的量子威胁,比特币生态与密码学界已在多个层面展开准备。对于普通用户,最直接可行的做法包括避免地址复用、尽量使用SegWit或Taproot地址格式、在可能的情况下不在链上暴露公钥以及使用支持自动更换地址的钱包。对于持有大量长期冷存储资产的个人或机构,迁移资产到量子抗性更强的地址或方案,或者采用混合签名体系(例如同时使用经典ECDSA与后量子签名)可以降低未来被量子攻击的风险。
在技术层面,研究者们正在开发多种量子抗性签名算法,例如基于哈希的Lamport签名、基于格(lattice-based)或基于哈希树的SPHINCS+等。许多算法已在密码学竞赛和标准化过程中被评估,国际标准组织也在推动后量子密码学的标准化进程。对于比特币网络而言,要采用新签名方案需要广泛的测试与协议升级,这既涉及技术实现,也触及治理与社区共识问题。早在2025年,已有人提出了诸如QRAMP(量子抗性资产映射协议)等创意提案,旨在在不改变比特币总量与托管权的前提下,引入跨链或兼容后量子签名的保护层,但这些方案仍处于研究或概念阶段,能否在去中心化网络中高效落地还有待时间检验。 值得关注的是,量子威胁并非单向的灾难。量子技术也可能被用于增强区块链功能,例如通过量子安全的密钥交换提高节点之间通信的安全性,或利用量子随机性提升智能合约与密码学协议的不可预测性和强鲁棒性。
同时,量子与经典密码学可以通过混合方案实现渐进式过渡:在关键升级期间采用经典与后量子签名并行验证,给生态系统争取足够的适配窗口。 从时间线与风险管理的角度来看,最现实的策略是既不恐慌也不拖延。研究界与业界普遍认为,短期内出现能够大规模破解ECDSA的量子计算机可能性较低,但未来十年乃至几十年内风险会逐步增加。因此社区、交易所、托管机构和重仓个人应当提前制定应急计划,包括但不限于资产分层管理、定期迁移冷钱包、密钥备份策略、跟踪后量子密码学标准进展以及参与或关注协议层面的升级讨论。 在法律与监管层面,量子导致的"失而复得"亦将考验现有的所有权与监管框架。若某方利用量子技术从被认为不可访问的地址转移了币,监管机构将如何判定合法性?受害者如何追索?是否需要新的法律来界定因技术进步产生的财产权变动?这些问题呼唤跨学科的对话,包括法律、伦理、技术与经济学者共同参与制定规则与行业最佳实践。
总的来说,量子计算确实为"复活"失落比特币提供了理论可能,但实现这一目标还面临巨大的技术与工程障碍。同时,量子威胁也促使比特币生态提前进行防护性演进,从地址使用习惯到签名算法的长期替换,都需要全球参与者的协作。对于普通持币者而言,最实际的应对是遵循良好的安全习惯,关注后量子密码学与协议升级的最新进展,并在可行时采用更安全的地址与钱包技术。对于社区与开发者而言,制定稳妥的升级路径、推广量子抗性标准和设计过渡兼容方案将是未来几年内的重要任务。量子时代并不是不可避免的末日预言,而是一次对现有密码学长期生命力的检验和升级机会。拥抱准备,而非恐惧,将是应对之道。
。
