九分鐘破解比特幣？別慌

前天 19:12

•

關於量子電腦什麼時候能破解比特幣，網上吵了不是一年兩年了。一邊說“五到十年就能成”，另一邊覺得“永遠都不可能”。兩撥人都挺硬氣，誰也不服誰。

年兩年了。一邊說“五到十年就能成”，另一邊覺得“永遠都不可能”。兩撥人都挺硬氣，誰也不服誰。

2026年3月出了篇論文，Google Quantum AI拉著以太坊基金會和史丹佛一起發的。

裡面有個數字挺刺激：破解比特幣用的橢圓曲線，量子位元需求從以前說的幾百萬個，直接壓到了不到五十萬。更狠的是，真到那一天，破解一個公鑰只需要九分鐘——而比特幣一個區塊確認，平均也就十分鐘。

這意味著什麼？你剛把交易廣播出去，還沒來得及上鏈，人家那邊私鑰就算出來了。

當然，現在的量子電腦還差得遠。

Google最牛的Willow也就105個量子位元，離五十萬差了四百多倍。所以不是說下周就要出事，但“永遠不可能”這話基本站不住了。

問題是，大多數人聊這事兒就停在“私鑰被破解，錢包被盜”這個層面。實際要複雜得多——銀行系統怎麼辦？去中心化會不會直接完蛋？還有那些沒人注意但更陰險的攻擊方式，比如趁你交易那幾分鐘截胡。

這些才是真正讓人睡不著覺的東西。

比特幣：技術革命還是“理念勝利”？

聊量子電腦的威脅，其實還有個更根本的問題繞不開：比特幣這東西，到底算不算技術革命？

有人覺得當然是。也有人覺得壓根不是，充其量是把一堆現成的技術攢在了一起，真正讓它跑起來的不是什麼黑科技，而是“去中心化”這個理念本身。

Ripple的前CTO David Schwartz說話挺直的。他說比特幣“基本是一個技術死胡同”，它的成功更多是靠已經建立起來的地位，而不是區塊鏈技術有多牛。

你想想美元——美元成功是因為美國的經濟和軍事力量，不是因為美元紙幣的印刷技術有多先進。比特幣也一樣，它現在能值這麼多錢，是因為有那麼多人信它、用它，而不是因為它的程式碼寫得比別人高明多少倍。

這話有沒有道理？咱們拆開看。

比特幣用的那幾個核心部件：工作量證明（PoW）、雜湊鏈、橢圓曲線數位簽名（ECDSA），這些東西在2008年之前就有了。中本聰沒有發明任何一個。他的原創性在於：把這些零件拼成了一個沒人能單方面控制的電子現金系統。這個組合本身，確實是個創舉。

但也得承認，比特幣協議這些年的升級速度慢得讓人著急。以太坊那邊智能合約玩出花了，Solana那邊每秒處理幾千筆交易了，比特幣這邊還在為“要不要把區塊大小擴一擴”吵了好幾年。

技術上被後來者超越，這是事實。

那問題來了：如果比特幣用的都是“現有技術”，它憑什麼被稱為革命？

答案是：它解決了一個從電子現金誕生之初就沒人真正搞定過的問題——沒有中心信任方的雙花問題。

什麼叫雙花問題？電子資料可以無限複製，同一筆錢理論上可以花無數次。傳統做法是找個銀行或者支付平台，讓它來記帳，誰先花誰後花它說了算。這是“中心化信任”。

比特幣的辦法是：我不信任何人，我信帳本。這個帳本（區塊鏈）由全網一起維護，誰想篡改就得付出巨大的算力代價。

工作量證明和最長鏈規則，讓“誠實”變成了最理性的選擇。

這是第一次，信任從“人”和“機構”轉移到了“數學”和“能源消耗”上。你不必相信某個銀行不會作惡，你只需要相信沒有人能擁有全網51%以上的算力——而即便他擁有了，理性也會驅使他維護系統而不是摧毀它。

