比特幣多頭若未在2028年前修補關鍵曝露，將面臨Q‑Day威脅

量子電腦無法解密比特幣，但可能伪造來自暴露公開金鑰的簽名，除非錢包在大型容錯機器到來之前遷移到後量子路徑，否則約有6.7百萬BTC面臨風險。

摘要

• 比特幣在鏈上不存儲加密秘密；關鍵的量子威脅是利用Shor算法從暴露的公開金鑰中恢復金鑰，進而對脆弱的UTXO進行授權偽造。
• Project Eleven的比特幣風險清單估計約有6.7百萬BTC的地址符合其公開金鑰暴露標準，Taproot的變更未能消除風險，若量子機器擴展則仍存在風險。
• 目前估計需要約2,330個邏輯晶片和數百萬個實體晶片來破解256位橢圓曲線密碼，這為BIP層級的後量子輸出（例如P2QRH）和NIST標準方案的整合提供了時間，儘管簽名較大且費用較高。

根據加密貨幣安全研究人員和開發者的說法，量子電腦對比特幣(BTC)的威脅在於潛在利用數字簽名，而非解密加密數據。

量子與比特幣，技術證明？

比特幣在其區塊鏈上不存儲加密秘密，使得“量子電腦破解比特幣加密”這一普遍說法在技術上並不準確，長期比特幣開發者兼Hashcash發明人Adam Back表示。該加密貨幣的安全性依賴於數字簽名和基於哈希的承諾，而非密文。

Back在社交媒體平台X上表示：“比特幣不使用加密”，並補充說，這個術語錯誤反映了對技術基本原理的誤解。

實際的量子風險涉及授權偽造，即一個足夠強大的量子電腦運行Shor算法，能從鏈上公開金鑰推導出私鑰，並為一筆交易產生有效簽名，技術文件指出。

比特幣的簽名系統，ECDSA和Schnorr，證明對一個金鑰對的控制權。公開金鑰的暴露是主要的安全關注點，脆弱性取決於鏈上出現的資訊。許多地址格式會將公開金鑰的哈希存入，直到交易花費時才顯示原始公開金鑰。

Project Eleven，一個加密貨幣安全研究組織，維護一個開源的“比特幣風險清單”，追蹤腳本和地址重用層級的公開金鑰暴露情況。根據其公開的方法論，該追蹤器顯示約有6.7百萬BTC符合其暴露標準。

Taproot輸出（P2TR）在輸出程序中包含一個32字節的調整後公開金鑰，而非公開金鑰哈希，這在比特幣改進提案341中有所說明。這改變了暴露模式，只有在大型容錯量子機器投入運作時才會產生影響，根據Project Eleven的文件。

Roetteler等人發表的“計算橢圓曲線離散對數的量子資源估算”研究建立了上限，最多需要9n + 2⌈log2(n)⌉ + 10個邏輯晶片來計算一個n位素數域上的橢圓曲線離散對數。對於n=256，約需2,330個邏輯晶片。

Litinski在2023年的估算將一個256位橢圓曲線私鑰的計算約定在5000萬個Toffoli閘。假設如此，一個模組化方法約用6.9百萬個實體晶片，約10分鐘即可計算出一個密鑰。Schneier on Security的摘要引用估計約需1300萬個實體晶片在一天內破解加密，約3.17億個實體晶片則可在一小時內攻破。

Grover算法，提供平方根加速的暴力搜尋，代表對哈希函數的量子威脅。NIST研究指出，對SHA-256的前像，經過Grover算法後，目標仍在2^128左右的工作量，與橢圓曲線密碼的離散對數破解相比，差距較大。

後量子簽名通常以千字節計，而非數十字節，影響交易重量經濟性和錢包用戶體驗，根據技術規範。

NIST已標準化包括ML-KEM(FIPS 203)在內的後量子原語，作為更廣泛遷移計劃的一部分。在比特幣生態系統中，BIP 360提出“支付給量子抗性哈希”輸出類型，而qbip.org則倡導傳統簽名的退役，以促使遷移。

IBM在最近向路透社發表的聲明中討論了錯誤更正元件的進展，重申了到2029年左右實現容錯量子系統的發展路徑。公司還報告說，一個關鍵的量子錯誤更正算法可以在傳統的AMD晶片上運行，根據另一份路透社報導。

可衡量的因素包括暴露公開金鑰的UTXO集比例、錢包對此暴露的反應行為變化，以及在保持驗證和費用市場約束的同時，網絡對量子抗性支出路徑的採用速度，這些都在Project Eleven的分析中有所提及。