量子计算机目前还无法破解 Bitcoin (BTC) 或 Ethereum (ETH),但自硬件里程碑不断加速、专家时间线逐步收敛到 2030 年代,以及区块链协议升级在历史上往往需要 5 到 10 年协同推进来看——这意味着,即便真正的威胁可能还要多年才会出现,现在就应该开始做准备,而不是躺平不管。
围绕量子危险何时到来的争论
每隔几个月,一条关于新量子芯片的新闻标题就会在加密市场掀起波澜。
自 Google 于 2024 年 12 月发布 Willow 芯片以来,这一模式就不断上演。该芯片拥有 105 个超导量子比特,在不到 5 分钟时间里解决了一个窄范围的计算问题,而最快的经典超级计算机要完成同一任务则需要 10 尧年。
IBM 随后推出了运行 156 个量子比特的 Heron 处理器,并给出一份详细路线图,目标是在 2029 年前后实现约 200 个逻辑量子比特,在 2033 年前后实现 2,000 个。Microsoft 则在 2025 年 2 月发布了基于拓扑量子比特的处理器 Majorana 1,CEO Satya Nadella 表示,该架构有望在数年内而不是数十年内,在单芯片上扩展到一百万量子比特。
怀疑者依然声音很大。Blockstream CEO、早期比特币贡献者 Adam Back 认为,有意义的量子风险“很可能还要 20 到 40 年”。英伟达 CEO Jensen Huang 也表示,真正有用的量子计算机“可能仍然要二十年”。
Michael Saylor 则直接否定这种担忧,认为传统银行基础设施和军用系统会远比比特币更早成为攻击目标。CoinShares 分析师 Christopher Bendiksen 在 2026 年 2 月的报告中指出,想要打破比特币安全需要的系统算力大约是当前一切可用设备的 10 万倍。
另一边,Vitalik Buterin 在 2025 年 11 月 Devconnect 布宜诺斯艾利斯大会上直言,加密领域所使用的椭圆曲线“注定会死”,并引用 Metaculus 的预测数据,指出在 2030 年前出现对密码学具有现实意义的量子计算机的概率大约为 20%。
得克萨斯大学教授、被广泛视为全球顶尖量子计算理论学者之一的 Scott Aaronson 在 2025 年 11 月撰文表示,他如今认为,在下一届美国总统大选前出现能够运行 Shor 算法的容错量子计算机,是一个“活生生的可能性”。
Alice & Bob(英伟达量子计算合作伙伴)CEO Théau Peronnin 则在里斯本 Web Summit 上警告,2030 年之后的某个时间点,量子机器可能足以解密比特币。
主流观点大致位于两极之间。Global Risk Institute 在 2024 年 12 月对 32 位专家的调查中发现,超过一半受访者认为,在未来 10 年内出现对密码学有现实意义的量子计算机的概率超过 5%。
Chainalysis 在 2025 年的总结中指出,行业专家普遍给出的时间窗口是 5 到 15 年。
比特币开发者 Jameson Lopp 用一种务实立场概括:要做出深思熟虑的协议改动,并实施史无前例的大规模资金迁移,可能需要 5 到 10 年;因此,社区应该“做最坏打算,抱最好希望”。
延伸阅读: Strategy Buys $1.57B In Bitcoin - Its 12th Straight Weekly Purchase
理解量子威胁背后的数字
奠定基础的研究来自 2022 年发表在 AVS Quantum Science 上的一项工作,作者是萨塞克斯大学的 Mark Webber 及其同事。
该研究估算,要在 1 小时内打破比特币 256 位 ECDSA 签名方案,需要约 3.17 亿个物理量子比特;如果时间放宽到 24 小时,则需要约 1,300 万个物理量子比特,前提是使用表面码纠错、物理门错误率为 10⁻³。
PsiQuantum 的 Daniel Litinski 在 2023 年的分析则将这一数字降至,在 10 分钟攻击窗口内需要约 690 万个物理量子比特。更近期的一些研究又进一步压缩了估算。
