撰文:Demir
谷歌刚发了一篇论文,把加密圈炸了。
这是论文链接,但是非学术圈的朋友只要记住结论就可以了:量子计算机破解比特币,比所有人以为的要容易 20 倍。
比特币钱包的安全逻辑,建立在一个数学难题上:
你可以用私钥生成公钥;但反过来从公钥推出私钥,普通计算机要算几千年。
量子计算机不按这个规律出牌,它用一种叫 Shor 算法的东西,可以把这道题的难度暴力压缩——原本几千年,可能变成几分钟。
当一笔比特币交易广播时,公钥会短暂暴露。
而量子计算机可以在约 9 分钟内推导出私钥并盗走资金——而比特币交易确认需要约 10 分钟,成功概率接近 41%。
过去业界的主流判断是:要造出能破解比特币的量子计算机,需要数百万个量子比特,那是很遥远的事。
谷歌这次说:不需要那么多。他们优化了算法, 把所需资源压低了 20 倍 ,50 万个物理量子比特就够了。
50 万听起来还是很多,但今天最先进的量子计算机已经在往这个方向快速逼近。
谷歌自己定的截止时间是 2029 年。
01 Taproot 升级放大漏洞
2021 年比特币做了一次重要升级叫 Taproot,本来是为了提高效率和隐私性。
但谷歌的论文指出,Taproot 让更多钱包的公钥默认变得可见——反而扩大了攻击面。
当年的「好升级」,今天成了量子漏洞的放大器。
目前,全网约 690 万枚比特币处于高风险状态。其中 170 万枚来自中本聪时代的早期地址——这些地址的公钥十几年前就暴露在链上了,估计黑客早就存好了,就等着未来进行量子攻击。
02 比特币的应对方案与现存问题
比特币这边也不是坐以待毙,CZ 表示只要升级抗量子加密算法即可。
今年 2 月,一个叫 BIP-360 的升级提案正式进入比特币官方代码库。上个月刚在测试网跑通。它的核心思路是:造一种新地址格式,交易全程不暴露公钥,量子计算机找不到入口。
但这个方案有三个硬伤:
-
旧币管不了。 现有的比特币地址,在你主动把资产转到新地址之前,依然脆弱。没人能替你操作,全靠用户自己动。中本聪的那批币,没人能替他迁移。 
谷歌的论文也表示,社区要接受这批代币最后会被量子计算机盗走的现实。 -
它只解决了一半问题。 BIP-360 能防住的,是量子计算机慢慢破解休眠钱包这种场景。但谷歌论文说的那种「9 分钟实时拦截正在进行中的交易」,BIP-360 完全防不住——那需要在比特币底层把签名算法整个换掉,是一次大得多的手术,BIP-360 只是热身。
-
时间账算不过去。 BIP-360 的联合作者自己估算:即便明天全员达成共识,完成全网迁移也要 7 年。而量子计算机的威胁窗口,业内判断是 5 到 7 年。两条线几乎同时到达终点,没有任何缓冲。
比特币的抗量子升级在跑,量子计算机的能力也在跑,就看谁跑得快了~
