StarkWare 產品長 Avihu Levy 在 4 月 9 日公開發布抗量子比特幣交易方案「Quantum Safe Bitcoin (QSB)」,在不更動協議的前提下,實現抗量子運算的交易保護。這是目前已知首個僅憑比特幣現有 Legacy Script 規則,即可抵禦 Shor 演算法攻擊的可行方案。
量子威脅迫在眉睫,比特幣社群共識未明
量子運算對比特幣構成的威脅,在 Google Quantum AI 於上週發表的論文中再度受到關注。研究指出,破解比特幣橢圓曲線加密 (ECDSA) 的成本比預期少了 90%,同時最快 9 分鐘就能從已曝光的公鑰還原出私鑰,Google 本身也訂下 2029 年完成自身服務後量子遷移的目標。
(Google 量子研究示警:破解比特幣加密門檻大降,Taproot 與地址重用讓 690 萬枚 BTC 暴露量子風險)
比特幣現行主要簽名機制 ECDSA,其安全性建立在橢圓曲線數學難題之上。一旦量子電腦具備足夠算力,攻擊者便能透過 Shor 演算法逆推私鑰、偽造簽名,進而竊取資產。從 P2PK 輸出、Taproot 到傳統地址,只要公鑰曝光,都面臨私鑰遭破解的風險。
然而,由於主流應對方案皆需要修改比特幣底層協議。無論是需要軟分叉的 BIP-360 抗量子地址提案,還是 SPHINCS+ 等基於雜湊的簽名方案,都必須經過比特幣社群出了名漫長且高度分歧的治理流程。
如今 QSB 的出現,成功繞過了這道關卡。
QSB 是什麼?如何在不動協議的情況下實現抗量子?
作為 BIP-360 的共同作者,Avihu Levy 近期發布的 QSB,主張無需變更共識即可在比特幣上實現能抵禦量子攻擊的解決方案。
QSB 建立於 BitVM 創始人 Robin Linus 所開發的 Binohash 交易技術之上,並針對其中兩個量子安全漏洞進行了修正:其一是可能被 Shor 演算法破解的橢圓曲線小 r 值簽名難題;其二是可能讓攻擊者利用的 sighash 旗標漏洞。
在安全模型上,QSB 捨棄了依賴橢圓曲線數學難題的傳統假設,改為建立在 RIPEMD-160 雜湊函數上。量子電腦對雜湊函數的攻擊,只能透過 Grover 演算法取得二次加速,而非如 Shor 演算法對 ECDSA 那樣完全破解,因此其對 QSB 目前並不會構成威脅。
具體運作上,交易發起者需要解決一個計算成本高昂的雜湊謎題,將交易與一組特定參數綁定。任何人想竄改交易內容,答案就會立刻失效,必須從頭重算。
整個方案完全在比特幣現有的 Legacy Script 限制內運行,包括 201 個操作碼上限與 10,000 位元組的腳本大小限制,無需任何協議更動。該方案可達約 118 位元的抗量子安全性 (目前為 0)。
實際使用成本與操作限制:低至 75 美元的運算費用
QSB 目前並非零成本方案。每筆交易需支付約 75 至 150 美元的雲端 GPU 運算費用,以當前雲端算力的市場行情計算,整個計算過程可在幾小時內完成,且可跨多張 GPU 同步執行。
然而,QSB 仍存在現實限制。由於交易超出比特幣預設的中繼政策限制,必須直接提交給接受非標準交易的礦池,例如透過 Marathon 提供的 Slipstream 服務,同時方案目前也尚未支援閃電網路。
Levy 本人也定位 QSB 為「最後手段」,而非一般比特幣交易的替代方案。
回顧現有抗量子方案,均需修改比特幣原始協議
現有抗量子比特幣方案幾乎全部都需要協議層的變更。BIP-360 提議引入新型量子抗性地址格式,但需要通過軟分叉,並須獲得比特幣社群的廣泛共識;SPHINCS+ 等基於雜湊的簽名方案同樣需要協議升級,且在效率與腳本大小方面面臨更大挑戰。
QSB 作為目前首個完全在現有比特幣規則框架內運行、無需任何共識變更即可實現抗量子保護的方案,任何願意承擔相應 GPU 運算成本的用戶,今日即可使用,無需等待社群達成共識。
抗量子方案浮現,比特幣持有者靜待佳音
就目前而言,尚無任何量子電腦具備破解比特幣加密的實際能力,外界預期真正的威脅仍在 3 至 10 年後。然而,對於有在使用且公鑰曝光的比特幣地址,一旦量子電腦達到攻擊門檻,便會成為首批目標,初步估計約有 690 萬枚左右。
QSB 目前尚未整合進任何消費級錢包,一般用戶還無法透過現有軟體直接啟用量子安全設定。但 Levy 此舉證明,這個方案在今天的比特幣上確實存在且可行,後續剩下的是工程實作、錢包整合與時間。
對持有比特幣的用戶而言,當前最務實的建議是:避免重複使用地址、密切關注錢包開發商的抗量子支援進度,並在主流軟體提供量子安全遷移選項時,盡早將資產移轉至受保護的地址。
這篇文章 比特幣社群福音!首款無需軟分叉的抗量子比特幣交易方案 QSB 問世 最早出現於 鏈新聞 ABMedia。
相關文章