在逻辑量子比特层面,基于现有公式,需求大致收敛在 2,330 个左右,但借助新的纠错技术,攻击在理论上可能在仅有 10 万到 100 万个高质量物理量子比特的情况下就变得可行。
当前的量子机器还远远不够。Google 的 Willow 芯片仅运行 105 个物理量子比特,而 Quantinuum 也只是展示了 50 个高保真逻辑量子比特。两者和攻击门槛之间的物理量子比特数量差距,大约在 1 万倍到 30 万倍之间。
不过,真正重要的不是当前快照,而是发展轨迹。IonQ 在其路线图中预测,到 2028 年将拥有 1,600 个纠错后的逻辑量子比特,到 2030 年将达到 80,000 个。
Deloitte 估计,所有比特币中大约有 25%——约 400 万到 600 万枚 BTC——存放在公钥已经暴露、将来会对量子攻击者脆弱的地址上。
而 CoinShares 较为保守的分析则认为,真正面临可预见中短期风险的只有约 10,200 枚 BTC,因为大部分脆弱的币要么在丢失的钱包里,要么属于那些一旦出现对密码学有现实意义的量子计算机,就会提前迁移资产的主体。
延伸阅读: Why SEC's Hester Peirce Wants Crypto Builders Inside
停止地址复用——这是当前最重要的一步
比特币的量子脆弱性核心在于公钥暴露。当有人向现代哈希地址收款时——例如以“1”开头的 P2PKH,或以“bc1q”开头的 P2WPKH——链上实际存储的只是公钥的哈希值。
量子计算机无法高效逆向 SHA-256 或 RIPEMD-160 哈希。Grover 算法只能提供平方级加速,将 256 位安全性等效降低为 128 位,但这在现实中仍然被视为安全。
然而,一旦用户从该地址发起支出交易,完整公钥就会在交易的见证数据中暴露,并被永久记录到区块链上。此时,借助 Shor 算法就可以从已暴露的公钥中推导出私钥。因此,在量子安全准备中,地址复用是危害最大的做法。
正如 Project Eleven 在 2025 年 7 月解释的那样,交易被确认后,与该公钥相关的输出已经完全花费——如果该地址不再被复用,那么这条公钥实际上不再守护任何未花费余额。
但如果由于地址复用,同一公钥下仍然有其他 UTXO,那么这些余额就持续暴露在潜在的量子攻击面前。解决方案其实很简单:用区块浏览器检查每一个仍有余额的地址。如果某个地址已经发生过支出交易,那么其公钥就已经暴露。将这些资金转移到一个全新的、从未发生过支出的 P2WPKH 地址即可。
延伸阅读: Trumps' World Liberty Demands $5.3M For VIP Access
比特币 UTXO 模型如何天然形成一道防线
比特币的 UTXO(未花费交易输出)模型本身就提供了一层多数持币者并未充分意识到的量子防御。
每一个 UTXO 都被一段脚本锁定,要求证明私钥所有权。在哈希地址格式下,锁定脚本中只包含公钥哈希,真正的公钥在持有者发起支出交易之前一直处于隐藏状态。
这意味着,对于那些从未发生过支出交易的地址来说,其上的未花费 UTXO 在面对远程量子攻击时在功能上是“量子安全”的。MARA Holdings 建议优先使用 P2WPKH 和 P2WSH 等原生 SegWit 格式,因为它们在保留“哈希公钥”优势的同时,还能降低手续费。 commitments,使其成为长期存储的保守选择。
一个实用的钱包卫生习惯包括:为每一笔收到的转账生成一个新的收款地址,并且除非必要,永远不要合并 UTXO。
有一个关键的细微差别与 Taproot 地址有关——P2TR,以“bc1p”开头。这类地址在输出中直接编码了一种形式的公钥,使其从资金一到达的那一刻起就暴露在量子攻击风险之下,而不取决于所有者是否曾经从该地址花费过资金。对于规模大且打算长期冷存的资产,在后量子升级正式上线之前,P2WPKH 仍然是更安全的选择。
Also Read: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
内存池时间窗:为何转移币仍然是安全的
