量子计算机威胁 BTC 安全？谷歌最新研究解读：690 万枚 BTC 面临风险

2026年3月，谷歌量子人工智能团队联合斯坦福大学与以太坊基金会发布了一份长达57页的白皮书，系统分析了量子计算对加密货币的安全威胁。核心结论是：破解比特币和以太坊依赖的256位椭圆曲线密码学（ECC-256），所需的量子计算资源比此前最佳估算减少了约20倍。具体而言，在超导量子计算机架构下，仅需不到50万个物理量子比特即可完成攻击，运行时间压缩至约9分钟。

这一发现的意义不在于量子计算机已经能够攻破比特币——当前硬件远未达标——而在于它将“Q-Day”（量子计算机能够破解现行密码学的时刻）的时间表从一个遥远的理论问题，压缩为可计算的工程窗口期。谷歌自身已将内部系统迁移至后量子密码学（PQC）的截止日期设定为2029年。以太坊基金会研究员、论文合著者Justin Drake估计，到2032年量子计算机从已暴露公钥中恢复secp256k1私钥的概率至少有10%。

Shor算法如何从公开公钥推导出私钥

比特币的安全性建立在椭圆曲线数字签名算法（ECDSA）之上，采用secp256k1曲线。其核心假设是：在经典计算条件下，给定公开的公钥，无法在可行时间内推导出对应的私钥。这一假设构成了整个区块链系统的基础安全前提。

Shor算法指出，在量子计算模型下，椭圆曲线离散对数问题可以被高效求解。谷歌此次工作的核心贡献在于，直接编译出针对secp256k1的Shor算法量子电路，给出了具体的资源估算。论文提供了两种方案：一种将逻辑量子比特控制在1,200个以下、Toffoli门控制在9,000万个以下；另一种将逻辑量子比特提升至1,450个，但将Toffoli门降低至7,000万个。在超导量子计算机上，这相当于少于50万个物理量子比特。

更具象征意义的是，谷歌没有公开完整的攻击电路，而是用零知识证明验证了电路的存在性和正确性。这一做法借鉴了传统信息安全领域的“负责任披露”原则，表明量子密码分析已经进入需要前置防范而非事后补救的新阶段。

两类攻击场景：即时拦截与离线收割

白皮书描述了两种量子攻击场景，其风险性质截然不同。

第一类是“即时攻击”，针对内存池中正在广播的交易。当用户发起比特币交易时，公钥会短暂暴露在网络中约10分钟——这正是比特币的平均出块时间窗口。一台足够快的量子计算机可以在约9分钟内从公钥反推出私钥，抢在交易确认之前发起竞争交易窃取资金。论文估算，单台预计算状态下的量子机器在这一窗口内成功拦截交易的概率约为41%。

第二类是“静态攻击”，针对公钥已永久暴露在链上的休眠钱包。这类攻击没有时间限制，量子计算机可以按自身节奏进行破解。论文估算，约690万枚比特币（占总供应量约33%）的公钥已处于暴露状态，其中包括约170万枚中本聪时代的早期币，以及大量因地址重用而暴露的资金。

白皮书中一个值得注意的发现是，比特币2021年的Taproot升级虽然在传统安全性和隐私性上有所提升，但默认将公钥暴露在链上，实际上扩大了量子攻击面。Taproot移除了旧地址格式（P2PKH）中“先哈希再暴露”的保护层。

应对量子威胁的技术代价与治理困境

应对量子威胁的路径已经清晰，但代价同样明确。美国国家标准与技术研究院（NIST）已于2024年8月完成首批后量子密码学标准的标准化工作，包括FIPS 203、204和205。在技术层面，可行的替代方案包括基于格的后量子签名（如ML-DSA，即原CRYSTALS-Dilithium）、基于哈希的签名（如SLH-DSA，即原SPHINCS+）等。

然而，比特币的去中心化治理模式使其密码学迁移异常复杂。引入后量子签名方案需要通过软分叉或硬分叉实现，这需要社区共识、开发者协调、钱包服务商和交易所的同步升级。比特币社区已提出BIP-360提案，旨在引入抗量子签名选项，但该提案仍处于讨论阶段。比特币核心开发者Adam Back等观点认为，量子威胁仍在“数十年之外”，过早进行大规模升级可能引入未经充分验证的加密漏洞。

这种争议背后的真实问题是：量子威胁的不确定性使得“何时启动迁移”本身就构成了一个博弈。过早升级可能浪费开发资源，过晚则可能面临不可逆的资产损失。

量子威胁如何改变加密资产的安全估值逻辑

量子计算威胁重新定义了加密资产的“安全边际”。传统的安全假设——公钥无法在可行时间内逆向推导出私钥——正在被重新校准。690万枚比特币（按当前市值超过4,500亿美元）的公钥已完全暴露，这些资产的安全仅依赖于量子计算机尚未成熟这一暂时性事实。

