量子计算机破解微型比特币式密钥，业界应停止假装这只是科幻小说

一项影响深远的小型演示

一台量子计算机成功破解了一个15位椭圆曲线密码学密钥——这是用于保护Bitcoin、Ethereum及大部分数字资产经济的加密系统的简化版本。

这一结果由量子安全公司Project Eleven宣布，该公司将其一枚Bitcoin"Q-Day奖"颁发给独立研究员Giancarlo Lelli。Lelli使用公开可访问的量子硬件，通过Shor算法的变体从对应的公钥推导出私钥，该量子算法长期以来被视为公钥密码学面临的最终威胁。

该结果由量子安全公司Project Eleven宣布，来源：X

重要的警示也是显而易见的：Bitcoin并未被破解。15位椭圆曲线密钥与Bitcoin的256位secp256k1密码学相差甚远。其规模差异是巨大的。一个15位密钥有32,768个可能的值。一个256位密钥大约有1.16 × 10^77个可能的值。这两个数字不应在没有警示标签的情况下放在同一句话中。

尽管如此，这一结果仍然重要，因为它是对一类攻击方式的公开演示——在足够大的规模下，该攻击将威胁椭圆曲线签名。Project Eleven将其描述为迄今为止针对椭圆曲线密码学规模最大的公开量子攻击，并表示这比2025年此前的六位演示提升了512倍。

"此类攻击的资源需求持续下降，实际运行的门槛也随之降低，"Project Eleven首席执行官Alex Pruden表示。"获奖提交来自一位使用云端可访问硬件的独立研究员。没有国家实验室，没有私有芯片。"

这一点值得认真对待。该实验并未使Bitcoin资金面临即时风险。但它确实表明，针对底层密码学系列的量子攻击已不再局限于白板和会议讨论。它们现在正在公开可用的系统上以微缩形式得到演示。

Bitcoin并未被破解，但某些币种面临更高风险

量子计算对Bitcoin的风险常被误解。主要关注点并非挖矿、工作量证明系统或历史账本。核心问题是数字签名。

Bitcoin所有权通过签名来证明。如果攻击者能够从公钥推导出私钥，他们便可以授权交易，仿佛他们拥有这些币一样。经典计算机在任何实际时间范围内都无法对抗Bitcoin当前的密码学做到这一点。而一台运行Shor算法的足够强大的量子计算机理论上可以做到。

这一区别在Bitcoin的风险状况中造成了重要分化。存放在公钥尚未暴露的地址中的币更难被针对。而存放在公钥已在链上可见地址中的币，则在未来量子攻击中面临更高风险。这包括旧的按公钥支付的输出、重复使用的地址以及其他揭露公钥的钱包行为。

Coinbase量子咨询委员会最近的一篇论文估计，约有690万枚BTC属于这一风险较高的类别。以Bitcoin接近77,500美元的交易价格计算，这意味着超过5,300亿美元的BTC存放在未来量子威胁模型中可能受影响的地址中。

这个数字不应被解读为"5,300亿美元即将被盗"。它应该被解读为长期风险集中在何处的地图。即时风险仍然较低，因为当今的量子计算机还不够强大或可靠，无法破解Bitcoin的256位椭圆曲线签名。但暴露地址问题是真实的、可衡量的，且在网络中分布不均。

Brave New Coin此前在《Bitcoin面临长期量子威胁，研究人员推动后量子升级》中报道了这一区别，指出风险与其说是Bitcoin能否在技术上适应，不如说是去中心化网络能否及时协调迁移。

谷歌的研究使时间线变得不那么宽裕

Project Eleven的结果也是在谷歌量子AI团队发出更具影响力的警告之后出现的。今年三月，谷歌研究人员发表了一篇关于保护椭圆曲线加密货币免受量子漏洞影响的论文，认为未来的量子计算机攻击主要区块链所使用的椭圆曲线密码学所需的资源可能少于此前估计。

该论文估计，在涉及超导架构、物理错误率和平面连接的某些假设下，对secp256k1上256位椭圆曲线密码学的攻击可以用不到50万个物理量子比特来运行。这仍然远超当今公开的量子硬件。但它将讨论从模糊的"某天"语言转向具体的资源估算。