所以，回到最初的問題：比特幣是技術革命嗎？

更精確的說法可能是這樣——它的每一個零部件都是“現有技術”，但把這些零部件組合成一個可行的去中心化共識系統，這個組合本身就是革命性的。

就像第一輛汽車。內燃機不是卡爾·本茨發明的，車輪也不是，底盤也不是。但當他把這些東西按照正確的方式組合在一起，汽車就誕生了。你不能因為每個零件都“早已存在”，就說汽車不是革命性的。

比特幣也一樣。它證明了“沒有老闆也能運轉”這件事，在工程上是可行的。這個證明本身，比它用的是什麼加密演算法重要得多。

當然，這個結論跟量子威脅也有關係。因為如果比特幣的核心價值是“去中心化信任”這個架構，而不是某一把具體的鎖——那麼當這把鎖（橢圓曲線簽名）被量子電腦砸開的時候，只要我們能換一把更好的鎖（抗量子簽名），這個架構依然可以活下去。

怕的不是鎖被砸開，怕的是我們連換鎖的共識都達不成。

量子破解私鑰後，去中心化會終結嗎？

講完比特幣的性質，現在回到量子威脅本身。一個最讓人焦慮的問題是：如果量子電腦真能破解私鑰，是不是意味著去中心化徹底完蛋了？

先別急著下結論。這裡面有一個很多人理解錯了的地方。

量子電腦不能直接“黑掉”比特幣網路，也不能憑空修改帳本。它能做的事情其實很具體——從暴露的公鑰反向計算出私鑰。也就是說，只有那些公鑰已經公開的比特幣地址，才處於危險之中。

那麼，那些地址的公鑰是暴露的？

第一種，也是最危險的一種：早期比特幣使用的一種叫P2PK的地址格式。這種地址直接把公鑰寫在鏈上，誰都能看到。中本聰早期挖的幣基本都是這種格式，大概有170萬枚比特幣。一旦量子電腦成熟，這些幣相當於沒上鎖。

第二種，更普遍的情況：地址復用。很多人習慣一個地址收多次錢、花多次錢。第一次花費時，公鑰就會被廣播到全網。從那以後，這個地址就不再安全了。據估算，大約有450萬枚比特幣因為地址復用而暴露了公鑰。

那相對安全的是什麼樣的？像P2PKH這種最常見的地址格式，它只公開地址的雜湊值，而不是公鑰本身。雜湊值是不可逆的，量子電腦也破解不了。只有在真正花這筆錢的時候，公鑰才會短暫暴露。

如果你不重複使用地址，每次花完就把剩餘的錢轉到新地址，那攻擊窗口就只有那幾分鐘的交易確認時間。

所以，去中心化不會因為量子電腦的出現而一夜終結。它更像是一把慢刀子——最先被捅的是那些安全意識差的人，以及那些十多年沒動過的古老幣。

但比私鑰破解更陰險的，是另外幾種攻擊方式。這些才是真正讓人後背發涼的。

第一個叫“記憶體池攻擊”。

你發起一筆交易，交易進入記憶體池等待礦工打包。這時候你的公鑰已經公開了。

如果攻擊者有量子電腦，他可以在幾分鐘內算出你的私鑰，然後用更高的礦工費發一筆同樣的交易，把你的錢轉到他自己帳上。等你發現的時候，錢已經沒了。比特幣的區塊確認平均要十分鐘，而量子破解只需要九分鐘——這意味著你幾乎沒有安全窗口。

第二個是以太坊那邊的問題。

那篇論文指出，以太坊至少有五個獨立的攻擊向量，遠遠不止“破解私鑰”這麼簡單。

比如KZG多項式承諾方案，它依賴一個“一次性可信設定”，這個設定如果被量子恢復，整個系統就會出現永久性的後門。這會影響上千億美元的DeFi資產。

第三個是挖礦層面的。

量子演算法裡的Grover演算法可以把雜湊碰撞的效率從平方級提升到平方根級。

雖然不足以直接破解SHA-256，但如果有礦工用量子電腦挖礦，他的算力會遠遠超過普通礦機。結果就是挖礦權力急劇集中，比特幣最核心的去中心化假設——“沒有人能掌控51%算力”——可能就此崩塌。

