量子電腦目前還無法破解 Bitcoin (BTC) 或 Ethereum (ETH),但自滿的時間窗口正在縮小:硬體里程碑加速出現、專家預估時間線逐漸收斂到 2030 年代,而區塊鏈協議歷來的升級往往需要 5 到 10 年協調——這表示,即使真正的威脅可能還有多年才到,現在就是開始準備的時候。
關於量子危險何時到來的爭論
幾個月就會有一次新的量子晶片新聞標題,在加密市場掀起震盪。
這個模式自 Google 在 2024 年 12 月發表 Willow 晶片以來不斷重演。該晶片展示了 105 個超導量子位元,能在五分鐘內解決一個狹義的計算問題——而最快的經典超級電腦要花費 10 賴年(10 的 24 次方年)才能完成同樣的任務。
IBM 隨後推出 Heron 處理器,運行 156 個量子位元,並公布詳細路線圖,目標是到 2029 年達到約 200 個邏輯量子位元、2033 年達到 2,000 個。路線圖見。Microsoft 則在 2025 年 2 月發表以拓撲量子位元為基礎的 Majorana 1 處理器,執行長 Satya Nadella 表示,這種架構可在「未來數年而非數十年」內在單一晶片上擴展到一百萬個量子位元。
懷疑論者仍然聲量很大。Blockstream 執行長、早期比特幣貢獻者 Adam Back 認為,具實質意義的量子風險「可能還有 20 到 40 年」。Nvidia 執行長 Jensen Huang 則估計,實用的量子電腦「大概還要 20 年」。
Michael Saylor 已多次駁斥相關恐懼是言過其實,主張傳統銀行基礎設施和軍事系統會遠早於比特幣成為攻擊目標。CoinShares 分析師 Christopher Bendiksen 在 2026 年 2 月發表報告指出,要攻破比特幣需要比目前任何系統強 10 萬倍的量子電腦。
另一邊,Vitalik Buterin 在 2025 年 11 月 Devconnect Buenos Aires 大會上直言,加密領域使用的橢圓曲線「註定會死」,並引用 Metaculus 的預測資料,指出在 2030 年前出現具密碼學相關能力的量子電腦的機率約為 20%。
德州大學教授、被廣泛視為全球頂尖量子運算理論學者之一的 Scott Aaronson,在 2025 年 11 月撰文表示,他現在認為在下一屆美國總統大選前,出現能運行 Shor 演算法的容錯量子電腦是一種「活生生的可能性」。
Nvidia 的量子運算合作夥伴 Alice & Bob 執行長 Théau Peronnin 則在 Web Summit Lisbon 上警告,量子機器可能在 2030 年之後的某個時間點,強大到足以解密比特幣。
多數專家看法落在兩極之間的某個中間值。Global Risk Institute 於 2024 年 12 月對 32 位專家進行的調查發現,超過一半的人認為在 10 年內出現具密碼學相關能力的量子電腦的機率大於 5%。
Chainalysis 在 2025 年的總結中指出,業界專家普遍估計時間表在 5 到 15 年之間。
比特幣開發者 Jameson Lopp 的觀點抓住了務實立場——謹慎地修改協議並執行史無前例的資金遷移可能需要 5 到 10 年,因此社群應該「做最壞打算,抱持最好期望」。
延伸閱讀:Strategy Buys $1.57B In Bitcoin - Its 12th Straight Weekly Purchase
看懂威脅背後的數字
關鍵基礎研究來自 2022 年 Mark Webber 及其薩塞克斯大學同事在 AVS Quantum Science 上發表的一篇論文。
該研究估計,要在一小時內破解比特幣 256 位元 ECDSA 簽章機制,需要 3.17 億個實體量子位元;若是 24 小時內完成,則需約 1,300 萬個實體量子位元,假設使用表面碼錯誤更正、實體閘門錯誤率為 10⁻³。
PsiQuantum 的 Daniel Litinski 在 2023 年的分析把數字降到約 690 萬個實體量子位元,即可在 10 分鐘內完成攻擊。更近期的研究則進一步壓縮了這些估計。
邏輯量子位元的需求量,依既有公式大致收斂在 2,330 個左右,但隨著錯誤更正技術進步,實際所需的高品質實體量子位元數,可能壓低到 10 萬到 100 萬之間,就能讓攻擊變得可行。