一个自然而然会出现的担忧是:如果在交易过程中,移动币会暂时暴露公钥,那么这本身不就产生了量子风险吗?答案是会,但这个时间窗足够短,可以被安全管理。从一笔交易进入内存池(mempool)到被打包进区块——通常为 10 到 60 分钟——在这段时间里,拥有量子计算机的攻击者理论上有机会推导出私钥并广播一笔相互竞争的交易。
然而,对未来利用量子计算攻击 ECDSA 的最乐观估计表明,破解单个密钥至少需要八个小时,而且很可能更久。内存池暴露时间与攻击所需时间之间的差距,提供了可观的安全裕度。
把币长期留在一个复用地址中、让公钥多年处于永久暴露状态,其风险远远大于进行一次迁移交易所带来的短暂风险。
对于管理巨额资金的持币者,还存在额外的缓解技术。将交易直接提交给矿池——完全绕过公开内存池——可以消除这一狭窄时间窗。一些注重隐私的钱包已经支持此功能。
Also Read: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
比特币与以太坊都已有后量子升级路径
比特币的主要提案是 BIP-360,由 MARA 的 Hunter Beast 于 2024 年 6 月提出。它创建了一种新的输出类型,称为“支付到量子抗性哈希”(Pay to Quantum Resistant Hash,P2QRH),使用 SegWit 版本 3,地址以“bc1r”开头。
该设计刻意采用混合结构——每个输出都可以在经典 Schnorr 密钥旁边,包含一个或多个来自 NIST 标准算法(如 FN-DSA(FALCON)、ML-DSA(Dilithium)和 SLH-DSA(SPHINCS+))的后量子签名。2025 年 9 月 10 日,一笔成功的 BIP-360 交易已在比特币 signet 测试网上被执行。
主要技术挑战在于签名大小。单个 ML-DSA 签名有两到三千字节,而 SPHINCS+ 可高达 49 千字节,相比之下 Schnorr 仅为 64 字节。
Chaincode Labs 在 2025 年 5 月的报告中估算,比特币完成全面后量子迁移大约需要七年时间,约有 1.867 亿个 UTXO 需要迁移。在现实可行的 25% 区块空间分配下,仅迁移过程本身就可能需要两年或更长。
以太坊的推进速度更快。2026 年 2 月 26 日,Buterin 发布了一份全面的量子抗性路线图,指出共识、数据可用性、账户签名以及应用层零知识证明四个易受攻击的领域。
以太坊基金会 于 2026 年 1 月组建了专门的后量子安全团队,并通过 200 万美元的研究奖励予以支持。Buterin 确认,将在一年内上线允许钱包使用任意签名算法的 EIP-8141。
以太坊的优势在于其账户抽象框架——ERC-4337,目前已经部署了超过 4000 万个智能账户——这使得钱包可以升级其加密方案,而无需协议层的变更。
Also Read: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
NIST 后量子标准已准备好被采纳
美国国家标准与技术研究院(NIST)在历时八年的评选过程后,于 2024 年 8 月 13 日最终确定了首批三项后量子密码学标准。
FIPS 203,原名 CRYSTALS-Kyber,是一种基于格的密钥封装机制,用于建立共享密钥。FIPS 204,原名 CRYSTALS-Dilithium,是一种基于格的数字签名标准,也是与区块链交易签名最直接相关的标准。
FIPS 205,原名 SPHINCS+,是一种基于哈希的签名方案,其安全性只依赖于哈希函数的抗碰撞性——是当前可用的最保守选项。
第四种算法 FN-DSA(基于 FALCON)仍以 FIPS 206 草案形式存在。它生成的后量子签名大约为 690 字节,是对带宽受限环境最友好的区块链候选算法。
2025 年 3 月,NIST 选定 HQC 作为备用的密钥封装机制,采用基于码而非基于格的数学,为格假设若被证明比预期更弱时,提供算法多样性。
NIST 的过渡时间表要求在 2030 年前弃用易受量子攻击的算法,并在 2035 年前彻底移除。这一联邦层级的强制性要求将向金融行业传导。比特币的 BIP-360 以及以太坊的后量子实现,都明确将 NIST 标准作为其密码学基础。
