比特币量子安全风险全解析：短时暴露与长期威胁并存

核心提要：本文深入分析比特币面临的量子计算威胁，重点探讨公钥短时暴露与长时暴露攻击的区别，以及BIP-360等新提案在提升区块链安全性中的作用。尽管部分比特币因地址类型仍处于风险中，但未来升级路径已明确，推动网络向后量子安全演进。

比特币量子风险的现实边界与潜在威胁

人们普遍认为，仅有约25%至30%的比特币可能面临量子计算机攻击。例如，Project 11的比特币风险清单列出了超过688万枚、价值逾4500亿美元的币处于“面临风险”状态，其定义为存储在公钥已暴露的地址中。其中约300万至400万枚已被确认丢失，无法再进行量子安全升级。 然而，若不推进后量子安全过渡，理论上所有2100万枚比特币都可能被足够先进的量子计算机破解。尤其是那些存放在旧式地址类型的币，占比约四分之一，最易受到攻击，将成为首批目标。若攻击中本聪持有的比特币（其公钥在过去15年持续暴露），则可能需要数月时间完成运算。

BIP-360应对长时暴露，短时攻击仍存疑

最新更新的BIP-360提案提出“支付至默克尔根”（P2MR）新地址类型，旨在将大量高风险比特币迁移至具备量子弹性的存储结构。该机制可有效抵御针对椭圆曲线密码学的长时暴露攻击——即公钥暴露时间超过交易确认周期的情况。 但该提案也明确指出，P2MR无法防范短时暴露攻击。这类攻击发生在交易被广播至内存池后、区块确认前的短暂窗口期，通常持续10至60分钟。此时公钥暂时可见，攻击者需在矿工打包前完成私钥推导，以实施双花行为。

短时量子攻击是否具备可行性？

从理论上看，短时攻击存在可能性，但其实现时间尚无定论。目前尚不清楚，需要多少年后，一台具备足够物理量子比特且运行速度足够的量子计算机，才能利用这一短暂窗口。 近期进展显示，首个拥有百万级物理量子比特的设施已在芝加哥启动建设，目标于2027年完工。同时，PsiQuantum获得贝莱德旗下基金10亿美元投资，表明资本市场对量子技术成熟度抱有高度信心。 过去几年，破解加密所需量子比特数量大幅下降。2024年2月发布的《顶峰架构》预印本指出，仅需不到10万个物理量子比特即可在一个月内破解RSA-2048；使用47.1万比特则可在一天内完成。虽然比特币采用的是椭圆曲线密码学（ECC），不同于RSA，但专家如Scott Aaronson教授认为，由于比特币使用256位密钥，远小于RSA的2048位，因此更易受肖尔算法影响。

破解比特币所需的量子计算能力评估

德勤合伙人Marc Verdonk在其报告《量子计算机与比特币区块链》中指出，当前科学预测显示，量子计算机可能在约8小时内破解一个RSA密钥，而比特币签名或可在30分钟内被攻破。尽管如此，他强调这仍能提供一定保护，但整体领域仍处早期阶段。 Verdonk警告：一旦量子计算机破解公钥的时间接近10分钟，比特币区块链将面临根本性崩溃风险。 另一方面，也有观点认为量子攻击永远不具备经济可行性。CoinShares分析师Christopher Bendiksen估计，实际可能被盗的比特币仅约10,200枚。他指出，早期矿工的币主要分布在32,607个独立地址中，在最乐观的技术情景下，也需要“数千年”才能解锁全部资产。 Bendiksen进一步推算，要在一天内破解比特币，需配备1300万个物理量子比特；在一小时内完成，则需比谷歌“柳树”量子处理器强300万倍的系统。该研究基于2022年数据，但近期关于低量子比特数破解RSA的研究表明，该估算可能已过时。

不同量子计算模式影响破解效率

以太坊研究员Justin Drake指出，量子计算机的类型对破解速度具有决定性影响。谷歌采用的超导量子比特，以及像PsiQuantum所研发的光子编码量子比特，均具备极快门操作能力，适合快速运算任务。 相比之下，囚禁离子和中性原子方案更注重量子态相干性，而非运算速度。因此，若未来出现高速量子计算机（如超导或光子平台），破解一个比特币私钥的时间可能降至分钟级别，约十分钟左右。

短时攻击的经济逻辑为何失效

Edwards认为，即便短时攻击在技术上可行，其经济合理性也将随着长时攻击的实现而消失。一旦具备大规模破解能力，市场将迅速崩盘，比特币价值趋近于零，持有者将集体抛售，攻击者难以获利。 “显然，现实中不会发生这种情形，因为一旦拥有此能力，没人会愿意持有比特币。这就是我们必须主动升级的原因。不作为，根本不是一个可持续的选择。”