市场正在以多种方式对这一风险做出反应。Taproot地址的使用率已从2024年的42%下降至约20%，显示部分用户主动回避暴露公钥的地址格式。CoinShares投资策略师Matthew Kimmell指出，该研究的作用是“缩短了行业推进研究并达成行动计划所需的窗口期”。

从更宏观的视角看，加密行业比传统金融系统更容易受到量子威胁，原因在于区块链账本的公开性和不可逆性。传统金融机构可以通过批量更新证书和密钥来抵御量子攻击，但链上资产的公钥一旦暴露便永久存在，无法“撤回”。这一结构性差异意味着，加密行业需要建立的不只是“采用后量子算法”的能力，而是“应对密码学持续演进”的制度框架。

从资源估算到现实攻击还有多远

白皮书的资源估算虽然大幅下调，但并不意味着现实攻击能力已近在眼前。当前最先进的量子系统——包括谷歌的Willow芯片——仅有约100个物理量子比特，且尚未实现容错运行。从现有硬件到50万个稳定、纠错后的物理量子比特，中间仍存在大量尚未跨越的工程挑战。

部分专家认为当前的担忧为时过早。Blockstream的Adam Back指出，比特币网络底层并不依赖传统加密技术，量子威胁的影响不在于拦截网络交易，而在于破解特定用户的私钥。此外，工作量证明机制中使用的SHA-256哈希函数对量子攻击相对更为鲁棒，Grover算法仅能将哈希破解效率提升至平方根级别，远不如Shor算法对公钥密码学的“指数级”威胁。

但这并不意味着行业可以被动等待。资安领域的“先收集、后解密”策略意味着攻击者可能正在当前阶段收集区块链数据，等待未来量子计算机成熟后再进行破解。这种时间不对称性，要求行业在量子计算机尚未建成之前就完成防御部署。

从谷歌2029时间表到国际监管路线图

谷歌设定2029年完成内部系统向PQC迁移的目标，这一时间表并非孤立事件。美国国家安全局的CNSA 2.0框架要求所有新建国家安全系统在2027年1月前采用量子安全算法，全面应用迁移需在2030年前完成，基础设施完整迁移则需在2035年前完成。NIST标准与NSA监管时间表的双重压力，正在推动企业和机构将PQC迁移从研究议题转化为合规要求。

这一背景对加密行业提出了更直接的挑战。比特币和以太坊等去中心化网络的升级周期往往需要数年时间。以太坊基金会已投入多年时间研究后量子路线图，并在测试网络中运行后量子签名方案。相比之下，比特币尚未形成明确的后量子路线图和协调的资金机制，去中心化治理赋予其合法性的同时，也使协议层面的密码学迁移异常缓慢。

总结

谷歌量子AI团队的白皮书并未宣告比特币的终结，而是将量子威胁从一个模糊的远期假设转化为一组可量化的工程参数。破解所需的50万物理量子比特、约9分钟的攻击窗口、690万枚已暴露公钥的比特币——这些数字共同定义了一个真实存在且正在收窄的安全窗口。

行业面临的挑战不仅是技术层面的——NIST已经解决了算法问题，真正困难的是治理层面的协调。在去中心化网络中，共识的建立需要时间，而量子计算机的进步不会等待共识形成。未来五到七年，加密行业需要在两种风险之间做出权衡：过早升级可能引入未经充分验证的加密方案，过晚升级则可能面临不可逆的资产损失。无论最终路径如何，量子计算已从一个理论概念变为需要纳入加密资产安全框架的实际变量。

FAQ

Q：量子计算机现在就能破解比特币吗？

A：不能。当前最先进的量子系统仅有约100个物理量子比特，而破解比特币ECC-256需要约50万个纠错后的物理量子比特，仍有数百倍的差距。

Q：9分钟破解意味着什么？

A：这是白皮书中描述的“即时攻击”场景——在量子计算机处于预计算状态下，从公钥出现到完成破解约需9分钟，略短于比特币平均10分钟的出块时间，理论上存在约41%的拦截成功率。

Q：哪些比特币最危险？

A：公钥已永久暴露在链上的地址风险最高，包括早期P2PK格式地址（约170万枚）、因地址重用暴露的地址以及Taproot地址。论文估算约690万枚比特币处于此类暴露状态。

Q：比特币可以升级来防御量子攻击吗？

A：可以。NIST已完成后量子密码学标准（如ML-DSA和SLH-DSA），比特币可通过BIP-360等提案引入抗量子签名选项。问题在于升级需要社区共识，过程可能持续数年。

Q：用户现在应该怎么做？

A：避免重复使用地址，每笔交易使用新地址；将大额资产存放于冷钱包；关注社区关于抗量子升级的进展，主动将资产迁移至更安全的地址格式。