作者:卡皮七拉,深潮 TechFlow
3月 31 日,Google Quantum AI 团队发布了一篇白皮书,标题平淡,内容炸裂。
论文的核心结论:破解保护比特币和以太坊钱包的椭圆曲线加密(ECC-256),所需的量子计算资源比此前估计低了约 20 倍。具体而言,只需不到 1200 个逻辑量子比特和 9000 万个 Toffoli 门,就能在超导量子计算机上用不到 50 万个物理量子比特完成破解,耗时仅需几分钟。
同一天,加州理工和量子硬件初创公司 Oratomic 发布了另一篇论文,结论更激进:采用中性原子架构的量子计算机,最低只需约 10,000 个物理量子比特就能启动攻击,26,000 个量子比特可在约 10 天内攻破 ECC-256。
两篇论文叠加在一起,构成了加密行业有史以来最严肃的一次量子威胁警告。
从“理论上的遥远威胁”到“可以算日子的倒计时”
要理解这两篇论文的冲击力,需要看一条时间线:2012 年,学界估计破解 ECC-256 需要约 10 亿个物理量子比特。2023 年,Daniel Litinski 的论文将这个数字压到约 900 万个。Google 的新论文将其降到 50 万以下。Oratomic 更进一步,压到了 10,000 个。
二十年间,五个数量级的压缩。
这意味着量子威胁的讨论框架已经彻底改变。过去的主流叙事是“量子计算机离破解加密还有几十年”,现在变成了“如果硬件进展非线性加速,窗口期可能只有五到十年”。Ethereum Foundation 的研究员 Justin Drake(他也是 Google 论文的共同作者)估计,到 2032 年量子计算机破解 secp256k1 ECDSA 私钥的概率至少有 10%。
Google 论文描述了两类攻击场景。
第一类是“即时攻击”(on-spend attack)。当比特币用户发起交易时,公钥会短暂暴露在内存池中。一台足够快的量子计算机可以在约 9 分钟内从公钥反推出私钥,抢在交易确认之前发起竞争交易窃取资金。考虑到比特币的平均出块时间约 10 分钟,论文估算这类攻击的成功概率约为 41%。
在密码学领域,41%的破解概率不是统计误差,而是一个已经被攻破的签名方案。
第二类是“静态攻击”(at-rest attack),针对公钥已经暴露在链上的休眠钱包。这类攻击没有时间限制,量子计算机可以按自己的节奏慢慢算。论文估计,约 690 万枚 BTC(占总供应量的三分之一)处于这种暴露状态,其中包括约 170 万枚来自中本聪时代的早期币,以及大量因地址重用而暴露公钥的资金。
按当前价格,这 690 万枚 BTC 价值超过 4500 亿美元。
Taproot:本想升级隐私,反而扩大了攻击面
论文中一个令人意外的发现是,比特币 2021 年的 Taproot 升级在量子安全的维度上制造了新的漏洞。Taproot 旨在提升交易效率和隐私,采用了 Schnorr 签名方案。但 Schnorr 签名的特性是公钥默认暴露在链上,移除了旧地址格式(P2PKH)中“先哈希再暴露”的保护层。
换句话说,Taproot 在传统安全性上的改进,恰恰在量子安全维度上开了一道门。这将量子易受攻击的比特币池从早期币和重用地址扩展到了所有使用 Taproot 的钱包。
以太坊:问题更大,但准备更早
如果说比特币面临的是“钱包级”风险,以太坊的问题则是“基础设施级”的。
Google 论文指出,以太坊在五个层面暴露于量子攻击之下:个人钱包、智能合约管理密钥、PoS 质押验证、Layer 2 网络、以及数据可用性采样机制。论文估算,以太坊前 1000 大钱包持有约 2050 万枚 ETH,一台每 9 分钟破解一个密钥的量子计算机可以在不到 9 天内将其全部清空。按当前 ETH 价格计算,这些资产价值约 415 亿美元。
更深层的问题在于系统性风险。以太坊上约 2000 亿美元的稳定币和代币化资产依赖管理员密钥签名,约 3700 万枚质押 ETH 通过同样易受攻击的数字签名进行认证。如果大型质押池被攻破,攻击者甚至可能干扰共识机制本身。
