9 分鐘破解一個錢包：Google 量子論文炸響加密圈，比特幣的“Y2K 時刻”來了？

作者：卡皮七拉，深潮 TechFlow

3月 31 日，Google Quantum AI 團隊發佈了一篇白皮書，標題平淡，內容炸裂。

論文的核心結論：破解保護比特幣和以太坊錢包的橢圓曲線加密（ECC-256），所需的量子計算資源比此前估計低了約 20 倍。具體而言，只需不到 1200 個邏輯量子比特和 9000 萬個 Toffoli 門，就能在超導量子計算機上用不到 50 萬個物理量子比特完成破解，耗時僅需幾分鐘。

同一天，加州理工和量子硬件初創公司 Oratomic 發佈了另一篇論文，結論更激進：採用中性原子架構的量子計算機，最低只需約 10，000 個物理量子比特就能啟動攻擊，26，000 個量子比特可在約 10 天內攻破 ECC-256。

兩篇論文疊加在一起，構成了加密行業有史以來最嚴肅的一次量子威脅警告。

從“理論上的遙遠威脅”到“可以算日子的倒計時”

要理解這兩篇論文的衝擊力，需要看一條時間線：2012 年，學界估計破解 ECC-256 需要約 10 億個物理量子比特。2023 年，Daniel Litinski 的論文將這個數字壓到約 900 萬個。Google 的新論文將其降到 50 萬以下。Oratomic 更進一步，壓到了 10，000 個。

二十年間，五個數量級的壓縮。

這意味著量子威脅的討論框架已經徹底改變。過去的主流敘事是“量子計算機離破解加密還有幾十年”，現在變成了“如果硬件進展非線性加速，窗口期可能只有五到十年”。Ethereum Foundation 的研究員 Justin Drake（他也是 Google 論文的共同作者）估計，到 2032 年量子計算機破解 secp256k1 ECDSA 私鑰的概率至少有 10%。

Google 論文描述了兩類攻擊場景。

第一類是“即時攻擊”（on-spend attack）。當比特幣用戶發起交易時，公鑰會短暫暴露在內存池中。一臺足夠快的量子計算機可以在約 9 分鐘內從公鑰反推出私鑰，搶在交易確認之前發起競爭交易竊取資金。考慮到比特幣的平均出塊時間約 10 分鐘，論文估算這類攻擊的成功概率約為 41%。

在密碼學領域，41%的破解概率不是統計誤差，而是一個已經被攻破的簽名方案。

第二類是“靜態攻擊”（at-rest attack），針對公鑰已經暴露在鏈上的休眠錢包。這類攻擊沒有時間限制，量子計算機可以按自己的節奏慢慢算。論文估計，約 690 萬枚 BTC（佔總供應量的三分之一）處於這種暴露狀態，其中包括約 170 萬枚來自中本聰時代的早期幣，以及大量因地址重用而暴露公鑰的資金。

按當前價格，這 690 萬枚 BTC 價值超過 4500 億美元。

Taproot：本想升級隱私，反而擴大了攻擊面

論文中一個令人意外的發現是，比特幣 2021 年的 Taproot 升級在量子安全的維度上製造了新的漏洞。Taproot 旨在提升交易效率和隱私，採用了 Schnorr 簽名方案。但 Schnorr 簽名的特性是公鑰默認暴露在鏈上，移除了舊地址格式（P2PKH）中“先哈希再暴露”的保護層。

換句話說，Taproot 在傳統安全性上的改進，恰恰在量子安全維度上開了一道門。這將量子易受攻擊的比特幣池從早期幣和重用地址擴展到了所有使用 Taproot 的錢包。

以太坊：問題更大，但準備更早

如果說比特幣面臨的是“錢包級”風險，以太坊的問題則是“基礎設施級”的。

Google 論文指出，以太坊在五個層面暴露於量子攻擊之下：個人錢包、智能合約管理密鑰、PoS 質押驗證、Layer 2 網絡、以及數據可用性採樣機制。論文估算，以太坊前 1000 大錢包持有約 2050 萬枚 ETH，一臺每 9 分鐘破解一個密鑰的量子計算機可以在不到 9 天內將其全部清空。按當前 ETH 價格計算，這些資產價值約 415 億美元。

更深層的問題在於系統性風險。以太坊上約 2000 億美元的穩定幣和代幣化資產依賴管理員密鑰簽名，約 3700 萬枚質押 ETH 通過同樣易受攻擊的數字簽名進行認證。如果大型質押池被攻破，攻擊者甚至可能干擾共識機制本身。

