Google 量子 AI 於 2026 年 3 月 30 日發表的 白皮書 指出,大約 690 萬枚 Bitcoin (BTC)——約佔總供應量三分之一——目前存放在易受量子「靜態」(at-rest)攻擊的位址當中,其中包括估計與比特幣化名創建者 Satoshi Nakamoto(中本聰)相關的約 110 萬枚 BTC。
重點整理(TL;DR)
- Google Quantum AI 發現,要破解比特幣使用的 256 位元橢圓曲線密碼學,可能只需少於 50 萬個實體量子位元——較先前估計縮減約 20 倍。
- 約 690 萬枚 BTC 位於公鑰長期暴露的位址型別,使其成為未來量子靜態攻擊的目標。
- 中本聰時代的 P2PK 位址無人能升級,導致是否凍結休眠資金或任其持續暴露的治理難題。
Google 白皮書實際在說什麼
這份論文標題很長:「Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations」。文件本身 長達 57 頁,是大型科技公司迄今對量子密碼威脅最詳盡的評估之一。
六位 Google Quantum AI 研究員——Ryan Babbush、Adam Zalcman、Craig Gidney、Michael Broughton、Tanuj Khattar 和 Hartmut Neven——共同撰寫論文。外部合作者包括加州大學柏克萊分校的 Thiago Bergamaschi、Ethereum Foundation 的 Justin Drake,以及史丹佛大學的 Dan Boneh。
論文的核心技術貢獻,是兩個經過最佳化的量子電路,用來 實作 在 256 位元橢圓曲線上解決橢圓曲線離散對數問題(ECDLP)的 Shor 演算法。
這正是保障比特幣安全的密碼學基元。
其中一個電路使用不到 1,200 個邏輯量子位元和 9,000 萬個 Toffoli 閘;另一個則使用不到 1,450 個邏輯量子位元和 7,000 萬個 Toffoli 閘。
Google 估計,這些電路可以在少於 50 萬個實體量子位元的超導量子電腦上,在數分鐘內完成運算。先前的估算需要大幅更多的硬體。英國 University of Sussex 在 2022 年廣泛引用的一篇論文 預測,一小時內完成攻擊需要約 3.17 億個實體量子位元,而 10 分鐘時間窗則需要 19 億個。Google 的結果把這個需求壓縮了約 20 倍。
對於一篇資源估算論文來說,Google 採取了不尋常的做法:它沒有公開實際電路設計,而是改以 SP1 和 Groth16 SNARK 發布零知識證明。獨立研究員可以在不知道攻擊細節的前提下驗證其主張。
這項工作 建立在 Google 先前的量子里程碑之上。
2024 年 12 月發佈並刊登於《Nature》的 Willow 晶片,展示了 105 個超導量子位元,並在超導處理器上首次實現「低於閾值」的量子錯誤校正。從 3x3、5x5 到 7x7 量子位元格,錯誤率每一步都減半。Willow 在五分鐘內完成一項基準測試,而 Frontier 超級電腦估計需時 10 正秭(10^22)年。
儘管如此,Google 明言 Willow 現階段對密碼學不構成威脅。
Google Quantum AI 的總監兼營運長 Charina Chou 在 2024 年 12 月接受 The Verge 訪問時表示,這顆晶片無法破解現代密碼學,要破解 RSA 約需 400 萬個實體量子位元。
延伸閱讀: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
為何中本聰的幣最暴露
Google 分析指出的關鍵脆弱點,追溯到比特幣早期的一項設計選擇。中本聰在 2009 年 1 月 3 日啟動網路時,挖礦軟體將區塊獎勵發送到 P2PK(Pay-to-Public-Key)輸出。在這種格式下,從幣一到帳開始,完整公鑰就永久公開在區塊鏈上。
