Coin Metrics：加密貨幣量子風險全景評估

作者：Tanay Ved，Coin Metrics高級研究專員；翻譯：@金色財經xz

本文摘要

• 儘管量子計算機當前尚未對區塊鏈加密體系構成實際威脅，但近期的技術突破已顯著壓縮了應對時間窗口，推動行業進入主動備戰階段。

• 據估算，約690萬枚BTC因使用遺留地址類型和密鑰重用而面臨量子計算攻擊風險，其中約170萬枚BTC（占供應量9%）存在於中本聰時代的休眠代幣中，難以遷移。

• 量子風險因區塊鏈的地址結構、簽名方案和共識模型而異，各生態體系正積極推進提案和後量子路線圖，以採用新型簽名方案。

1、引言

量子計算的迅猛發展正在將曾經遙遠的理論可能性轉化為區塊鏈底層加密技術面臨的具體挑戰。谷歌量子人工智慧團隊近期研究顯示，打造能夠破解比特幣及其他區塊鏈所依賴橢圓曲線加密的量子計算機所需的資源與時間正在縮短。Coinbase量子諮詢委員會同樣指出，雖然目前此類機器尚未誕生，但向抗量子加密遷移的行動窗口已然開啟。

隨著這一風險日益迫近，開發者、網路參與者、投資者及大型機構持幣者將在引導去中心化生態系統邁向抗量子未來的過程中扮演關鍵角色。

我們將在本文深入解析量子計算對區塊鏈加密技術的風險，重點關注比特幣的風險敞口、關於休眠代幣的爭議，以及以太坊和Solana推進抗量子準備的當前路徑。

2、看懂迫近的量子風險

區塊鏈安全依賴於傳統計算機難以破解但可能被量子計算機攻破的加密簽名。當前比特幣、以太坊及大多數其他網路使用橢圓曲線簽名（如ECDSA和BLS）來證明私鑰持有者授權了交易。從原理上講，肖爾算法等量子算法能夠從對應的公鑰推導出私鑰，這意味著一旦這種機器問世，任何公鑰已暴露的地址都可能成為攻擊目標。

這種風險主要體現為兩種形式，具體取決於公鑰是否已在交易中暴露：

• 靜態（長期）攻擊：針對那些公鑰已在鏈上公開可見的錢包、驗證者密鑰和合約。未來的量子計算機可在所有者未進行任何新操作的情況下推導私鑰並盜取資金。

• 動態（短期）攻擊：在公鑰因消費行為暴露後到交易確認前的短暫時間窗口內，針對交易發起攻擊。快速的量子計算機可爭分奪秒地搶在網路之前簽署衝突交易。比特幣約10分鐘的區塊時間創造了比以太坊（約12秒）或Solana（亞秒級最終性）等更快鏈更長的風險暴露窗口。

3、比特幣面臨的量子風險敞口

比特幣的量子風險主要存在於錢包層面，其風險程度取決於UTXO模型和地址類型如何處理公鑰。每個未花費交易輸出（UTXO）都被鎖定在一個與公私鑰對綁定的腳本中。只要公鑰保持隱藏，量子攻擊者就難以實施攻擊。但一旦該密鑰在鏈上公開，未來的量子計算機就能推導私鑰並偽造有效消費。

因此，比特幣面臨的風險根源在於公鑰是否已暴露，且風險因地址類型和重複使用情況而異：

• P2PK（支付到公鑰）：包含「中本聰時代」的部分最早代幣、早期礦工及中本聰本人的代幣。這類地址風險最高，因為其公鑰在賬本上明確可見，使其成為靜態攻擊的目標。

• 重複使用的P2PKH（傳統模式的支付到公鑰哈希）：此類地址的公鑰初始處於隱藏狀態，但在地址發生消費時暴露，導致重用地址中的任何剩餘餘額面臨更高風險。

• 重複使用的P2SH（支付到腳本哈希）：這類地址在消費前隱藏腳本，但通常長期使用相同密鑰鎖定資金，因此一旦被使用和重複使用，多個公鑰最終可能暴露。

• P2WPKH/P2WSH（隔離見證）：原生隔離見證輸出在消費前將公鑰隱藏於哈希值之後，且通常使用新的非重複地址，使其在短暫的消費窗口之外風險相對較低。

• P2TR（Taproot）：此類地址提升了靈活性和隱私性，但直接將調整後的公鑰嵌入地址中，使未來的量子攻擊者從一開始就擁有可見的攻擊目標。

下圖展示了這些地址類型在比特幣歷史中的採用演變，突顯了從傳統的P2PK/P2PKH向隔離見證輸出的轉變。這種轉變正逐步將新代幣轉移至結構上量子風險敞口更小的地址。

4、多少比特幣面臨風險？

根據Project Eleven與谷歌三月發布的量子計算白皮書估算，約690萬枚BTC儲存在公鑰已暴露的地址中。這些公鑰暴露包括：因使用傳統的P2PK輸出（其公鑰自生成起便在鏈上公開可見），或通過地址重複使用（在消費時公鑰被永久廣播至網路）導緻密鑰泄露。