目前的量子機器遠遠達不到這個規模。Google 的 Willow 晶片僅運作在 105 個實體量子位元,而 Quantinuum 則展示了 50 個高保真度的邏輯量子位元。以實體量子位元計算,目前與攻破比特幣所需之間仍存在約 1 萬到 30 萬倍的差距。
但真正重要的是發展軌跡,而不是當下快照。IonQ 預測,到 2028 年將達到 1,600 個糾錯後的邏輯量子位元,2030 年達到 80,000 個。
Deloitte 估計,約有 25% 的比特幣——約 400 萬到 600 萬枚 BTC——位於已暴露公鑰的地址中,在未來面對量子攻擊時將是脆弱的。
CoinShares 較為保守的分析則主張,實際在可預見未來中面臨量子風險的只有大約 10,200 BTC,因為多數脆弱的幣要嘛早已遺失,要嘛屬於一旦出現具威脅性的量子電腦跡象就會率先遷移資產的機構。
延伸閱讀:Why SEC's Hester Peirce Wants Crypto Builders Inside
停止重複使用地址——這是當下最重要的一步
比特幣的量子脆弱性核心在於公鑰的暴露。當你把比特幣收進現代的雜湊地址——例如以「1」開頭的 P2PKH 或以「bc1q」開頭的 P2WPKH——鏈上只儲存公鑰的雜湊值。
量子電腦無法有效反推 SHA-256 或 RIPEMD-160 的雜湊值。Grover 演算法只能帶來平方級加速,將 256 位元安全性降到約當 128 位元,仍然安全。
然而,一旦從該地址發起支出交易,完整的公鑰就會在交易的見證資料中被揭露,並永久記錄於區塊鏈。Shor 演算法接著就能從暴露的公鑰推導出私鑰。這就是為什麼地址重複使用是量子防護上破壞性最大的一種做法。
正如 Project Eleven 在 2025 年 7 月解釋的:一筆交易確認後,與該公鑰綁定的輸出就已完全花費——如果該地址之後不再被重複使用,那個公鑰就不再保護任何未花費的幣。
但如果由於重複使用地址,該公鑰還綁有其他 UTXO,那些餘額就持續處於暴露狀態。解決方法很簡單:用區塊瀏覽器檢查每一個有餘額的地址,如果任何地址顯示有支出紀錄,就代表其公鑰已暴露。將這些資金轉移到全新的、從未發起過支出的 P2WPKH 地址。
延伸閱讀:Trumps' World Liberty Demands $5.3M For VIP Access
比特幣的 UTXO 模型如何自然形成一層防線
比特幣的 UTXO(未花費交易輸出)模型,本身就提供了一層多數持幣者未完全理解的量子防禦機制。
每一個 UTXO 都由一段腳本鎖定,要求提供對私鑰所有權的證明。在雜湊地址格式下,這段鎖定腳本只包含公鑰的雜湊值。真正的公鑰只有在擁有者建立支出交易時才會被揭露。
這意味著,只要該地址上存在的 UTXO 從未有過向外支出的紀錄,那麼從長期攻擊的角度看,它在實務上是對量子攻擊「量子安全」的。MARA Holdings 建議,原生 SegWit 格式(例如 P2WPKH 與 P2WSH)在降低交易手續費的同時,還能提供以雜湊公鑰為基礎的保護層。 commitments,使其成為長期儲存的保守選擇。
一個實用的錢包衛生習慣,應該包括為每一筆收到的交易產生一個新的收款地址,並且除非必要,否則不要合併 UTXO。
有個關鍵細節牽涉到 Taproot 地址——P2TR,也就是以「bc1p」開頭的地址。這類地址會在輸出中直接編碼某種形式的公鑰,使其從資金一到帳的那一刻起,就處於量子易受攻擊狀態,不論持有者是否曾經花用過這些幣。對於金額龐大、打算長期冷儲存的資產,在後量子升級正式上線之前,P2WPKH 仍是更安全的選擇。
Also Read: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
記憶池時間窗:為什麼搬動資金仍然是安全的
一個很自然的疑問是:如果在搬動資金時,交易過程中會暫時暴露公鑰,這本身不就造成量子風險嗎?答案是會,但這個時間窗窄到足以管理。從一筆交易進入記憶池,到被打包進區塊——通常是 10 到 60 分鐘——在這段期間內,擁有量子電腦的攻擊者理論上會有機會推導出私鑰,並廣播一筆競爭交易。