不过以太坊有一个结构性优势:出块时间仅 12 秒,大多数交易在一分钟内确认,且大量使用私有内存池,这使得“即时攻击”在以太坊上的可行性远低于比特币。
好消息是以太坊社区的应对更积极。
Ethereum Foundation 上周刚上线了 pq.ethereum.org,汇集了八年的后量子研究成果,10 多个客户端团队在每周推进开发测试网。Vitalik Buterin 此前也发布了量子抗性路线图。相比之下,比特币社区的治理文化更保守,BIP-360 提案(引入量子抗性钱包格式)虽已在 2 月合并进 BIP 仓库,但它只解决了一类公钥暴露问题,完整的密码学迁移需要更大规模的协议变更。
社区反应:恐慌、理性、和“这也不只是我们的问题”
加密行业的反应按预期分裂成了几派。
恐慌派以 Project Eleven的 CEO Alex Pruden 为代表:“这篇论文直接反驳了加密行业用来忽视量子威胁的每一个论点。”Dragonfly 的合伙人 Haseeb Qureshi在 X 上的措辞更直接:“后量子不再是演习了。”
理性乐观派以 CZ 为代表。他认为加密货币只需要升级到量子抗性算法就行,“没必要恐慌”。这个说法在技术上是正确的,但忽略了一个关键问题:去中心化区块链不能像银行或军事网络那样强制推送软件更新。比特币基础设施的迁移周期,从用户钱包到交易所支持到新地址格式,可能需要五到十年,即便各方今天就达成共识。
“什么都能破解”派则指出量子计算不只威胁区块链,全球银行系统、SWIFT 转账、股票交易所、军事通信、HTTPS 网站全部依赖同样的加密体系。Google 论文对此正面回应:中心化系统可以向用户推送更新,去中心化区块链不能。这是根本区别。
最冷幽默来自马斯克:“至少如果你忘了钱包密码,未来就能找回来了。”
利益冲突与理性折扣
两篇论文都不是“纯学术”。
Caltech/Oratomic 的论文 9 位作者全部是 Oratomic 的股东,其中 6 人是公司员工。这篇论文既是科学成果,也是该公司中性原子硬件路线的商业宣传。Google 的论文也不完全中立,Google 设定了 2029 年作为自身系统迁移到后量子密码学的内部截止日期,论文的结论与这一商业决策高度一致。此外,Google 出于安全考虑,没有公布实际的量子电路设计,而是通过零知识证明向美国政府验证了结果的有效性。
论文的利益冲突需要打折,但趋势本身不需要打折。每次有人声称“量子威胁被夸大了”,下一篇论文就会把所需量子比特数再砍掉一个数量级。
现在离“Q-Day”还有多远?
目前最先进的量子计算机拥有约 6000 个量子比特,且相干时间只有约 13 秒。从 6000 个量子比特到 Google 论文要求的 50 万个(或 Oratomic 声称的 10,000 个),中间仍然隔着巨大的工程鸿沟。
但加密投资者 McKenna 的比喻更值得记住:“你可以把 Q-Day 想象成 Y2K,但这次是真的。”
StarkWare 联合创始人 Eli Ben-Sasson 呼吁比特币社区加速推进 BIP-360。Google 自己则表示正在与 Coinbase、斯坦福区块链研究所和 Ethereum Foundation 合作推进负责任的迁移。
争论已经不再是“量子计算能不能破解加密”,而是“加密行业能不能在硬件追上来之前完成迁移”。Google 的2029 时间表,加上 Oratomic 论文中量子比特需求的急剧压缩,留给行业的缓冲期比任何人预期的都短。
中本聪沉睡的 110 万枚 BTC 无法自行迁移到量子安全地址。如果量子计算机先到一步,这笔价值超过 700 亿美元的数字遗产将成为历史上最大的“数字沉船打捞”目标。Google 论文甚至为此引入了“数字打捞权”(digital salvage)的法律框架类比,暗示各国政府可能需要立法来处理这些无法迁移的休眠资产。
这是一个比特币白皮书里没有预见过的问题:如果保护私有财产的数学屏障本身被攻破了,“Code is Law”还能成立吗?
