量子電腦能否打破 Bitcoin 採礦業

對 Bitcoin 挖礦共識的量子威脅

1. Bitcoin 挖礦依賴 SHA-256 雜湊函數，而不是橢圓曲線密碼學。

2. 量子電腦將 Grover 演算法應用於基於雜湊的搜尋問題，僅提供二次加速，而不是指數加速。

3. 經典計算機需要約 2²⁵⁶ 運算才能暴力破解 SHA-256； Grover 將其減少到約 2^2⁸ 操作。

4. 即使有理想的量子硬件，2128 在計算上仍然不可行——遠遠超出 2040 年之前的任何預計能力。

5. 沒有已知的量子演算法打破 PoW 共識機制；只要哈希難度隨著計算的進步而擴展，網路安全就保持不變。

暴露的公鑰：真正的漏洞

1. 超過 690 萬個 BTC（近總供應量的 32%）存放在公鑰永久暴露在鏈上的位址中。

2. 其中包括早期的 P2PK 輸出和重複使用的 P2PKH 位址，其中簽名在過去的交易中顯示了完整的公鑰。

3. Google 的 2026 年白皮書估計，Shor 的演算法可以使用不到 50 萬個實體量子位，在 9 分鐘內從此類公開的公鑰中匯出私鑰。

4. Taproot 升級透過鼓勵簽名聚合而無意中增加了暴露面，從而在某些多重簽名配置中洩露了關鍵材料。

5. 如果使用者從不重複使用位址並避免使用易受攻擊的格式進行簽名，則每次交易產生新位址 (BIP32/BIP44) 的錢包將保持彈性。

遺留地址風險分佈

1. 大約 170 萬個 BTC 存在於 2012 年之前的 P2PK 輸出中－完全暴露，在不洩漏私鑰的情況下不可移動。

2. 估計有 600,000–700,000 BTC 屬於與中本聰挖礦活動密切相關的群集－全部使用 P2PK 或早期 P2PKH 並重複使用位址。

3. 超過 450 萬個 BTC 存放在 P2WPKH 和 P2TR 輸出中，除非使用，否則公鑰永遠不會發布——提供了固有的量子延遲。

4. 交換熱錢包和託管服務經常輪換密鑰，但通常會以未升級的格式保留遺留存款多年。

5. 在隔離見證後遷移資金但保留舊備份的自我託管用戶可能會在不知情的情況下持有與暴露的公鑰相關的密鑰。

協議級抵抗機制

1. Bitcoin 由於規模膨脹和驗證成本懲罰，核心開發人員拒絕了強制性的抗量子簽名方案。

2. OP_CHECKSIGFROMSTACK 等軟分叉提案允許可選的量子安全腳本路徑，而不會破壞相容性。

3. 閃電網路通道使用多方通道狀態，永遠不會暴露鏈上公鑰，從而減少鏈下餘額的攻擊面。

4. 硬體錢包製造商現在提供支援 PQ 的韌體更新的設備，從而實現向基於網格的簽名的氣隙遷移。

5. BIP350 採用 Bech32m 位址支援後量子腳本模板所需的未來見證版本擴充。

常見問題解答

Q1.量子電腦能否反轉區塊頭中使用的 SHA-256 雜湊值？不會。格羅弗的演算法在實踐中無法反轉加密雜湊函數，它只會加速強力搜索，並且 2^2⁸ 操作在物理上仍然無法存取。

Q2。量子電腦會威脅Bitcoin的去中心化模式嗎？不會。挖礦中心化風險源自於 ASIC 效率差距和電力成本差異，而不是量子加速。 PoW 經濟維持不變。

Q3。從舊地址轉移代幣足以消除量子風險嗎？僅當目的地使用新的、之前從未使用過的 Bech32m 位址，且交易不會重複使用與先前公開金鑰暴露相關的輸入。

Q4。為什麼抗量子升級還沒有硬分叉到 Bitcoin 中？因為沒有標準化的、可用於生產的、輕量級的後量子簽章方案能夠滿足 Bitcoin 的驗證吞吐量和頻寬限製而不影響節點可擴展性。