鎖定腳本很簡單:公鑰後接一個 OP_CHECKSIG 指令。這代表 65 位元組未壓縮或 33 位元組壓縮公鑰,對任何讀鏈的人都是完全曝光的。
中間沒有雜湊保護層。
中本聰也 實作了 P2PKH(Pay-to-Public-Key-Hash),只在鏈上儲存公鑰雜湊。P2PKH 位址——也就是熟悉的、以「1」開頭的位址——在創世區塊後兩週內就出現在區塊鏈上。
這是刻意的設計。中本聰早就意識到,未來的量子電腦上運行改良版 Shor 演算法,可能攻破橢圓曲線密碼學。
儘管有這樣的認知,挖礦軟體在 2009 與 2010 年仍持續預設使用 P2PK 接收 coinbase 獎勵。Sergio Demian Lerner 在 2013 年首次發表的 Patoshi 模式研究 指出,一個實體在 2009 年 1 月到 2010 年中約挖出 22,000 個區塊,累積約 100 萬到 110 萬枚 BTC。
這種挖礦行為與公開客戶端不同:它使用多執行緒 nonce 掃描,且似乎刻意降低輸出以維持網路穩定。
那批儲備中只有約 907 枚 BTC 曾被花費。最著名的一筆,是 2009 年 1 月 12 日發送 10 BTC 給 Hal Finney,這是第一筆點對點比特幣轉帳。
由於這些幣從未移動,其公鑰一直暴露在鏈上。未來若有量子電腦以 Shor 演算法運算,就可以在沒有時間壓力的情況下推導出對應私鑰。這就是核心的「靜態」攻擊向量。
延伸閱讀: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
三種攻擊向量與 690 萬枚 BTC 的暴露
Google 白皮書 形式化 了加密貨幣量子攻擊的分類,釐清各種威脅向量的規模。
靜態(at-rest)攻擊鎖定的是長期暴露公鑰的鏈上位址。攻擊者有充裕時間——幾天、幾個月甚至幾年——推導私鑰。這一類涵蓋三種主要位址型別:
- P2PK 位址:從幣到帳那一刻起,鎖定腳本中的公鑰就完全公開
- 重複使用的 P2PKH 位址:在首次發出交易後公鑰會被揭露
- P2TR/Taproot 位址:設計上直接在鏈上儲存「調整後」公鑰
Google 指出,從量子安全角度看,Taproot 是一種退步。即便是較慢的量子架構,如中性原子或離子阱系統,也能執行靜態攻擊,因為沒有嚴格時間限制。鏈上分析發現,約有 170 萬枚 BTC 位於 P2PK 腳本,若把位址重用與 Taproot 暴露一起納入,總共有約 690 萬枚 BTC 處於風險中。
「花費中」(on-spend)攻擊——先前也稱「傳輸中」(in-transit)攻擊——則鎖定記憶池(mempool)中的待確認交易。
當使用者廣播交易時,輸入腳本會 揭露 公鑰。攻擊者必須在交易確認前推導出私鑰——在比特幣上約有 10 分鐘的時間窗。
Google 論文指出,時脈極快的超導量子電腦,約可在九分鐘內解出 ECDLP,成功在確認前搶先花費的機率約為 41%。
「設定階段」(on-setup)攻擊,則針對協議固定參數,例如可信設定儀式。比特幣在這方面是免疫的;但 Ethereum (ETH) 的資料可用性取樣(DAS)與如 Tornado Cash 之類協議則可能有風險。
關鍵一點是:工作量證明挖礦本身並未受到致命威脅。Grover 演算法對 SHA-256 只提供平方級加速,將有效安全性由 256 位元降至 128 位元——仍遠超實務可行範圍。Dallaire-Demers 等人在 2026 年 3 月的論文 顯示,量子挖礦需要約 10²³ 個量子位元與 10²⁵ 瓦電力,已接近文明等級的能源規模。
延伸閱讀: Bitcoin Faces Six Bearish Months But ETF Demand Grows
比特幣距離「Q-Day」還有多遠?
當前量子硬體與足以威脅密碼學的水準之間,仍存在巨大差距,但縮短速度比預期更快。
目前領先的處理器 包括,Google 的 Willow(105 個超導量子位元)、IBM 的 Nighthawk(120 個量子位元且保真度提升)、Quantinuum 的 Helios(98 個離子阱量子位元),以及 Caltech 創紀錄的 6,100 個中性原子量子位元陣列。
目前最大的一般用途系統仍是 IBM 的 Condor,擁有 1,121 個量子位元。若對照 Google 提出的「少於 50 萬個實體量子位元」門檻,依不同架構而定,目前差距約在 80 倍到 5,000 倍之間。
Several developments in 2025 和 2026 的時間表正加速推進:
- Microsoft 在 2025 年 2 月推出 Majorana 1 —— 首款使用拓撲量子位的處理器,設計目標是在掌心大小的晶片上擴展至 100 萬個量子位,儘管獨立重現研究質疑其拓撲效應是否已被確鑿證明
- Amazon 的 Ocelot 晶片同樣於 2025 年 2 月發表,採用「貓態量子位(cat qubits)」,可將錯誤修正開銷降低最多 90%
- 與 Google 白皮書同時發布的一篇配套論文聲稱,在較為樂觀的假設下,中性原子架構可能只需 1 萬個實體量子位就能破解 ECC-256
專家對時間表的預估差異極大。Google 已為其內部系統設定在 2029 年前完成遷移至後量子密碼學的內部期限。
Ethereum 研究員 Justin Drake 預估,到 2032 年量子電腦有至少 10% 的機會可以恢復一組 secp256k1 ECDSA 私鑰。IonQ 的路線圖則以在 2030 年達到 8 萬個邏輯量子位為目標。
在較為懷疑的一端,Blockstream CEO Adam Back 直接否定 2028 年的時間表可信度。NVIDIA CEO **黃仁勳(Jensen Huang)**則認為實用的量子電腦要 15 至 30 年後才會出現。NIST 建議應在 2035 年前完成向後量子密碼學的遷移。
演算法改進的趨勢進一步增加了緊迫性。自 2010 年至 2026 年,用於破解橢圓曲線密碼學所需的實體量子位數量已下降了四到五個數量級。Google 最新的電路設計在此前最佳估計基礎上又進一步降低了 20 倍。
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
抢先讓比特幣協議具備量子抗性
比特幣開發者社群已經圍繞數個提案展開行動,但根本性的治理挑戰依然存在。
由 MARA/Anduro 的 Hunter Beast、Ethan Heilman 以及 Isabel Foxen Duke 撰寫的 BIP-360(Pay-to-Merkle-Root)已於 2025 年 2 月合併進官方 BIP 儲存庫。它引入一種新的 SegWit 版本 2 輸出類型,採用 bc1z 開頭,只承諾到腳本樹的 Merkle root。這樣就移除了 Taproot 中對量子脆弱的「key-path spend」。BIP-360 本身並未引入後量子簽名,但為其建立了框架。
BTQ Technologies 已在其 Bitcoin Quantum 測試網上部署了可運作的 BIP-360 實作。截至 2026 年 3 月,已有超過 50 名礦工和 100,000 個區塊被產出。
「Lopp/Papathanasiou 提案」於 2025 年 7 月在 Quantum Bitcoin Summit 上發表,概述了一個分三階段進行的軟分叉方案。
第 A 階段是在 BIP-360 啟用三年後,禁止再向傳統的 ECDSA 地址付款。第 B 階段則讓所有舊版簽名失效,在此之後兩年,將永久凍結所有量子脆弱的幣。第 C 階段則透過 BIP-39 種子擁有權的零知識證明,提供一條可選擇使用的資金恢復途徑。
由 Agustin Cruz 提出的 QRAMP 提案採取更強硬的立場。它主張透過硬分叉設定強制性遷移截止日期,逾期未遷移的幣將變成不可花費。來自 Hunter Beast 與 Marathon Digital 的 Michael Casey 的 Hourglass 提案則提供了折衷方案 —— 將量子暴露幣的移動速率限制為每區塊一個 UTXO,將原本可能在數小時內完成的攻擊拉長到約八個月。