聽到這兒，你是不是覺得沒救了？

倒也未必。應對方案其實已經有人在做了。

比特幣社區提出了BIP-360，要引入SPHINX+這類後量子簽名演算法。

BTQ Technologies已經做出了一個抗量子的比特幣核心版本，基於NIST標準化的ML-DSA演算法，計畫在2026年第二季度上線主網。

他們還搞了個“量子金絲雀”網路——一旦檢測到量子攻擊，就發出警報。

更有意思的是，就在幾天前（2026年4月9日），Starkware的CTO發佈了一個叫QSB的方案。這個方案不用修改比特幣協議，每筆交易只需要75到150美元的GPU計算成本，就能實現量子安全。

這說明什麼？量子威脅是真實的，但它不是那種“來了就全完”的滅頂之災。它是一個可以分階段、分層次去解決的問題。真正讓人擔心的，其實不是技術，而是人的惰性——如果大家都在等別人先動，等到量子電腦真來了，就來不及了。

傳統銀行體系：受害更深，但升級更快？

聊完加密貨幣，咱們得轉過頭來看看傳統銀行。很多人一聽量子電腦能破解加密，第一反應是“比特幣要完蛋”。但你要是真去比較一下，會發現銀行體系面臨的風險可能比比特幣大得多。

原因其實挺簡單的：比特幣的私鑰只在交易那幾分鐘裡暴露，而銀行的加密資料是常年躺在硬碟裡的。

這叫“先採集，後破解”——Harvest Now, Decrypt Later，圈子裡簡稱HNDL。什麼意思呢？攻擊者現在就可以把銀行之間傳輸的加密資料全部抓下來，存著。

等量子電腦成熟的那一天，再一把梭全破解了。跨境支付記錄、客戶身份資訊、數位簽名、SWIFT報文……這些東西一旦被解密，後果可想而知。

比特幣沒有這個問題。你不可能提前採集一個尚未暴露的公鑰。量子電腦再牛，也破解不了一串雜湊值。只有當你發起交易、公鑰亮出來的那幾分鐘，才有機會下手。

所以比特幣的脆弱窗口是“瞬時”的，銀行卻是“永久”的。

那是不是說銀行比比特幣更危險？也不完全是。銀行有一個比特幣永遠比不了的優勢：集中治理。

你想，比特幣要升級一個加密演算法，得全網共識。礦工、節點、開發者、使用者……誰都能嚷嚷兩句。吵幾年能達成一致就算快的了。但銀行不一樣。國際清算銀行（BIS）發個通知，各國央行跟著執行，商業銀行照做就行。不需要投票，不需要分叉，不需要擔心社區分裂。

BIS已經啟動了“Project Leap”，專門為全球金融體系搭建抗量子安全的框架。美國NIST也早就把後量子密碼學的標準定下來了——CRYSTALS-Kyber、ML-DSA這些演算法，該用什麼、怎麼用，寫得清清楚楚。IBM這些廠商也已經在催金融機構：趕緊準備遷移，別拖了。

所以這裡出現了一個很有意思的不對稱局面：銀行的“傷”更重，但“藥”來得更快；比特幣的“傷”更輕，但“藥”來得更慢。

然而，銀行也有自己的麻煩。這個麻煩叫“時間不對稱”。

全球金融基礎設施有多大？SWIFT網路、跨境清算系統、ATM網路、網上銀行、數字證書體系……這些東西不是換一個演算法那麼簡單。很多老系統跑的是COBOL程式碼，連懂的人都快找不到了。升級一次，動輒數年甚至十年。而量子電腦的成熟時間，可能就在五到十年之間。

