撰文：Cointelegraph

編譯：AididiaoJP，Foresight News

核心要點

• BIP-360 首次將抗量子性正式納入比特幣的發展路線圖，標誌著一次審慎的、漸進式的技術演進，而非一次劇烈的密碼學體系變革。
• 量子風險主要威脅到已暴露的公鑰，而非比特幣採用的 SHA-256 哈希算法。因此，減少公鑰暴露成為開發者著力解決的核心安全問題。
• BIP-360 引入了支付到默克爾根（P2MR）的腳本，通過移除 Taproot 升級中的密鑰路徑花費選項，強制所有 UTXO 的花費都必須經由腳本路徑，從而最大限度地降低橢圓曲線公鑰的暴露風險。
• P2MR 保留了智能合約的靈活性，依然通過 Tapscript 默克爾樹支持多籤、時間鎖和複雜的託管結構。

比特幣的設計哲學使其能夠抵禦嚴峻的經濟、政治和技術挑戰。截至 2026 年 3 月 10 日，其開發者團隊正著手應對一項新興的技術威脅：量子計算。

近期發佈的比特幣改進提案 360（BIP-360），首次正式將抗量子性列入了比特幣的長期技術路線圖。儘管部分媒體報道傾向於將其描述為一次重大變革，但實際情況更為審慎和循序漸進。

本文將深入探討 BIP-360 如何通過引入支付到默克爾根（P2MR）腳本，移除 Taproot 的密鑰路徑花費功能，從而降低比特幣的量子風險敞口。本文旨在闡明該提案的改進之處、引入的權衡因素，以及它為何尚未能使比特幣實現完全的後量子安全。

量子計算對比特幣的威脅來源

比特幣的安全性建立在密碼學基礎之上，主要包括橢圓曲線數字簽名算法（ECDSA）以及通過 Taproot 升級引入的 Schnorr 簽名。傳統計算機無法在可行時間內從公鑰逆向推導出私鑰。然而一臺具備足夠能力的量子計算機若運行肖爾算法，則有可能破解橢圓曲線離散對數問題，進而危及私鑰安全。

關鍵區別如下：

• 量子攻擊主要威脅公鑰密碼體系，而非哈希函數。 比特幣採用的 SHA-256 算法在量子計算面前相對穩健。格羅弗算法僅能提供二次方的加速效果，而非指數級加速。
• 真正的風險在於公鑰在區塊鏈上被公開的時刻。

基於此，社區普遍將公鑰暴露視為最主要的量子風險來源。

2026 年比特幣的潛在脆弱點

比特幣網絡中的各類地址類型，面臨的未來量子威脅程度不盡相同：

• 重複使用的地址：當資金從該地址被花費時，其公鑰便在鏈上公開，一旦未來出現密碼學相關量子計算機（CRQC），該公鑰將面臨風險。
• 遺留的支付到公鑰（P2PK）輸出：早期的比特幣交易直接將公鑰寫入交易輸出中。
• Taproot 密鑰路徑花費：Taproot 升級（2021 年）提供了兩種花費路徑：一種是簡潔的密鑰路徑（花費時會暴露一個經過調整的公鑰），另一種是腳本路徑（通過默克爾證明暴露具體腳本）。其中，密鑰路徑是量子攻擊下最主要理論薄弱點。

BIP-360 正是直接針對密鑰路徑暴露問題而設計。

BIP-360 的核心內容：引入 P2MR

BIP-360 提案新增了一種名為支付到默克爾根（P2MR）的輸出類型。該類型在結構上借鑑了 Taproot，但做出了一項關鍵性改動：徹底移除了密鑰路徑花費選項。

與 Taproot 承諾一個內部公鑰不同，P2MR 僅承諾腳本樹的默克爾根。花費 P2MR 輸出的流程為：

揭示腳本樹中的一個葉子腳本。

提供一個默克爾證明，以證實該葉子腳本隸屬於被承諾的默克爾根。

整個過程中，不存在任何基於公鑰的花費路徑。

移除密鑰路徑花費帶來的直接影響包括：

• 避免因直接進行簽名驗證而暴露公鑰。
• 所有花費路徑均依賴於抗量子性更強的基於哈希的承諾。
• 長期存在於鏈上的橢圓曲線公鑰數量將顯著減少。
• 相較於依賴橢圓曲線假設的方案，基於哈希的方法在抵禦量子攻擊方面具有顯著優勢，從而大幅縮減了潛在的攻擊面。

BIP-360 所保留的功能

一個常見的誤解是，放棄密鑰路徑花費會削弱比特幣的智能合約或腳本功能。事實上，P2MR 完全支持以下功能：

• 多籤配置
• 時間鎖
• 條件支付
• 資產繼承方案
• 高級託管安排

BIP-360 通過 Tapscript 默克爾樹來實現上述所有功能。該方案在保留完整腳本能力的同時，捨棄了便捷但存在潛在風險的直接簽名路徑。

背景知識：中本聰曾在早期論壇討論中簡要提及量子計算，並認為若其成為現實，比特幣可以遷移至更強的簽名方案。這表明，為未來的升級預留靈活性，是其初始設計思想的一部分。