谷歌还表示，它已使用零知识证明验证了敏感结果，而无需披露完整的攻击电路。这一细节很重要。它表明顶尖研究人员开始将加密货币量子风险视为安全披露问题，而非抽象推测。

更广泛的网络安全界已经开始行动。美国国家标准与技术研究院于2024年完成了其首批后量子密码学标准，包括ML-KEM、ML-DSA和SLH-DSA。NIST表示这些标准已准备好实施。各国政府和大型企业现在正在规划迁移时间表，因为密码学过渡需要数年而非数月。

加密行业应该关注这一点。当新的代币叙事出现时，该行业擅长快速行动。但当工作涉及缓慢的技术基础设施升级且没有即时营销回报时，其一致性则较差。

难点不在于数学

Bitcoin几乎可以肯定能够变得更具量子抗性。后量子签名方案已经存在。研究人员已经在研究引入量子抗性地址格式、新签名操作码和分阶段迁移路径的方法。

困难的问题在于治理。Bitcoin被刻意设计为难以更改。这种保守主义是其优势之一。它防止了鲁莽的实验，并保护了货币系统的可信度。但这也意味着重大的密码学升级需要较长的准备时间、广泛共识、大量审查和谨慎激活。

这造成了一种错位。量子硬件的进步可能是非线性的。Bitcoin治理则故意缓慢。如果网络等到威胁清晰可见，可能会发现可用的响应窗口已经收窄。

最困难的问题可能涉及休眠或丢失的币。如果一些币仍留在暴露的公钥地址中且从未迁移，网络应该怎么办？置之不理并接受未来量子攻击者可能夺取它们的可能性？鼓励自愿迁移并接受残余风险？考虑对脆弱输出实施协议级限制？每个选项都有权衡取舍，且没有一个在政治上会容易实现。

这就是为什么量子辩论不应被简化为关于Bitcoin今天是否安全的二元争论。它今天是安全的。但这与做好准备并不相同。可信的立场是Bitcoin有时间，但时间只有在好好利用时才有价值。

Ethereum及其他区块链面临类似问题

Bitcoin并不孤单。Ethereum也依赖椭圆曲线密码学，而权益证明网络通过验证者签名引入了额外的风险敞口。Coinbase的论文指出，权益证明链具有与验证者用于保护网络的签名方案相关的特定风险。

Ethereum在某些方面可能拥有更容易的路径，因为其治理文化更能接受协议变更。Ethereum基金会已将后量子安全提上其研究议程的更高位置，Brave New Coin在《Ethereum全力投入后量子安全》中报道了这一转变。这并不使Ethereum免疫。这只是意味着围绕升级的社会过程有所不同。

Bitcoin的升级文化更为保守，这是有充分理由的。但保护Bitcoin免受不必要变更的同一保守主义也可能使必要的变更变得更慢。这就是权衡取舍。应该坦诚讨论，而不是隐藏在口号之下。

对于交易所、托管机构、钱包提供商、矿工、开发人员和长期持有者而言，实际议程正变得越来越清晰。识别暴露的公钥持仓。减少地址重复使用。改善钱包安全习惯。测试后量子签名方案。模拟更大签名对交易大小、手续费和区块空间的影响。在紧迫性剥夺精心设计的奢侈之前，开始治理对话。

这一切都不需要恐慌。但确实需要认真对待。

这一信号越来越难以忽视

15位量子演示并非对Bitcoin密码学的直接威胁。任何以这种方式呈现它的人都是在夸大结果。但完全忽视它同样是不严肃的态度。

安全风险通常在变得紧迫之前很久就已经变得危险。早期迹象是技术性的、渐进的且容易忽视的。一个小密钥被破解。资源估算下降。云端可访问的硬件得到改善。标准机构开始迁移工作。大型科技公司开始发布谨慎的警告。每一个单独的发展都可以被解释为无关紧要。但合在一起，它们形成了一种趋势。

Bitcoin的价值主张部分建立在它能够存续数十年的理念上。这意味着它必须认真对待数十年规模的风险。后量子规划并非对Bitcoin的攻击。它是保持Bitcoin可信度的一部分。

从Lelli的结果得出的正确结论不是Bitcoin已被破解。而是该行业再次收到提醒：密码学有其使用期限，而在截止日期清晰可见之前进行迁移规划会更加容易。