然而,即便是對未來量子電腦攻擊 ECDSA 的最樂觀估計,顯示至少需要八小時、而且很可能更久,才能破解一把金鑰。記憶池暴露時間與實際攻擊所需時間之間的落差,提供了相當大的安全緩衝。
把資金長年放在重複使用、且公鑰永久暴露的地址中,其風險遠遠大於進行一次資產遷移交易所承受的短暫風險。
對於管理超大額資產的持有者,還有額外的緩解技術。將交易直接提交給礦池——完全繞過公共記憶池——可以消除連這段窄小時間窗的風險。有些注重隱私的錢包已經支援這項功能。
Also Read: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
Bitcoin 與 Ethereum 都已有後量子升級路線
Bitcoin 目前的主要提案是 BIP-360,由 MARA 的 Hunter Beast 於 2024 年 6 月提出。它建立了一種稱為「支付至量子抗性雜湊」(Pay to Quantum Resistant Hash,P2QRH)的新輸出類型,採用 SegWit 第 3 版,地址以「bc1r」開頭。
這項設計刻意採用混合模式——每一筆輸出可以同時包含傳統 Schnorr 金鑰,以及一個或多個由 NIST 標準化演算法產生的後量子簽名,例如 FN-DSA(FALCON)、ML-DSA(Dilithium)與 SLH-DSA(SPHINCS+)。一筆成功的 BIP-360 交易已於 2025 年 9 月 10 日在 Bitcoin 的 signet 測試網上執行。
主要的技術挑戰在於簽名大小。單一 ML-DSA 簽名約為 2–3 KB,而 SPHINCS+ 可高達 49 KB,相較之下,Schnorr 簽名僅 64 位元組。
Chaincode Labs 2025 年 5 月的報告估計,Bitcoin 完成全面後量子遷移大約需要七年時間,需遷移的 UTXO 約 1.867 億筆。在現實可行、約 25% 區塊空間分配給遷移交易的情況下,光是遷移本身就可能需要兩年以上。
Ethereum 的腳步更快。2026 年 2 月 26 日,Buterin 發布了一份完整的量子抗性路線圖,點出在共識、資料可用性、帳戶簽名以及應用層零知識證明等四個領域中的脆弱點。
Ethereum Foundation 於 2026 年 1 月組成專責的後量子安全團隊,並以 200 萬美元獎金支持相關研究。Buterin 確認,允許錢包使用任意簽名演算法的 EIP-8141 將在一年內上線。
Ethereum 的優勢在於其帳戶抽象框架——ERC-4337,目前已部署逾 4,000 萬個智慧帳戶——讓錢包可以在不需要協議層變更的前提下升級其密碼學機制。
Also Read: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
NIST 的後量子標準已準備好供採用
美國國家標準與技術研究院(NIST)在歷時八年的遴選流程後,於 2024 年 8 月 13 日定案了前三項後量子密碼學標準。
FIPS 203,先前稱為 CRYSTALS-Kyber,是一種基於格(lattice)的金鑰封裝機制,用於建立共享祕密。FIPS 204,先前稱為 CRYSTALS-Dilithium,是一種基於格的數位簽名標準,與區塊鏈交易簽名最為直接相關。
FIPS 205,先前稱為 SPHINCS+,則是一種雜湊式簽名機制,其安全性僅仰賴雜湊函數的碰撞抗性——是目前最保守的選項。
第四種名為 FN-DSA、基於 FALCON 的演算法,仍以 FIPS 206 草案形式存在。它產生的後量子簽名大小約 690 位元組,是在頻寬受限環境下,對區塊鏈最友善的候選方案。
2025 年 3 月,NIST 選定 HQC 作為備用的金鑰封裝機制,採用基於碼(code-based)而非格的數學方法,在萬一格相關假設被證明比預期更弱時,提供演算法上的多樣性。
NIST 的轉換時間表規劃在 2030 年前棄用對量子計算脆弱的演算法,並在 2035 年前完全移除。這項聯邦指令將向金融產業產生連鎖效應。Bitcoin 的 BIP-360 與 Ethereum 的後量子實作,都明確以 NIST 標準作為其密碼學基礎。
Also Read: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