我們通過Coin Metrics ATLAS系統掃描了比特幣前50萬個區塊，確認約230萬枚BTC儲存於高風險地址，其中約170萬枚很可能來自中本聰時代和早期礦工時代的P2PK創幣輸出。其餘約460萬枚高風險BTC主要分布於2017年後產生的區塊中。正如地址類型採用趨勢所示，傳統的P2PKH地址生成從未完全停止，且自隔離見證和Taproot推出以來，新舊格式的地址復用現象逐年增長。

5、休眠幣困境

量子風險爭論的核心焦點在於比特幣休眠幣與中本聰持幣的命運。約170萬枚BTC（占總供應量9%）自早期階段以來從未流動，且儲存於公鑰已暴露或將在動用時即刻暴露的傳統地址類型中。這部分資產包含約110萬枚與中本聰關聯的BTC，分散於約2.2萬個帳戶（各帳戶約50枚BTC），而非單一錢包。

這些"中本聰時代"的代幣構成了獨特挑戰。由於這部分供應無法主動參與遷移，決定是否及如何保護它們已成為比特幣最具爭議的協調難題之一。社區提出的應對方案涵蓋維持現狀（不作干預）、凍結資產、銷毀代幣或對支出進行速率限制等多種干預措施。

這部分休眠幣資產面臨的風險並不均衡。如下圖所示，其中大部分存在於P2PK創幣輸出中（約170萬枚BTC，分布於3.4萬個地址），從量子計算視角看這些資產的暴露風險最高。其餘休眠資產分布更為分散：約41萬枚BTC分布於550個大型地址（單地址持有量>100枚BTC），另有約11萬枚BTC由近2萬個小型帳戶持有。

量子風險由此分化為兩類：其一是中本聰時代的P2PK輸出，這類資產風險最高但分散於大量小型地址；其二是少數因密鑰復用導致公鑰暴露的高價值錢包（如交易所冷錢包），這類目標個體吸引力更強但可更主動參與遷移。

6、其他區塊鏈的量子風險

量子風險也因網路的地址結構、簽名方案和治理模式而存在差異。正如我們所見，比特幣的主要風險敞口存在於錢包和UTXO層面——傳統地址類型導致部分代幣的公鑰暴露，但其工作量證明（PoW）挖礦機制和哈希函數目前基本安全。

相比之下，以太坊和Solana等區塊鏈採用帳戶模型。在該模型下，外部擁有帳戶（EOA）的公鑰在發起交易後即完全暴露，這使得更大比例的資產價值面臨風險，而比特幣的UTXO模型中許多代幣仍受哈希保護且地址復用較少。此外，以太坊和Solana等權益證明（PoS）鏈還因驗證者保護網路所使用的橢圓曲線簽名而面臨額外風險。

這使治理能力與風險緩解共識成為關鍵變量，不同特性和去中心化程度的網路在採納抗量子升級的速度上將呈現顯著差異。

7、抗量子提案與遷移路徑

比特幣

保護比特幣免受量子威脅的核心在於啟用抗量子簽名並將代幣遷移至安全地址類型。這涉及難以遷移的「休眠」資產供應，直指比特幣治理權衡的核心矛盾。當前討論的提案包括：

• BIP-360提出新型支付到默克爾根輸出類型，通過移除密鑰路徑支出使腳本可將公鑰保留在鏈下直至使用，從而降低長期量子風險敞口。

• 由Jameson Lopp等研究者提出的BIP-361建議在未來數年內分階段淘汰易受攻擊的簽名類型。該方案將首先禁止向高風險地址類型存入新資產，最終以防禦未來量子攻擊為由凍結包括中本聰持幣在內的未遷移代幣。

• 針對凍結休眠代幣引發的爭議（「中本聰難題」），Paradigm提出可驗證地址控制時間戳方案，允許持幣者在不行動資產的情況下私密生成當前地址控制權的時間戳證明，使得未來的量子防禦升級能夠解凍本應被凍結的代幣。

以太坊與Solana

以太坊和Solana正採取不同但同樣積極主動的應對路徑。以太坊已組建專門的抗量子研究團隊，發布了以帳戶抽象為核心的路線圖，致力於引入新型簽名方案，使驗證者和用戶能逐步採用基於哈希或基於晶格的簽名方案。

Solana的Anza和Firedancer驗證者客戶端團隊不約而同地聚焦於Falcon方案——這是一種獲NIST標準認證的基於晶格的簽名方案，並制定了三步走計劃：首先啟用抗量子安全密鑰，隨後激勵逐步輪換密鑰，最終在量子風險顯性化時完成全面遷移。

8、結論

量子計算對區塊鏈加密體系的威脅雖然在時間上仍不確定，但其影響範圍正日益具體。儘管當前尚無機器能大規模破解橢圓曲線簽名，但近期的技術進展已推動行業討論從遙遠理論轉向主動規劃。社區目前正在構建遷移路徑、測試新型簽名方案，並就如何保護資產價值展開辯論。對投資者和網路參與者而言，量子風險仍是遠期尾部風險，而非即刻危機，但其嚴重性足以促使各方未雨綢繆、協調行動。

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。