目前量子電腦還不能破解 Bitcoin (BTC) 或 Ethereum (ETH),但隨着硬件突破加速、專家對時間表的預測逐步收斂至 2030 年代,以及區塊鏈協議升級在歷史上往往需要 5 至 10 年協調——這些都意味著,儘管真正的威脅可能還在多年之後,準備的時間其實就是現在。
關於量子危機何時到來的爭論
每隔幾個月,有關全新量子晶片的新聞標題就會讓加密貨幣市場一陣不安。
這樣的模式自 Google 在 2024 年 12 月發佈 Willow 晶片後就不斷重演。該晶片以 105 個超導量子位,在不足五分鐘內解決了一個狹義計算問題——而全世界最快的經典超級電腦需要 10 正七次方年(10 septillion years)才能完成同樣任務。
IBM 其後推出 Heron 處理器,運行 156 個量子位,並公佈詳細路線圖,目標是在 2029 年前後達到約 200 個邏輯量子位、2033 年約 2,000 個。Microsoft 則在 2025 年 2 月發佈以拓撲量子位為基礎的 Majorana 1 處理器,CEO Satya Nadella 表示,這種架構有望在「數年而非數十年」內,將單晶片擴展至一百萬個量子位。
懷疑者依然聲音響亮。Blockstream CEO、早期比特幣貢獻者 Adam Back 認為有意義的量子風險「很可能還有 20 至 40 年」。Nvidia CEO Jensen Huang 也表示,真正實用的量子電腦「大概還要二十年」。
Michael Saylor 更直接否定這些恐慌,認為威脅被嚴重誇大,他指出傳統銀行基建與軍事系統會遠早於比特幣成為攻擊目標。CoinShares 分析師 Christopher Bendiksen 則在 2026 年 2 月發佈報告,認為要破解比特幣,需要比現有系統強約 10 萬倍的量子運算能力。
另一邊,Vitalik Buterin 在 2025 年 11 月 Devconnect 布宜諾斯艾利斯會議上直言,加密貨幣所用的橢圓曲線「註定會死亡」,並引用 Metaculus 的預測數據,指在 2030 年前出現具加密學意義的量子電腦的機率約為 20%。
公認是全球頂尖量子計算理論學者之一的德州大學教授 Scott Aaronson 則在 2025 年 11 月撰文表示,他現在認為,在下一屆美國總統大選前,出現能運行 Shor 演算法的容錯量子電腦,是一種「活生生的可能性」。
Nvidia 量子運算合作夥伴 Alice & Bob 的 CEO Théau Peronnin 在里斯本 Web Summit 上警告,2030 年之後的某個時間點,量子機器可能強大到足以解密比特幣。
整體共識大致落在兩極之間。Global Risk Institute 在 2024 年 12 月對 32 名專家的調查顯示,超過一半受訪者認為,在 10 年內出現具加密學意義的量子電腦的機率大於 5%。
Chainalysis 在 2025 年的總結中指出,產業專家一般估計時間表在 5 至 15 年之間。
比特幣開發者 Jameson Lopp 則在文章中完整呈現了務實立場——要做出深思熟慮的協議修改,並執行前所未有的大規模資金遷移,可能需要 5 至 10 年,因此社群應該「做最壞打算,抱最好期望」。
延伸閱讀:Strategy 再買 15.7 億美元比特幣——連續第 12 週加倉
了解威脅背後的數字
關鍵基礎研究來自 2022 年 Mark Webber 及其薩塞克斯大學團隊於 AVS Quantum Science 發表的一項研究。
該研究估算,要在一小時內破解比特幣 256 位元 ECDSA 簽名方案,需要約 3.17 億個實體量子位;若攻擊時間放寬至 24 小時,則需約 1,300 萬個實體量子位,此假設基於表面碼糾錯,物理閘錯誤率為 10⁻³。
PsiQuantum 的 Daniel Litinski 在 2023 年的分析,將需求降至約 690 萬實體量子位,即可在 10 分鐘內完成攻擊。更近期的工作則進一步壓縮這些估算數字。
在已建立的公式下,邏輯量子位需求大致收斂在約 2,330 個,但若採用更新的錯誤更正技術,整體攻擊可能在僅 10 萬至 100 萬個高品質實體量子位的情況下就具可行性。
目前的量子機器還遠遠不夠。Google 的 Willow 晶片僅運作於 105 個實體量子位,而 Quantinuum 只在高保真條件下證明了 50 個邏輯量子位。與實際攻擊門檻相比,目前在實體量子位上的差距約為 1 萬到 30 萬倍。
但真正重要的是發展軌跡,而非當下快照。IonQ 預測,到 2028 年可達到 1,600 個錯誤更正後的邏輯量子位;到 2030 年則有望達 80,000 個。
Deloitte 估計,約 25% 的比特幣——介乎 400 萬至 600 萬 BTC——目前位於已暴露公鑰的地址中,未來將對量子攻擊者高度脆弱。
CoinShares 較為保守的分析則主張,在可預見的短期內,真正面臨現實量子風險的只有約 10,200 BTC,因為大部分脆弱幣都在遺失錢包內,或屬於一旦量子電腦臨近現實就會及時遷移資金的機構。
延伸閱讀:為何 SEC 的 Hester Peirce 希望加密圈進入體制內
停止重用地址——這是目前最重要的一步
比特幣的量子脆弱性核心在於公鑰的暴露。當用戶把比特幣收進現代哈希地址——如以「1」開頭的 P2PKH 或以「bc1q」開頭的 P2WPKH——鏈上只會儲存公鑰的雜湊值。
量子電腦無法高效反推 SHA-256 或 RIPEMD-160 哈希。Grover 演算法只能提供平方級加速,把 256 位元安全性降低為等效 128 位元,而這仍被視為安全。
然而,一旦用戶從該地址花費,完整公鑰便會出現在交易的見證資料中,並永久記錄在區塊鏈上。此時,Shor 演算法就可以從已暴露的公鑰推導出私鑰。這正是為何地址重用,會是量子防禦中破壞力最大的做法。
正如 Project Eleven 在 2025 年 7 月說明的那樣,在一筆交易確認後,與該密鑰綁定的輸出已完全花光——因此,只要該地址不再被重複使用,該公鑰就不再守護任何未花費的幣。
但如果因為地址重用,同一公鑰還綁定了其他 UTXO,那些餘額就持續暴露在風險之下。解法其實很簡單:用區塊瀏覽器檢查每一個仍有餘額的地址。若某地址出現過支出交易,即代表其公鑰已暴露。立刻把這些資金轉移到全新的、從未花費過的 P2WPKH 地址。
延伸閱讀:Trumps' World Liberty 向 VIP 入場者索價 530 萬美元
比特幣的 UTXO 模型如何天然提供一層防線
比特幣的 UTXO(未花費交易輸出)模型,為多數持幣者尚未充分意識到的量子防禦機制提供了內建保護。
每個 UTXO 都被一段腳本鎖定,要求持有者證明其私鑰所有權。在哈希地址格式中,鎖定腳本只包含公鑰的雜湊值,真正的公鑰要等到所有者發起支出交易時才會被揭露。
這代表,只要某地址從未發出過支出交易,那麼該地址上的未花費 UTXO,實際上對於長程量子攻擊而言是「準量子安全」的。MARA Holdings 建議,原生 SegWit 格式如 P2WPKH 和 P2WSH,既能降低手續費,又能透過哈希公鑰設計提升量子防護水準。 commitments,令其成為長期儲存的保守選擇。
一個實用的錢包「衛生習慣」是:為每一筆新收入交易生成一個全新的收款地址,且除非必要,盡量不要把多個 UTXO 合併。
其中一個重要的細節是 Taproot 地址——P2TR,以「bc1p」開頭。這些地址會直接在輸出中編碼某種類型的公鑰,使其自資金到帳那一刻起就對量子攻擊脆弱,無論持有人有沒有從該地址花過幣。對於金額龐大、打算長期冷儲存的持幣者,在後量子升級正式上線之前,P2WPKH 仍然是較安全的選擇。
延伸閱讀: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
記憶池視窗:為何搬幣目前仍然是安全的
一個很自然的疑問是:如果在轉帳時,公鑰會在交易過程中被暫時曝光,那難道不會本身就產生量子風險嗎?答案是會,但這個時間視窗窄得足以被妥善管理。從交易進入記憶池(mempool)那一刻,到被打包進區塊——通常為 10 至 60 分鐘——在理論上,一個擁有量子電腦的攻擊者會有一個機會窗口去推導出私鑰,然後廣播一筆競爭交易。
然而,即便是對未來量子攻擊 ECDSA 的最樂觀估計,顯示破解單一私鑰至少需要八小時,實際上很可能更久。記憶池曝光時間與攻擊所需時間之間的落差,提供了相當大的安全緩衝。
相比之下,長年把幣放在重複使用、且公鑰永久暴露的地址裡,其風險遠遠大於一次性遷移交易所帶來的短暫風險。
對於管理巨額資產的持幣者,還有額外的風險緩解手段。例如直接向礦池提交交易——完全繞過公開記憶池——即可消除這個短暫的攻擊窗口。部分重視隱私的錢包已經支援此功能。
延伸閱讀: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
比特幣與以太坊都有後量子升級路線圖
比特幣目前的主要提案是 BIP-360,由 MARA 的 Hunter Beast 於 2024 年 6 月提出。它建立了一種新的輸出型別,稱為 Pay to Quantum Resistant Hash(P2QRH),使用 SegWit 版本 3,地址以「bc1r」開頭。
這個設計刻意採用混合模式——每個輸出都可以同時包含傳統的 Schnorr 金鑰,以及一個或多個來自 NIST 標準演算法(如 FN-DSA(FALCON)、ML-DSA(Dilithium)和 SLH-DSA(SPHINCS+))的後量子簽章。2025 年 9 月 10 日,一筆成功的 BIP-360 交易已在比特幣的 signet 測試網上被執行。
主要的技術挑戰在於簽章大小。單一 ML-DSA 簽章約有 2 至 3 KB,而 SPHINCS+ 更可達 49 KB,相較之下 Schnorr 只有 64 bytes。
Chaincode Labs 在 2025 年 5 月的報告中估計,比特幣完整的後量子遷移大約需要七年時間,約有 1.867 億個 UTXO 需要遷移。在實際情況下,若只分配 25% 區塊空間用於遷移,光是遷移本身就可能需要兩年以上。
以太坊的進度更快。2026 年 2 月 26 日,Buterin 發表了一套完整的量子抗性路線圖,指出共識、資料可用性、帳戶簽章、以及應用層零知識證明等四個脆弱環節。
Ethereum Foundation 於 2026 年 1 月成立專門的後量子安全團隊,並以 200 萬美元研究獎金作為後盾。Buterin 確認,允許錢包使用任何簽章演算法的 EIP-8141 將在一年內上線。
以太坊的優勢在於其帳戶抽象架構——ERC-4337,已部署逾 4,000 萬個智慧帳戶——使錢包能升級其使用的密碼學方案,而不需要變更協議本身。
延伸閱讀: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
NIST 的後量子標準已準備好供採用
美國國家標準與技術研究院(NIST)在歷時八年的遴選過程後,已於 2024 年 8 月 13 日正式發布首批三項後量子密碼學標準。
FIPS 203,前稱 CRYSTALS-Kyber,是一種基於格(lattice)的金鑰封裝機制,用於建立共享祕鑰。FIPS 204,前稱 CRYSTALS-Dilithium,是基於格的數位簽章標準,並且是與區塊鏈交易簽章最直接相關的方案。
FIPS 205,前稱 SPHINCS+,是一種基於雜湊(hash-based)的簽章機制,其安全性只依賴於雜湊函式的抗碰撞性——是目前可用選項中最保守的一種。
第四個演算法 FN-DSA(基於 FALCON)則仍以 FIPS 206 草案形式存在。它所產生的後量子簽章大小約為 690 bytes,是對頻寬受限環境最友善的區塊鏈候選演算法。
2025 年 3 月,NIST 選定 HQC 作為後備金鑰封裝機制,採用基於碼(code-based)而非基於格的數學,以在格假設若被證明較預期脆弱時,提供演算法上的多樣性。
NIST 的轉換時間表規劃在 2030 年前開始汰除對量子計算脆弱的演算法,並在 2035 年前完全移除。這項聯邦層級的要求將會向整個金融產業擴散。比特幣的 BIP-360,以及以太坊的後量子實作,都明確以 NIST 標準作為其密碼學基礎。
延伸閱讀: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
硬件錢包已在準備,但「Quantum-Ready」這個說法需要脈絡
Trezor 於 2025 年 11 月推出 Safe 7,被宣傳為首款「量子就緒(quantum-ready)」硬件錢包。它使用 SLH-DSA-128——即 NIST FIPS 205 標準——在每次開機時驗證其開機載入程式與韌體,並採用可稽核的 TROPIC01 安全晶片。但其中有一個重要但書:所謂量子就緒這個標籤,其實是指裝置層級的安全性——也就是保障錢包自身軟體的完整性——而非鏈上交易簽章的保護。
Trezor 營運長 Danny Sanders 表示,從技術上來說,裝置在未來確實可以接收後量子更新,但前提是比特幣或以太坊協議本身已推出那些升級。
Ledger 並未在其最新硬件中大張旗鼓宣傳量子就緒功能,儘管其裝置已支援 QRL 代幣,預期該公司也會跟進提供後量子韌體能力。
對硬件錢包用戶而言,實際上的重點很簡單:保持韌體為最新版本,如此一來,當協議層開始支援後量子簽章方案時,錢包就能直接採用,而不需要另外購買新裝置。
但韌體更新本身並不是完整解方。真正的瓶頸在於區塊鏈協議層。在比特幣啟用 BIP-360 或類似提案之前,以及以太坊推出 EIP-8141 之前,任何硬件錢包都無法產生網絡可接受的後量子交易簽章。錢包的量子抗性,最多只能跟其所連接的鏈一樣強。
延伸閱讀: BlackRock Extends Five-Day BTC Buying Run To $600M
分散配置至「量子意識」區塊鏈專案
將少量資金配置到已經實作後量子密碼學的區塊鏈專案,可以作為一種對沖——不是為了取代比特幣或以太坊等核心持倉,而是一種選擇權。
Quantum Resistant Ledger (QRL) 至今仍然是唯一自 2018 年創世區塊以來就採用量子抗性設計的主要鏈,使用 IETF 制定的 XMSS 雜湊式簽章。
其預定於 2026 年推出的 QRL 2.0 升級,將加入 EVM 相容性及 SPHINCS+。Algorand (ALGO) 則在 2025 年 11 月 3 日,透過 FALCON-1024 簽章,達成其所稱「全球首筆在主網上完成的後量子交易」。Hedera (HBAR)partnered 與 SEALSQ 合作,使用 Dilithium 測試抗量子嘅硬件簽名。
Solana (SOL) 喺 2025 年 1 月 推出 可選用嘅 Winternitz 一次性簽名保險庫,不過用戶必須自行選擇啟用。David Chaum 嘅 xx Network 自 2021 年推出以嚟,就已經喺其私隱協議中 加入 抗量子加密技術。
以上呢啲項目嘅流動性同網絡效應都遠遠及唔上 Bitcoin 或 Ethereum,而且佢哋嘅代幣都有典型細市值風險。但佢哋嘅存在,證明咗後量子區塊鏈安全嘅工程唔係紙上談兵——而係已經落地運行中。
延伸閱讀: Ethereum Breaks $2,200 As Key Indicators Turn Green
多重簽名與冷錢包中真正重要嘅細節
多重簽名錢包可以 提供相應層次嘅防禦。一個 2-of-3 嘅多簽安排,會要求攻擊者至少破解兩把私鑰,而唔係一把。Lopp 指出,好似 Bitfinex 同 Kraken 呢啲大型交易所嘅錢包都用多簽,因此量子攻擊者分別需要逆向兩把或三把私鑰。
呢個唔係永久解決方案——如果量子電腦可以破解一把 ECDSA 私鑰,只要時間夠,佢就可以破解多把——但係可以大幅提高攻擊嘅成本同所需時間。
關鍵建議係使用 P2WSH 封裝多重簽名,令私鑰喺花費前都隱藏喺雜湊之後,而唔好用原始嘅 P2MS,因為 P2MS 會喺輸出 script 入面即時暴露所有公鑰。
至於冷錢包,一個重大誤解就係線下錢包天生就係抗量子安全。事實並唔係。量子威脅同你有冇上網無關,而係關乎公鑰喺區塊鏈上嘅暴露情況。最佳實務包括:使用 P2WPKH 地址;永遠唔好喺已經用過作為支出嘅地址再次收款;定期輪轉冷儲存輸出;避免將大量資產用 Taproot 儲存;以及密切留意後量子升級公告,以便及時遷移。
延伸閱讀: What Could $73K Breakout Mean For BTC Bulls?