硬體錢包已在準備,但「量子就緒」一詞需要情境說明
Trezor 於 2025 年 11 月推出 Safe 7,被宣稱是首款量子就緒硬體錢包。它使用 SLH-DSA-128——即 NIST FIPS 205 標準——在每次開機時驗證其開機載入程式與韌體,並內建可稽核的 TROPIC01 安全晶片。但這裡有一個重要但書。「量子就緒」這個標籤指的是裝置層級的安全性——保護錢包本身軟體的完整性——而不是鏈上交易的防護。
Trezor 營運長 Danny Sanders 表示,該裝置在技術上能在未來接收後量子更新,但前提是 Bitcoin 或 Ethereum 協議本身已經推出相關升級。
Ledger 在其最新硬體產品中並未明確主打量子就緒功能,儘管其裝置已支援 QRL 代幣,外界預期該公司也會跟進推出具備後量子能力的韌體。
對硬體錢包使用者而言,實務上的重點很簡單:保持韌體為最新版本,這樣一旦協議層開始支援後量子簽名機制,錢包就能直接採用,而不必重新購買新裝置。
韌體更新本身並非完整解方。真正的瓶頸在區塊鏈協議層。在 Bitcoin 啟用 BIP-360 或類似提案,以及 Ethereum 上線 EIP-8141 之前,任何硬體錢包都無法產生網路會接受的後量子交易簽名。錢包的量子抗性,終究只與其所使用的區塊鏈一樣強。
Also Read: BlackRock Extends Five-Day BTC Buying Run To $600M
分散配置至量子意識區塊鏈專案
將一小部分資產配置到已經實作後量子密碼學的區塊鏈專案,可以作為一種對沖——不是用來取代在 Bitcoin 或 Ethereum 上的核心持倉,而是一種選擇權。
Quantum Resistant Ledger (QRL) 自 2018 年創世區塊以來,一直是唯一自底層即採用量子抗性的主流鏈,使用 IETF 制定的 XMSS 雜湊式簽名。
其預計於 2026 年推出的 QRL 2.0 升級,將加入 EVM 相容性與 SPHINCS+。Algorand (ALGO) 則於 2025 年 11 月 3 日,使用 FALCON-1024 簽名,在主網上完成其所稱的全球首筆後量子交易。Hedera (HBAR)partnered with SEALSQ,以使用 Dilithium 測試抗量子硬體簽名。
Solana (SOL) offers 一個可選擇啟用的 Winternitz 一次性簽章保險庫,於 2025 年 1 月推出,不過使用者必須主動選擇加入。David Chaum 的 xx Network 自 2021 年上線以來,就在其隱私協議中incorporated 抗量子密碼技術。
這些專案的流動性和網路效應遠不及比特幣或以太坊,其代幣也承擔了典型的小市值風險。但它們的存在證明,後量子區塊鏈安全的工程並非紙上談兵——它已經被部署並在運行中。
Also Read: Ethereum Breaks $2,200 As Key Indicators Turn Green
多重簽名與冷錢包中真正重要的細節
多重簽名錢包add 了一層成比例的防禦。兩之三(2-of-3)多重簽名安排,要求攻擊者至少破解兩把私鑰,而不是一把。Lopp 指出,像 Bitfinex 和 Kraken 這樣的大型交易所錢包採用多重簽名,要求量子攻擊者分別逆向工程兩或三把私鑰。
這並不是永久性的解決方案——如果一台量子電腦能破解一把 ECDSA 私鑰,它理論上也能在給予足夠時間下破解多把私鑰——但它顯著提高了攻擊的成本與所需時間。
關鍵建議是使用 P2WSH 包裝的多重簽名,它在花費前將金鑰隱藏在雜湊之後,而不是使用原始的 P2MS,後者在輸出腳本中會立即暴露所有公鑰。
對於冷錢包,一個關鍵的誤解是離線錢包天生就具備抗量子能力。事實並非如此。量子威脅與是否連網無關,它關乎的是公鑰在區塊鏈上被暴露。最佳做法包括:使用 P2WPKH 位址;永遠不要在已用於支出交易的位址上再次接收資金;依排程輪換冷儲存的輸出;避免將 Taproot 用於大額持倉;並持續關注後量子升級公告,以便及時完成遷移。
Also Read: What Could $73K Breakout Mean For BTC Bulls?
