量子计算的相关头条越来越多地暗示,比特币正走向崩溃,声称未来的机器可能在几分钟内破解其密码,或彻底压垮网络。
但学术研究描绘的图景更为受限。一些被广泛引用的“突破”依赖于简化问题,并不能反映现实世界的密码学。而针对比特币的量子攻击呢?根据比特币硬件创业者 Rodolfo Novak 在 X 上分享的研究论文,其所需能量相当于一颗小恒星。
比特币的安全性依赖于两种不同的数学,而量子计算机以两种不同方式威胁它们。
一种被称为 Shor’s algorithm(肖尔算法),针对的是钱包安全。理论上,它允许足够强大的量子计算机从公钥推导出私钥。这将使攻击者直接掌控资金,破坏支撑比特币的所有权保障。
另一种被称为 Grover’s algorithm(格罗弗算法),适用于挖矿。它提供了对矿工执行的试错搜索的理论加速——但正如下面的其中一篇论文所示,一旦你尝试建造这台机器,这种优势在很大程度上就会消失。
这些威胁常常在头条中被模糊处理。但一旦考虑现实世界的限制,它们落地的方式会截然不同。
X 上一个帖子里强调了两篇最近的论文——一篇是冷静的工程分析,另一篇是一本正经的讽刺——从相反的方向证明了这一点。合在一起,它们连同一条概括反向研究与观点的帖子,表明如今在加密货币推特上的恐慌,正把真正的长期担忧与舞台化的新闻周期混为一谈。
第一篇论文来自 Pierre-Luc Dallaire-Demers 以及 BTQ Technologies 团队,于 2026 年 3 月发表,探讨:量子计算机是否真的能使用 Grover’s algorithm(格罗弗算法)在挖矿层面“胜出”BTC。该量子技术可以让计算机以比任何普通机器都快的方式“猜”出问题答案——在比特币的场景中,则是加速矿工用来找到有效区块的试错搜索过程。
事情的代价比听起来更高。挖矿是保护 BTC 免受 51% 攻击的关键——即单一行为者控制足够的算力来重写近期交易历史、进行双重支付,或审查网络的情景。如果量子矿工能够主导区块产出,那么被威胁的就不只是单个钱包,而是共识本身。
理论上,Grover 提供了一条通往主导地位的路径。研究人员认为,实际情况是:一旦你核算硬件及其能量需求,答案就会崩塌。用 Grover 去对 SHA-256(比特币矿工为向区块链添加新块并获得奖励而竞相求解的数学公式)执行运算,在物理上将是不可能的。
把算法用于比特币还需要量子硬件达到无人知晓如何构建的规模。
搜索的每一步都涉及数十万次精密操作,每一步都需要数千个量子比特的专用支撑系统来把误差控制住。而由于比特币每十分钟产生一个新区块,任何攻击者都只能有一个狭窄的时间窗口来完成任务,迫使他们把大量此类机器并排同时运行。
在 Bitcoin 的 2025 年 1 月难度下,作者估计一个量子挖矿舰队需要大约 10²³ 个量子比特、消耗 10²⁵ 瓦特的功率——接近恒星的能量输出(供参考,这仍然只是地球太阳的 3%)。相比之下,当前整个比特币区块链的耗电量大约为 15 吉瓦。
量子 51% 攻击不仅昂贵。它在任何真实文明能够供能的规模下都在物理上无法企及。
第二篇论文来自位于瑞士的 Auckland 大学(University of Auckland)Peter Gutmann 以及 Zürcher Hochschule 的 Stephan Neuhaus,着手打击叙事中的另一部分:关于量子计算机已经开始打破加密的头条之下,持续不断的鼓点。
作者试图复现过去二十年里每一次主要的量子因数分解“突破”。他们做到了——使用 1981 年的 VIC-20 家用电脑、一个算盘,以及一只名叫 Scribble 的狗,训练它“吠叫三次”。
这个笑点之所以成立,是因为其中的核心观点很严肃。因数分解是大多数现代加密的核心数学问题:给一个非常大的数字,找到两个相乘等于它的素数。
对于包含数百位数字的数字,人们认为在任何普通计算机上都几乎不可能。肖尔算法(Shor’s algorithm)——比特币钱包威胁背后的量子技术——就是人们担心量子机器最终会做到这件事的原因。
但根据 Gutmann 和 Neuhaus 的说法,迄今为止几乎每一次演示都“作弊”了。在某些情况下,研究人员挑选的数字,其隐藏的素因子相距只有几位数字,因此用一个基础计算器的技巧就很容易猜到。
在其他情况下,他们先在常规计算机上完成问题的困难部分——这一环叫做预处理(preprocessing)——然后把被剥离的、极其容易的版本交给量子机器来“解决”。量子计算机得到了突破的功劳,但真正的工作是在别处完成的。
作者聚焦于一篇最近的论文,该论文声称一支中国团队使用 D-Wave 机器在朝着破解 RSA-2048(保护互联网上大多数银行业务、电子邮件和电商流量的加密标准)取得进展。
研究人员发布了十个示例数字作为证明。Gutmann 和 Neuhaus 将这些数字通过 VIC-20 模拟器运行,并分别在大约 16 秒内恢复了答案。所选的素数彼此只隔了几位数字,因此可以用数学家 John von Neumann 在 1945 年从一种算盘技术改编出来的算法轻松找到。
为什么这类事情会一直发生?作者给出一个简单的答案:量子因数分解是一个高关注度、但真正成果有限的领域,而发表一些听起来很惊人的东西的动机很强。
选择“被设定过”的数字,或把大部分工作在经典计算机上完成,让研究人员可以在不真正推进底层科学的情况下宣称一个新的“记录”。论文提出了新的评估标准,要求使用随机数字、不进行预处理,并将因子保密,不向实验操作者透露。迄今为止没有任何一次演示会通过这些标准。
要点并不是说量子计算是无害的。也不是说每一个“突破”式头条都代表了朝着破解现代加密真正取得的进展,而交易者在下一条出现时应该保持怀疑。
两篇论文都没有完全否定量子威胁。
真正的脆弱性在比特币钱包,而不是挖矿。数以百万计的比特币存放在较旧或被重复使用的地址中,这些地址上已经在区块链中暴露了关键的密钥信息,使它们成为如果量子机器进步后最可能的长期目标。
既然这些论文已经发表,发生变化的并不是威胁本身,而是评估值。来自 Google 的一篇近期论文认为,用于实施此类攻击所需的计算能力可能会大幅下降,从而使保护比特币区块链的加密在一次耗时几分钟的攻击中变得脆弱。
这并不意味着攻击即将到来。论文作者在文中披露,建造这样一台机器目前在物理上是不可能的,并且需要尚未完成的工程进展:包括用于控制量子比特的激光、读取这些量子比特的速度,以及在不丢失它们的情况下让数以万计的原子保持协同运行的能力。
也有迹象表明公众的看法可能是不完整的。近期有研究隐藏了关键的技术细节,专家也警告说,在这个领域的进展未必总会被公开共享。
尽管如此,开发者已经在着手修复,包括减少密钥暴露的方法,以及为抵御量子攻击而设计的新的签名类型。
市场反映的观点是:这种威胁仍然停留在课堂里。交易者认为比特币在 2027 年之前几乎不可能更换其挖矿算法,但他们对诸如 BIP-360 这类旨在降低钱包风险的升级给出了更高的概率,大约 40%。
对比特币的量子威胁是真实存在的,但重要的是要记住:用于攻击区块链的机器要被建造出来,受到物理定律的限制。
相关文章
