Google 量子 AI 研究團隊於 2026 年 3 月 30 日發表的 量子 AI 白皮書,指出約有 690 萬枚 Bitcoin (BTC)——約佔總供應量三分之一——被存放在容易遭受量子「靜態」(at-rest)攻擊的地址中,其中包含估計 110 萬枚與網絡化名創辦人 Satoshi Nakamoto 有關的比特幣。
TL;DR
- Google Quantum AI 發現,要破解比特幣使用的 256-bit 橢圓曲線密碼學,可能只需要少於 50 萬個實體量子位,比先前估算少約 20 倍。
- 約 690 萬枚 BTC 存放於公鑰永久曝光的地址類型,使其成為未來量子靜態攻擊的潛在目標。
- 中本聰時代的 P2PK 地址無人可以升級,導致棘手的治理問題:究竟應凍結這些沉睡資金,還是任其暴露在風險之下?
Google 白皮書實際寫了甚麼
這份論文標題很長:「Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations。」它長達 57 頁,是大型科技公司迄今對量子密碼威脅最詳細的評估之一。
六位 Google Quantum AI 研究員——Ryan Babbush、Adam Zalcman、Craig Gidney、Michael Broughton、Tanuj Khattar 和 Hartmut Neven——共同撰寫,外部合作者包括 UC Berkeley 的 Thiago Bergamaschi、Ethereum Foundation 的 Justin Drake,以及 Stanford 的 Dan Boneh。
核心技術貢獻是兩組優化過的量子電路,用來實作針對 256-bit 曲線的橢圓曲線離散對數問題(ECDLP)的 Shor 演算法。
這正是用來保護比特彆的密碼學原語。
其中一個電路使用少於 1,200 個邏輯量子位及 9,000 萬個 Toffoli gate,另一個則使用少於 1,450 個邏輯量子位及 7,000 萬個 Toffoli gate。
Google 估算,這些電路在少於 50 萬個實體量子位的超導量子電腦上,可以在數分鐘內完成運行。先前研究對硬件的需求高得多。University of Sussex 於 2022 年的廣為引用論文預測,一小時內完成攻擊需要 3.17 億個實體量子位,十分鐘內則要 19 億。Google 的結果把需求壓縮約 20 倍。
這次與一般資源估算論文不同之處在於,Google 並未公開實際電路實作細節,而是使用 SP1 與 Groth16 SNARK 發佈零知識證明。外部研究者可以驗證其主張,但無法直接取得攻擊具體做法。
這項成果延續了 Google 先前的量子里程碑。
於 2024 年 12 月發表並刊登於《Nature》的 Willow 晶片,展示了 105 個超導量子位,並在超導處理器上首次實現「低於門檻」的量子錯誤更正。錯誤率隨著量子位網格從 3x3、5x5 到 7x7 一步步減半。Willow 在五分鐘內完成一項基準測試,而 Frontier 超級電腦估計需要 10 正秭年才能完成。
儘管如此,Google 明確指出 Willow 目前對密碼學並不構成威脅。
Google Quantum AI 總監兼 COO Charina Chou 在 2024 年 12 月接受 The Verge 訪問時表示,該晶片無法破解現代密碼學,要攻破 RSA 大約需要 400 萬個實體量子位。
延伸閱讀: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
為何中本聰的幣最暴露
Google 分析中的關鍵脆弱點可追溯到比特幣早期的一項設計選擇。當中本聰於 2009 年 1 月 3 日啟動網絡時,挖礦軟件把區塊獎勵支付到 P2PK(Pay-to-Public-Key)輸出。在這種格式下,從幣到賬那一刻起,完整公鑰便永久暴露在區塊鏈上。
