一篇 Google Quantum AI whitepaper published 於 2026 年 3 月 30 日發表的白皮書指出,約有 690 萬枚 Bitcoin (BTC) —— 約佔總供給三分之一 —— 存放在對量子「靜態」(at-rest)攻擊脆弱的地址中,其中估計有 110 萬枚與這個網路的化名創辦人 Satoshi Nakamoto 有關。
重點整理(TL;DR)
- Google Quantum AI 發現,要破解比特幣的 256 位元橢圓曲線密碼學,可能只需要不到 50 萬個實體量子位元(qubits)—— 比先前估計少 20 倍。
- 約 690 萬枚 BTC 位於其公鑰長期暴露的地址類型中,使其成為未來量子靜態攻擊的目標。
- Satoshi 時代的 P2PK 地址無法由任何人升級,這引發了是否該凍結休眠幣或任其暴露於風險的棘手治理問題。
Google 白皮書實際在說什麼
這篇論文有個很長的標題:「Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations」。它 runs 長達 57 頁,是目前大型科技公司中,對量子密碼學威脅最詳盡的評估。
共有六位 Google Quantum AI 研究員 —— Ryan Babbush、Adam Zalcman、Craig Gidney、Michael Broughton、Tanuj Khattar 和 Hartmut Neven —— 共同撰寫此文。外部合作者包括 UC Berkeley 的 Thiago Bergamaschi、Ethereum Foundation 的 Justin Drake 以及 Stanford 的 Dan Boneh。
核心技術貢獻,是一對優化過的量子電路,用來 implement 在 256 位元曲線上執行橢圓曲線離散對數問題(ECDLP)的 Shor 演算法。
這正是目前保護比特幣的密碼學基礎原語。
其中一個電路使用不到 1,200 個邏輯量子位元和 9,000 萬個 Toffoli gate。另一個則使用不到 1,450 個邏輯量子位元和 7,000 萬個 Toffoli gate。
Google 估計,這些電路可以在少於 50 萬個實體量子位元的超導量子電腦上於數分鐘內完成運行。先前的估計則需要多得多的硬體。來自 University of Sussex 的一篇 2022 年廣為引用的論文 projected 要在一小時內完成攻擊需要 3.17 億個實體量子位元,而 10 分鐘內完成則需 19 億個。Google 的結果把這個需求壓縮了約 20 倍。
在一篇關於資源估算的論文中,Google 採取了不同尋常的做法:它沒有公開實際的電路實作。取而代之的是,利用 SP1 和 Groth16 SNARK 發布了一個零知識證明。外部研究者可以在不取得攻擊細節的前提下驗證這些主張。
這項工作 builds 在 Google 之前的量子里程碑之上。
於 2024 年 12 月發表、並刊登於《Nature》的 Willow 晶片,展示了 105 個超導量子位元,是第一個在超導處理器上達成「低於閾值」(below-threshold)量子錯誤修正的系統。從 3x3 到 5x5 再到 7x7 量子位元陣列,每往上一級錯誤率就減半。Willow 在五分鐘內完成了一項基準測試,而 Frontier 超級電腦估計需要 10 澗(10^24)年。
儘管如此,Google 明確表示,Willow 今天尚不構成任何密碼學威脅。
Google Quantum AI 的總監兼營運長 Charina Chou 在 2024 年 12 月接受 The Verge 採訪時表示,這顆晶片無法破解現代密碼學,要破解 RSA 約需 400 萬個實體量子位元。
延伸閱讀: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
為什麼 Satoshi 的幣最暴露
Google 分析的核心脆弱性可追溯到比特幣早期的一個設計選擇。當 Satoshi Nakamoto 於 2009 年 1 月 3 日啟動網路時,挖礦軟體會將區塊獎勵發送到 P2PK(Pay-to-Public-Key)輸出。在這種格式下,從幣一入帳開始,完整公鑰就永久地暴露在區塊鏈上。