有多緊迫？有機構測算過，到2031年，主流公鑰加密被量子攻擊破解的風險機率將達到50%。也就是說，不到六年，一半的機率你的加密已經形同虛設。

那銀行現在準備好了嗎？差得遠。大多數銀行連“後量子遷移”的預算都沒批，更別說實際動手了。監管層雖然在推，但落地速度遠遠跟不上威脅的增長。

再說一個更刁鑽的角度：銀行系統裡大量使用RSA-2048加密。RSA比橢圓曲線更容易被量子破解——Shor演算法跑起來，破解RSA所需的量子位元數反而比橢圓曲線低。也就是說，銀行用的這把鎖，比比特幣的鎖先被砸開。

當然，銀行還有一個最後的底牌：物理隔離。大不了把核心系統從網上拔下來，用人工磁帶、信使傳資料。

聽起來荒唐，但五角大樓到現在還在用軟碟控制核武器。銀行要是真到了那一步，也不是不能退回去。比特幣可沒有這種“線下模式”——它生來就在網上。

總結一下：量子威脅面前，銀行和比特幣各有各的倒霉法。銀行的資料可被提前竊取、基礎設施臃腫難改，但它有集中指揮的優勢。比特幣的暴露窗口短、升級靈活，但要達成共識比登天還難。

誰更危險？取決於你問的是那一年。短期看，銀行更危險——因為那些加密資料已經被抓走了。長期看，比特幣更危險——因為它可能還沒來得及吵完架，量子電腦就已經來了。

容易被忽略的幾個關鍵問題

前面聊了那麼多，其實大多數討論都集中在同一個套路上：量子電腦能不能破解私鑰？破解了怎麼辦？但這裡面藏著幾個更刁鑽的角度，大部分人根本沒意識到。

它們不直接回答“會不會完蛋”，而是讓你發現——事情遠比想像中複雜。

第一個：中本聰的110萬枚比特幣，是整個系統最大的“量子金絲雀”。

早期比特幣用的P2PK格式，公鑰直接寫在鏈上。中本聰挖的那些幣，絕大多數都是這種格式。大概有170萬枚，其中屬於中本聰本人的估計在110萬枚左右。這些幣從2010年以後就沒動過。

這意味著什麼？一旦量子電腦真的能用，這些幣是第一批被破解的目標。不是因為中本聰得罪了誰，而是因為它們是全網最容易得手的大額目標。

那問題就來了：如果某一天，這些幣突然開始移動，或者被轉走，那就是一個極其強烈的訊號——量子攻擊已經進入實戰階段。這比任何學術論文、任何公司公告都更直接。所以業內人士管這叫“量子金絲雀”。金絲雀死了，礦工就知道有毒氣了。

但更麻煩的是：如果社區想提前保護這些幣，比如通過軟分叉把它們凍結或者強制遷移到抗量子地址，那就等於承認“產權不是絕對的”。今天能凍結中本聰的幣，明天就能凍結你的。比特幣“不可侵犯”的信仰會瞬間崩塌。如果不保護，那它們終將被量子電腦掃走，屆時市場上突然多出上百萬枚比特幣，價格怎麼走？信任還在不在？沒人知道答案。

第二個：攻擊不是“單點突破”，而是“分層滲透”。

大多數人想像量子攻擊是這樣的：駭客拿到量子電腦，輸入你的地址，啪一下算出私鑰，轉走錢。實際上，那篇2026年的論文把攻擊分成了三類。

第一類是交易中攻擊，就是前面說的記憶體池截胡。第二類是休眠錢包攻擊，專門對付那些長時間沒動過的P2PK地址。第三類是協議設定攻擊——比如攻擊KZG承諾、攻擊隨機數生成器、攻擊共識機制的底層參數。

這三類攻擊需要的量子資源不同，防禦方式也不同。只升級簽名演算法，擋不住第三類。只教育使用者不要復用地址，擋不住第一類。這意味著防禦必須是分層的、多線的。而現在的比特幣社區，連第一層（抗量子簽名）都還沒吵完。