機構已經在為後量子時代布局
Coinbase 於 2026 年 1 月formed 了量子運算與區塊鏈獨立諮詢委員會,成員包括 Aaronson、史丹佛大學的 Dan Boneh,以及以太坊基金會的 Justin Drake。
執行長 Brian Armstrong 曾[c]alled](https://decrypt.co/358559/coinbase-ceo-says-quantum-computing-solvable-issue-for-crypto) 量子運算是加密產業「非常可解決的問題」。
在傳統機構中,JPMorgan 或許走得最前面,它已與 Toshiba 和 Ciena built 出一個量子金鑰分配網路,用來保護其 Kinexys 區塊鏈平台的安全。
在較偏空的機構動向方面,Jefferies 策略師 Christopher Wood 於 2026 年 1 月removed 將比特幣自其模型投資組合中移除,理由是量子風險對其儲值敘事構成存亡級威脅——這是首批由量子疑慮所驅動的華爾街重大動作之一。
ARK Invest 與 Unchained 則於 2026 年 3 月published 發布聯合報告,將此風險界定為「漸進且可管理」,並指出,一旦出現重大量子突破,很可能會先衝擊更廣泛的網際網路安全,促使政府與科技公司進行協調應對,然後才會波及比特幣。
對於個人持有者而言,理性的框架是像機構一樣看待量子風險——將其視為一個期限較長但機率非零的事件,需要事先準備,而非恐慌。
根據專家調查,在 2030 年之前出現具密碼學關聯性的量子電腦,其機率座落 在約 14% 至 20% 之間,到 2035 年則升至 33% 至 50%。
Also Read: XRP Transactions Triple In One Year To 3M Amid Record Activity
結論
量子對加密貨幣的威脅是真實存在、機率非零且持續增長——但並非迫在眉睫。目前量子硬體大約只有 1,100 個實體量子位元,與破解比特幣 ECDSA 所需的數百萬實體量子位元之間,仍存在巨大差距。然而,有三個匯聚中的因素,意味著現在就必須採取行動。
演算法進展正比預期更快地壓縮所需的量子位元數。IBM、IonQ 和 Microsoft 的硬體路線圖,暗示未來五到十年內將出現數量級的能力飛躍。而區塊鏈協議升級在歷史上往往需要五到十年的社會協調才能部署完成。
這份研究最重要的結論是:大多數實務上的防護措施都不需成本,且今天就能完成。停止重複使用位址。將資金從已暴露公鑰的位址,轉移到全新的 P2WPKH 錢包。對於大額持倉,使用 P2WSH 包裝的多重簽名。
避免將 Taproot 用於長期冷儲存。保持硬體錢包韌體為最新版本,並可考慮 Trezor 的 Safe 7,以獲取其裝置層級的後量子安全性。撥出一小部分部位作為對沖,投入真正具備抗量子能力的專案,如 Algorand、QRL 和 Hedera——這並非要全面調整投資組合,而是作為一種選擇權配置。
關注 IBM 在「邏輯量子位元」上的里程碑,並留意 BIP-360 或 EIP-8141 的啟用,以作為啟動協議層遷移的訊號。加密產業以往都透過不斷適應而度過各種結構性挑戰,而量子升級的路徑已經在建構中。Mosca 不等式——也就是「若遷移所需時間長於威脅到來時間,你就會輸」——是最關鍵的原則。開始遷移的時機,是在最後期限尚未明朗之前,而不是之後。
Read Next: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back