鎖定腳本只是公鑰加上 OP_CHECKSIG 指令,亦即 65 字節的未壓縮公鑰,或 33 字節的壓縮公鑰,對任何閱讀鏈上的人都是公開的。
中間沒有雜湊層作為保護。
中本聰亦實作了 P2PKH(Pay-to-Public-Key-Hash),只在鏈上儲存公鑰的雜湊。P2PKH 地址——即以「1」開頭的那種——在創世區塊後約兩星期,便出現在區塊鏈上。
這項設計是刻意為之。中本聰意識到,未來量子電腦上執行改良版 Shor 演算法時,橢圓曲線密碼學可能被攻破。
儘管如此,挖礦軟件在 2009 至 2010 年期間,仍預設使用 P2PK 作為 coinbase 獎勵輸出。Sergio Demian Lerner 於 2013 年發表的 Patoshi pattern 研究,指出,有單一實體於 2009 年 1 月至 2010 年年中之間挖出約 22,000 個區塊,累積約 100 至 110 萬枚 BTC。
其挖礦行為與公開發布的客戶端不同:使用多執行緒 nonce 掃描,並似乎刻意限制算力輸出,以維持網絡穩定。
那批儲備中,只有約 907 枚 BTC 曾經被花費。最著名的一筆是 2009 年 1 月 12 日,向 Hal Finney 發送 10 BTC,這也是首宗點對點比特幣交易。
由於這些幣從未移動,其公鑰至今仍永久暴露。一旦有量子電腦運行 Shor 演算法,便可在毫無時間壓力下推算出相應的私鑰,這就是核心的「靜態」攻擊途徑。
延伸閱讀: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
三種攻擊途徑與 690 萬枚 BTC 的風險曝險
Google 的白皮書形式化了針對加密貨幣的量子攻擊分類,更清楚界定不同威脅向量的規模。
靜態(at-rest)攻擊針對的是永久暴露在鏈上的公鑰。攻擊者在時間上幾乎沒有壓力——可以用上數日、數月甚至數年去推算私鑰。這類地址主要包括三種:
- P2PK 地址:幣一到賬,公鑰就直接出現在鎖定腳本中
- 重複使用的 P2PKH 地址:首次發出交易後,其公鑰便已被揭露
- P2TR/Taproot 地址:依設計把經調整的公鑰直接儲存在鏈上
Google 指出,從量子安全角度看,Taproot 算是一種倒退。即使是時鐘速度較慢的量子架構,如中性原子或離子阱系統,也可用於靜態攻擊,因為並無時間限制。鏈上分析結果顯示,約有 170 萬枚 BTC 存放於 P2PK 腳本中,若連同重用及 Taproot 暴露一併計算,總共約 690 萬枚 BTC 處於脆弱狀態。
On-spend 攻擊(過去稱為「in-transit」攻擊)則鎖定內存池(mempool)中的交易。
當用戶廣播交易時,輸入部分會揭露其公鑰。攻擊者必須在該交易確認前(比特幣約 10 分鐘)推算出私鑰。
Google 的論文指出,在時鐘頻率夠快的超導量子電腦上,可在約九分鐘內解出 ECDLP,成功搶先區塊確認的機率約 41%。
On-setup 攻擊則針對協議中固定的參數,例如受信任啟動儀式。比特幣在這方面是安全的,但 Ethereum (ETH) 的資料可用性抽樣(Data Availability Sampling),以及如 Tornado Cash 等協議則可能存在風險。
關鍵一點是:工作量證明挖礦本身並未受到根本性威脅。Grover 演算法對 SHA-256 只能帶來平方級加速,將有效安全級別由 256 bit 降至 128 bit,仍遠超實際可行的攻擊範圍。Dallaire-Demers 等人在 2026 年 3 月的論文顯示,量子挖礦大致需要 10²³ 個量子位及 10²⁵ 瓦功率,接近文明級能源規模。
延伸閱讀: Bitcoin Faces Six Bearish Months But ETF Demand Grows
比特幣的 Q-Day 還有多遠?