其鎖定腳本只是公鑰加上一個 OP_CHECKSIG 指令。這意味著 65 bytes 的未壓縮公鑰或 33 bytes 的壓縮公鑰,對任何讀取鏈的人都是可見的。
沒有任何雜湊層保護它。
Satoshi 也 implemented 了 P2PKH(Pay-to-Public-Key-Hash),只在鏈上存放公鑰的雜湊值。P2PKH 地址 —— 也就是大家熟悉、以「1」開頭的地址 —— 在創世區塊之後兩週內就出現在鏈上。
這是刻意的設計。Satoshi 意識到,橢圓曲線密碼學未來可能被運行在量子電腦上的改良版 Shor 演算法攻破。
儘管早已知情,挖礦軟體在 2009 和 2010 年仍持續將 coinbase 獎勵預設發送至 P2PK。Sergio Demian Lerner 的經典 Patoshi 模式研究(2013 年首次發表)identified 有單一實體在 2009 年 1 月至 2010 年中之間挖出了約 22,000 個區塊,累積約 100 萬至 110 萬枚 BTC。
這種挖礦行為與公開發佈的客戶端不同:它使用多執行緒 nonce 掃描,且似乎刻意降低算力輸出,以保護網路穩定。
那批持幣中只有約 907 BTC 曾被花費。最著名的一筆,是於 2009 年 1 月 12 日發送 10 BTC 給 Hal Finney,這也是第一筆點對點比特幣轉帳。
由於這些幣從未移動,其公鑰因此永久暴露。一台能運行 Shor 演算法的量子電腦,可在沒有時間壓力下算出對應的私鑰。這就是核心的「靜態」攻擊向量。
延伸閱讀: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
三種攻擊向量與 690 萬枚 BTC 的曝險
Google 的白皮書 formalizes 了一套針對加密貨幣的量子攻擊分類法,釐清各種威脅向量的規模。
靜態(at-rest)攻擊,鎖定的是區塊鏈上長期暴露的公鑰。攻擊者擁有無限時間 —— 以天、月甚至年來計 —— 來推導私鑰。這一類別涵蓋三種主要地址型態:
- P2PK 地址:從幣入帳那一刻起,公鑰就直接暴露在鎖定腳本中
- 重複使用的 P2PKH 地址:在第一次對外支出後,公鑰被揭露
- P2TR/Taproot 地址:依設計直接在鏈上儲存調整後(tweaked)的公鑰
Google identifies Taproot 在量子安全性上是一種退步。即便是較慢的量子架構,例如中性原子或離子阱系統,也可能執行靜態攻擊,因為沒有時間限制。鏈上分析顯示,約有 170 萬枚 BTC 位於 P2PK 腳本中,若加上地址重用與 Taproot 曝險,總計約 690 萬枚 BTC 受影響。
花費時(on-spend)攻擊,先前稱為「傳輸中」(in-transit)攻擊,目標則是 mempool 中的交易。
當使用者廣播交易時,公鑰會在輸入處被 revealed 出來。攻擊者必須在該交易確認前推導出私鑰 —— 對比特幣來說,大約是 10 分鐘。
Google 的論文指出,一台時脈極快的超導量子電腦,可能在約 9 分鐘內解出 ECDLP,成功在交易確認前搶先花費的機率約為 41%。
啟動時(on-setup)攻擊,目標是像「可信啟動儀式」(trusted setup)這類固定的協定參數。比特幣在這個向量上是免疫的。但 Ethereum (ETH) 的資料可用性取樣(Data Availability Sampling),以及像 Tornado Cash 這樣的協定,可能存在風險。
關鍵在於:工作量證明(PoW)挖礦本身並不在威脅之列。Grover 演算法對 SHA-256 只提供平方級加速,將有效安全強度從 256 位元降至 128 位元 —— 仍遠超可行範圍。Dallaire-Demers 等人在 2026 年 3 月的論文 demonstrated 顯示,量子挖礦大約需要 10²³ 個量子位元和 10²⁵ 瓦的功率,接近文明等級的能源需求。
延伸閱讀: Bitcoin Faces Six Bearish Months But ETF Demand Grows
比特幣的 Q-Day 還有多遠?
