三成比特幣面臨量子風險，它們來自哪裡？

撰文：Rafael Schultze-Kraft

編譯：Chopper，Foresight News

近期行業研究聚焦比特幣一項新型安全隱患：當前持倉狀態下，哪些比特幣目前面臨量子風險？判定核心標準為轉出代幣的公鑰是否已在鏈上公開。據統計，全網已有 604 萬枚比特幣存在量子風險，佔總發行量 30.2%；剩餘 1399 萬枚比特幣（佔比 69.8%）持倉階段未洩露公鑰，暫無相關風險。這些數據與近期的一些研究結論基本一致。

我們將這種風險分為兩類。第一類是結構性風險：腳本類型本身就洩露了公鑰的輸出。第二類是操作性風險：某些加密貨幣最初可能受到保護，但由於地址重用、部分支出或託管行為等原因，公鑰已被洩露，比特幣仍留存該地址內。

Quantum Safety 提供的存在量子風險的比特幣供應量分佈圖

結構性風險比特幣有 192 萬枚，佔總發行量 9.6%；存在操作性風險的比特幣有 412 萬枚，佔總發行量 20.6% 其中僅交易所託管的相關比特幣就達 163 萬枚，足以說明錢包規範使用與資產託管方式對降低公鑰洩露風險至關重要。

本文不作立場判定，既不預判實用型量子攻擊何時會落地，也不評判任何託管機構的安全性與償付能力。僅從數據維度量化全網公鑰洩露現狀，區分永久高風險資產，以及可通過優化錢包管理、託管規則降低風險的資產。

通俗理解公鑰洩露風險

比特幣資產由私鑰掌控，公鑰用於網絡校驗私鑰簽名合法性。在傳統加密體系下，僅憑公開公鑰無法逆向破解私鑰，資產足夠安全。

而量子計算機威脅核心在於：具備高性能的密碼學實用量子計算機，可利用 Shor 算法，通過已知公鑰反向推導出對應私鑰。由此，相關的鏈上問題就變得簡單了：

如果公鑰已公開，則該加密貨幣已暴露。攻擊者無需等待所有者轉移加密貨幣，因為公鑰已經可用。如果公鑰在鏈上不可見，則根據此特定靜態存儲模型，該加密貨幣當前不會暴露。

本文重點關注持倉狀態下的資產風險，即代幣靜置未動、但關聯公鑰已洩露的存量資產。區別於轉賬時暴露：後者僅在廣播、確認交易時才公開公鑰，屬於交易結算層面的時效風險；前者是可精準統計的存量風險資產。文中所指「安全資產」，僅代表持倉階段未洩露公鑰，並非適配所有未來量子攻擊模式的絕對抗量子資產。

Quantum Safety 提供的量子安全的比特幣供應量分佈圖

結構性暴露：天生自帶安全隱患

這類資產風險由地址腳本格式決定，與用戶是否規範使用錢包無關，註定會在鏈上暴露公鑰。涵蓋中本聰時代早期 P2PK 地址、傳統多重簽名 P2MS 地址，以及當前主流的 Taproot 地址。這類地址誕生年代、使用場景各不相同，但共性一致：默認在鏈上公示公鑰或等效公鑰信息。只要代幣未被花費，它就可能成為攻擊目標。

我們目前將 192 萬枚比特幣（佔已發行總量的 9.6%）歸類為結構性風險類別。這部分比特幣又可分為三個不同的部分：

比特幣的結構性風險分佈

中本聰及早期區塊代幣：屬於永久性結構性風險資產，若資產丟失、持有人沉寂，幾乎無法遷移至安全地址，除非全網達成共識啟動協議層面整改，否則將永久暴露在量子風險中。

Taproot 地址：該腳本本身具備隱私性強、轉賬高效、智能合約靈活等優勢，並非設計缺陷。但從公鑰洩露維度來看，Taproot 地址會直接公示密鑰，存在持倉量子風險。

業內提出的 BIP-360 協議 P2MR 方案，可在保留 Taproot 功能的同時剔除高風險密鑰路徑，緩解此類隱患，但無法自動遷移存量 Taproot 資產，也並非徹底的抗量子終極方案。

簡言之，192 萬枚結構性風險資產中，一部分難以完成資產遷移，另一部分可依託新協議、新標準逐步優化避險。

操作行為暴露：使用習慣引發安全漏洞

這類地址本身具備隱私防護能力，初始不會洩露公鑰。只因用戶不當操作，轉賬過程中公鑰被公開，剩餘留存資產隨之失去防護。

這就是地址重用問題。2PKH、P2SH、P2WPKH 和 P2WSH 等輸出類型可以在代幣處於靜止狀態時，通過哈希值隱藏公鑰。然而，一旦公鑰在消費過程中被洩露，與該公鑰關聯的任何餘額或未來餘額都將失去這種保護。

操作行為暴露是當前比特幣量子風險的主要來源，總量 412 萬枚，規模是結構性風險資產的 2.1 倍。這也印證如今絕大多數比特幣量子風險，並非早期腳本設計遺留問題，而是用戶密鑰管理、地址使用不規範導致。

在操作性風險資產裡，交易所託管比特幣佔比極高，共計 166 萬枚，佔據全部操作性風險比特幣餘額的 40%。數據顯示交易所資產風險差異極大：標記的交易所持有的比特幣中，約有一半屬於易受攻擊的比特幣，而非交易所持有的比特幣中，這一比例不到 30%。

操作性風險比特幣供應量分佈

各大主流機構資產暴露情況差異顯著。一些託管機構的風險相對較低，而另一些託管機構則在公鑰已知的地址中持有更大比例的餘額。

• 低風險：Coinbase 僅 5% 託管資產存在公鑰洩露；各國主權國庫（美國、英國、薩爾瓦多）量子風險暴露比例均為 0%
• 中等風險：富達、CashApp 約 2%，灰度約 50%
• 高風險：幣安 85%、Bitfinex 100%、Robinhood、WisdomTree 託管資產全部存在公鑰暴露風險

提示：該數據僅體現鏈上資產託管留存痕跡，不構成機構風險評級、償付能力評判依據。

從長期趨勢來看，各國政府常年保持 99% 以上安全持倉比例；而交易所因資金流轉頻繁、錢包架構複雜，安全資產佔比從 2018 年的 55% 下滑至如今 45%。但這類風險完全可以改善，只需堅持不重複使用地址、及時劃轉找零資產等基礎規範，就能快速降低暴露規模。

按實體類型劃分的操作性安全比特幣供應量分佈

總結

比特幣的量子風險可分為不同類別，每個類別的影響各不相同。

• 結構性風險：早期遺留代幣遷移難度極大，新版 P2MR 等協議可逐步優化現代 Taproot 地址風險；
• 操作性風險：規模更大、可控性更強，其中交易所海量存量資產，具備大規模避險遷移條件。

由此可見，比特幣量子安全佈局，不止依賴底層網絡協議升級；市面上大量存量風險資產，僅憑當下日常運營調整就能有效降低風險。對交易所、專業託管機構而言，規範地址使用、優化儲備資產佈局、減少密鑰複用、制定資產遷移方案，都不是遠期空想，而是當下就能落地、切實縮減量子風險的實用手段。