「量子危机」逼近现实，比特币还剩多少时间？

google

近期，两项量子密码学研究大幅压缩了破解比特币底层密码所需的资源与时间，这一原本遥远的风险正变得更加具体。

触发这轮讨论的，是前一天几乎同时发布的两篇论文：一篇来自谷歌 Quantum AI 团队，另一篇来自中性原子量子计算公司 Oratomic。单独看，各自都是重要进展；放在一起看，它们分别压缩了量子计算栈的不同环节，效果呈现出「相乘式」提升。

从数百万量级到数万量级，攻击门槛的快速下探，正在重塑市场对加密安全边界的判断。

但另一条同样清晰的线索是，应对也在同步推进。从比特币社区的后量子方案探索，到科技机构给出的迁移时间表，一场围绕「量子时代」的安全重构已经启动。

以下为原文：

本周一，两项关于量子密码学的研究大幅压低了破解私钥所需的硬件门槛，这些私钥对应的资产规模巨大，其中包括中本聪持有的逾一百万枚比特币（BTC）。有观点认为，比特币迁移至后量子密码体系的时间窗口，已经被提前了整整两个数量级。

换句话说，这两支研究团队带来的，是「乘法级」而非「加法级」的进展。尽管它们分别从量子计算体系的不同层面入手，但其改进效果是叠加放大的。

简而言之，用于破解暴露的比特币公钥所对应私钥的椭圆曲线签名，其所需的物理量子比特数量，已经从大约 900 万个骤降至最低约 1 万个。

Google Quantum AI 发布的一篇白皮书（与斯坦福研究员 Dan Boneh 以及以太坊基金会的 Justin Drake 合作撰写）指出，利用 Shor 算法，只需不到 1200 个逻辑量子比特和 9000 万个 Toffoli 门，就可能解决比特币协议中的 256 位椭圆曲线离散对数问题（ECDLP）。在超导量子计算机上，这相当于不到 50 万个物理量子比特，并且可以在数分钟内完成。谷歌称，这一结果相比此前估算实现了约 20 倍的下降。

数小时后，由加州理工学院和哈佛大学学者创立的 Oratomic 也公布了自己的突破。该团队在「中性原子」量子硬件上采用了新的纠错策略，使得 Shor 算法能够在仅约 1 万个物理量子比特的规模下达到破解私钥的速度。如果使用一个更快的变体，在约 2.6 万个量子比特的条件下，仅凭公钥即可在大约 10 天内破解一个比特币私钥。

「乘法式突破」的含义
尽管两篇论文描述的仍是未来才可能实现的私钥破解能力，但超导量子计算的进展，实际上放大了中性原子路线的效果，两者形成「相乘」关系。因此，对相关硬件何时真正落地的时间预期，被整体提前了数年。

过去，许多比特币安全专家认为，对中本聪所持 BTC 发起攻击的风险，大致会出现在 2030 年代甚至 2040 年代。但这些新技术，可能将这一威胁提前到未来五年之内。

一般来说，一次量子攻击所需的物理量子比特总数，等于算法所需的逻辑量子比特数量，乘以每个逻辑量子比特所需的物理量子比特数量（用于纠错）。纠错是量子计算中的关键环节，因为在如此微观的物理状态下，计算结果本身具有高度不确定性。

具体来看，谷歌的研究主要压缩了第一个变量——逻辑量子比特数量。通过电路优化，比特币所使用的 ECDLP-256 问题，其所需逻辑量子比特已从 2017 年约 2330 个，降至 1200 个以下。

而 Oratomic 则压缩了第二个变量——纠错开销。传统的表面码（surface code）通常需要约 400 个物理量子比特来支撑 1 个逻辑量子比特；而 Oratomic 提出的 lifted-product codes，将编码效率提升至接近 30%，使这一比例降至约 10:1，在相同纠错性能下效率提升约 160 倍。

此前的最优估计来自 2023 年 Daniel Litinski 的论文，认为大约需要 900 万个物理量子比特。

有加密研究机构总结，自 2012 年以来，破解 ECC-256 所需的量子运算规模，已累计下降约五个数量级：

2012 年：10 亿个物理量子比特

2019 年：2000 万个

2025 年：低于 100 万个

2026 年：低于 2.5 万个

比特币仍在应对量子风险
支持以太坊的研究者 Justin Drake 表示，他对「2032 年前实现密码学突破」的判断显著提高。他估计，到那时，量子计算机从已暴露的 BTC 公钥中恢复 secp256k1 ECDSA 私钥的概率至少达到 10%。

目前，仍有数百万枚 BTC（价值数千亿美元）存放在对量子攻击脆弱的地址中。其中约 170 万枚属于早期的「pay-to-public-key」输出，包括中本聪时代的挖矿奖励。

在应对层面，提出后量子签名方案的比特币改进提案 Bitcoin Improvement Proposal 360（BIP 360），至今仍未在核心开发者群体中形成广泛共识。

与此同时，围绕比特币节点软件进行硬分叉以引入抗量子机制的相关工作，也仍在持续推进之中。

激进的时间表与前提假设
当然，这两篇论文本身也存在合理的保留意见。谷歌并未公开其具体量子电路，而是通过零知识证明的方式对结果进行了验证。Justin Drake 也指出，Oratomic 的成果依赖于尚未在大规模上验证的 qLDPC 编码，这一点本身就值得保持审慎态度。

此外，Oratomic 的九位作者同时也是公司股东，而该公司可能借助这波媒体关注推进融资，这也意味着其研究动机并非完全中立。

更重要的是，两篇论文基于完全不同的硬件路径：谷歌假设的是超导量子比特，而 Oratomic 使用的是中性原子体系。将两者的「最优结果」简单叠加，视作一个可实现的统一硬件产品，本身忽略了底层工程实现的巨大复杂性。

但这些因素，并未改变一个更清晰的趋势：量子计算对比特币构成的威胁，正在以「按月加速」的节奏推进。谷歌内部提出的「2029 年前完成加密体系迁移」的时间表，本身也说明其对这一技术路径的严肃判断。

政策层面同样在同步推进。National Security Agency（NSA）已要求国家安全系统在 2030 年前完成向抗量子算法的迁移；National Institute of Standards and Technology（NIST）则计划在 2035 年前，让所有美国ZF机构全面淘汰易受量子攻击的加密体系