第三個：治理悖論——你想救人，但人不想被你救。

假設明天社區達成共識：所有P2PK格式的舊幣必須在五年內遷移到新地址，否則視為放棄所有權。這聽起來很合理。但那些丟了私鑰的使用者怎麼辦？那些已經去世的持幣人怎麼辦？那些故意不遷移、就想賭一把量子電腦來不了的人怎麼辦？

更棘手的是，這種強制遷移本身就需要一個中心化的決策機制。誰來決定截止日期？誰來判斷那些幣是“合法遷移”還是“量子破解”？一旦開了這個頭，比特幣和“央行”有什麼區別？

有些人提出更溫和的方案：不強制遷移，但給量子脆弱的UTXO打上標記，讓礦工和節點默認不打包來自這些地址的交易。這相當於“軟封殺”。但它同樣需要一個“誰有權打標記”的答案。

第四個：加密敏捷性，比任何單一演算法都重要。

未來可能不是“換一次抗量子演算法就萬事大吉”。量子電腦在進化，密碼學家也會發明新的攻擊方法。一個真正健康的區塊鏈，必須具備“隨時更換加密演算法”的能力，就像手機系統能隨時打安全補丁一樣。

但比特幣的升級機制有多慢，大家心裡都有數。SegWit用了兩年多，Taproot也用了將近一年。如果未來每三五年就要換一次簽名演算法，比特幣的治理結構扛得住嗎？這已經不是量子威脅的問題了，而是整個區塊鏈的“可升級性”問題。

第五個：被動竊取和主動遷移之間的時間差，可能造成災難性損失。

假設2030年某一天，Google宣佈他們的量子電腦達到了破解能力。從那一刻起，所有尚未遷移到抗量子地址的使用者，都暴露在風險中。

但遷移本身需要時間——使用者要下載新錢包、生成新地址、轉移資金。這幾小時甚至幾天的時間裡，攻擊者可以瘋狂掃蕩。

解決方案是什麼？有人提議設定一個“日落日期”——比如2029年1月1日之後，所有非抗量子地址的交易將不再被網路接受。這等於給了一個最後期限，強迫所有人在此之前完成遷移。這個方案的好處是明確了截止時間，壞處是——如果量子電腦提前問世，這個日期就毫無意義。

說到底，這些刁鑽問題指向同一個核心：量子威脅不是純粹的技術問題，它是技術、治理、經濟、心理學交織在一起的困局。那個環節出了岔子，都可能導致系統失穩。而最讓人不安的是，這個困局沒有一個完美的解法——只能挑一個最不壞的。

結語

寫到這裡，其實就一個感覺：這事兒沒那麼嚇人，但也沒法裝看不見。

“永遠不可能”已經被那篇論文推翻了。“五年內就要完蛋”也不現實——差了四百多倍的量子位元，不是說追就能追上的。真正讓人坐不住的，是中間那塊灰色地帶：不知道具體那一天，但知道那一天遲早會來。

比特幣也好，銀行也好，面對的都是同一個問題：鎖會被砸開，但你有沒有時間換鎖。銀行有集中指揮的優勢，但資料已經被提前抓走了。比特幣有靈活升級的潛力，但吵個架都得吵幾年。誰都不比誰更安全，只是各自的死法不一樣。

那幾個刁鑽的問題——中本聰的幣怎麼辦、要不要強制遷移、治理悖論怎麼解——到現在也沒人能給出讓所有人滿意的答案。可能根本就不存在完美的答案。

唯一確定的是，這場賽跑已經開始了。不是量子電腦和加密演算法之間的賽跑，而是人類的集體行動能力和時間之間的賽跑。

跑贏了，區塊鏈還是那個區塊鏈，只是換了把鎖。跑輸了，也不會是世界末日，但一定會有人付出代價——很可能是不知情、不作為的那些人。

所以別等到金絲雀死了再找防毒面具。現在就可以做幾件小事：別復用地址，關注BIP-360的進展，留意中本聰那些幣動不動。不是要你恐慌，是要你別睡得太死。 (BrandDAO中文)