目前量子硬體與對密碼學產生實際威脅之間的差距依然很大,但縮小的速度比預期快。
目前領先的處理器 include 包括 Google 的 Willow(105 個超導量子位元)、IBM 的 Nighthawk(120 個量子位元且保真度提升)、Quantinuum 的 Helios(98 個離子阱量子位元),以及 Caltech 創下紀錄的 6,100 個中性原子量子位元陣列。
目前最大的通用系統仍是 IBM 的 Condor,擁有 1,121 個量子位元。與 Google 修正後「少於 50 萬個實體量子位元」的目標相比,視架構而定,差距大約在 80 至 5,000 倍之間。
Several developments in 2025 and 2026 have accelerated timelines:
- Microsoft 在 2025 年 2 月 發表 Majorana 1 —— 首款使用拓撲量子位元(topological qubits)的處理器,設計目標是在手掌大小的晶片上擴展到 100 萬個量子位元,儘管獨立重現研究質疑其中拓撲效應是否已被「確證」展示。
- Amazon 的 Ocelot 晶片同樣在 2025 年 2 月 採用 「貓量子位元(cat qubits)」設計,可將錯誤更正開銷最多降低 90%。
- Google 白皮書同步發佈的一篇配套論文聲稱,在較為樂觀的假設下,中性原子架構只需約 10,000 個實體量子位元就能破解 ECC-256。
專家對時間表的估計差異極大。Google 已將自身系統遷移至後量子密碼學的內部最後期限設定在 2029 年。
以太坊研究員 Justin Drake 估計 ,到 2032 年量子電腦可以復原 secp256k1 ECDSA 私鑰的機率至少為 10%。IonQ 的路線圖則以 2030 年達成 80,000 個邏輯量子位元為目標。
在懷疑論的一端,Blockstream 執行長 Adam Back 否定 2028 年的威脅時間表,認為不具可信度。NVIDIA 執行長 黃仁勳 則認為有實用價值的量子電腦還需要 15 至 30 年。NIST 建議應在 2035 年前完成向後量子密碼學的遷移。
演算法改善的趨勢加劇了這種緊迫感。從 2010 年到 2026 年,用於破解橢圓曲線密碼學所需的實體量子位元數量已下降了四到五個數量級。Google 最新的量子電路又在先前最佳估計的基礎上再度降低了約 20 倍。
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
The Race to Quantum-Proof Bitcoin's Protocol
比特幣開發社群已經動員並圍繞多項提案展開工作,但根本性的治理難題仍然存在。
由 MARA/Anduro 的 Hunter Beast、Ethan Heilman 與 Isabel Foxen Duke 共同撰寫的 BIP-360(Pay-to-Merkle-Root)已於 2025 年 2 月合併進官方 BIP 儲存庫。該提案引入 一種新的 SegWit v2 輸出類型,使用 bc1z 前綴,只對腳本樹的 Merkle root 承諾。這樣就移除了 Taproot 中對量子計算脆弱的「key-path spend」。BIP-360 本身並未導入後量子簽章,但為其建立了框架。
BTQ Technologies 已在其 Bitcoin Quantum 測試網上部署 了可運作的 BIP-360 實作。截至 2026 年 3 月,已有超過 50 名礦工參與並產出 100,000 多個區塊。
由 Lopp/Papathanasiou 提出的方案在 2025 年 7 月的 Quantum Bitcoin Summit 上發表,概述了一個分三階段實施的軟分叉方案。
A 階段是在 BIP-360 啟用三年後,禁止再將資金發送到舊式 ECDSA 位址。B 階段是在此後兩年,將所有舊式簽章視為無效,永久凍結對量子計算脆弱的幣。C 階段則提供一條可選的救濟路徑:透過零知識證明證明持有 BIP-39 種子,來取回資金。
由 Agustin Cruz 提出的 QRAMP 提案採取更強硬的作法。它主張 透過硬分叉設定強制遷移最後期限,逾期未遷移的幣將變為不可花費。由 Hunter Beast 與 Marathon Digital 的 Michael Casey 提出的 Hourglass 提案則採取折衷路線 —— 將量子暴露的 UTXO 每個區塊僅允許移動一筆,以速率限制方式,將潛在攻擊從幾小時延長到約八個月。
在標準制定方面,NIST 已於 2024 年 8 月定案 首批三項後量子密碼學標準:ML-KEM(基於 CRYSTALS-Kyber)用於金鑰封裝,ML-DSA(基於 CRYSTALS-Dilithium)用於數位簽章,SLH-DSA(基於 SPHINCS+)則作為備援簽章標準。
第五項演算法 HQC 則於 2025 年 3 月被選定 為備援金鑰封裝機制。
對比特幣整合而言,主要挑戰在於簽章大小。相較於 ECDSA 約 72 bytes 的簽章,Dilithium 簽章約為 2,420 bytes —— 放大約 33 倍,將大幅壓縮區塊空間並顯著提高交易成本。
Beyond Bitcoin, the broader ecosystem is moving quickly.
