什么是Q-Day？量子计算对比特币的威胁详解

量子计算机目前还无法破解比特币的加密技术，但该领域的新进展表明，这一差距正在以超出预期的速度缩小。

容错量子系统的进展提高了”Q-Day”的风险——即足够强大的量子计算机能够破解旧比特币地址并暴露超过7110亿美元脆弱钱包的时刻。

长期以来被视为遥远威胁的Q-Day在2026年3月突然成为焦点，多篇研究论文表明量子计算机可能比预期更早地破解加密系统。

量子攻击将如何运作

成功的攻击不会显得戏剧化。量子攻击者会首先扫描区块链，寻找任何曾经暴露过公钥的地址。旧钱包、重复使用的地址、早期矿工输出和许多休眠账户都属于此类。

攻击者复制公钥并通过量子计算机使用Shor算法进行处理。该算法由数学家Peter Shor于1994年开发，使量子机器能够比任何经典计算机更高效地分解大数并解决离散对数问题。比特币的椭圆曲线签名依赖于这些问题的难度。通过足够多的纠错量子比特，量子计算机可以使用Shor的方法计算与暴露公钥相关的私钥。

正如Andreessen Horowitz研究合伙人、乔治城大学副教授Justin Thaler告诉Decrypt的那样，一旦私钥被恢复，攻击者就可以转移这些币。

“量子计算机可以做的，也是与比特币相关的是，伪造比特币今天使用的数字签名，”Thaler说。”拥有量子计算机的人可以在您未授权的情况下授权交易，将您账户中的所有比特币转出。这就是担忧所在。”

伪造的签名在比特币网络看来是真实的。节点会接受它，矿工会将其包含在区块中，链上没有任何标记会表明该交易可疑。如果攻击者同时攻击大量暴露地址，那么数十亿美元可能在几分钟内被转移。市场将在任何人确认量子攻击发生之前就开始反应。

2026年3月，加州理工学院和谷歌的研究论文表明，未来的量子计算机可能使用比预期更少的量子比特和计算步骤来破解椭圆曲线加密。

这些论文在加密社区引发了担忧，比特币安全研究员Justin Drake在推特上表示，”到2032年，量子计算机从暴露的公钥恢复secp256k1 ECDSA私钥的可能性至少为10%”。

2026年量子计算的现状

从2025年开始，量子计算终于开始感觉不那么理论化，更加实用。

• 2025年11月：IBM宣布了旨在2026年实现量子优势并在2029年前实现容错系统的新芯片和软件。
• 2025年1月：谷歌的105量子比特Willow芯片显示出显著的错误减少，并实现了超越经典超级计算机的基准。
• 2025年2月：微软推出了Majorana 1平台，并报告了与Atom Computing创纪录的逻辑量子比特纠缠。
• 2025年4月：NIST将超导量子比特的相干时间延长至0.6毫秒。
• 2025年6月：IBM设定了到2029年实现200个逻辑量子比特，并在2030年代初期实现1000多个的目标。
• 2025年9月：加州理工学院展示了在99.98%准确率下运行6100个量子比特的中性原子量子计算机。
• 2025年10月：IBM纠缠了120个量子比特；谷歌确认了经过验证的量子加速。
• 2026年3月：加州理工学院和谷歌的研究论文表明，量子计算机可能比预期更早地威胁比特币的加密技术，比特币安全研究人员认为到2032年量子计算机恢复比特币私钥的可能性为10%。

为什么比特币变得脆弱

比特币的签名使用椭圆曲线加密。从地址花费会暴露其背后的公钥，这种暴露是永久性的。在比特币早期的支付到公钥格式中，许多地址甚至在第一次花费之前就在链上发布了它们的公钥。后来的支付到公钥哈希格式在第一次使用前保持密钥隐藏。

由于它们的公钥从未被隐藏，这些最古老的币，包括大约100万个中本聪时代的比特币，都暴露在未来的量子攻击之下。Thaler表示，切换到后量子数字签名需要积极参与。

“对于中本聪保护他们的币，他们需要将它们转移到新的后量子安全钱包中，”他说。”最大的担忧是被遗弃的币，价值约1800亿美元，包括据信属于中本聪的约1000亿美元。这些都是巨大的金额，但它们被遗弃了，这才是真正的风险。”

增加风险的是与丢失私钥相关的币。许多已经十多年未被触及，没有这些密钥，它们永远无法转移到量子抗性钱包中，使它们成为未来量子计算机的可行目标。

没有人可以直接在链上冻结比特币。针对未来量子威胁的实际防御措施侧重于迁移脆弱资金、采用后量子地址或管理现有风险。

然而，Thaler指出，后量子加密和数字签名方案带来高昂的性能成本，因为它们比今天轻量级的64字节签名要大得多且更耗费资源。

“今天的数字签名大约64字节。后量子版本可能是10到100倍大，”他说。”在区块链中，这种大小增加是一个更大的问题，因为每个节点必须永久存储这些签名。管理这种成本，即数据的实际大小，在这里比其他系统要困难得多。”

保护路径

开发者已经提出了几个比特币改进提案，为未来的量子攻击做准备。它们采取不同的路径，从轻量级可选保护到完整的网络迁移。

• BIP-360 (P2QRH)：创建新的”bc1r…”地址，将今天的椭圆曲线签名与后量子方案如ML-DSA或SLH-DSA结合。它提供混合安全性而无需硬分叉，但更大的签名意味着更高的费用。
• 量子安全Taproot：向Taproot添加隐藏的后量子分支。如果量子攻击变得现实，矿工可以通过软分叉要求后量子分支，而用户在此之前正常操作。
• 量子抗性地址迁移协议(QRAMP)：一个强制迁移计划，将脆弱的UTXO移动到量子安全地址，可能通过硬分叉实现。
• 支付到Taproot哈希(P2TRH)：用双重哈希版本替换可见的Taproot密钥，限制暴露窗口，无需新加密或破坏兼容性。
• 通过STARK的非交互式交易压缩(NTC)：使用零知识证明将大的后量子签名压缩为每个区块的单个证明，降低存储和费用成本。
• 承诺-揭示方案：依赖在量子威胁之前发布的哈希承诺。

总的来说，这些提案勾勒出了通往量子安全的分步路径：现在进行快速、低影响的修复如P2TRH，随着风险增长进行更重的升级如BIP-360或基于STARK的压缩。所有这些都需要广泛的协调，许多后量子地址格式和签名方案仍处于早期讨论阶段。

Thaler指出，比特币的去中心化——其最大优势——也使重大升级变得缓慢和困难，因为任何新的签名方案都需要矿工、开发者和用户之间的广泛共识。

“比特币面临两个主要问题。首先，升级需要很长时间，如果它们真的发生的话。其次，有被遗弃的币。任何向后量子签名的迁移都必须是主动的，而那些旧钱包的所有者已经不在了，”Thaler说。”社区必须决定如何处理它们：要么同意将它们从流通中移除，要么什么都不做，让配备量子计算机的攻击者拿走它们。第二条路径在法律上是灰色的，而那些夺取这些币的人可能不会在意。”

大多数比特币持有者目前不需要做任何事情。一些习惯在降低长期风险方面大有帮助，包括避免重复使用地址以保持公钥隐藏直到您花费，并坚持使用现代钱包格式。

今天的量子计算机远未达到破解比特币的程度，关于何时能够破解的预测差异很大。一些研究人员认为威胁在未来五年内，其他人将其推迟到2030年代，但持续的投资可能会加速时间表。