機構已經為後量子時代作部署
Coinbase 喺 2026 年 1 月 成立 量子計算與區塊鏈獨立顧問委員會,成員包括 Aaronson、史丹福大學嘅 Dan Boneh,同以太坊基金會嘅 Justin Drake。
CEO Brian Armstrong 表示 量子計算對加密貨幣行業嚟講係一個非常可解決嘅問題。
傳統金融機構當中,JPMorgan 可以話走得最前,已經聯同 Toshiba 同 Ciena 打造 一個量子密鑰分發網絡,用嚟保護其 Kinexys 區塊鏈平台。
喺機構部署嘅偏淡一面,Jefferies 策略師 Christopher Wood 喺 2026 年 1 月 將 Bitcoin 從佢嘅模型投資組合中剔除,指量子風險對其價值儲存論點構成存在性威脅——呢係首批由量子憂慮驅動嘅華爾街重大舉動之一。
ARK Invest 同 Unchained 喺 2026 年 3 月聯合發表 報告,將呢種風險定調為漸進且可管控,並指出一旦出現重大量子突破,好可能首先衝擊更廣泛嘅互聯網安全體系,促使政府同科技公司先行作出協調應對,然後先會波及 Bitcoin。
對於個人持幣者,一套理性框架係好似機構咁去看待量子風險:將其視為一個長期存在、機率非零嘅事件,需要預先準備,但無需恐慌。
根據專家調查,喺 2030 年之前出現對密碼學具實質威脅嘅量子電腦嘅機率約 為 14% 至 20%,到 2035 年則上升至 33% 至 50%。
延伸閱讀: XRP Transactions Triple In One Year To 3M Amid Record Activity
結論
量子對加密貨幣嘅威脅係真實嘅、非零,而且愈嚟愈大——但並非迫在眉睫。現時大約 1,100 個實體量子位元嘅硬件水平,同要破解 Bitcoin 所用 ECDSA 所需嘅數百萬實體量子位元之間,仍然存在巨大差距。不過,有三個正在匯聚嘅因素令我哋必須而家就開始行動。
演算法進展正比預期更快地壓縮所需量子位元數量;IBM、IonQ 同 Microsoft 嘅硬件路線圖顯示,未來五到十年內能力會出現數量級躍升;而區塊鏈協議升級,從社群協調到真正部署,歷史上往往都要花五到十年。
今次研究最重要嘅啟示係:大部分實際保護步驟都唔使錢,而且今日就可以做。停止重用地址。將資金由公鑰已經曝光嘅地址轉去全新嘅 P2WPKH 錢包。對於大額持倉,使用 P2WSH 封裝多重簽名。
避免用 Taproot 來做長期冷儲存。保持硬件錢包韌體為最新版本,並考慮使用 Trezor Safe 7 呢類具備後量子裝置安全設計嘅產品。撥出一小部分倉位配置至真正具抗量子能力嘅項目,例如 Algorand、QRL 同 Hedera——唔係要徹底調整整個投資組合,而係作為一種期權。
留意 IBM 喺「邏輯量子位元」嘅里程碑進展,以及 BIP-360 或 EIP-8141 何時啟用,作為你應該採取協議層遷移行動嘅信號。加密行業到而家,每一次結構性挑戰都係靠適應同升級走過嚟,而量子升級路線其實已經開始鋪設。所謂 Mosca 不等式——即「如果遷移所需時間長過威脅抵達時間,你就輸」——係最值得記住嘅原則。開始遷移嘅時間,應該喺死線變得清晰之前,而唔係之後。
下一篇閱讀: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back