以太坊基金會已在 2026 年 1 月將 後量子安全列為核心優先事項,並啟動一個分四階段的硬分叉路線圖,目標在中期於 2029 年前達成量子抗性。Coinbase 也成立 了量子運算獨立諮詢委員會,成員包括 Scott Aaronson、Dan Boneh 和 Justin Drake。
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
What Bitcoin Holders Should Do Now
對個別比特幣持有者來說,即便協議層面的辯論仍在持續,實際操作建議相對明確。存放在 P2WSH(SegWit 見證腳本雜湊,bc1q 開頭、長度 62 字元)或 P2WPKH(SegWit,bc1q 開頭、長度 42 字元)且從未用於對外支出的位址,被認為是目前提供 的最強防護。
在這些位址上,鏈上只會暴露公鑰的雜湊值。
P2TR/Taproot(bc1p)位址則不宜用於大額或長期持有,因其在設計上會直接暴露公鑰。
最關鍵的操作原則是不重複使用位址。一旦從某個位址花費比特幣,其公鑰就會被揭露,該位址剩餘或日後存入的資金都將暴露於量子風險之下。使用者可以透過 Project Eleven 的開源 Bitcoin Risq List 來檢查自身暴露情況,該專案會追蹤 網路上每一個對量子計算脆弱的比特幣位址。
將資金從已暴露的位址轉移到一個全新、從未使用過的「雜湊型位址」,即可消除靜態存放狀態下的脆弱性。
正如比特幣託管公司 Unchained 所提醒的:務必小心利用「量子恐慌」誘導匆促轉帳的詐騙。目前並不存在需要立刻緊急行動的情況。
更深層的問題在於約 170 萬枚 BTC 存於 P2PK 位址 —— 其中包括推估屬於中本聰的約 110 萬枚 —— 其公鑰已不可逆地暴露,而持有者幾乎可以確定無法再遷移它們。是否應該凍結、限速,還是任其暴露並最終遭量子竊取,正成為比特幣歷史上最重大的治理辯論之一。
正如 Jameson Lopp 所描述 的那樣,允許透過量子技術「恢復」比特幣,實質上等同將財富再分配給在量子電腦競賽中勝出的那一方。
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Conclusion
Google 在 2026 年 3 月發表的白皮書並未揭示迫在眉睫的威脅。目前尚無任何量子電腦能夠破解比特幣的密碼學。這份白皮書真正做的是大幅壓縮既有的資源需求估計,並正式給出一個時間線,讓「準備工作」從理論層面轉為現實緊迫。
實體量子位元需求降到不到 500,000 個,再加上過去 15 年間估計值下修了四到五個數量級,意味著當前能力與密碼學相關性的落差正快速縮小,其趨勢與產業在 2020 年代末到 2030 年代初的路線圖相交。6.9 百萬枚 BTC 的靜態存放脆弱性,已是一個被量化且明確存在的風險,對遺失金鑰的 P2PK 位址則不存在任何事後補救。
量子威脅對比特幣而言,首要問題並非硬體,而是治理與遷移。所需的協議升級與社會共識流程,在比特幣生態中歷來就需要五到十年。而這個倒數計時,在Google 公布那些數字 的那一刻就已開始。
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares