量子計算不會殺死比特幣，但真正風險正在臨近

原文標題：「I」Spent「200」Hours Reading Quantum Computing Papers So You Don't Have To. Bitcoin Is F.

原文來源：nvk

原文編譯：Saoirse，Foresight News

TL;DR

· 比特幣不使用加密，而是使用數位簽名。絕大多數文章都搞錯了這一點，而其中的區別至關重要。

· 量子計算機無法在 9 分鐘內破解比特幣。這個描述的只是一台理論上的電路，機器本身並不存在，而且至少十年內都不會出現。

· 量子挖礦在物理上完全不可能實現。它需要的能量實際上比太陽輸出的總能量還要多。

· 比特幣完全可以升級------之前就成功升級過（隔離見證、Taproot），相關工作也已啟動（BIP-360）。但社區需要加快速度。

· 升級的真正原因不是量子威脅，而是傳統數學已經攻破過無數密碼系統，secp256k1 很可能是下一個。量子計算機至今尚未攻破任何一套密碼系統。

· 確實存在一個真實隱患：約 626 萬枚比特幣的公鑰已經暴露。這不是值得恐慌的事，但值得提前準備。

核心主線

用一句話概括我接下來要說的全部內容：

量子對比特幣的威脅真實存在，但還很遙遠；媒體報導普遍失實誇張；而最危險的並不是量子計算機，而是偽裝成恐慌或無所謂的自滿心態。

無論是高喊「比特幣要完了」的人，還是聲稱「完全沒事別大驚小怪」的人，都錯了。看清真相需要同時接受兩件事：

· 比特幣眼下沒有迫在眉睫的量子威脅，實際威脅可能比標題黨宣傳的要遠得多。

· 但比特幣社區仍應提前準備，因為升級流程本身就需要數年時間。

這不是恐慌的理由，而是行動的理由。

下面我用數據和邏輯講清楚。

這張圖對比了兩大核心量子算法：肖爾算法（左）是能指數級加速大數分解、直接破解 RSA/ECC 等公鑰密碼的「密碼殺手」，格羅弗算法（右）是能給無序搜索帶來平方級加速的通用量子加速器，二者共同彰顯了量子計算的顛覆性，但目前仍受限於糾錯硬體無法大規模落地。

媒體套路：標題黨才是最大隱患

每隔幾個月就會循環上演同一套戲碼：

· 某量子計算實驗室發表一篇嚴謹、附帶大量限定條件的研究論文。

· 科技媒體立刻寫成：《量子計算機 9 分鐘破解比特幣！》

· 加密圈推特簡化為：「比特幣死定了。」

· 你的親戚朋友發消息問你要不要趕緊賣掉。

· 但原論文根本沒這麼說。

2026 年 3 月，谷歌量子 AI 團隊發表論文指出，破解比特幣橢圓曲線密碼所需的物理量子比特可降至 50 萬以下，比此前估算提升了 20 倍。這確實是重要研究。谷歌非常謹慎，沒有公開實際攻擊電路，只發布了零知識證明。

但論文從未說：比特幣現在就能被破解、有明確時間表、或者大家應該恐慌。

可標題卻寫成：「9 分鐘攻破比特幣。」

CoinMarketCap 曾發文《AI 加速的量子計算會在 2026 年摧毀比特幣嗎？》，正文通篇解釋答案幾乎肯定是「不會」。這是典型套路：用煽動標題博流量，正文謹慎保準確。但 59% 被轉發的鏈接根本沒人點開------對大多數人來說，標題就是信息本身。

有一句話說得很到位：「市場對風險定價極快。你不可能偷一個一到手就歸零的東西。」如果量子計算機真要顛覆一切，谷歌自己（同樣使用同類密碼）的股價早就崩了。但谷歌股價穩得很。

結論：標題才是真正的謠言。研究本身是真實且值得理解的，我們來認真看。

量子計算機真正威脅什麼、不威脅什麼

最大誤區：「加密」

幾乎所有講量子與比特幣的文章都在用「加密」這個詞。這是錯的，而且錯得影響全局。

比特幣不靠加密保護資產，而是靠數位簽名（ECDSA，後來通過 Taproot 使用 Schnorr）。區塊鏈本身就是公開的，所有交易數據永遠對所有人可見，根本沒有東西需要「解密」。

正如比特幣白皮書引用過的 Hashcash 發明者 Adam Back 所說：「加密意味著數據被隱藏、可以被解密。比特幣的安全模型基於簽名，用於證明所有權，而不暴露私鑰。」

這不是咬文嚼字。這意味著量子領域最緊迫的「現在收集、以後解密」威脅，對比特幣資產安全基本不成立。沒有加密數據可供收集，暴露的公鑰本來就在鏈上公開著。

兩種量子算法：一個是真威脅，一個可忽略

· 肖爾算法（真正威脅）：對數位簽名底層的數學問題提供指數級加速，可以從公鑰反推私鑰，偽造交易簽名。這才是真正需要擔心的。

· 格羅弗算法（並非威脅）：只對 SHA-256 等哈希函數提供平方級加速，聽起來嚇人，但一算就知道完全不現實。

一篇 2025 年論文《卡爾達肖夫級量子計算與比特幣挖礦》計算得出：在比特幣當前難度下，量子挖礦需要：

· 約 10²³ 個物理量子比特（目前全球只有約 1500 個）

· 約 10²⁵ 瓦能量（太陽總輸出約 3.8×10²⁶ 瓦）

想要用量子計算機挖比特幣，需要消耗的能量大約相當於太陽總輸出的 3%。人類目前僅為 0.73 級卡爾達肖夫文明，如果要用量子計算機挖礦，需要的能量大到只有 Ⅱ 型文明才辦得到，人類現在根本達不到，物理上幾乎不可能實現。
（注：結合卡爾達肖夫文明等級：Type I：能完全利用一顆行星（地球）的能量；Type II：能利用一整顆恆星（太陽）的全部能量）

對比來看：就算按最理想的設計，量子礦機算力也只有約 13.8 GH/s；而一台普通螞蟻礦機 S21 就能達到 200 TH/s。傳統 ASIC 礦機的速度，是量子礦機的 1.45 萬倍。

說到底，量子挖礦根本不成立。現在不可能，50 年後也不可能，甚至永遠都不可能。如果有人說量子計算機能「攻破比特幣挖礦」，那是把兩種完全不同的算法搞混了。

流傳的 8 種說法，其中 7.5 個都是錯的

說法 1：「量子計算機一出現，所有比特幣一夜之間就會被盜」

事實是，只有公鑰已經暴露的比特幣才存在安全風險。現代比特幣地址（P2PKH、P2SH、隔離見證）在你發起轉帳之前，都不會公開公鑰。只要你從不復用地址、也從未從該地址轉出過資產，你的公鑰就不會出現在區塊鏈上。

具體劃分如下：

· A 級（直接面臨風險）：約 170 萬枚 BTC 采用舊版 P2PK 格式，公鑰已完全公開。

· B 級（存在風險但可修復）：約 520 萬枚 BTC 位於復用地址及 Taproot 地址中，用戶可通過遷移規避風險。

· C 級（短暫暴露）：每筆交易在內存池等待打包的約 10 分鐘內，公鑰會臨時暴露。

根據 Chaincode Labs 估算，總計約 626 萬枚 BTC 存在公鑰暴露風險，約占總供應量的 30%--35%。數量確實不小，但絕非「全部比特幣」。

說法 2：「中本聰的幣會被盜，直接砸盤歸零」

半對半錯：中本聰持有的約 110 萬枚 BTC 采用 P2PK 格式，公鑰完全暴露，確實屬於高危資產。但：

· 能夠破解這些私鑰的量子計算機目前根本不存在。

· 掌握早期量子技術的國家，會優先瞄準情報與軍事系統，而不是上演一場「公開盜取比特幣的輿論鬧劇」（量子金絲雀研究組語）。

· 從當前約 1500 個量子比特擴展到數十萬量級，需要數年工程突破，且進度高度不確定。

說法 3：「比特幣無法升級------節奏太慢、治理混亂」

這種說法並不正確，但也並非完全沒有道理。比特幣歷史上已成功完成多次重大升級：

· 隔離見證（SegWit，2015--2017）：爭議極大、險些失敗，並直接導致比特幣現金分叉，但最終成功上線。

· Taproot（2018--2021）：落地平穩，從提案到主網上線歷時約 3.5 年。

抗量子主流方案 BIP-360 已於 2026 年初正式納入比特幣 BIP 庫，新增了 bc1z 地址類型，移除了 Taproot 中易受量子攻擊的密鑰路徑支出邏輯。目前該提案仍為草案狀態，測試網已運行 Dilithium 後量子簽名指令集。

