【CNMO 科技】2026 年 4 月，比特币价格在 7 万美元线上维持着表面的平静，但水面之下，一场关于数字资产根本安全性的激烈辩论正在悄然展开。量子计算机——这个曾经只存在于理论物理学家实验室中的概念，正以前所未有的速度向现实世界逼近，威胁着建立在传统密码学基础上的整个金融体系。

图源网络

大约 30 年前，数学家彼得 · 肖尔用一个算法，将量子力学这个小众物理课题变成了撼动全球数字安全的炸弹。他证明，量子计算机能快速解决两个经典计算机需要数十亿年才能破解的数学难题——而这两个难题，恰恰是当时新兴数字世界的安全基石。如今，几乎所有网站、邮箱和银行账户的可信度，都建立在 " 这两个问题不可解 " 的假设之上。肖尔算法，彻底推翻了这个假设。

技术突破

在过去 30 年里，肖尔算法始终只是 " 理论上的威胁 "。物理学家最初估算，运行该算法需要一台拥有数十亿个量子比特的巨型量子计算机；近年来这个数字虽降至百万级，但仍远超现有量子计算机的能力——目前主流设备仅拥有数百个量子比特。

图源网络

转折点出现在 2026 年 3 月 30 日。谷歌量子 AI 实验室联合以太坊基金会研究员 Justin Drake 和斯坦福密码学家 Dan Boneh 发布了一份白皮书，指出破解比特币所依赖的 secp256k1 椭圆曲线加密所需的量子资源比此前最乐观的学术估计降低了约 20 倍。50 万个物理量子比特，9 分钟内就能从公钥推导出私钥。

几乎在同一时间，加州理工学院的顶尖量子物理学家团队也公布了一项设计，仅需数万个量子比特就能破解主流加密，并已成立公司着手建造这台机器。谷歌研究团队则宣布，其优化后的肖尔算法实现效率，比此前最优方案提升了 10 倍。

比特币的脆弱性

比特币的锁还在，但有人正在磨钥匙。目前，比特币的平均出块时间是 10 分钟，但现在这个数字成了一个安全漏洞。谷歌团队开发了两种针对 secp256k1 曲线的优化电路方案。低门数变体只需约 1450 个逻辑量子比特和 7000 万次托夫利门操作，单次破解私钥的有效时长约 18 分钟。如果加上预计算优化，这个时间可以压到 9 分钟以内。

比特币

这意味着，你刚在钱包里点了 " 发送 "，一笔交易广播到了比特币网络的内存池里。你的公钥在这一刻暴露了。一台足够强的量子计算机可以在出块之前完成私钥破解，伪造一笔手续费更高的竞争交易，把你的钱转到攻击者的地址。矿工只认手续费高的那笔。根据谷歌的估算，这种 " 内存池劫持 " 的成功率大约是 41%。你甚至不会收到任何错误提示。钱就是没了。

值得注意的是，谷歌并没有公布完整的攻击电路，而是采用了一种 " 负责任披露 " 模式：发布一个基于 SP1 和 Groth16 SNARK 的零知识证明，允许第三方验证谷歌宣称的资源消耗量是否属实。这种克制本身是一种警告。

静态暴露

当前，大约 690 万枚比特币排队等着被敲碎。最先倒霉的是早期的 P2PK 地址，大约 170 万枚 BTC。这些地址的公钥直接明文写在区块链上，量子计算机可以直接开工。紧随其后的是因为地址重用而暴露公钥的约 520 万枚。只要你用同一个地址发起过一次交易，公钥就永远挂在链上了。加起来，大约 690 万枚比特币处于 " 静态暴露 " 状态。按当前价格，这是一个超过 6000 亿美元的风险敞口。

更讽刺的是 Taproot。2021 年，比特币社区推动的这次升级本意是提升隐私和支持更复杂的智能合约，但 Taproot 采用的 Schnorr 签名方案，在设计上选择了直接在链上暴露经过微调的公钥。这消除了传统 P2PKH 地址通过哈希函数掩盖公钥的那层防护。在经典计算环境下，这无伤大雅。但在量子环境下，这是一次安全性的倒退。到 2025 年，Taproot 交易已占比特币网络交易量的 21%，而且还在增长。

然后是中本聪时代的约 110 万枚 BTC。这些币用的都是 P2PK 脚本，私钥极有可能已经丢失，没有人能把它们迁移到抗量子地址。一旦 50 万比特的量子计算机出现，这将成为人类历史上最大的一笔 " 公海财富 "。谁先造出那台机器，谁就拿走这笔钱。

量子计算的非线性发展

50 万物理量子比特听起来是个天文数字。谷歌当前最强的 Willow 芯片只有 105 个量子比特，差距大约是 4760 倍。看起来还早得很？但量子计算的进步从来不是线性的。

图源网络

谷歌已经用 Willow 芯片证明了量子纠错的可行性，并把内部所有系统的后量子密码迁移截止日期定在了 2029 年。IBM 的路线图更激进：2029 年推出 Starling 系统，目标是 200 个逻辑量子比特和 1 亿次门操作；远期的 Blue Jay 目标是 2000 个逻辑量子比特。更关键的是，IBM 明确表示将通过 qLDPC 纠错码把物理比特开销降低 90%。

初创公司 Oratomic 的研究则显示，用中性原子架构，仅需约 26000 个物理量子比特就能破解 secp256k1 曲线，虽然需要 10 天。不需要实时劫持，慢慢来也行。对于那些公钥已经永久暴露在链上的沉睡钱包，攻击者有的是时间。

两大技术趋势的碰撞

要理解量子计算为何能如此迅速地发展，必须关注两大核心技术趋势的交汇。

趋势一：中性原子量子比特的崛起。过去十年，物理学家已能熟练地用激光束悬浮数十、数百乃至数千个中性原子，并任意排列它们的位置。相比谷歌和 IBM 主推的超导电路量子比特（运算速度更快，但像传统晶体管一样固定在芯片上无法移动），中性原子量子比特拥有独一无二的优势：可自由移动。

趋势二：量子纠错码的效率革命。所有类型的量子比特都极易出错，可靠的量子计算必须依赖持续的纠错。长期以来，行业黄金标准是表面码：将量子比特排列成矩形网格，每个比特仅与相邻比特相连，用一整块物理量子比特存储 1 个 " 逻辑量子比特 "（能稳定执行计算的虚拟量子比特）。表面码可靠且技术成熟，但效率极低——生成 1 个逻辑量子比特需要数千个物理量子比特。

而近年来出现的量子低密度奇偶校验码（qLDPC），彻底改变了这一局面。这种纠错码的难点在于，需要让物理量子比特与阵列中远距离的比特相连，而非仅与邻居交互——而这恰好是中性原子量子比特的强项。

用 4 个原子造出 1 个逻辑量子比特

qLDPC 码有多种形式，选择哪种通常需要权衡：有些码效率高（生成 1 个逻辑比特需要的物理比特少），有些码容错性强（能承受更多同时发生的错误）。

加州理工团队的突破在于：他们借助一款由数学家设计的大语言模型（LLM）来辅助开发，最终 LLM 给出的代码实现了惊人的性能：

仅需 4 个物理原子就能生成 1 个逻辑量子比特（此前最优的 qLDPC 码需要 12 个）

能承受 20-24 次灾难性错误（此前最优方案仅能承受 12 次）

同时生成了高效的解码器（用于识别错误类型并制定纠错方案）

模拟结果显示：

破解主流 RSA 加密：1 万个原子需要约 100 年，10 万个原子仅需 3 个月

破解应用更广泛的椭圆曲线加密（ECC）：1 万个原子需要约 3 年，2.6 万个原子仅需几天

应对措施：BIP-360 与 QSB 方案

当然，开发者们并没有坐以待毙。进展最快的是 BIP-360 提案，也叫 Pay-to-Merkle-Root（P2MR），已经在 2026 年初合并到了官方 BIP 仓库。它的思路很直接：不再在链上显示任何公钥信息，取而代之的是脚本树的默克尔根。量子计算机再强，也没法从一个哈希值反推出公钥。虽然花费时公钥仍需短暂暴露，但它为后续引入抗量子签名方案铺平了道路。

另一条路线是 StarkWare 首席产品官 Avihu Levy 提出的 QSB（量子安全比特币）方案。它不需要任何软分叉，利用现有的 OP_RIPEMD160 操作码构建一套复杂的哈希谜题来验证签名。安全性锚定在哈希函数的抗原像能力上，量子计算机对此没有比 Grover 算法更好的手段。但代价不小：每笔交易需要 75 到 150 美元的 GPU 计算成本，更像是给超高净值资产准备的 " 量子避难所 "。

结论

漫长的讨论最终归结为一个问题：面对量子计算机这一未来威胁，人类数千年积累的密码学堡垒能否屹立不倒？AI 专家们相信技术会给出答案，但他们对实际操作和应对这一技术的主体——人类的 " 速度 " 和 " 意志 " 表示担忧。判断的责任仍然在我们身上。支撑由 0 和 1 组成的数字资产价值的，归根结底是看不见的 " 信任 " 这一承诺。

图源网络

比特币挖矿层暂时是安全的。虽然 Grover 算法理论上能为哈希计算提供平方级加速，但实际物理实现中的量子门开销远高于现有的 ASIC 矿机。要用量子计算机有效挖矿，所需的物理量子比特数量达到 10 的 23 次方级别，耗电量接近一颗恒星的能量输出。比特币的风险集中在签名层，不在共识层。

最终，问题不在于量子计算机的量子比特数量，而在于该技术将带来的恐惧，我们的金融系统是否做好了控制的准备。