撰文:刘教练
一觉醒来,BTC 再度跌回 6 字头。
最近,Google 抛出了一枚重磅炸弹:设定 2029 年为抗量子迁移的最后期限。消息一出,各路媒体立刻跟进,比特币社区也跟着炸了锅。毕竟,按照这个时间表,留给比特币的时间只剩下不到 3 年,而网络里躺着超过 600 万枚比特币可能随时被量子计算机「收割」。
听起来是不是很吓人?
但作为一个在行业摸爬滚打多年的老韭菜,教链看到这类新闻的第一反应是:又来了……
每隔几年,量子计算就会出来刷一波存在感,每次都是同样的配方、熟悉的味道。只不过这次,操盘手从学术机构换成了科技巨头 Google,威慑力自然不可同日而语。
让我们先冷静下来,看看 Google 到底说了什么。Google 宣布要在 2029 年前完成自身系统的抗量子迁移,给出的理由是量子计算进展「可能比看起来更近」。这个表态本身没什么问题,毕竟作为一家科技巨头,未雨绸缪是应该的。问题在于,很多人把 Google 的企业内部迁移计划,直接理解成了量子计算机将在 2029 年之前威胁比特币。
这就好比说,你家邻居开始囤粮备战,不代表明天就要打仗。
实际上,Google 的声明里说得很清楚:2029 年是 Google 自己的迁移截止日期,不是量子计算机攻破加密算法的预言。这两者之间差了十万八千里。但媒体需要爆点,读者需要恐慌,于是「Google 量子威胁 2029 倒计时」就这么被炮制出来了。
那么,量子计算机到底什么时候能威胁到比特币?我们不妨看看真正懂行的人怎么说。
a16z crypto 最近发布了一篇长文,对量子威胁的时间线做了详细拆解。文中明确指出:能够破解 secp 256 k 1 或 RSA-2048 的容错量子计算机(CRQC),在 5 年内出现的可能性极低。当前量子硬件在物理比特数量、门保真度、连通性和纠错电路深度等方面,距离要求仍有好几个数量级的差距。
换句话说,你现在担心量子计算机破解比特币,就像担心自己会被外星人绑架一样——理论上不能排除,但现实中概率极低。
Adam Back,这位被中本聪在白皮书里引用过的密码学家,也表达了类似观点。他认为,量子计算要达到密码学相关水平,「很可能还需要数十年时间」。注意,这是数十年,不是三五年。Michael Saylor 则更为直接:比特币的抗量子升级必须非常非常谨慎,仅当共识形成、认为量子威胁已经构成时,才可以升级。
有意思的是,这些真正懂技术的人态度审慎,而最热衷于炒作量子威胁的,往往是那些对技术一知半解的媒体,以及某些别有用心的人——比如那些兜售所谓「抗量子币」的项目方。
教链在去年 6 月就专门写过一篇文章,标题就叫《警惕抗量子骗局》。文章里提到一个关键事实:目前 NIST 标准化的抗量子算法,签名尺寸动辄几 KB 甚至几十 KB,而比特币目前使用的 ECDSA 签名只有 64 字节。尺寸大了成百上千倍,这意味着什么?意味着如果你把比特币换成这些「抗量子币」,每笔交易的手续费会暴涨,节点存储成本会飙升,去中心化程度会被严重削弱。
中本聪在 15 年前就说过:为什么比特币不用 RSA 而用 ECC?因为 RSA 的签名「大了一个数量级,这就不切实际了」。如果中本聪看到今天这些抗量子算法的签名尺寸,恐怕会直接把它们扔进垃圾桶。
有些人可能会问:那比特币是不是就不需要应对量子威胁了?当然不是。教链反复强调,量子威胁是真实存在的长期风险,我们需要未雨绸缪,但不需要恐慌性抛售。
比特币社区其实早就开始准备。2021 年激活的 Taproot 升级,为未来更换签名算法铺平了道路。BIP 360 也引入了名为 Pay-to-Merkle-Root 的量子抵抗地址格式。社区正在有条不紊地推进相关工作。
但对于普通用户来说,现在就可以做一些简单的事情来保护自己。教链在《预防量子计算威胁实用指南》里总结了几个要点:
第一,囤比特币只用 P 2 PKH 地址(1 开头)或 P 2 WPKH 地址(bc 1 q 开头),不用 P 2 PK 地址(04 开头)或 P 2 TR 地址(bc 1 p 开头)。原因很简单:P 2 PKH 和 P 2 WPKH 地址存储的是公钥的哈希,公钥本身不暴露;而 P 2 PK 和 P 2 TR 地址直接暴露公钥,一旦量子计算机能破解 ECDSA,这些地址里的比特币就危险了。
第二,避免地址重用。每个地址最多只使用一次。如果你要动用某个地址里的比特币,就一次性全部转走,清空地址,永不再用。这样做的好处是,即使未来量子计算实用化,你的公钥暴露时间窗口也很短。
第三,不要等到最后一天再行动。如果每个人都等到量子计算机真的出现才开始迁移,链上手续费会涨上天。趁着现在链上不拥堵,未雨绸缪才是明智之举。
这里教链想特别强调一点:那些所谓的「量子威胁时间表」,往往忽略了一个关键细节——比特币地址的哈希外壳。正如中本聪在 2010 年所说:「为了让比特币地址更短,它们采用公钥的哈希,而不是公钥。这样一来,支付到比特币地址的交易的安全性就只和哈希的安全性一样了。」
哈希函数对量子计算有天然的抵抗力。Grover 算法只能把攻击哈希的算力提升一个平方量级,比如攻击 SHA-256 的难度从 2^256 降低到 2^128,这仍然是一个天文数字。所以,只要你用的是 P 2 PKH 或 P 2 WPKH 地址,并且没有暴露过公钥,你的比特币在量子计算机面前依然是安全的。
最后,教链想说,每次量子恐慌来袭,总会有人跳出来说比特币要归零,然后推荐你买黄金。但这些人从来不告诉你,黄金面临的威胁比比特币大得多。就在太阳系里,火星和木星之间的小行星带上,有一颗叫灵神星的家伙,据保守估计含有数千亿吨黄金。人类过去几千年从地球上开采的黄金总共才 20 多万吨。你觉得是量子计算机先来,还是人类先有能力去小行星上挖金矿?
而且,黄金是死的,比特币是活的。比特币可以升级代码,黄金能升级什么?
所以,面对量子威胁,教链的态度很明确:保持关注,但不必恐慌。该囤的囤,该准备的准备,但不要把这种长期的、低概率的风险,当作今天割肉的理由。
Google 可以在 2029 年完成迁移,因为它控制自己的系统。比特币做不到,因为它是去中心化的。但恰恰是这种「慢」,反而给了我们更多的安全——因为真正的威胁还没来,我们还有充足的时间去准备。
等到哪天量子计算真的逼近了,比特币社区自然会做出反应。而现在,与其被这些焦虑营销牵着鼻子走,不如静下心来,好好看看手里的比特币,想想怎么用正确的方式持有它。
毕竟,在市场生存,最重要的不是跑得比熊快,而是不被自己吓死。
