近年关于量子计算与区块链安全的讨论从学术领域逐步扩散到公众舆论。最近前华尔街交易员Josh Mandell在社交媒体上的一条轶事性爆料引发广泛关注:他声称有"某大玩家"可能利用量子计算悄悄从长期沉睡的比特币钱包中提取资金,而这些动作并未通过公开交易所流通,从而难以被一般人发现。该说法如果属实,将动摇比特币基于公钥私钥模型的基本安全假设。但在缺乏硬证据的前提下,学界与行业内普遍持怀疑态度。本文从技术原理、量子计算现状、链上数据与专家反驳等维度梳理争议并给出可行的风险应对路径。 首先需要弄清楚所谓"量子窃取比特币"指的是什么。
在比特币体系中,私钥决定了对地址内资产的控制权。大多数情况下只有在发起转账时,相关的公钥会被公开暴露。理论上,若攻击者能够从公钥高效地计算出对应私钥,就能在链上签署转账并转走资金。Shor算法作为量子计算中已被证明能对许多公钥密码体制(包括基于椭圆曲线的签名算法)实现指数级加速,因此在理论上确实能威胁比特币常用的椭圆曲线数字签名算法ECDSA(secp256k1)。然而理论可行并不等于现实可行,评估该风险必须考虑量子硬件规模、误差纠正以及实际的链上可观测性。 从技术细节看,想用Shor算法破解secp256k1并在链上成功转走币,需要满足多项苛刻条件。
首先需要足够数量的逻辑量子比特以及高保真量子门操作来执行整个算法。由于物理量子比特脆弱且误差率较高,普遍做法是通过大量物理比特构造少量容错的逻辑比特,这会带来巨大的硬件开销。现有公开的估算普遍认为,要在无纠错或弱纠错条件下对单个256位椭圆曲线密钥实施有效Shor攻击,可能需要数十万乃至数百万个物理量子比特,具体规模取决于纠错方案与门保真度。当前主流的量子芯片厂商发布的最大量子芯片仍然停留在几百到几千个物理比特的实验级规模,且在实现稳定的、长时间的逻辑比特运算方面还有显著差距。 此外,时间窗口和链上可见性也是关键限制因素。大部分比特币地址只有在发起交易时才会公开其公钥,若攻击者需要在公钥一公开的瞬间完成私钥恢复并签名转移,需要极高的计算速率和极低的延迟,否则被动的时间延迟将导致原始权利人先行签发或交易被矿工打包。
对于很多长期沉睡的钱包,若它们从未公开公钥(例如只使用P2PKH哈希形式、未曾花费输出或采用隔离见证后才暴露公钥),攻击面本身就有限。因此从实际攻击效率角度看,能在大规模链上成功实施且不被发现的量子窃取路径存在多重障碍。 链上观察并未给出确定性证据支持Mandell的指控。区块链可视化与取证公司持续监控长期不动地址的资金流动。确实有若干早期比特币地址在多年沉睡后出现大额转出,例如与2009-2011年早期生成的钱包相关的数笔移动,其中一笔涉及接近8万枚比特币的合并迁移。但安全分析员普遍倾向于将这些行为解释为权利人主动迁移、继承处理或合并地址以适配SegWit等费率与格式优化,而非被动的量子破解。
若真有隐蔽的量子窃取,合理的链上痕迹应当包括在公钥暴露后极短时间内出现异常转出、受害地址在无主动签名记录下失去控制权,或是资金被分散到大量无法追踪的小额地址。然而迄今为止暂无经过同行评审或多方验证的公开案例将这些现象与量子破解直接关联。 业内专家与研究机构的普遍观点也支持怀疑论。多位量子计算与区块链安全领域的技术专家指出,目前的量子硬件尚未达到破解ECDSA所需的错纠容错规模。行业人士如Harry Beckwith和研究机构代表Matthew Pines等公开表示,以现有公开信息推断"有人已经用量子电脑大规模窃取比特币"的概率极低。更大范围的共识是:量子威胁真实存在且不容忽视,但更可能成为中期到长期的风险,而非已经发生的事实。
这种区分对于政策制定者、开发者与持币者的优先级设置都非常重要。 另一方面,不能因此掉以轻心。比特币生态中仍有相当一部分资金存放在早期格式或在多次交易后暴露了公钥。早期的P2PK(pay-to-public-key)和一些P2PKH(pay-to-public-key-hash)在被消费后会在交易输出中显露出公钥,理论上比长期未花费输出更容易成为量子攻击目标。同时,长期持有者若使用过旧版软件或未及时迁移到更安全的地址格式,也面临更高风险。对这些潜在脆弱点的疏忽,才是量子计算真正带来问题时容易被利用的环节。
面对可能到来的量子威胁,业界与学术界已经在探讨和推进多种应对策略。首先是迁移和保守的地址管理策略。持币者可以将长期储蓄的比特币分批迁移到只使用一次的地址、尽量避免在链上暴露多次公钥,并使用经过审核的硬件钱包与多重签名方案来增加窃取难度。多重签名(multisig)在一定程度上提升了攻击门槛,因为攻击者需要破解多个独立的私钥。其次是密码学层面的改造,研究者在积极评估和设计抗量子签名算法,包括基于格理论、哈希方程或多变量多项式的签名方案。将这些后量子密码学方案整合进入比特币或第二层协议需要兼顾效率、向后兼容和社区共识。
从协议层面来看,任何重大的签名机制替换都需要广泛的社区讨论与技术验证。比特币作为分散式的公共链,其升级路径受制于开发者共识、矿工与节点运营者的接受度,因此短时间内完成全面更替的可能性不高。现实可行的方案包括先在测试链或软分叉兼容的次级协议中引入后量子签名选项,让用户自愿迁移并通过市场驱动推动采用。同时,交易所与托管机构应被视为关键节点,因为大量资产集中在少数几家机构手中,若这些机构率先采用抗量子措施,将对整体风险缓解产生重要作用。 对于普通持币者而言,理性的风险管理建议包括:优先保护活跃热钱包并将长期储蓄分散到安全配置的冷钱包;尽量避免在链上反复使用同一地址或重复暴露公钥;关注主流钱包与硬件厂商关于后量子支持的路线图;对于高净值持仓,考虑使用多重签名或由受信任的第三方提供带有保险的托管服务;同时保持对链上异常转出、地址合并行为的关注,利用区块链分析工具监控大额地址的动向。 就时间表而言,大多数公开研究与行业内部估计认为,要出现能够破解ECDSA的实用量子计算机,可能还需要数年到十数年的时间,具体取决于量子纠错、芯片规模以及门保真率的突破。
历史经验显示,技术加速常常伴随理论与工程上的突发进展,因此完全集中在时间预测上并不稳妥。务实的做法是采取"先发为主"的防护策略:在可控成本范围内逐步迁移高风险资产、推动关键服务提供者部署抗量子方案的试点应用、并在社区层面推进对签名替换等重大协议升级的研究与标准化。 回到Mandell的爆料本身,它起到了一个警示作用:即使尚无确凿证据证明量子攻击正在发生,任何能够动摇私钥安全基础的科技进步都应被认真对待。媒体与公众在讨论此类话题时需要区分"技术可能性"和"已验证事实",避免在证据不足的情况下引发恐慌或错误的市场反应。与此同时,技术社区和产业界应把这种争议转化为积极的推动力,加快对抗量子风险的研究、测试和部署。 结论上,目前并无公开、可验证的链上证据表明量子计算已被用来大规模窃取比特币。
理论上Shor算法对ECDSA构成威胁,但实现该威胁需要远超当前公开量子硬件规模的容错量子计算能力。对于持币者与服务提供者而言,最佳实践是认识到这一长期风险并逐步采取预防措施,包括迁移暴露公钥的资产、采用多重签名和硬件钱包,以及关注并参与后量子密码学在区块链中的试点部署。通过技术准备与平台治理双重推进,可以在风险真正到来之前把损失降到最低。 。