Google 于 2026 年 3 月 30 日发表的 Quantum AI 白皮书 指出,大约 690 万枚 Bitcoin (BTC),约占总供应量的三分之一,被存放在对量子“静态”(at-rest)攻击易受攻击的地址中,其中包括估计 110 万枚与比特币匿名创建者 中本聪(Satoshi Nakamoto) 相关的比特币。
摘要(TL;DR)
- Google Quantum AI 发现,破解比特币使用的 256 位椭圆曲线密码学,所需物理量子比特可能低于 50 万个——比此前估算降低约 20 倍。
- 约 690 万枚 BTC 存放在公钥永久暴露的地址类型中,使其成为未来量子静态攻击的目标。
- 中本聪时代的 P2PK 地址无法被任何人升级,这引发棘手的治理问题:是冻结休眠币,还是任由其暴露在风险中。
Google 白皮书到底说了什么
这篇论文标题很长:“Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations”。论文全文 长达 57 页,是大型科技公司迄今最详细的量子密码威胁评估之一。
六位 Google Quantum AI 研究员——Ryan Babbush、Adam Zalcman、Craig Gidney、Michael Broughton、Tanuj Khattar 和 Hartmut Neven——共同署名。外部合作者包括加州大学伯克利分校的 Thiago Bergamaschi、Ethereum Foundation 的 Justin Drake 以及斯坦福大学的 Dan Boneh。
论文的核心技术贡献,是两套优化过的量子电路,用于在 256 位椭圆曲线上 实现 Shor 算法,求解椭圆曲线离散对数问题(ECDLP)。
这正是用来保护比特币安全的加密原语。
其中一套电路使用少于 1,200 个逻辑量子比特和 9,000 万个 Toffoli 门;另一套则使用少于 1,450 个逻辑量子比特和 7,000 万个 Toffoli 门。
Google 估算,这些电路可以在少于 50 万物理量子比特的超导量子计算机上,在几分钟内运行完毕。先前的估算需要数量级更庞大的硬件。University of Sussex 在 2022 年发表的一篇被广泛引用的论文 预测,一小时攻击需要 3.17 亿个物理量子比特,而 10 分钟攻击则需要 19 亿个。Google 的研究将这一需求压缩了约 20 倍。
与一般资源估算论文不同,Google 并未公开实际的电路实现细节,而是发布了一个使用 SP1 与 Groth16 SNARK 的零知识证明。独立研究人员可以验证论断是否成立,而不会获得攻击电路本身。
此次研究是对 Google 早期量子里程碑成果的进一步 拓展。
2024 年 12 月发布并发表于《Nature》的 Willow 芯片,展示了 105 个超导量子比特,并在超导处理器上首次实现“阈值以下”的量子纠错。从 3x3 到 5x5 再到 7x7 量子比特阵列,误码率每走一步就减半。Willow 在不到五分钟内完成了一项基准测试,而传统超级计算机 Frontier 预计需要 10 正秭年才能完成。
尽管如此,Google 明确表示 Willow 目前不构成任何密码学威胁。
Google Quantum AI 的总监兼 COO Charina Chou 在 2024 年 12 月接受 The Verge 采访时表示,该芯片无法破解现代密码体系,破解 RSA 大约需要 400 万个物理量子比特。
延伸阅读: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
为何中本聪的币最暴露
Google 分析所揭示的核心脆弱点,可以追溯到比特币诞生之初的一个设计选择。2009 年 1 月 3 日中本聪启动网络时,挖矿软件将区块奖励发送到 P2PK(Pay-to-Public-Key,支付到公钥)输出。在这种格式下,从币被记入的那一刻起,完整公钥就永久地暴露在区块链上。
