一文搞懂 BIP-361，比特幣社區到底在吵什麼？

這周 BTC 社區關於 BIP-361 的討論和爭議很多，我按我的理解做個整理。
BIP-361 是由 Andrew Poelstra 提出、安全專家 Jameson Lopp 深入解讀和推廣的草案。這個草案的核心邏輯是：在量子計算機有能力破解比特幣之前，防患於未然，把有暴露公鑰的地址的 BTC 冻結掉 (且有補救措施)。
1/ 背景資訊
過去 17 年，比特幣一直都非常安全。它的安全性，是由非對稱的、橢圓曲線數字簽名算法 (ECDSA) 保障。這套算法，讓目前的計算機 (包括超級計算機) 幾乎不可能在合理時間內，通過公鑰推導出私鑰。這保證了從私鑰到公鑰的單向不可逆性。
現在的危機，也就是轉折點在於：物理學界普遍認為，足夠強大的量子計算機 (擁有數百萬個物理量子比特) 可以使用 Shor 算法，在極短時間內破解 ECDSA。
年初 Google Quantum AI 團隊發布了一些研究進展，他們並沒有攻破比特幣，但數據顯示，量子計算威脅加密貨幣的時間表，可能比大家預想的要早一些。
現在比特幣社區的反應是，不必恐慌，但也得積極應對、討論和行動起來。
這就是為什麼，現在會有 BIP-360、BIP-361 等提案湧現，因為比特幣是一個無 CEO 的開源軟體社區，它的每次重大升級都極其緩慢，需要較長時間形成社區共識。如果等到量子計算機真正出現再行動，可能就來不及了。
2/ 升級對抗思路
從邏輯上來說，既然 Bitcoin 是開源軟體，那麼只要升級比特幣的算法，來對抗量子計算即可。程式碼實現本身是有一些方案的，比如 NIST 選出的 Dilithium 等算法，雖然與現有的 ECDSA 算法相比有些副作用，但理論上是可行的。
更大的問題在於技術之外：升級完成後，我們這些人可以把 BTC 從舊地址，轉移到新地址就安全了；但那些已經暴露了公鑰的、持有者去世了或丟失私鑰的地址怎麼辦呢？這些無主 BTC，沒有人動得了。它們會永遠暴露在量子攻擊之下，成為攻擊者的提款機，會引發市場崩潰。
這些已經暴露公鑰的 BTC，有多大數量呢？
現在行業的估算是，已暴露的 BTC 約為 200-400 萬枚 (含中本聰的 110 萬枚)；另外 200-300 萬枚是休眠，也就是「超過 5 年未移動」的幣，這些是哈希加密的，量子計算機暫時無法直接破解。不管怎樣，這是一個很大的數量。微策略費了吃奶的力氣，現在也才買到 78 萬枚 BTC。這幾百萬一旦被攻破，對比特幣的殺傷力有多大，不用說了。
3/ BIP-361 到底想幹什麼
上面這個棘手的難題，就是 BIP-361 提案想要去應對和解決的。
這個提案的核心邏輯是：不升級到抗量子計算的钱包地址，裡面的幣會被冻结。從而倒逼所有人都遷移到抗量子性的地址。
具體分三個階段，用 BIP9 的方式部署：
◦ Phase A (激活後約 160,000 個區塊，約 3 年）：禁止向危險的傳統地址 (暴露公鑰的) 發送比特幣。只允許往量子抗性 (PQ) 的新地址轉移 BTC。這一步就是攔住更多人，別往坑裡跳。
◦ Phase B (Phase A 後約 2 年，總計約 5 年）：節點將拒絕所有基於橢圓曲線的簽名，包括傳統的 ECDSA 和較新的 Schnorr 簽名。沒有轉移走的量子脆弱的 UTXO，會被冻结無法花費。也就是說，如果你在 5 年內不操作，你的幣在鏈上就不被承認了。
◦ Phase C (待定)：為了解決死人幣/遺忘幣的道德難題，對 Phase B 進行打補丁。只要用戶還有助記詞，可以通過零知識證明的方式，在不暴露舊公鑰的前提下，向網路證明「我是這些幣的所有者」，從而進行解凍。—— 在邏輯上是通順的，但技術實現難度很大，還在理論驗證階段。
對於 Phase C，解釋一下。現在的困境是：一些地址在轉帳時會暴露公鑰，而量子計算會直接截胡把 BTC 搶走。所以 Phase C 的救贖/補丁思路是：
◦ 用戶手裡有 12/24 字助記詞
◦ 利用 BIP-361 提到的零知識證明
◦ 用戶向全網節點提交一個證明：「我不告訴你我的私鑰是什麼，但我證明我擁有這組助記詞，可以衍生出對應舊地址的私鑰路徑，從而建立起與被冻结資產的所有權關聯」
◦ 全網驗證這個零知識證明 (且驗證過程本身是抗量子的)，驗證通過後，協議允許用戶直接將凍結的幣「鏡像」到一個全新的、抗量子的地址上。
總之，BIP-361 的邏輯是，不要等被偷了再反應，而是提前把「可能被偷」的路堵死。
4/ 社區的爭議
BIP-361 在 BTC 社區公布後，現在整體反對聲音大於支持聲音。
Adam Back 說：「這是沒收，不是保護」。他偏向軟分叉 + 自願升級，明確反對強制凍結。Marty Bent 也發了長 thread 批評，核心論點是認為違反了「your keys, your coins」原則，他主張自願遷移 + 教育，而不是設定強制截止日期。
Charles Hoskinson 更激烈：這本質上是 hard fork，會讓比特幣變成 shitcoin。
從技術實現路徑看是軟分叉，但在社會共識層面，其強制性又引發了關於其是否屬於硬分叉的激烈辯論。
Phil Geiger 的吐嘈比較到位：「我們必須先偷走人們的錢，才能防止他們的錢被別人偷走」。
提案共同作者 Jameson Lopp 自己也說：「我也不喜歡它，但我寫它是因為我更不喜歡另一種結果——量子計算偷幣」。兩害相權取其輕罷了。
反對者不僅擔心「偷錢」，也擔心在 Phase C 引入零知識證明，會增加比特幣程式碼庫的複雜性，從而引入新的 Bug 攻擊面。
也有人表示支持。
胡翌霖 @epr510 就表示支持，他的核心論點是：中本聰大概率已經銷毀了私鑰，這是他自由意志的體現。量子計算機會違背這個意志，把幣重新動用。凍結那些被遺忘或被捨棄的幣，才是尊重「財產自由支配」的原則。
他還反駁了「滑坡風險」的論點：凍結可被破解的地址屬於改 bug，並不是審查。丟幣的人是希望自己把幣找回來，而不是量子攻擊者拿走這些幣，所以凍結方案並沒有更加違背他們的自由。
Matt Corallo 提了一個折中方案：把抗量子升級和舊地址凍結拆開，兩步獨立推進。技術更新不用等共識，共識問題最終靠一次大分叉競爭解決。
5/ 會帶來什麼影響
從數字來看，其實很直觀，幾百萬枚 BTC 價值幾千億美元。如果真按 BIP-361 提案實施，雖然在帳面上會導致可流通供應量的驟然減少，形成某種意義上的技術性縮減，但如果共識因此分裂，市場對「比特幣總量恆定及不可篡改性」的信心受損，其市場價值未必會因縮減而單純上漲。
中本聰早年說過一句話：「Lost coins only make everyone else's coins worth slightly more. Think of it as a donation to everyone.」
對此，BIP-361 提案裡換了一個說法「Quantum recovered coins only make everyone else's coins worth less. Think of it as a theft from everyone.」
丟幣是捐贈，被量子計算機偷幣是搶劫。
如果不凍結，只有三種可能：(1) 允許任何人偷，先到先得；(2) 限制性盜竊，比如礦工用 RBF 從量子回收中補貼收入；(3) 誰都不准偷。BIP-361 提案選了第三種。
提案本身大概率不會以當前版本通過，還會有很多修訂。但它的意義是，把一個之前被很多人回避的問題擺上了台面上，這更有利於提前達成共識，一起抗量子計算機。