不過以太坊有一個結構性優勢：出塊時間僅 12 秒，大多數交易在一分鐘內確認，且大量使用私有內存池，這使得“即時攻擊”在以太坊上的可行性遠低於比特幣。

好消息是以太坊社區的應對更積極。

Ethereum Foundation 上週剛上線了 pq.ethereum.org，彙集了八年的後量子研究成果，10 多個客戶端團隊在每週推進開發測試網。Vitalik Buterin 此前也發佈了量子抗性路線圖。相比之下，比特幣社區的治理文化更保守，BIP-360 提案（引入量子抗性錢包格式）雖已在 2 月合併進 BIP 倉庫，但它只解決了一類公鑰暴露問題，完整的密碼學遷移需要更大規模的協議變更。

社區反應：恐慌、理性、和“這也不只是我們的問題”

加密行業的反應按預期分裂成了幾派。

恐慌派以 Project Eleven的 CEO Alex Pruden 為代表：“這篇論文直接反駁了加密行業用來忽視量子威脅的每一個論點。”Dragonfly 的合夥人 Haseeb Qureshi在 X 上的措辭更直接：“後量子不再是演習了。”

理性樂觀派以 CZ 為代表。他認為加密貨幣只需要升級到量子抗性算法就行，“沒必要恐慌”。這個說法在技術上是正確的，但忽略了一個關鍵問題：去中心化區塊鏈不能像銀行或軍事網絡那樣強制推送軟件更新。比特幣基礎設施的遷移週期，從用戶錢包到交易所支持到新地址格式，可能需要五到十年，即便各方今天就達成共識。

“什麼都能破解”派則指出量子計算不只威脅區塊鏈，全球銀行系統、SWIFT 轉賬、股票交易所、軍事通信、HTTPS 網站全部依賴同樣的加密體系。Google 論文對此正面回應：中心化系統可以向用戶推送更新，去中心化區塊鏈不能。這是根本區別。

最冷幽默來自馬斯克：“至少如果你忘了錢包密碼，未來就能找回來了。”

利益衝突與理性折扣

兩篇論文都不是“純學術”。

Caltech/Oratomic 的論文 9 位作者全部是 Oratomic 的股東，其中 6 人是公司員工。這篇論文既是科學成果，也是該公司中性原子硬件路線的商業宣傳。Google 的論文也不完全中立，Google 設定了 2029 年作為自身系統遷移到後量子密碼學的內部截止日期，論文的結論與這一商業決策高度一致。此外，Google 出於安全考慮，沒有公佈實際的量子電路設計，而是通過零知識證明向美國政府驗證了結果的有效性。

論文的利益衝突需要打折，但趨勢本身不需要打折。每次有人聲稱“量子威脅被誇大了”，下一篇論文就會把所需量子比特數再砍掉一個數量級。

現在離“Q-Day”還有多遠？

目前最先進的量子計算機擁有約 6000 個量子比特，且相干時間只有約 13 秒。從 6000 個量子比特到 Google 論文要求的 50 萬個（或 Oratomic 聲稱的 10，000 個），中間仍然隔著巨大的工程鴻溝。

但加密投資者 McKenna 的比喻更值得記住：“你可以把 Q-Day 想象成 Y2K，但這次是真的。”

StarkWare 聯合創始人 Eli Ben-Sasson 呼籲比特幣社區加速推進 BIP-360。Google 自己則表示正在與 Coinbase、斯坦福區塊鏈研究所和 Ethereum Foundation 合作推進負責任的遷移。

爭論已經不再是“量子計算能不能破解加密”，而是“加密行業能不能在硬件追上來之前完成遷移”。Google 的2029 時間表，加上 Oratomic 論文中量子比特需求的急劇壓縮，留給行業的緩衝期比任何人預期的都短。

中本聰沉睡的 110 萬枚 BTC 無法自行遷移到量子安全地址。如果量子計算機先到一步，這筆價值超過 700 億美元的數字遺產將成為歷史上最大的“數字沉船打撈”目標。Google 論文甚至為此引入了“數字打撈權”（digital salvage）的法律框架類比，暗示各國政府可能需要立法來處理這些無法遷移的休眠資產。

這是一個比特幣白皮書裡沒有預見過的問題：如果保護私有財產的數學屏障本身被攻破了，“Code is Law”還能成立嗎？