在標準制定方面,NIST 已於 2024 年 8 月完成首批三個後量子密碼標準:ML-KEM(基於 CRYSTALS-Kyber)用於金鑰封裝;ML-DSA(基於 CRYSTALS-Dilithium)用於數位簽名;以及作為備用簽名標準的 SLH-DSA(基於 SPHINCS+)。
第五個演算法 HQC 則於 2025 年 3 月被選為備用金鑰封裝機制。
比特幣整合面臨的主要挑戰是簽名大小。Dilithium 簽名約為 2,420 位元組,而 ECDSA 則約為 72 位元組 —— 相差 33 倍,將大幅擠壓區塊空間並顯著推高交易成本。
除了比特幣以外,更廣泛的生態系也在快速行動。
Ethereum Foundation 已於 2026 年 1 月將後量子安全列為核心優先事項,並啟動一條包含四階段硬分叉的路線圖,中期目標是在 2029 年前實現量子抗性。Coinbase 則成立了由 Scott Aaronson、Dan Boneh 和 Justin Drake 參與的量子運算獨立諮詢委員會。
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
比特幣持有人現在應該做什麼
對個別比特幣持有人而言,即便協議層面的爭論仍在進行,實務上的指引其實相當明確。儲存在 P2WSH(SegWit 見證腳本雜湊,bc1q 開頭、62 個字元)或 P2WPKH(SegWit,bc1q 開頭、42 個字元)地址,而且從未用於發出交易的幣,目前提供了已知最強的保護。
鏈上只會顯示公鑰的雜湊值。
P2TR/Taproot(bc1p)地址不宜用於金額龐大或長期持有的資金。它們在設計上會暴露公鑰。
最關鍵的做法就是絕不重用地址。一旦從任何地址花出比特幣,該地址的公鑰就會被公開,該地址剩餘或之後匯入的資金便會變得對量子攻擊脆弱。使用者可以透過 Project Eleven 的開源 Bitcoin Risq List 來檢查自身暴露情況,該專案會追蹤網絡上所有對量子脆弱的比特幣地址。
將資金從已暴露的地址轉移到全新、從未使用過的雜湊式地址,可以消除「靜態存放」時的暴露風險。
正如比特幣託管公司 Unchained 所提醒的:須警惕利用量子威脅恐慌來施壓你匆忙轉帳的詐騙者。目前並不存在需要立刻緊急行動的情況。
更深層的問題仍在於約 170 萬枚位於 P2PK 地址的 BTC —— 包括估計屬於中本聰的 110 萬枚 —— 其公鑰已不可逆地暴露,而且其持有者幾乎可以確定無法再遷移這些幣。是否要凍結、限速移轉,或任由這些幣暴露於未來的量子竊取,正逐步成為比特幣歷史上影響最深遠的治理爭論之一。
如 Jameson Lopp 的說法,允許透過量子手段「恢復」比特幣,實質上是在將財富重新分配給那些在量子電腦競賽中獲勝的人。
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
結語
Google 於 2026 年 3 月發表的白皮書並沒有揭示迫在眉睫的威脅。目前沒有任何量子電腦能破解比特幣的密碼學防護。它真正做到的是大幅壓縮了預估所需的資源規模,並將時間表具體化,使得「準備」成為一項緊迫而非純理論的課題。
實體量子位需求降至不足 50 萬個,加上過去 15 年內估計值已下修四到五個數量級,意味著現行能力與密碼學相關門檻之間的差距正持續縮小,其軌跡與產業預期在 2020 年代末至 2030 年代初達成里程碑的路線圖開始交會。6.9 百萬枚處於「靜態存放」狀態的 BTC 的量子暴露,已是一項明確且可量化的風險,而對於那些遺失金鑰的 P2PK 地址,並不存在任何回溯修補的空間。
比特幣面臨的量子威脅,主要不是硬體問題,而是治理與遷移問題。所需的協議升級和社會共識流程,在比特幣生態中歷來往往需要五到十年的時間。自從 Google 公布那些數字的那一刻起,倒數計時就已經開始。
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares