中本聪的百万比特币，会被量子黑客偷走吗？

短期内很难。中本聪时代的许多币锁在早期P2PK脚本，公钥已长期暴露，量子机一旦能稳定运行Shor算法，确实可以“离线”逆推出私钥，这批币是全网最脆弱的那一撮。但要做到这点，需要大规模、容错的量子计算——从数千逻辑到数十万/上百万物理量子比特级别、极高门速与低误差率。以当下硬件进度看，距离可实战仍有数量级差距。中长期看，若量子能力在2030年代兑现，这些沉睡的50 BTC碎片UTXO会成为首要猎物，但不太可能在一天内被“清盘”：逐个破解需要时间与算力调度，链上可见的异常移动也会触发市场与开发者的应急响应。比特币无法代持迁移这些币，除非出现极具争议的危机分叉去冻结或改写旧脚本规则。换句话说：不会很快，但一旦来临，它们将是第一批倒下的多米诺骨牌。

量子计算机会先破解比特币，还是银行密码？

更可能先“破”的是比特币等公链的签名，而不是银行账户密码。链上资产的安全几乎单点依赖椭圆曲线签名，一旦公钥已在链上暴露（存量较多），量子计算可直接从公钥推私钥，伪造签名把币花走；“内存池竞速”甚至允许在确认前抢签。公链升级到抗量子方案需要广泛共识与硬分叉，治理与迁移阻力客观存在。银行侧的薄弱点首先是保密性而非“可花走性”。即便RSA/ECC受威胁，银行可集中滚动更新证书、HSM与协议，采用混合/后量子套件；实时转账还要越过对称密钥、设备绑定、2FA与风控模型，多层把关让“量子一把梭”难以直接改写账户余额。更现实的先发风险是“先窃取、后解密”的历史通信被揭密，而不是立刻转走你的钱。变数在于谁先完成迁移：若公链及时把已暴露公钥的存量币迁出并引入抗量子签名，顺序可被改写；反之，若传统金融迟滞、旧加密栈残留广泛，则银行的机密泄露会更早放大。但以当前技术与治理节奏衡量，首个被实用性打中的，更像是链上签名系统。

谷歌量子“末日时钟”是不是拨太快啦？

更像是把“最早到达时间”当成了“高概率时间”。要在9–12分钟内完成对ECDSA-256的量子攻击，不只是“50万物理比特”这么简单：你需要上千个容错逻辑比特、数千万到上亿级的T/Toffoli门、亚微秒级门时钟、持续高通量的魔态栽培，以及门错误率逼近千分之一以下且可稳定并行。现实是：今天还没有哪家实现过可执行通用算法的单个容错逻辑比特，硬件规模与控制电子学都差着三到四个数量级。但这并非危言耸听。过去三年算法与纠错常数改进把资源估算压低了一个量级，“先存后解”和已暴露公钥的存量地址让风险随时间提速。理性的读法是：把2029视为乐观下限，把2032–2035当主窗口，同时立刻做两件事——加密栈留出可切换签名与脚本的升级路径，优先迁移易受攻的P2PK/重复地址与合约管理员密钥到PQC或量子安全金库。这样，即便“末日”晚到，也不会白等；万一早到，也不至于慌。

新知 - 大圆镜｜2029年量子破局，690万比特币悬于一线

大圆镜

内容由AI生成，思考得你完成

App Store 下载 Android 下载

加密货币的锁：椭圆曲线的幻觉

你可以把比特币的加密逻辑想象成一把特殊的挂锁：私钥是只有你知道的开锁密码，公钥则是锁孔——任何人都能看到锁孔形状，但想用普通工具从锁孔反推出密码，得花上宇宙级的时间。这就是椭圆曲线密码学的核心：基于“离散对数难题”，传统计算机就算把全世界的算力加起来，也没法在合理时间里从公钥算出私钥。

但量子计算机手里握着一把叫Shor算法的万能钥匙。它的原理说起来很简单：传统计算机分解大数只能一个数一个数试，就像用铁丝瞎捅锁孔；而Shor算法能直接找到大数的质因数，相当于一眼看穿锁芯的结构。针对椭圆曲线密码，它能把“从公钥算私钥”这个难题，转化成一个量子计算机能轻松解决的数学问题。

更要命的是，谷歌的研究把这把钥匙的门槛砍到了最低。此前学界认为破解椭圆曲线需要上千万个物理量子比特，但现在这个数字被压缩到了50万——仅相当于现有最先进量子芯片比特数的500倍。按照量子硬件每年翻倍的发展速度，2029年的节点，比我们想象的近太多。

两种攻击：瞄准保险柜和运钞车

量子攻击加密货币的路径，分两种：一种盯着已经敞开的保险柜，一种盯着路上的运钞车。

先看“先存储后解密”攻击——那些公钥已经暴露的比特币地址，就是敞开的保险柜。比如早期比特币使用的P2PK地址，公钥直接写在区块链上；还有那些被重复使用过的地址，只要有过一次交易，公钥就会永久留在链上。谷歌统计，这类地址里躺着约690万枚比特币，其中包括中本聪手里的110万枚。量子计算机成熟后，攻击者可以慢悠悠地算出私钥，把这些沉睡的资产全部转走，没有任何时间限制。

再看“即时消费攻击”——这是盯着正在路上的运钞车。当你发起一笔比特币交易，公钥会在交易广播到被矿工打包的10分钟窗口里暴露。谷歌的实验显示，优化后的Shor算法能在9分钟内完成私钥推导，攻击者可以立刻伪造一笔手续费更高的交易，把你的资产转走，而原交易还没来得及确认。这种攻击的成功率约41%，相当于每两笔交易就可能有一笔被劫持。

这里有个容易被忽略的细节：以太坊的风险比比特币大得多。它采用账户模型，地址一旦使用就会永久暴露公钥，不像比特币的UTXO模型可以用新地址隐藏；而且以太坊的DeFi协议里，仅管理员密钥就控制着2000亿美元的稳定币铸币权限，一旦被破解，整个生态都会崩盘。

后量子密码：带着镣铐跳舞的盾牌

面对即将到来的量子风暴，整个行业都在赶工打造新的盾牌——后量子密码学（PQC）。NIST在2024年已经发布了首批标准，比如基于格理论的CRYSTALS-Dilithium，还有基于哈希的SPHINCS+。这些算法不再依赖大数分解，而是用更复杂的数学难题，比如“在一堆乱线里找特定的格子”，量子计算机也没法快速破解。

但这面盾牌并不完美。最大的问题是“体积”：传统ECDSA签名只有64字节，而Dilithium签名要4.6KB，是前者的70多倍。这意味着区块链的交易数据会暴涨，网络带宽和存储压力会成倍数增加，比特币的区块大小可能要从1MB扩容到几十MB，交易手续费也会水涨船高。

更麻烦的是升级的难度。比特币社区光是讨论Taproot升级就花了4年，现在要替换整个加密体系，涉及硬分叉、旧地址冻结、用户迁移等一系列问题，光是达成共识就难如登天。以太坊的Optimism团队提出了10年迁移计划，用智能合约钱包让用户逐步过渡，但这需要整个生态的开发者、交易所、钱包提供商同步配合，任何一个环节掉链子都可能引发混乱。

还有个更现实的问题：“先存储后解密”攻击已经在发生了。现在已经有攻击者在批量收集区块链上的公钥，存在硬盘里等着量子计算机成熟。就算现在开始升级，那些已经暴露的690万枚比特币，也永远成了量子时代的“待宰羔羊”。

我们总以为加密货币的安全是“一劳永逸”的，就像把钱放进了永远不会被撬开的保险柜。但量子计算的到来，打破了这个幻觉——没有永远安全的锁，只有暂时没被找到的钥匙。

量子威胁的本质，其实是数字世界的“军备竞赛”：当我们用更复杂的锁加固资产时，攻击者也在打造更锋利的钥匙。2029年不是世界末日，而是一个节点：它提醒我们，数字安全从来不是静态的，而是一场需要持续奔跑的马拉松。

量子未到，威胁已至，安全永远在路上。 当你下次点开钱包里的比特币地址时，不妨想想：这串字符背后，正藏着一场关乎690万枚比特币，甚至整个数字经济的暗战。

加密货币的锁：椭圆曲线的幻觉

两种攻击：瞄准保险柜和运钞车

后量子密码：带着镣铐跳舞的盾牌

评论