當前量子硬件與足以威脅現代密碼學之間的差距仍然龐大,但縮小速度快於預期。
目前領先的處理器包括擁有 105 個超導量子位的 Google Willow、具更佳保真度且擁有 120 個量子位的 IBM Nighthawk、98 個陷阱離子量子位的 Quantinuum Helios,以及 Caltech 創紀錄的 6,100 個中性原子量子位陣列。
通用系統中規模最大的仍是 IBM 的 Condor,擁有 1,121 個量子位。以 Google 現在估算所需少於 50 萬個實體量子位為目標來看,現有硬件與目標之間的差距,視乎架構不同,大致仍有約 80 倍至 5,000 倍不等。 in 2025 和 2026 年的時間表正在加速:
- Microsoft 在 2025 年 2 月 發表 Majorana 1 —— 首款使用拓撲量子位元的處理器,設計目標是在掌心大小的晶片上擴展到 100 萬個量子位元,不過獨立重現研究質疑其拓撲效應是否已被確切證實
- Amazon 的 Ocelot 晶片,同樣在 2025 年 2 月推出, 使用「貓態量子位元(cat qubits)」,可將錯誤修正開銷降低最多 90%
- 一篇與 Google 白皮書同時發表的配套論文聲稱,在樂觀假設下,中性原子架構只需大約 10,000 個實體量子位元就能破解 ECC-256
專家對時間表的估計差異極大。Google 內部設定的最後期限是 2029 年前完成自家系統向後量子密碼學的遷移。
Ethereum 研究員 Justin Drake 估計 到 2032 年,量子電腦能找回一個 secp256k1 ECDSA 私鑰的機率至少為 10%。IonQ 的路線圖則以 2030 年達到 80,000 個邏輯量子位元為目標。
在較為懷疑的一端,Blockstream CEO Adam Back 對 2028 年的時間預測不以為然,認為不具可信度。NVIDIA CEO 黃仁勳(Jensen Huang) 則認為實用量子電腦還需要 15 至 30 年。NIST 建議在 2035 年前完成向後量子密碼學的全面遷移。
演算法改進趨勢令情勢更緊迫。自 2010 至 2026 年間,用於破解橢圓曲線密碼學所需的實體量子位元數已降低了四到五個數量級。Google 最新的量子電路設計,較此前最佳估計又進一步降低了 20 倍的需求。
延伸閱讀: Chainalysis Launches AI Bots To Fight Crypto Crime
量子防護版比特幣協議之戰
比特幣開發者社群已經圍繞多項提案展開行動,但根本的治理難題依然存在。
由 MARA/Anduro 的 Hunter Beast、Ethan Heilman 和 Isabel Foxen Duke 撰寫的 BIP-360(Pay-to-Merkle-Root)已於 2025 年 2 月併入官方 BIP 儲存庫。它引入 一種新的 SegWit 版本 2 輸出類型,使用 bc1z 前綴,只承諾(commit)到腳本樹的 Merkle 根。這消除了 Taproot 中對量子脆弱的 key-path 花費。BIP-360 本身並未引入後量子簽名,但為其建立了框架。
BTQ Technologies 已在其 Bitcoin Quantum 測試網上部署可運行的 BIP-360 實作。截至 2026 年 3 月,已有超過 50 個礦工參與並產出 100,000 多個區塊。
Lopp/Papathanasiou 的提案於 2025 年 7 月在 Quantum Bitcoin Summit 上發表,概述了一個分三階段的軟分叉方案。
A 階段在 BIP-360 啟用三年後,禁止再發送到傳統 ECDSA 位址。B 階段則在再過兩年後,使所有舊有簽名永久失效,等於凍結所有對量子脆弱的幣。C 階段則提供一條可選的救濟途徑——透過對 BIP-39 種子擁有權的零知識證明來恢復。
Agustin Cruz 提出的 QRAMP 則採取更強硬的立場。它主張透過硬分叉引入強制遷移最後期限,逾期未遷移的幣即變為不可花費。來自 Hunter Beast 和 Marathon Digital 的 Michael Casey 的 Hourglass 提案則提供了中庸路線——把每個區塊中可移動的量子暴露 UTXO 限制為一個,將潛在攻擊從數小時拉長到大約八個月。