锁定脚本只包含公钥加上一个 OP_CHECKSIG 指令。这意味着长 65 字节的非压缩公钥或 33 字节的压缩公钥,对任何读取区块链的人都是可见的。
公钥前面没有任何哈希保护层。
中本聪也 实现了 P2PKH(Pay-to-Public-Key-Hash,支付到公钥哈希)格式,只在链上存储公钥的哈希。P2PKH 地址——也就是熟悉的以 “1” 开头的地址——在创世区块之后两周内就出现在链上。
这种设计是有意为之。中本聪早就意识到,椭圆曲线密码有可能被未来量子计算机上运行的改进 Shor 算法攻破。
尽管如此,挖矿软件在 2009 年和 2010 年仍持续默认使用 P2PK 作为 coinbase 奖励输出格式。Sergio Demian Lerner 在 2013 年首次提出的 Patoshi 模式研究 指出,从 2009 年 1 月到 2010 年中,有一个单一实体挖出了约 22,000 个区块,累积了约 100 万到 110 万枚 BTC。
该实体的挖矿行为与公开发布的客户端明显不同:它使用多线程 nonce 扫描,并似乎有意限制算力输出,以保护网络稳定。
该地址簇中只有大约 907 枚 BTC 曾经被花费。最著名的一笔交易,是在 2009 年 1 月 12 日向 Hal Finney 支付 10 BTC,这是已知的第一笔点对点比特币转账。
由于这些币从未移动,对应公钥仍永久暴露在链上。运行 Shor 算法的量子计算机,在没有时间压力的情况下,可以从公钥推导出私钥。这就是核心的“静态”攻击向量。
延伸阅读: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
三类攻击向量与 690 万枚 BTC 的敞口
Google 的白皮书 形式化 了加密货币上的量子攻击分类,澄清了不同威胁向量的规模。
静态(at-rest)攻击针对那些公钥永久暴露在区块链上的地址。攻击者拥有几乎无限的时间——几天、几个月甚至几年——来推导私钥。此类攻击主要涵盖三种地址类型:
- P2PK 地址:从币被记入那一刻起,公钥就包含在锁定脚本中并完全可见
- 重复使用的 P2PKH 地址:在第一次支出之后,公钥已经在输入脚本中暴露
- P2TR/Taproot 地址:按设计将“调整过(tweaked)”的公钥直接存放在链上
Google 认为,从量子安全角度看,Taproot 是一种“安全回撤”。即便是时钟频率较慢的量子架构,例如中性原子或离子阱系统,也能实施静态攻击,因为不存在紧迫的时间窗口。链上分析显示,大约有 170 万枚 BTC 位于 P2PK 脚本中,而综合考虑地址重用与 Taproot 暴露后,总共约 690 万枚 BTC 落入易受攻击的地址类型。
“在支出时”(on-spend)的攻击,以前也被称为“在途”(in-transit)攻击,针对的是内存池(mempool)中的交易。
当用户广播一笔交易时,公钥会在输入脚本中被 披露。攻击者必须在交易确认前——在比特币上大约 10 分钟——完成私钥求解。
Google 的论文指出,一台时钟频率很高的超导量子计算机,理论上可以在约 9 分钟内解出一次 ECDLP,成功抢在交易确认前完成攻击的概率约为 41%。
“在设定时”(on-setup)的攻击,则针对协议中固定的参数,比如可信设置仪式。比特币在这一向量上是安全的。但 Ethereum (ETH) 的数据可用性抽样以及类似 Tornado Cash 的协议,则可能存在风险。
一个关键事实是:工作量证明挖矿本身不在威胁之列。Grover 算法对 SHA-256 最多只能提供平方级别的加速,将有效安全强度从 256 位降低到 128 位——仍远超现实可行范围。Dallaire-Demers 等人在 2026 年 3 月发表的一篇论文 表明,量子挖矿大致需要 10²³ 个量子比特和 10²⁵ 瓦的能耗,接近文明级别的能源规模。
延伸阅读: Bitcoin Faces Six Bearish Months But ETF Demand Grows
比特币的“Q 日”还有多远?