Also Read: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
硬件钱包正在做准备,但“量子就绪”一词需要语境
Trezor 于 2025 年 11 月推出了 Safe 7,号称是首款“量子就绪”的硬件钱包,并宣称其使用 SLH-DSA-128——即 NIST FIPS 205 标准——在每次开机时验证引导程序和固件,并配备可审计的 TROPIC01 安全芯片。但有一个重要的前提。“量子就绪”这一标签指的是设备层面的安全——保护钱包自身软件的完整性——而不是链上交易的防护能力。
Trezor 首席运营官 Danny Sanders 表示,该设备在技术上能够在未来接收后量子更新,但前提是比特币或以太坊协议本身已经发布了相应的升级。
Ledger 在最新硬件中并未明确宣传“量子就绪”特性,但其设备支持 QRL 代币,公司也被普遍预计会在固件中跟进增加后量子能力。
对硬件钱包用户而言,实际结论很简单:保持固件为最新版本,以便当协议层开始支持后量子签名方案时,钱包可以无缝采用,而无需更换新设备。
固件更新本身并非完整解决方案。真正的瓶颈在于区块链协议层。在比特币激活 BIP-360 或类似提案之前,以及以太坊上线 EIP-8141 之前,任何硬件钱包都无法生成网络可接受的后量子交易签名。钱包的量子抗性水平,终究取决于其所使用的区块链本身。
Also Read: BlackRock Extends Five-Day BTC Buying Run To $600M
将少量资金分散到“量子感知”区块链项目
将少量资金配置到已经实现后量子密码学的区块链项目,可以作为一种对冲——不是用来取代比特币或以太坊等核心持仓,而是一种保留未来选择权的方式。
Quantum Resistant Ledger (QRL) 仍然是自 2018 年创世区块起就保持量子抗性的唯一主流链,使用 IETF 规范的 XMSS 基于哈希签名方案。
其计划于 2026 年上线的 QRL 2.0 升级,将引入 EVM 兼容性和 SPHINCS+。Algorand (ALGO) 于 2025 年 11 月 3 日使用 FALCON-1024 签名,在主网实现了其所称的“全球首笔在真实主网上运行的后量子交易”。Hedera (HBAR)与 SEALSQ 合作,测试使用 Dilithium 的抗量子硬件签名。
Solana (SOL) 在 2025 年 1 月 推出 可选的 Winternitz 一次性签名保险库,但用户必须主动选择启用。David Chaum 的 xx Network 自 2021 年上线以来,已在其隐私协议中集成抗量子密码学。
这些项目在流动性和网络效应方面都远不及比特币或以太坊,而且其代币具有典型的小市值风险。但它们的存在表明,用于后量子区块链安全的工程并非停留在理论层面——它已经被部署并在运行。
延伸阅读: Ethereum Breaks $2,200 As Key Indicators Turn Green
多签与冷存储中真正重要的细节
多签钱包增加了与签名数量成比例的防御层。一个 2/3 多签安排要求攻击者至少破解两个私钥,而不是一个。Lopp 指出,比特芬克斯(Bitfinex)和 Kraken 等大型交易所的钱包使用多签,这意味着量子攻击者必须分别逆向推导出两把或三把密钥。
这并不是永久性的解决方案——如果量子计算机能破解一个 ECDSA 密钥,它在给定足够时间的情况下也能破解多个密钥——但这会显著提高攻击成本并拉长攻击时间。
关键建议是使用 P2WSH 封装的多签,它在花费前通过哈希隐藏密钥,而不是使用原始的 P2MS,因为后者会在输出脚本中立即暴露所有公钥。
对于冷存储,一个关键误解是离线钱包天然具有抗量子能力。事实并非如此。量子威胁与是否联网无关,而是关乎公钥在区块链上的暴露。最佳实践包括:使用 P2WPKH 地址;绝不要在已经用于支出的地址上再次接收资金;按计划轮换冷存储输出;对大额持仓避免使用 Taproot;并密切关注后量子升级公告,以便及时迁移。
延伸阅读: What Could $73K Breakout Mean For BTC Bulls?
机构已在为后量子时代提前布局
Coinbase 于 2026 年 1 月成立了量子计算与区块链独立顾问委员会,成员包括 Aaronson、斯坦福大学的 Dan Boneh,以及以太坊基金会的 Justin Drake。
CEO Brian Armstrong 表示,量子计算是加密行业一个“非常可解决的问题”。
在传统机构中,**摩根大通(JPMorgan)**或许走得最前,它已与 东芝(Toshiba) 和 Ciena 构建了一套量子密钥分发网络,用于保护其 Kinexys 区块链平台。
在更偏空的机构布局方面,Jefferies 策略师 Christopher Wood 于 2026 年 1 月将比特币从其模型投资组合中移除,认为量子风险对比特币“价值存储”叙事构成生存级威胁——这是华尔街因量子担忧而做出的首批重要举措之一。
**方舟投资(ARK Invest)**与 Unchained 在 2026 年 3 月发布了一份联合报告,将该风险定位为渐进且可管理,并指出,一次重大的量子突破很可能先冲击更广泛的互联网安全,促使政府和科技公司在波及到比特币之前采取协调应对。
对个人持币者而言,更理性的框架,是像机构那样看待量子风险——将其视作一个期限较长但非零概率的事件,需要做好准备,而非惊慌失措。
根据专家调研,在 2030 年前出现具密码学相关性的量子计算机的概率约为 14% 至 20%,到 2035 年这一数字上升至 33% 至 50%。
延伸阅读: XRP Transactions Triple In One Year To 3M Amid Record Activity
结论
加密货币面临的量子威胁是真实的、非零且在增长——但并非迫在眉睫。当前约 1,100 个物理量子比特的硬件水平,与破解比特币 ECDSA 所需的数百万物理量子比特之间仍有巨大差距。然而,三大趋同时因素要求现在就开始行动。
算法进展正以快于预期的速度压缩所需量子比特数量;IBM、IonQ 和微软的硬件路线图显示,在五到十年内计算能力可能实现数量级飞跃;而区块链协议升级在历史上通常需要五到十年的社会协同才能完成部署。
本研究最重要的结论是:大多数实际可行的防护措施几乎不花成本,而且今天就可以完成。停止重复使用地址;将资金从已暴露公钥的地址迁移到新的 P2WPKH 钱包;大额持仓使用 P2WSH 封装的多签。
避免将 Taproot 用于长期冷存储;保持硬件钱包固件为最新版本,并考虑因其后量子设备安全特性而选择 Trezor 的 Safe 7。为真正具备抗量子能力的项目(如 Algorand、QRL 和 Hedera)配置一小部分对冲仓位——不是全面调仓,而是保留选择权。
关注 IBM 的逻辑量子比特里程碑,并留意 BIP-360 或 EIP-8141 的激活,将其视作执行协议层迁移的关键信号。加密行业迄今凭借持续适应性度过了每一次结构性挑战,而通往量子升级的路径已经在构建中。“Mosca 不等式”——即如果迁移所需时间长于威胁到达时间,你就会失败——是最关键的理念。开始迁移的时间点应该是在最后期限尚未明朗之前,而不是之后。
下篇阅读: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back