在標準層面,NIST 已於 2024 年 8 月定稿首三項後量子密碼標準:ML-KEM(基於 CRYSTALS-Kyber,用於金鑰封裝)、ML-DSA(基於 CRYSTALS-Dilithium,用於數位簽名)以及作為備援簽名標準的 SLH-DSA(基於 SPHINCS+)。
第五種演算法 HQC 則在 2025 年 3 月被選定為備用金鑰封裝機制。
比特幣要採用這些標準的主要挑戰在於簽名大小。Dilithium 簽名大約為 2,420 位元組,而 ECDSA 約為 72 位元組——增加 33 倍,將嚴重擠壓區塊空間並大幅提高交易成本。
除了比特幣之外,更廣泛的生態正迅速行動。
以太坊基金會已在 2026 年 1 月將後量子安全列為核心優先事項,啟動四階段硬分叉路線圖,目標在中期(約 2029 年)達到量子抗性。Coinbase 也成立獨立量子運算諮詢委員會,成員包括 Scott Aaronson、Dan Boneh 和 Justin Drake。
延伸閱讀: Cardano Whales Grab $53M In ADA But Price Stays Flat
比特幣持有人現在應該做什麼
對個別比特幣持有人而言,儘管協議層面的爭論仍在進行,實務建議其實相當明確。存放在 P2WSH(SegWit 見證腳本雜湊,bc1q 開頭、62 個字元)或 P2WPKH(SegWit,bc1q 開頭、42 個字元)且從未用來發送交易的位址,被認為提供目前最強的保護。
鏈上只會顯示公鑰的雜湊值。
P2TR/Taproot(bc1p)位址不宜用於大額或長期持有,因為其設計上會暴露公鑰。
最關鍵的操作守則是「絕對不要重複使用位址」。一旦從某個位址花出比特幣,其公鑰就會暴露,而該位址上剩餘或未來收到的資金都會變得容易遭受量子攻擊。使用者可以透過 Project Eleven 的開源工具 Bitcoin Risq List 來檢查自己的暴露狀況,該工具會追蹤網路上每一個對量子脆弱的比特幣位址。
將資金從已暴露位址轉移到一個全新、從未使用過的「雜湊型」位址,就能消除靜態持有時的風險。
正如比特幣託管公司 Unchained 所警告的:要小心詐騙者利用量子威脅製造恐慌,逼迫你倉促轉帳。目前尚無需立刻採取緊急行動。
更深層的問題在於約 170 萬枚 BTC 仍存放在 P2PK 位址——包括據估計屬於中本聰的約 110 萬枚——其公鑰已不可逆地暴露,而且其擁有者幾乎可以確定無法再遷移這些幣。究竟是要凍結、限速,還是任由這些幣暴露於日後的量子竊取,正逐漸成為比特幣史上最具影響力的治理爭議之一。
如 Jameson Lopp 所描述,允許透過量子電腦取回比特幣,實質上等同於把財富重新分配給那些在量子電腦競賽中勝出的人。
延伸閱讀: Saylor Quiet On Bitcoin After 13-Week Buying Spree
結論
Google 於 2026 年 3 月發表的白皮書並未揭示迫在眉睫的威脅。目前尚無任何量子電腦能破解比特幣的密碼學。真正的影響在於,它大幅壓縮了先前估計的資源需求,並提出了一條明確時間線,讓「準備工作」從理論討論變成緊迫任務。
實體量子位元需求下降到不足 50 萬個,再加上過去 15 年間估計數據已下修四至五個數量級,意味著「現有能力」與「足以影響密碼學安全」之間的距離正在急速縮小,其趨勢線與產業在 2020 年代末至 2030 年代初的路線圖交會。約 690 萬枚 BTC 的靜態持有風險已是可量化、已知的問題,而對於遺失金鑰的 P2PK 位址,事後並無補救空間。
量子對比特幣的威脅,主要不是硬體問題,而是治理與遷移問題。比特幣生態中,完成協議升級與凝聚社會共識的歷史經驗往往需要 5 至 10 年。自從 Google 公布這些數字那一刻起,倒數計時就已經開始。
接下來閱讀: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares