量子计算威胁比特币：Blockstream的后量子迁移方案

Blockstream 表示，“量子计算与比特币”的风险确实存在，但并非立刻会让网络崩溃。量子计算主要威胁的是比特币的签名机制：如果未来量子计算机在足够好条件下运行 Shor 算法，可能从公钥推导出私钥，从而实现盗取——不需要“解密”，因为链上数据本就公开。 真正的瓶颈在于能力与时间。尽管针对攻击 secp256k1 的量子比特估算在研究中有所下降（例如从约 1300 万物理量子比特，走向更新估计的 <50 万），但量子比特数量并不能单独决定结果；错误率、保真度、连通性以及能否长期维持容错性能同样关键。更广泛的专家观点仍认为，“加密可被破解”的量子能力大约在 10–20 年后出现，部分估计会延伸到 20–40 年。 操作层面的关键是“先捕获、后破解”。攻击者可以在公钥一旦上链暴露后就先行收集信息，等待硬件成熟。已暴露公钥的币（例如部分早期 P2PK 输出、已花费脚本揭示后的公钥，以及某些待确认/行为导致的揭示）更容易受到影响。而在花费前能隐藏公钥的地址类型（如许多旧地址类型中的 P2WPKH/P2WSH/P2PKH/P2SH）通常能降低暴露。 在应对方案上，Blockstream 强调要尽早做准备，因为比特币的升级周期很慢。NIST 在 2024 年 8 月敲定了首批后量子密码学原语，但完整迁移主网很难，原因是共识改动与更大的签名尺寸。Blockstream 选择用 Liquid 侧链作为试验场：其报告称已在 2026 年 3 月于 Liquid mainnet 部署 SHRINCS，使得后量子签名交易可在正常操作下实现 324 字节签名，并且在安全基础上仍依赖 SHA-256。此外，文章还提到 BIP 360（降低 Taproot 中量子脆弱的 key-spend 路径）以及类似 OP_SHRINCSVERIFY 的设想，用于在比特币脚本中支持量子抗性签名验证。 对交易者而言：这更像是长期的安全与地址管理议题，而不是短期影响 BTC 的“催化剂事件”。但它可能改变市场对比特币基础设施升级、以及侧链相关进展的情绪预期。