量子计算机能否打破 Bitcoin 采矿业

对 Bitcoin 挖矿共识的量子威胁

1. Bitcoin 挖矿依赖于 SHA-256 哈希函数，而不是椭圆曲线密码学。

2. 量子计算机将 Grover 算法应用于基于哈希的搜索问题，仅提供二次加速，而不是指数加速。

3. 经典计算机需要约 2²⁵⁶ 运算才能暴力破解 SHA-256； Grover 将其减少到约 2^2⁸ 操作。

4. 即使有理想的量子硬件，2128 在计算上仍然不可行——远远超出 2040 年之前的任何预计能力。

5. 没有已知的量子算法打破 PoW 共识机制；只要哈希难度随着计算的进步而扩展，网络安全就保持不变。

暴露的公钥：真正的漏洞

1. 超过 690 万个 BTC（近总供应量的 32%）存放在公钥永久暴露在链上的地址中。

2. 其中包括早期的 P2PK 输出和重复使用的 P2PKH 地址，其中签名在过去的交易中显示了完整的公钥。

3. Google 的 2026 年白皮书估计，Shor 的算法可以使用不到 500,000 个物理量子位，在 9 分钟内从此类公开的公钥中导出私钥。

4. Taproot 升级通过鼓励签名聚合而无意中增加了暴露面，从而在某些多重签名配置中泄露了关键材料。

5. 如果用户从不重复使用地址并避免使用易受攻击的格式进行签名，则每次交易生成新地址 (BIP32/BIP44) 的钱包将保持弹性。

遗留地址风险分布

1. 大约 170 万个 BTC 存在于 2012 年之前的 P2PK 输出中——完全暴露，在不泄露私钥的情况下不可移动。

2. 估计有 600,000–700,000 BTC 属于与中本聪挖矿活动密切相关的集群——全部使用 P2PK 或早期 P2PKH 并重复使用地址。

3. 超过 450 万个 BTC 存放在 P2WPKH 和 P2TR 输出中，除非使用，否则公钥永远不会发布——提供了固有的量子延迟。

4. 交换热钱包和托管服务经常轮换密钥，但通常会以未升级的格式保留遗留存款多年。

5. 在隔离见证后迁移资金但保留旧备份的自我托管用户可能会在不知情的情况下持有与暴露的公钥相关的密钥。

协议级抵抗机制

1. Bitcoin 由于规模膨胀和验证成本惩罚，核心开发人员拒绝了强制性的抗量子签名方案。

2. OP_CHECKSIGFROMSTACK 等软分叉提案允许可选的量子安全脚本路径，而不会破坏兼容性。

3. 闪电网络通道使用多方通道状态，永远不会暴露链上公钥，从而减少链下余额的攻击面。

4. 硬件钱包制造商现在提供支持 PQ 的固件更新的设备，从而实现向基于网格的签名的气隙迁移。

5. BIP350 采用 Bech32m 地址支持后量子脚本模板所需的未来见证版本扩展。

常见问题解答

Q1.量子计算机能否反转区块头中使用的 SHA-256 哈希值？不会。格罗弗的算法在实践中无法反转加密哈希函数，它只会加速强力搜索，并且 2^2⁸ 操作在物理上仍然无法访问。

Q2。量子计算机会威胁Bitcoin的去中心化模型吗？不会。挖矿中心化风险源于 ASIC 效率差距和电力成本差异，而不是量子加速。 PoW 经济保持不变。

Q3。从旧地址转移代币足以消除量子风险吗？仅当目的地使用新的、之前从未使用过的 Bech32m 地址，并且交易不会重用与先前公开密钥暴露相关的输入时。

Q4。为什么抗量子升级还没有硬分叉到 Bitcoin 中？因为没有标准化的、可用于生产的、轻量级的后量子签名方案能够满足 Bitcoin 的验证吞吐量和带宽限制而不影响节点可扩展性。