BIP-360 合著者伊桑・海爾曼預估，完整升級周期約為 7 年：2.5 年開發與審核、0.5 年激活、4 年生態遷移。他坦言：「這只是粗略估算，沒人能給出確切時間。」

客觀結論：比特幣可以升級，且已經啟動升級，但仍處於早期階段，需要加快進度。聲稱「完全不可能升級」是錯的，聲稱「已經完成升級」同樣不成立。

說法 4：「我們只剩 3--5 年時間」

大概率不成立，但也不能完全掉以輕心。專家預估時間跨度極大：

· Adam Back（Hashcash 發明者，比特幣白皮書引用者）：20--40 年

· 黃仁勳（英偉達 CEO）：實用化量子計算機仍需 15--30 年

· Scott Aaronson（德州大學奧斯汀分校量子計算權威）：拒絕給出時間表，並表示破解 RSA 可能需要「千億美元級投入」

· Craig Gidney（谷歌量子 AI）：2030 年前實現的概率僅 10%；同時認為現有條件下，量子比特需求很難再出現 10 倍優化，優化曲線可能已趨於平緩

· 26 位量子安全專家調研：10 年內出現風險的概率為 28%--49%

· 方舟投資：「屬於長期風險，並非迫在眉睫」

值得注意的是，谷歌 Willow 晶片在 2024 年底突破了量子糾錯閾值。這意味著每提升一級糾錯碼距離，邏輯錯誤率會以固定系數下降（Willow 為 2.14）。這種錯誤抑制效果呈指數級提升，但實際擴展速度完全依賴硬體，可能是對數級、線性級，也可能極度緩慢。突破閾值僅代表擴展具備可行性，不代表快速、輕鬆、必然實現。

此外，谷歌在 2026 年 3 月的論文中並未公開實際攻擊電路，只發布了零知識證明。Scott Aaronson 也提醒，未來研究者可能不再公開破解密碼所需的資源估算。因此，我們未必能提前很久察覺到「量子危機日」的到來。

即便如此，打造一台擁有數十萬容錯量子比特的計算機仍是巨大工程挑戰。目前最先進的量子計算機連 13 位以上的大數都無法分解，而破解比特幣密碼相當於分解約 1300 位大數。這一鴻溝不可能一夜填平，但技術趨勢值得重視，而非無視。

說法 5--8：快速澄清

「量子計算會摧毀挖礦」

錯。能耗需求接近太陽總輸出，詳見第二部分。

「現在收集數據，未來解密」

不適用於盜取資產（區塊鏈本身就是公開的），僅對隱私有一定影響，屬於次要風險。

「谷歌說 9 分鐘破解比特幣」

谷歌指的是在一台不存在的 50 萬量子比特機器上，理論電路運行時間約 9 分鐘。谷歌本人已明確警示此類恐慌言論，並隱瞞了攻擊電路細節。

「後量子密碼技術尚未成熟」

美國國家標準與技術研究院（NIST）已完成 ML-KEM、ML-DSA、SLH-DSA 等算法標準化。算法本身已成熟，難點在於在比特幣系統中部署落地，而非從頭發明。

我真正擔憂的五個問題

一篇全盤否定一切的辟謠文章會喪失可信度。以下是讓我深感憂慮的五個問題：

· 破解密碼所需的量子比特數量預估持續下降，儘管這一趨勢可能正在放緩。2012 年，破解密碼系統預計需要 10 億個量子比特；到 2019 年降至 2000 萬個；2025 年已低於 100 萬個。2026 年初，Oratomic 公司聲稱，採用中性原子架構僅需 1 萬個物理量子比特即可實現破解。

但值得注意的是，該研究的九位作者均為 Oratomic 股東，其估算所依據的 101:1 物理量子比特與邏輯量子比特轉換比例從未得到驗證（歷史實際比例更接近 10000:1）。

同樣需要明確的是，在谷歌超導架構上僅需「9 分鐘」的計算任務，在中性原子硬體上則需要 10²⁶⁴ 天才能完成------二者屬於完全不同的設備，運算速度天差地別。Gidney 本人也表示，算法優化曲線可能已進入平台期。即便如此，沒人知道「所需量子比特數」與「現有量子比特數」的拐點何時到來。最客觀的結論是：目前存在極大不確定性。

· 公鑰暴露範圍正在擴大，而非縮小。比特幣最新、推廣最廣的地址格式 Taproot，會在鏈上公開經過調整的公鑰，為量子攻擊者留下無限的離線破解窗口期。比特幣最近一次升級反而削弱了抗量子安全性，這一諷刺值得深思。

此外，問題不僅限於鏈上地址：閃電網絡通道、硬體錢包連接、多重簽名方案以及擴展公鑰共享服務，在設計上都會擴散公鑰。在具備密碼破解能力的容錯量子計算機（CRQC）成為現實的世界裡，當整個系統都圍繞公鑰共享構建時，「保護公鑰隱私」根本不現實。BIP-360 只是第一步，遠非完整解決方案。

· 比特幣治理進程緩慢，但仍有時間窗口。自 2021 年 11 月以來，比特幣底層協議已四年多未激活軟分叉，長期處於停滯狀態。谷歌計劃在 2029 年完成自身系統的抗量子遷移，而比特幣最樂觀的預估也要到 2033 年。

考慮到實用級密碼破解量子計算機大概率仍十分遙遠（多數可靠預測認為要到 21 世紀 40 年代，甚至可能永遠無法實現），當前並非緊急危機，但也絕不能因此自滿。準備工作啟動越早，後期就越從容。

· 中本聰所持比特幣是一個無解的博弈難題。約 110 萬枚 BTC 存放在 P2PK 地址中，由於無人持有對應私鑰（或中本聰已消失），這些資產永遠無法遷移。無論選擇放任不管、凍結還是銷毀，都会帶來嚴重後果，不存在完美方案。

· 區塊鏈是一份永久鎖定的攻擊目標清單。所有暴露的公鑰都會被永久免费記錄，各國機構現在即可著手準備，靜待時機。防禦需要多方主動協同，而攻擊只需要耐心等待。

這些都是真實存在的挑戰，但事情還有另一面值得關注。

為什麼量子威脅可能極其遙遠，甚至永遠不會到來

多位嚴肅的物理學家與數學家（並非偏激人士）認為，達到密碼破解規模的容錯量子計算，可能面臨物理學層面的根本障礙，而不只是工程技術難題：

· Leonid Levin（波士頓大學，NP 完全性聯合提出者）：「量子振幅需要精確到小數點後數百位，但人類從未發現任何一條物理定律能在十幾位小數以上的精度下依然成立。」如果自然界不允許超過約 12 位小數的精度，整個量子計算領域都會撞上物理天花板。

· Michel Dyakonov（蒙彼利埃大學，理論物理學家）：一個 1000 量子比特的系統需要同時控制約 10³⁰⁰ 個連續參數，數量遠超宇宙中亞原子粒子的總數。他的結論是：「不可能，永遠不可能。」

· Gil Kalai（希伯來大學，數學家）：量子噪聲存在無法消除的關聯效應，且會隨系統複雜度上升而加劇，使得大規模量子糾錯從根本上無法實現。他的猜想歷經 20 年仍未被證實，但其實驗預測也出現部分偏差，利弊兼具。

· Tim Palmer（牛津大學，物理學家）：其理性量子力學模型預測，量子糾纏存在約 1000 量子比特的硬性上限，遠低於密碼破解所需規模。

這些都不是邊緣觀點。現有證據也明顯支持這一判斷：迄今為止的實踐表明，能威脅密碼系統的量子計算，要麼在現實中遠比理論更難實現，要麼因物理世界的未知規律而根本不可能實現。用自動駕駛類比十分貼切：演示效果很好、吸引巨額投資，卻十多年來一直宣稱「還差五年就能成熟」。

多數媒體默認「量子計算機終將破解密碼，只是時間問題」，這並非證據得出的結論，而是炒作周期製造的假象。

升級的核心動因，與量子無關

這是一個少有人提及的關鍵事實（感謝 @reardencode 點明這一點）：

· 迄今為止，被量子計算機破解的密碼系統：0 個；

· 被經典數學方法攻破的密碼系統：數不勝數。

DES、MD5、SHA-1、RC4、SIKE、恩尼格瑪機…… 全都栽在精妙的數學分析上，而非量子硬體。SIKE 曾是美國國家標準與技術研究院（NIST）後量子密碼最終候選方案，卻在 2022 年被一名研究者用普通筆記本電腦在一小時內徹底攻破。自有密碼系統以來，經典密碼分析就一直在不斷推翻各類加密方案。

比特幣使用的 secp256k1 橢圓曲線，隨時可能因一項數學突破而失效，完全不需要量子計算機。只需要一位頂尖數論學家在離散對數問題上取得新進展即可。這種事目前還沒發生，但密碼學的歷史，就是一部「被證明安全」的系統不斷被找到漏洞的歷史。

這才是比特幣應當採用替代加密方案的真正原因：不是因為量子計算機即將到來------它們可能永遠不會出現；而是對於一個價值數萬億美元的網絡，僅依賴單一加密假設，是嚴謹工程必須主動防範的風險。

量子相關的恐慌炒作，反而掩蓋了這個更低調卻更真實的隱患。諷刺的是，為應對量子威脅所做的準備（BIP-360、後量子簽名、哈希類替代方案），同樣能抵禦經典密碼分析攻擊。人們以錯誤的理由做了正確的事，這也無妨------只要最終能落地實施。

你到底該怎麼做？

如果你持有比特幣：

· 不必恐慌。威脅真實存在，但尚遙遠，你有充足時間。

· 停止復用地址。每次復用都會暴露公鑰，收款請使用新地址。

· 關注 BIP-360 進展。抗量子地址推出後，及時遷移資產。

· 長期持有可將資金放在從未轉出過的地址中，使公鑰保持隱藏。

· 別被標題帶節奏，去讀原始論文。內容比報導更有趣，也沒那麼可怕。

如果你是比特幣開發者：

· BIP-360 需要更多人審核，測試網已運行，代碼亟需檢視。

· 7 年的升級周期需要壓縮，每拖延一年，安全緩衝就縮小一分。

· 啟動關於舊版未花費交易輸出（UTXO）的治理討論，中本聰的比特幣不會自我保護，社區需要方案。

如果你剛看到耸人聽聞的標題：記住，59% 被轉發的鏈接根本沒人點開。標題只為煽動情緒，論文才是為了引發思考。去讀原文。

結論

量子對比特幣的威脅並非非黑即白，而是存在中間地帶。一端是「比特幣完了，趕緊清倉」，另一端是「量子就是騙局，毫無風險」，兩種極端都錯。

真相在理性可行的中間區域：比特幣面臨明確的工程挑戰，參數已知、研發推進中，時間緊張但可控------前提是社區保持合理緊迫感。

最危險的不是量子計算機，而是在恐慌與漠視之間反覆搖擺的輿論循環，讓人們無法理性看待一個本質上可以解決的問題。

比特幣挺過了區塊大小之爭、交易平台被盜、監管衝擊與創始人消失，也能挺向量子時代。但前提是社區從現在開始穩步準備，不恐慌、不躺平，以比特幣賴以強大的穩健工程思維推進。

房子沒有著火，甚至可能永遠不會從大家擔心的方向起火。但加密假設從來不會永久有效。加固加密根基的最佳時機，永遠是在危機到來之前，而非之後。

比特幣一直由一群為未發生的威脅提前布局的人構建。這不是偏執，這是工程思維。

參考文獻： 本文參考兩大主題維基庫共計 66 份研究文獻，內容涵蓋量子計算資源測算、比特幣漏洞分析、辟謠心理學及內容傳播機制研究。核心資料來源包括谷歌量子人工智能實驗室（2026）、《卡爾達肖夫尺度下的量子挖礦》論文（2025）、BIP‑360 提案文檔、伯杰與米爾克曼研究（2012）、《2020 辟謠手冊》，以及蒂姆・厄本、丹・盧、patio11 等行業實踐者的論述。完整維基資料開放同行評議。