BIP-360 的實踐影響

BIP-360 雖看似一項純技術改進，但其影響將廣泛觸及錢包、交易所和託管服務等層面。若提案被採納，它將逐步重塑新的比特幣輸出的創建、花費和保管方式，尤其對重視長期抗量子性的用戶產生深遠影響。

• 錢包支持：錢包應用可能會提供可選的 P2MR 地址（可能以 「bc1z」 開頭），作為「量子加固」選項，供用戶接收新幣或存儲長期持有資產。
• 交易費用：由於採用腳本路徑會引入更多見證數據，P2MR 交易相較於 Taproot 密鑰路徑花費會略大，可能導致交易費用稍有增加。這體現了在安全性與交易緊湊性之間做出的權衡。
• 生態協同：全面部署 P2MR 需要錢包、交易所、託管機構和硬件錢包等各方進行相應更新。相關規劃與協調工作需提前數年啟動。

背景知識：各國政府已開始關注「先收集，後解密」的風險，即當下大量收集並存儲加密數據，以待未來量子計算機問世後進行破解。這種策略與對比特幣已暴露公鑰的潛在擔憂如出一轍。

BIP-360 的明確界限

儘管 BIP-360 增強了比特幣對未來量子威脅的防禦能力，但它並非一次徹底的密碼學體系重構。理解其侷限性同樣至關重要：

• 現有資產不自動升級：所有舊的未花費交易輸出（UTXO）在用戶主動將資金轉移至 P2MR 輸出之前，其脆弱性依然存在。因此，遷移過程完全取決於用戶的個體行為。
• 不引入新型後量子簽名：BIP-360 並未採用基於格的簽名方案（如 Dilithium 或 ML-DSA）或基於哈希的簽名方案（如 SPHINCS+）來替代現有的 ECDSA 或 Schnorr 簽名。它僅移除了 Taproot 密鑰路徑帶來的公鑰暴露模式。要在基礎層全面過渡到後量子簽名，將需要一次規模大得多的協議變更。
• 不能提供絕對的量子免疫：即使未來突然出現可實際運行的 CRQC，抵禦其衝擊仍需礦工、節點、交易所和託管機構之間進行大規模、高強度的協同應對。長期未動的「休眠幣」可能引發複雜的治理難題，並給網絡帶來巨大壓力。

開發者前瞻性佈局的動因

量子計算的技術發展路徑充滿不確定性。部分觀點認為其實用化仍需數十年，而另一些則指出，IBM 在 2020 年代末的容錯量子計算機目標、谷歌在量子芯片上的突破、微軟在拓撲量子計算上的研究，以及美國政府設定的 2030-2035 年密碼系統過渡期限，都預示著相關進展正在加速。

關鍵基礎設施的遷移需要漫長的時間週期。比特幣的開發者們強調，必須從 BIP 設計、軟件實現、基礎設施適配到用戶採納等各個環節進行系統性規劃。如果等到量子威脅迫在眉睫再行動，將可能因時間不足而陷入被動。

若社區達成廣泛共識，BIP-360 可能通過分階段的軟分叉方式推進：

• 激活 P2MR 新型輸出類型。
• 錢包、交易所和託管機構逐步增加對其的支持。
• 用戶在數年內漸進式地將資產遷移至新地址。

這一過程與當年隔離見證（SegWit）和 Taproot 升級所經歷的從可選到廣泛應用的路徑類似。

圍繞 BIP-360 的廣泛討論

關於實施 BIP-360 的緊迫性及其潛在成本，社區內仍存在持續的討論。核心議題包括：

• 為長期持有者帶來的輕微費用增加是否可以被接受？
• 機構用戶是否應率先進行資產遷移，發揮示範效應？
• 對於那些永遠不會被移動的「沉睡」比特幣，應如何妥善處理？
• 錢包應用應如何向用戶準確傳達「量子安全」概念，既不引發不必要的恐慌，又能提供有效信息？

這些討論仍在持續進行中。BIP-360 的提出極大地推動了相關議題的深入探討，但遠未為所有問題畫上句號。

背景知識：量子計算機可能破解當前密碼學的理論構想，可追溯至 1994 年數學家彼得·肖爾提出肖爾算法之時，這遠早於比特幣的出現。因此，比特幣對未來量子威脅的規劃，本質上是對這一已有三十餘年曆史的理論突破的回應。

用戶當前可採取的應對措施

目前，量子威脅並非迫在眉睫，用戶無需過度擔憂。但採取一些審慎的措施是有益的：

• 堅持地址不重複使用原則。
• 始終使用最新版本的錢包軟件。
• 關注比特幣協議升級的相關動態。
• 留意錢包應用何時開始支持 P2MR 地址類型。
• 持有大量比特幣的用戶，應 quietly 評估自身風險敞口，並考慮制定相應的 contingency 計劃。

BIP-360：邁向抗量子時代的第一步

BIP-360 標誌著比特幣在協議層面減少量子風險敞口方面邁出了第一個具體步驟。它重新定義了新輸出的創建方式，最大限度地減少了公鑰的意外洩露，併為未來的長期遷移規劃奠定了基礎。

它不會自動升級現有的比特幣，保留了當前的簽名體系，並凸顯了一個事實：實現真正的抗量子安全，需要一個謹慎協調、覆蓋全生態的持續努力。這有賴於長期的工程實踐和分階段的社區採納，而非單個 BIP 提案所能一蹴而就。