作者:卡皮七拉,深潮TechFlow
3月31 日,Google Quantum AI 團隊發布了一篇白皮書,標題平淡,內容爆炸。
論文的核心結論:破解保護比特幣和以太坊錢包的橢圓曲線加密(ECC-256),所需的量子運算資源比先前估計低了約20 倍。具體而言,只需不到1200 個邏輯量子位元和9,000 萬個Toffoli 閘,就能在超導量子電腦上用不到50 萬個實體量子位元完成破解,耗時只需幾分鐘。
同一天,加州理工和量子硬體新創公司Oratomic 發布了另一篇論文,結論更激進:採用中性原子架構的量子計算機,最低只需約10,000 個物理量子比特就能啟動攻擊,26,000 個量子比特可在約10 天內攻破ECC-256。
兩篇論文疊在一起,構成了加密產業有史以來最嚴肅的量子威脅警告。
從“理論上的遙遠威脅”到“可以算日子的倒數計時”
要理解這兩篇論文的衝擊力,需要看一條時間線:2012 年,學界估計破解ECC-256 需要約10 億個實體量子位元。 2023 年,Daniel Litinski 的論文將這個數字壓到約900 萬個。 Google 的新論文將其降到50 萬以下。 Oratomic 更進一步,壓到了10,000 個。
二十年間,五個數量級的壓縮。
這意味著量子威脅的討論框架已經徹底改變。過去的主流敘事是“量子電腦離破解加密還有幾十年”,現在變成了“如果硬體進展非線性加速,窗口期可能只有五到十年”。 Ethereum Foundation 的研究員Justin Drake(他也是Google 論文的共同作者)估計,到2032 年量子電腦破解secp256k1 ECDSA 私鑰的機率至少有10%。
Google 論文描述了兩類攻擊場景。
第一類是「即時攻擊」(on-spend attack)。當比特幣用戶發起交易時,公鑰會短暫暴露在記憶體池中。一台足夠快的量子電腦可以在約9 分鐘內從公鑰反推出私鑰,搶在交易確認之前發起競爭交易竊取資金。考慮到比特幣的平均出塊時間約10 分鐘,論文估算這類攻擊的成功機率約為41%。
在密碼學領域,41%的破解機率不是統計誤差,而是已經被攻破的簽章方案。
第二類是「靜態攻擊」(at-rest attack),針對公鑰已經暴露在鏈上的休眠錢包。這類攻擊沒有時間限制,量子電腦可以用自己的節奏慢慢算出來。論文估計,約690 萬枚BTC(佔總供應量的三分之一)處於這種暴露狀態,其中包括約170 萬枚來自中本聰時代的早期幣,以及大量因地址重用而暴露公鑰的資金。
以目前價格,這690 萬枚BTC 價值超過4500 億美元。
Taproot:本來想升級隱私,反而擴大了攻擊面
論文中一個令人意外的發現是,比特幣2021 年的Taproot 升級在量子安全的維度上製造了新的漏洞。 Taproot 旨在提升交易效率和隱私,並採用了Schnorr 簽章方案。但Schnorr 簽章的特性是公鑰預設暴露在鏈上,移除了舊位址格式(P2PKH)中「先哈希再暴露」的保護層。
換句話說,Taproot 在傳統安全性上的改進,恰恰在量子安全維度上開了一扇門。這將量子易受攻擊的比特幣池從早期幣和重複使用位址擴展到了所有使用Taproot 的錢包。
以太坊:問題更大,但準備更早
如果說比特幣面臨的是「錢包級」風險,以太坊的問題則是「基礎設施級」的。
Google 論文指出,以太坊在五個層面暴露於量子攻擊之下:個人錢包、智慧合約管理金鑰、PoS 質押驗證、Layer 2 網路、以及資料可用性採樣機制。論文估算,以太坊前1000 大錢包持有約2050 萬枚ETH,一台每9 分鐘破解一個密鑰的量子計算機可以在不到9 天內將其全部清空。以當前ETH 價格計算,這些資產價值約415 億美元。
更深層的問題在於系統性風險。以太坊上約2,000 億美元的穩定幣和代幣化資產依賴管理員金鑰簽名,約3,700 萬枚質押ETH 透過同樣易受攻擊的數位簽名進行認證。如果大型質押池被攻破,攻擊者甚至可能幹擾共識機製本身。
不過以太坊有一個結構性優勢:出塊時間僅12 秒,大多數交易在一分鐘內確認,且大量使用私有內存池,這使得「即時攻擊」在以太坊上的可行性遠低於比特幣。
好消息是以太坊社群的因應更為積極。
Ethereum Foundation 上週剛上線了pq.ethereum.org,匯集了八年的後量子研究成果,10 多個客戶端團隊在每週推進開發測試網。 Vitalik Buterin 先前也發布了量子抗性路線圖。相較之下,比特幣社群的治理文化更保守,BIP-360 提案(引入量子抗性錢包格式)雖已在2 月合併進BIP 倉庫,但它只解決了一類公鑰暴露問題,完整的密碼學遷移需要更大規模的協議變更。
社區反應:恐慌、理性、和“這也不只是我們的問題”
加密產業的反應按預期分裂成了幾派。
恐慌派以Project Eleven的CEO Alex Pruden 為代表:“這篇論文直接反駁了加密行業用來忽視量子威脅的每一個論點。”Dragonfly 的合夥人Haseeb Qureshi在X 上的措辭更直接:“後量子不再是演習了。”
理性樂觀派以CZ 為代表。他認為加密貨幣只需要升級到量子抗性演算法就行,「沒必要恐慌」。這個說法在技術上是正確的,但忽略了一個關鍵問題:去中心化區塊鏈不能像銀行或軍事網路那樣強制推送軟體更新。比特幣基礎設施的遷移週期,從用戶錢包到交易所支援到新地址格式,可能需要五到十年,即便各方今天就達成共識。
「什麼都能破解」派則指出量子運算不只威脅區塊鏈,全球銀行系統、SWIFT 轉帳、股票交易所、軍事通訊、HTTPS 網站全都依賴同樣的加密體系。 Google 論文對此正面回應:中心化系統可以向使用者推送更新,去中心化區塊鏈不能。這是根本差別。
最冷幽默來自馬斯克:“至少如果你忘了錢包密碼,未來就能找回來了。”
利益衝突與理性折扣
兩篇論文都不是「純學術」。
Caltech/Oratomic 的論文9 位作者全部都是Oratomic 的股東,其中6 位是公司員工。這篇論文既是科學成果,也是該公司中性原子硬體路線的商業宣傳。 Google 的論文也不完全中立,Google 設定了2029 年作為自身系統遷移到後量子密碼學的內部截止日期,論文的結論與這項商業決策高度一致。此外,Google 出於安全考慮,沒有公佈實際的量子電路設計,而是透過零知識證明向美國政府驗證了結果的有效性。
論文的利益衝突需要打折,但趨勢本身不需要打折。每次有人聲稱“量子威脅被誇大了”,下一篇論文就會把所需量子位元數再砍掉一個數量級。
現在離「Q-Day」還有多遠?
目前最先進的量子電腦擁有約6000 個量子位元,且相干時間只有約13 秒。從6000 個量子位元到Google 論文要求的50 萬個(或Oratomic 聲稱的10,000 個),中間仍然隔著巨大的工程鴻溝。
但加密投資者McKenna 的比喻更值得記住:“你可以把Q-Day 想像成Y2K,但這次是真的。”
StarkWare 聯合創辦人Eli Ben-Sasson 呼籲比特幣社群加速推進BIP-360。 Google 自己則表示正在與Coinbase、史丹佛區塊鏈研究所和Ethereum Foundation 合作推動負責任的遷移。
爭論不再是“量子運算能不能破解加密”,而是“加密產業能不能在硬體追上來之前完成遷移”。 Google 的2029 時間表,加上Oratomic 論文中量子位元需求的急劇壓縮,留給產業的緩衝期比任何人預期的都短。
中本聰沉睡的110 萬枚BTC 無法自行移轉到量子安全位址。如果量子電腦先到一步,這筆價值超過700 億美元的數位遺產將成為史上最大的「數位沉船打撈」目標。 Google 論文甚至為此引入了「數位打撈權」(digital salvage)的法律框架類比,暗示各國政府可能需要立法來處理這些無法遷移的休眠資產。
這是一個比特幣白皮書裡沒有預見的問題:如果保護私有財產的數學屏障本身被攻破了,「Code is Law」還能成立嗎?
