9 分钟破解比特币私钥?2026年量子威胁下的区块链生存指南
摘要:谷歌量子 AI 团队最新论文显示,具备 50 万量子比特的容错量子计算机理论上可在 9 分钟内破解比特币私钥,威胁约 690 万枚已暴露公钥的比特币。虽然现有技术距此目标还差 446 倍,且预计 2029 年前后才可能实现,但这不再是遥远科幻。比特币社区正推进 BIP-360、SPHINCS+ 等抗量子升级方案。普通用户目前无需恐慌,但应检查地址格式(避免长期使用 bc1p 开头的 Taproot 地址)、养成"一地址一交易"习惯,并关注钱包厂商的后续更新。
2026 年 3 月 31 日,一个普通的周一,加密圈突然炸了。
谷歌量子 AI 团队发了一篇论文,说量子计算机破解比特币私钥只需要 9 分钟,而比特币一个区块的确认时间,平均是 10 分钟。
有人说这是危言耸听,有人说离现实还差十万八千里,但这次发出警告的是谷歌。
量子计算机到底能不能破解比特币?威胁是真实的还是夸大的?普通人需要做什么?这篇文章试着把这件事讲清楚。
一、谷歌那篇论文到底说了什么
之前行业里的普遍共识是,如果要破解比特币的加密算法,量子计算机需要数百万个量子比特。这个数字大得离谱,所以大家都觉得这件事至少还有几十年。但谷歌这篇论文把这个数字压到了不到 50 万。一下子缩水了 20 倍。
论文里有一个具体的攻击场景:当你发出一笔比特币交易,你的公钥会短暂暴露在网络里,等待被打包进区块。这个窗口平均 10 分钟。而根据谷歌的估算,一台足够强大的量子计算机可以在约 9 分钟内,从你的公钥反推出私钥,然后伪造一笔更高矿工费的交易,把钱在你的原始交易上链之前截走,成功率约 41%。
当然,论文描述的是一台具备完整纠错能力的容错量子计算机。谷歌自己的 Willow 处理器只有 105 个物理量子比特,而论文要求的是 50 万个。两者之间差了 446 倍,所以能破解 BTC 的量子计算机暂时还不存在。
谷歌自己定下的目标是 2029 年完成向后量子密码学的迁移,这个时间点某种程度上也说明了他们认为威胁会在什么时间窗口内变得现实。
但如果有一天这台机器造出来了,破解比特币的成本比你想的低得多。
二、量子计算机和普通计算机,到底哪里不一样
但在聊这件事意味着什么之前,得先搞清楚一个问题:量子计算机到底是什么?
普通计算机用比特处理信息,每个比特只有两种状态:0 或 1。
做任何计算,都是在对这些 0 和 1 进行操作。256 位的私钥意味着有 2²⁵⁶种可能的组合:用经典计算机暴力 破解,哪怕集合全球所有算力,也需要比宇宙年龄还长的时间,这就是为什么比特币在过去 15 年里一直很安全。
量子计算机用的是量子比特(qubit),量子比特的神奇之处在于叠加态:它可以同时是 0 也是 1。8 个量子比特不是只能表示 1 个状态,而是可以同时表示 256 个状态。量子比特越多,并行处理的能力就呈指数级增长。
但光有并行还不足以对 BTC 产生威胁,真正让量子计算机对密码学构成威胁的是 1994 年麻省理工学院数学家 Peter Shor 发明的"Shor 算法"。这个算法专门用来分解大整数和解椭圆曲线离散对数问题,而这两个难题,恰好是比特币和以太坊私钥安全性的根基。
举个例子:传统计算机就像你要在迷宫里找出口,只能一条路一条路地试;量子计算机配上 Shor 算法,就像有人给了你迷宫的俯视图,看一眼就能知道出口在哪。
比特币用的签名算法叫 ECDSA(椭圆曲线数字签名算法),运行在 secp256k1 曲线上。这套系统对经典计算机是铜墙铁壁,但 Shor 算法可以专门攻破椭圆曲线的数学结构。
三、量子计算机究竟怎么偷走你的比特币
搞清楚量子计算机的原理之后,再来看它具体怎么威胁比特币。
创建钱包时,系统会生成一个私钥,一串随机的 256 位 数字。由私钥推导出公钥,再由公钥推导出钱包地址。这条链只能顺着走,知道私钥能算出公钥,反过来却不行。
当你发送比特币时,私钥只用来生成一个数字签名,随交易广播出去,告诉全网这笔钱是你发的。网络验证签名合法,交易确认,完成。
Shor 算法理论上可以破解椭圆曲线密码学,也就是比特币私钥安全性的根基。但没有人把这件事当回事,因为运行这个算法需要的计算能力,经典计算机根本达不到。
问题在于,量子计算机这些年真的在进步。一旦它足够强大,量子计算机只需要拿到你的公钥,就能反推出私钥,伪造你的签名,把钱转走。
这就引出了一个关键问题:你的公钥是否已经暴露了?
公钥的暴露分两种情况。
第一种是长期暴露,公钥已经永久写在链上,量子机器随时可以读取。有两类地址属于这种情况:
中本聪和早期矿工使用的原始地址格式,那个年代公钥直接明文存储;
bc1p 开头的地址,Taproot 本意是改善隐私和效率,但设计上把公钥嵌入了地址本身,结果在量子威胁面前适得其反。
第二种是短期暴露,在你发出交易的那一刻,传统地址格式在未花费状态下,公钥藏在哈希值后面,外人看不到。但每当你发送一笔交易,公钥就会随交易进入内存池,在被打包进区块之前对全网可见,这个窗口平均 10 分钟。
也就是说,不管你平时操作多谨慎,只要发出过交易,就有被攻击的可能性。
目前约有 690 万枚比特币的公钥已经永久暴露在链上。无论这些币在个人钱包里还是交易所的热钱包里,只要地址属于上述高风险类型,或者该地址曾经发出过交易,公钥就已经泄露了。
四、比特币社区在做什么
谷歌论文发布当天,CZ @cz_binance 在推特上回应:不需要恐慌,加密货币升级到抗量子算法就能解决问题,威胁是真实的,但行业有能力应对。
V 神 @VitalikButerin 的态度则谨慎得多,他很早就开始警告这个问题,给出过一个估算:2030 年之前出现真正具备攻击能力的量子计算机,概率约 20%。
两个人都认为威胁是真实的,只是对紧迫程度的判断不一样。比特币开发者社区早在这篇论文之前就没有忽视这个问题,目前有四个方向被认真讨论。
BIP-360,也叫 Pay-to-Merkle-Root。现在的比特币地址会把公钥永久写在链上,BIP-360 的思路是把公钥从交易结构里彻底移除,改用 Merkle 根来替代。量子机器没有公钥可以分析,攻击就无从下手。
这个方案已经在 BTQ Technologies 的测试网上跑起来了,目前有超过 50 个矿工参与,处理了超过 20 万个区块。但需要说清楚的是,BIP-360 只保护新产生的币,那 170 万枚已经暴露公钥的老地址仍然是个问题。
SPHINCS+:正式名称是 SLH-DSA,是一种基于哈希函数的后量子签名方案。它的逻辑很直接:既然 Shor 算法专门针对椭圆曲线,那就换掉椭圆曲线,用哈希函数来做签名。
这个方案已经在 2024 年 8 月通过 NIST 标准化。麻烦在于签名体积:现在比特币的 ECDSA 签名只有 64 字节,SPHINCS+ 的签名超过 8KB,体积膨胀了 100 多倍,会大幅推高交易费用和区块空间需求。
为此开发者又提出了 SHRIMPS 和 SHRINCS 等优化方案,目标是在不牺牲安全性的前提下压缩签名大小。
Commit/reveal 方案:由闪电网络联合创始人 Tadge Dryja 提出,这个方案针对的是内存池里的短期暴露风险。它把一笔交易分成两个阶段:
第一阶段先提交一个哈希指纹,不包含任何交易信息,只是在链上留下一个时间戳
第二阶段再广播真实交易,公钥这时才暴露出来。即使量子攻击者在第二阶段截获了公钥并推算出私钥,它伪造的交易也会被网络拒绝,因为没有对应的第一阶段预提交记录。代价是每笔交易多一个步骤,成本略有上升。
这被社区视为一种过渡方案,在更完整的抗量子体系建立起来之前先用着。
Hourglass V2:由开发者 Hunter Beast 提出,专门针对那 170 万枚已经永久暴露公钥的老地址。这个方案的逻辑很悲观但很现实:既然这些地址的公钥已经无法隐藏,一旦量子机器足够强大,这些币迟早会被盗。
Hourglass V2 不打算阻止老地址被盗的,而是把每个区块允许从这类地址转出的比特币限制在 1 枚,就像银行挤兑时限制每日取款额度。
这个提案争议极大,因为比特币社区有一条原则:任何人都无权干涉你的比特币,即使是这种有限度的限制,很多人也认为越界了。
这不是比特币第一次面对需要升级的压力。2017 年的扩容之争打了几年,最后分 裂出了 Bitcoin Cash。2021 年的 Taproot 升级从提案到激活花了将近四年。每一次,社区都要经历漫长的争论、拉锯、妥协,才能推动任何一件事向前走一步。量子威胁的应对,大概率也会走同一条路。
五、普通用户现在需要做什么
说了这么多,普通用户能做什么?
答案没有你想象的那么复杂。量子计算机今天还破解不了你的比特币,但有几件事现在就可以开始注意。
检查你的地址格式
打开你的钱包,看一下接收地址是什么开头。bc1p 开头是 Taproot 地址,公钥默认嵌入地址本身,属于长期暴露的高风险格式。如果你的资产放在这类地址里且从未动过,现在的风险还是理论层面的,但值得关注后续 BIP-360 的进展。
bc1q 开头的 SegWit 地址,以及 1 开头的传统地址,在从未花费的状态下公钥仍然受到哈希保护,相对安全。但只要你发出过一笔交易,公钥就已经永久暴露在链上了。
养成地址卫生习惯
尽量不要在同一个地址反复收款和转账。每次发送交易都会暴露公钥,用过的地址就不再有哈希保护。大多数现代钱包默认会在每次收款后生成新地址,这个功能打开着就好。
关注钱包软件的更新
Ledger、Trezor 这类硬件钱包厂商将是抗量子升级的重要一环。一旦 BIP-360 或后量子签名方案在主网激活,钱包需要同步支持新的地址格式和签名算法。这个过程用户端要做的事情可能只是更新固件,但也可能需要把资产从旧地址迁移到新格式地址。现在能做的是确保你用的钱包来自有持续更新能力的厂商,并且保持关注。
放在交易所的资产
交易所不需要用户操作,技术升级由他们的团队负责推送。Coinbase 已经成立了量子顾问委员会,各大交易所在监管压力下也会跟进。放在有信誉的大交易所里的资产,量子升级对你来说是透明的。
六、写在最后
"量子计算机会破解比特币"这个说法流传很多年了,每次出现都会被嘲讽一轮,然后什么都没发生。久而久之,大家开始默认这是个狼来了的故事。
这次发出警告的是谷歌。比特币的开发者已经在认真准备应对方案,以太坊那边的路线图也在推进。但这件事之前一直停留在理论层面,量子计算机到底能不能真正攻克比特币的加密算法,现在没有人能给出确定的答案。
谷歌说 2029 年,有人说还要几十年,也有人说永远不会。这个问题的答案,只有时间知道。
量子计算的进展也从来不是匀速的,上一个重大突破发生在没有人预料到的时间节点,下一个也可能一样。
到此这篇关于9 分钟破解比特币私钥?2026年量子威胁下的区块链生存指南的文章就介绍到这了,更多相关量子威胁下的区块链生存指南内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,希望大家以后多多支持脚本之家!
你可能感兴趣的文章
-
灰度观点:比特币(BTC)面临的量子挑战,社会性因素超越技术性
灰度研究主管称,比特币应对量子威胁更多是社会问题,因比特币有技术方案降低风险,但社区在协议变更上争议激烈,如对早期休眠币处理方式难达成一致,这使达成共识、协调行…
2026-04-07 -
2026年加密货币抗量子技术指南:抗量子算法与未来防护策略
在加密货币领域,这催生了一种全新的资产和协议类别,专门用于抵御量子威胁,尽管该技术仍在发展中,但矢量子安全迈进的竞赛已开始影响区块链的设计、升级与评估方式,越来越…
2026-04-07 -
BTC USD 价格未定,探讨量子计算机对比特币生存的影响
量子计算机基于量子力学,以量子比特为单元,能指数级加速计算,比特币面临量子威胁,因Shor算法或破解其加密,但社区正研发抗量子算法,通过渐进升级或硬分叉应对,其生存…
2026-04-04 -
比特币会死吗?深度拆解量子计算对比特币的威胁以及比特币安全性
2026年3月31日,谷歌量子AI团队发了一篇白皮书,将破解比特币密码防线所需的量子计算资源,大幅下调约20倍,下面小编就和大家简单分析一下量子计算对比特币的威胁以及比特币…
2026-04-02 -
真的不能太乐观?同一天两篇论文,量子计算破解比特币的门槛骤降两个数量
歌 Quantum AI 的研究员警告,量子攻击可以在 9 分钟内劫持一笔正在广播的比特币交易,约 41% 的概率抢在确认之前完成,约 690 万枚已暴露公钥的比特币,此刻正静静躺在链上…
2026-04-01 -
什么是抗量子算法?加密货币的未来保障
本文探讨抗量子算法的基本原理、现有区块链系统的弱点、采用PQC对网络安全与性能的影响,以及对加密货币利益相关者的实用建议,它们如何提升加密货币的安全性、它们在性能和…
2026-03-30 -
什么是量子威胁?比特币、以太坊等其他网络如何应对迫在眉睫的量子威胁
量子计算是一个高度复杂的技术性主题,在比特币、以太坊和 Solana 等许多最知名的生态系统中,各方的应对措施正沿着熟悉的路线分岔:如何处理社会共识和技术迭代,以及社区…
2026-03-30 -
论比特币(BTC)治理机制在应对量子计算风险时的时效性困境
比特币治理确实面临速度挑战,其去中心化决策流程可能导致应对量子风险行动迟缓,不过,社区已提出升级加密算法、使用多重签名钱包等抗量子方案,且量子计算机破解比特币所…
2026-03-26 -
一文解读BIP-360:比特币首次迈向量子防御,但为何只是第一步
这篇文章主要来和大家介绍一下 BIP-360 如何重塑比特币的量子防御策略,分析其改进之处,并探讨其为何尚未实现全面的后量子安全,感兴趣的小伙伴可以跟随小编一起学习一下…
2026-03-15
