2025年,一则关于"量子计算机正在从长期休眠的比特币钱包中窃取资金"的说法在加密货币社区掀起轩然大波。前华尔街交易员Josh Mandell在社交媒体上提出,某"大玩家"可能已经掌握了能够从已暴露公开密钥的钱包中直接恢复私钥的量子能力,从而在不通过公开市场、几乎无痕地转移大量比特币。此言一出,安全研究者、区块链分析师和量子计算专家纷纷回应,市场上也出现恐慌性讨论。要判断这样的说法是否可信,需要同时看技术路径、当前量子硬件能力、链上数据是否支持异常行为、以及社区能采取哪些实际防护措施。下面从多角度解析这个争议,厘清事实与误区,并给出理性的应对建议。 Mandell的核心断言很简单:长期休眠的钱包,尤其是那些拥有者可能已经失联或身故的钱包,正被一位或多位掌握高级量子计算技术的行为者悄然掏空。
关键点在于,他声称这些转移并非通过交易所或传统流动渠道出售,而是直接从原始地址抽取并合并到掌控者地址,从链上行为来看只有微弱迹象可以揭示这样的活动。他强调的是"技术上可能且正在发生",但并没有公开示例或可复核的证据链条。换言之,这更像是一个危险的猜测,而非可验证的发现。 要评估其可信度,必须回到比特币的加密基础与量子破解路径。比特币的账户控制依赖于椭圆曲线数字签名算法(ECDSA),常用的曲线是secp256k1。大多数比特币地址在第一次花费时会在链上暴露公钥,而一旦公钥被公开,理论上如果攻击者能够从公钥高效地恢复出对应私钥,就能在签名发生并被广播之前或之后立即转移剩余未花费的UTXO。
量子计算领域的经典威胁来自Shor算法,该算法在理论上能以多项式时间因式分解大数和求离散对数,从而能攻破RSA和ECDSA等基于离散对数的体系。但Shor算法在现实中要落地,还需要具备大量且稳定的量子比特,以及高保真度的量子门操作和强大的量子错误更正能力。 现实中存在几道不可忽视的门槛。首先是物理量子比特到逻辑量子比特的转换。物理量子比特极不稳定,受噪声和退相干影响,必须通过量子错误更正(QEC)把成百上千个物理比特编织为一个容错的逻辑比特据估算,要对一个256位椭圆曲线私钥运行Shor算法并在可用时间内完成私钥恢复,可能需要数十万到数百万个物理量子比特,具体取决于底层物理实现的门保真度与错误更正方案。其次是门保真度与总错误率的要求,当前几家领先的量子公司(例如谷歌、IBM、Rigetti和IonQ)虽然在增加量子比特数和提高单门保真度方面取得进展,但公开的硬件规模通常在百位到千位的物理比特范围内,远低于实施大规模QEC所需的数量级。
再次是运行时间窗的问题。要在公开交易被传播并确认之前完成私钥恢复,攻击者需要在极短的时间内完成计算,这对量子硬件的并行性、输入输出速度和稳定性都提出了苛刻要求。 基于公开研究与专家共识,大多数学者和工程师认为可用于大规模破解ECDSA的容错量子计算机至少还需十年以上的时间,除非在量子硬件或算法上出现革命性突破。然而历史上也有研究进展带来意外加速的先例,因此理性风险管理应考虑长期威胁并采取逐步过渡策略。 从链上证据来看,若真有量子驱动的盗取事件发生,链上应该会出现一系列可辨识的异常模式。但到目前为止,区块链分析公司和开源观察者更多地将老钱包的资金移动解读为正常的重整、合并或安全迁移,而不是被迫转移。
例如自2009-2011年间创建的多个"中本聪时代"地址在多年沉寂后曾发生大额移动,一些地址将数万比特币划归新地址,分析认为这可能是原始控制者的主动操作 - - 迁移到支持SegWit或Taproot的新格式、合并碎片UTXO以降低费用、或者继承者将资产转入受管钱包等操作。若是量子攻击,典型的链上异常可能包括在公开暴露公钥后的极短时间内发生资金转移、大量P2PK/P2PKH格式地址同时被抽取并合并、以及接收方地址具有难以解释的集中性和隐蔽性。但迄今为止,公开披露的链上样本并未展现出明确、普遍且无可替代的"量子指纹"。 比特币与加密社区内部也对Mandell的言论给出强烈反驳。部分安全专家认为现有硬件根本不具备在不被发现的情况下批量破解ECDSA的能力;区块链分析师指出,大多数可疑移动都有更合理的解释;加密学家则强调需要可复核的技术示例来支撑任何如此严重的指控。比特币开发者与安全社区普遍一致的看法是:量子风险是现实且需要提前准备的长期问题,但把它当作当前已经发生的大规模盗窃并不足以说服专业观众。
尽管如此,这类言论仍发挥了一个积极作用:推动社区更认真地讨论和部署防范量子风险的措施。对个人持币者和机构来说,有一系列可行的缓解手段可以降低未来被量子攻击的暴露面。首要原则是避免在链上公开暴露私钥对应的公钥,换句话说尽量避免重复使用地址并在首次花费时减少剩余资产暴露。许多老式地址格式如P2PK(Pay-to-Public-Key)和P2PKH(Pay-to-Public-Key-Hash)在首次花费后会在区块链上留下可被解析的公钥,理论上比使用P2SH、SegWit或Taproot等更现代的地址格式更易受到未来量子攻击的影响。因此,把长期持有的大额资金从老旧地址迁移至支持更好隐私与后量子兼容方案的钱包,是一种理智的做法。 多重签名(multisig)和硬件钱包也是现实中有效的安全工具。
采用门限签名和多方签名可以增加单一私钥被攻破带来的风险,特别是在密钥分置于不同地理位置或由不同实体托管时。机构级托管方则应考虑引入密钥分片、冷存储策略以及定期的密钥轮换计划。与此同时,社区对后量子密码学(Post-Quantum Cryptography, PQC)的关注也在上升。NIST已经在推动标准化一系列公钥算法,这些算法基于格、哈希或编码理论等对量子攻击更具抗性。比特币和其他区块链要实现真正的后量子防护,需要协议层面的升级、签名格式的兼容设计以及生态系统从钱包到交易所、从节点软件到硬件设备的广泛配合。 在现实操作上,普通用户可以采取若干低摩擦的步骤来降低风险:把长期持有且未频繁花费的大额资金迁移出已被首次花费(或暴露公钥)的旧地址,优先使用支持SegWit或Taproot的钱包以减少暴露面;对重要资金采用多重签名或由不同信任主体共同管理;保持对钱包固件和软件的更新,关注硬件厂商与软件钱包关于后量子策略的公告。
同时,机构应评估量子风险对托管资产的潜在影响,制定密钥轮换、迁移和灾备计划,并与监管或审计方沟通这些技术风险与治理措施。 对于监管者和基础设施服务提供方而言,提前规划也很重要。交易所、托管服务和矿池可以通过内部安全审计、定期迁移策略及对新签名方案的测试来逐步减少暴露。区块链分析公司则应继续开发侦测异常转移模式的工具,建立可交叉验证的取证流程,以便在未来若出现高度可疑的链上行为时能够快速识别与通报。学术界与工业界需要更紧密地合作,推动后量子签名实验、混合签名方案以及对现有链上数据的回溯分析研究。 总结来看,Josh Mandell提出的"量子计算机正在偷比特币"的说法在引发讨论方面起到了催化作用,但就目前公开信息和技术现实而言,这一断言缺乏足够证据支持。
量子破解ECDSA在理论上是可行的,但在可预见的短期内要实现这一目标仍面临重大工程上的障碍。链上现有的资金转移多数可以用更常规的解释来说明,而非必然指向量子攻击。话虽如此,量子威胁并非空中楼阁,理性的应对应是提前准备并稳步推进后量子迁移计划,而不是陷入恐慌或忽视风险。 对任何加密资产持有者而言,平衡风险与成本是关键。对普通用户来说,采取地址轮换、迁移老旧格式资产、使用硬件钱包和多重签名等措施成本相对低廉且能显著提升安全性。对机构与托管服务提供方而言,构建长期的技术路线图、测试并逐步引入后量子签名方案,以及与监管和审计主体沟通透明的风险治理流程,将是保护用户资产、维护市场信心的必要步骤。
与此同时,观察链上是否出现可复核的"量子攻击指纹"和继续跟踪量子硬件能力的公开进展,也是保持警觉但不恐慌的重要方式。 。