当前量子硬件与真正威胁密码学之间仍存在巨大差距,但这道鸿沟正在比预想更快地缩小。
目前处于领先地位的处理器 包括:Google 的 105 量子比特超导芯片 Willow、IBM 的 120 量子比特高保真 Nighthawk、Quantinuum 的 98 量子比特离子阱处理器 Helios,以及 Caltech 创纪录的 6,100 量子比特中性原子阵列。
最大的通用系统仍是 IBM 的 Condor,拥有 1,121 个量子比特。以 Google 修订后的“低于 50 万物理量子比特”目标计算,不同架构与目标之间的差距约在 80 倍到 5,000 倍之间。 2025 年和 2026 年的时间表被明显加速:
- Microsoft 在 2025 年 2 月 发布 了 Majorana 1——首款采用拓扑量子比特的处理器,被设计为能够在手掌大小的芯片上扩展到 100 万个量子比特,尽管独立复现实验质疑其是否已经确证展示了拓扑效应
- Amazon 的 Ocelot 芯片同样在 2025 年 2 月推出,其采用 的“猫态量子比特(cat qubits)”可将纠错开销降低多达 90%
- 与 Google 白皮书同时发布的一篇配套论文声称,在乐观假设下,中性原子架构只需约 10,000 个物理量子比特就可能攻破 ECC-256
专家对时间表的估计分布很广。Google 为自身系统迁移到后量子密码学设定了 2029 年的内部最后期限。
以太坊研究员 Justin Drake 估计 到 2032 年,量子计算机能够恢复 secp256k1 ECDSA 私钥的概率至少为 10%。IonQ 的路线图目标是在 2030 年前实现 80,000 个逻辑量子比特。
在更为怀疑的一端,Blockstream CEO Adam Back 否定 2028 年的时间表,认为不可信。NVIDIA CEO 黄仁勋 则认为实用量子计算机还需要 15 至 30 年。NIST 建议在 2035 年前完成向后量子密码学的迁移。
算法改进趋势进一步加剧了紧迫性。2010 至 2026 年间,用于攻破椭圆曲线密码所需的物理量子比特数量已经下降了四到五个数量级。Google 最新电路在此前最佳估计基础上又进一步减少了 20 倍。
延伸阅读:Chainalysis Launches AI Bots To Fight Crypto Crime
量子防护版比特币协议之争
比特币开发者社区已经围绕多项提案展开了动员,但根本性的治理挑战依然存在。
由 MARA/Anduro 的 Hunter Beast、Ethan Heilman 和 Isabel Foxen Duke 起草的 BIP‑360(Pay-to-Merkle-Root)已于 2025 年 2 月合并进官方 BIP 仓库。它引入 了一种新的 SegWit v2 输出类型,采用 bc1z 前缀,只对脚本树的 Merkle 根进行承诺,从而移除了 Taproot 中对量子攻击脆弱的密钥路径花费。BIP‑360 本身并未引入后量子签名,但为其预留了框架。
BTQ Technologies 已在其 Bitcoin Quantum 测试网部署 了可运行的 BIP‑360 实现。截至 2026 年 3 月,已有超过 50 名矿工参与并产出 100,000 余个区块。
由 Lopp 和 Papathanasiou 提出的方案在 2025 年 7 月的 Quantum Bitcoin Summit 上被公布,概述了一个分三阶段进行的软分叉路径。
A 阶段在 BIP‑360 激活三年后禁止再向传统 ECDSA 地址发送交易。B 阶段在此基础上两年后,使所有传统签名永久失效,从而冻结所有对量子攻击脆弱的币。C 阶段则通过 BIP‑39 助记词拥有权的零知识证明,提供一条可选的资产恢复路径。
Agustin Cruz 提出的 QRAMP 提案则采取更强硬立场。它主张 通过一次硬分叉设定强制迁移最后期限,最后期限之后未迁移的币将不可再花费。来自 Hunter Beast 和 Marathon Digital 的 Michael Casey 的 Hourglass 提案则提供了一条中间道路——通过将量子暴露 UTXO 的移动速率限制为每区块一个,将潜在攻击的时间从数小时拉长至大约八个月。
在标准层面,NIST 已于 2024 年 8 月最终发布 首批三项后量子密码标准:用于密钥封装的 ML-KEM(基于 CRYSTALS-Kyber)、用于数字签名的 ML-DSA(基于 CRYSTALS-Dilithium),以及作为备份签名标准的 SLH-DSA(基于 SPHINCS+)。
第五种算法 HQC 则在 2025 年 3 月被选定 为备用密钥封装机制。
对于比特币集成而言,主要难题在于签名大小。相较于大约 72 字节的 ECDSA,Dilithium 签名约为 2,420 字节——增幅约 33 倍,这将严重挤占区块空间并显著抬高交易成本。
在比特币之外,更广泛的生态系统也在快速行动。
以太坊基金会已在 2026 年 1 月将后量子安全列为 核心优先事项,推出了一个四阶段硬分叉路线图,中期目标是在 2029 年前实现量子抗性。Coinbase 也组建 了独立量子计算咨询委员会,成员包括 Scott Aaronson、Dan Boneh 和 Justin Drake。
延伸阅读:Cardano Whales Grab $53M In ADA But Price Stays Flat
比特币持有者现在该做什么
对于个人比特币持有者而言,即便协议层面的争论仍在继续,现实操作建议却相对直接。存放在 P2WSH(SegWit 见证脚本哈希,bc1q 开头、共 62 字符)或 P2WPKH(SegWit,bc1q 开头、共 42 字符)地址且从未发生过外发交易的币,被普遍认为提供 了当前可获得的最强保护。
在链上可见的只有公钥的哈希值。
对于大额或长期持有,应当避免使用 P2TR/Taproot(bc1p)地址,它们在设计上就会暴露公钥。
最关键的实践是不重用地址。一旦从某个地址花出比特币,该地址的公钥就会被公开,其上剩余或未来存入的资金都会变得容易受到量子攻击。用户可以借助 Project Eleven 的开源 Bitcoin Risq List 来检查自身暴露情况,该项目跟踪 网络上每一个对量子攻击脆弱的比特币地址。
将资金从已暴露地址转移到一个全新、从未使用过的哈希型地址,可以消除“静态存放”层面的脆弱性。
比特币托管公司 Unchained 也提醒用户:警惕骗子借“量子威胁”之名制造恐慌,逼迫你匆忙转移资产。目前尚无需立刻采取紧急行动。
更深层的问题在于大约 170 万枚 BTC 存放在 P2PK 地址中——其中包括估计约 110 万枚属于中本聪的币——这些地址的公钥已不可逆地暴露,其所有者几乎可以肯定无法再迁移资产。究竟是应该冻结、限速,还是任由这些币暴露在未来的量子窃取风险之下,正逐渐演变为比特币历史上影响最深远的治理争议之一。
正如 Jameson Lopp 所表述 的那样,允许通过量子手段“追回”比特币,本质上是在将财富重新分配给那些在量子计算机竞赛中获胜的人。
延伸阅读:Saylor Quiet On Bitcoin After 13-Week Buying Spree
结论
Google 2026 年 3 月的白皮书并未揭示迫在眉睫的威胁。目前尚无量子计算机能够攻破比特币的密码学。但这篇白皮书大幅压缩了理论资源需求,并将此前偏向理论层面的时间表正式拉到了需要立即开始准备的现实层面。
资源估计被降低到不足 50 万个物理量子比特,再叠加过去 15 年间估算值已下降四到五个数量级,这意味着当前算力与密码学相关门槛之间的差距正在快速缩小,其趋势线与业界路线图在 2020 年代末到 2030 年代初发生交汇。6,900,000 枚 BTC 的“静态存放”脆弱性是一项已知且可量化的风险,对于丢失密钥的 P2PK 地址则不存在任何追溯性修复路径。
比特币面对的量子威胁,主要不是硬件问题,而是治理和迁移问题。所需的协议升级与社会共识过程,在比特币生态中历来就需要五到十年。自从 Google 公布这些数字 的那一刻起,倒计时就已经开始。
下篇阅读:Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares