比特币迈向量子安全时代：BIP-360与迁移内幕

比特币的量子防御时代：从理论担忧到现实行动

在比特币历史的大部分时间里，量子计算机破解其密码学的威胁一直是一个遥远、理论上的忧虑，人们通常用“等那天到来时，我们早就解决它了”来将其搁置。到了2026年，解决的进程已然开启。

变革的发端

2026年2月11日，一项名为BIP-360的提案被发布并合并至比特币官方代码库，首次引入了网络中能够抵抗量子计算的地址类型。两个月后的4月14日，另一项配套提案BIP-361则提出了一个更为激进的计划：计划迁移，并可能冻结大约650万至690万枚比特币——约占比特币总供应量的三分之一——这些比特币存放在未来易受量子攻击的地址中，其中包括估计约170万枚存在于古老地址的比特币，这些地址被广泛认为属于中本聪。紧迫感是新的。2026年初，谷歌研究人员估计，破解比特币的椭圆曲线签名所需的量子资源可能远少于先前的预测，并且有研究人员声称已在真实量子硬件上破解了一个小型椭圆曲线密钥，从而获得了一笔赏金。比特币目前并未面临危险，但其开发者已经认定，倒计时开始了。

威胁的本质

要理解解决方案，首先必须确切了解量子计算机威胁比特币的哪个环节，因为流行的说法大多是错误的，而精确的威胁版本正是这些提案构建的基础。

最常见的误解是认为量子计算威胁比特币挖矿。事实并非如此，至少在可预见的时间内不是。比特币挖矿依赖SHA-256哈希算法，用量子计算机攻击SHA-256将需要天文数字级别的量子比特和能量，实际上难以实现。因此，挖矿对于所有实际目的而言是量子安全的。

真正的漏洞在于交易签名环节，它使用的是椭圆曲线密码学，特别是基于256位椭圆曲线的ECDSA和Schnorr签名方案。当你拥有比特币时，你的控制权依赖于一个私钥，公钥则由此衍生而来。密码学保证在于，对于经典计算机来说，从公钥推导私钥在计算上是不可行的。而一台足够强大的、运行肖尔算法的量子计算机可以打破这一保证，从已暴露的公钥推导出私钥并窃取比特币。这才是比特币面临的真实量子威胁：不是破解挖矿，而是破解证明所有权的签名。

关键在于“暴露”一词。公钥只有在区块链上被公开后才会变得脆弱，这发生在特定情况下：任何曾发送过交易的地址都会在花费签名中暴露其公钥；比特币早期使用的“支付给公钥”格式的输出，其公钥在设计上就是可见的；某些Taproot花费也会暴露密钥。据专注于量子威胁的研究组织“十一号项目”估计，大约有690万枚比特币（约占总供应量的三分之一）存放在公钥已在链上暴露的地址中，其中包括估计存放在古老P2PK地址中的170万枚，部分被认为属于中本聪，价值数百亿美元。这些就是未来的量子计算机理论上能够一扫而空的比特币，而保护它们，或决定如何处置它们，正是新提案要解决的问题。

为何现在行动：加速的时间线

笼罩一切的问题是“何时”，而比特币开发者在2026年采取行动而非继续等待的原因是，时间线似乎正在加速。

催化剂是2026年初的一系列进展，将量子威胁从“某一天”推向“现在就规划”。谷歌研究人员发布的研究结果表明，破解256位椭圆曲线密码学可能只需要不到1200个逻辑量子比特和不到50万个物理量子比特，在未来具有密码学相关性的量子计算机上，运行时间以分钟计。这一估计远低于早先预测所需的数百万量子比特，而更低的资源需求意味着威胁会更早到来。同一研究还指出，比特币的Taproot升级可能无意中通过更广泛地暴露公钥而使量子攻击变得更容易，这增加了紧迫性。

实际的演示使其更加具体。2026年4月，一名研究人员利用公开可用的量子硬件破解了一个15位的椭圆曲线密钥，并因此获得了“十一号项目”“Q-Day赏金”的1比特币奖励，这是保护比特币钱包的该类攻击最大规模的公开演示。虽然15位密钥与比特币的256位密钥相比微不足道，256位的ECDSA远未被攻破，但此次演示相比2025年9月的类似结果实现了512倍的改进。令开发者警觉的是其发展趋势，而非当前能力：每一次进步都在缩小理论威胁与实际时间线之间的差距，改进的速度表明差距正在以超乎预期的速度缩小。

专家的警告增添了分量。一位诺贝尔物理学奖得主警告称，比特币可能成为量子计算攻击的早期目标；由Coinbase召集的六位密码学家组成的专家小组得出结论，具有密码学相关性的量子计算机“终将被建造出来”，迁移工作必须现在开始。机构的规划时间线也与此相符：谷歌将其后量子迁移目标定为2029年，而美国国家标准与技术研究院设定的更广泛的过渡期限则延长至2035年。

形成的共识并非量子计算机今天就会威胁比特币，而是迁移到抗量子技术需要数年时间，易受攻击的供应量巨大，起步过晚可能导致灾难性后果，因此必须在尚有时日的时候开始这项工作。正是这一共识催生了BIP-360和BIP-361。

BIP-360的作用

BIP-360是基础部分，该提案为比特币提供了一种面向未来的抗量子持币方式，其设计反映了深思熟虑、循序渐进的策略。

该提案引入了一种新的输出类型，可称为“支付给抗量子哈希”或“支付给默克尔根”。其工作原理与现有的Taproot输出类型几乎完全相同，但移除了量子计算机可能利用的特定元素。在Taproot中，花费交易可能会暴露椭圆曲线公钥，量子计算机可以攻击此公钥；而新的输出类型构建时，花费交易使用的是基于NIST批准算法（如ML-DSA）的后量子签名方案，而不是易受量子攻击的椭圆曲线签名。在底层，它基于一个新的隔离见证版本，新地址以独特的前缀“bc1r”开头。当您从这些输出中花费比特币时，您提供的是后量子签名，而非易受量子攻击的椭圆曲线签名，从而保护比特币免受量子威胁。

设计的巧妙之处在于它保持了兼容性。未升级的旧节点将这些新输出视为“任何人都可以花费”，这意味着它们不会中继或挖矿这些交易，而已升级的节点则能正确解析和验证新格式。这使得升级可以作为软分叉推出，而无需进行破坏性的硬分叉或突然改变区块大小，这与比特币部署隔离见证和Taproot等先前升级时所采用的后向兼容机制相同。

这种审慎的方法意味着BIP-360可以逐步采用，用户可以根据自己的选择迁移到抗量子地址，而不是强制进行突然的全网变更。当然也存在实际成本，需要坦诚面对。后量子签名远大于比特币目前使用的紧凑型椭圆曲线签名。某些后量子方案（如SLH-DSA）产生的签名高达8千字节，远大于当前签名，这意味着抗量子交易会占用更多的区块空间，可能导致手续费上涨，除非矿工给予这些签名某种形式的见证数据折扣。

这是核心的工程权衡：抗量子能力以牺牲效率为代价，而比特币有限的区块空间使得这一代价变得有意义。因此，BIP-360是一个最小化、高兼容性的第一步，而非完整的解决方案。它为新创建的比特币和选择迁移的用户提供保护基础，同时刻意将更困难的问题，包括更大的签名尺寸和现有易受攻击供应量的问题，留给未来的工作。它首次将抗量子能力提上比特币的发展路线图，这是其真正的意义，尽管它本身并未解决所有问题。

难点所在：BIP-361与易受攻击的比特币

BIP-360保护了未来的比特币，但它并未触及大约三分之一已存在于易受量子攻击地址中的比特币。BIP-361则是处理这些历史遗留供应的更具争议性的尝试，它引发了一场真正的理念危机。

2026年4月14日正式发布的BIP-361，标题为“后量子迁移与旧签名淘汰机制”，提出了一种处理已暴露比特币的机制。其核心思想是设定一个最后期限，在此期限前，易受攻击比特币的持有者必须将其迁移到抗量子地址，之后网络将不再认可来自旧的、易受量子攻击的签名类型的支出交易，实质上将它们淘汰。其意图是保护性的：通过在量子计算机出现之前强制迁移，网络可以防止未来的攻击者一扫而空这些已暴露的比特币，因为这些比特币届时要么已经转移到安全地址，要么通过旧的易受攻击路径变得无法花费。

令人棘手的是那些无法迁移的比特币。估计有170万枚比特币存在于古老地址中，其中包括大约100万枚被认为属于中本聪的比特币，其所有者已遗失、死亡或永久缺席。这些比特币无法被迁移到抗量子地址，因为没有掌握密钥的人来移动它们。如果BIP-361的签名淘汰机制生效，这些比特币将被冻结，永久无法花费，以防止未来的量子攻击者窃取它们。这是整个辩论的焦点，它使比特币的两项原则直接对立。一方面，比特币具有不可更改性，任何人的比特币都不应被冻结或没收，这是网络可信度的基本原则。另一方面，论点认为，允许量子攻击者窃取690万枚比特币并将其抛售到市场，摧毁市场信心，将更具破坏性；而冻结丢失的比特币以防止被盗是两害相权取其轻。

提案作者引用了中本聪本人的言论来论证他们的观点，而这场辩论远未结束。冻结比特币，即使是为了保护它们，也违反了许多比特币信奉者视为神圣的财产权绝对主义。批评者认为，网络决定使比特币无法花费的先例，比量子威胁本身更危险。支持者则反驳说，不作为将保证这些比特币最终被量子攻击者窃取，这本身就是一种损失，而且是更具破坏性的损失。没有完美的答案，这就是为什么BIP-361比BIP-360争议更大，以及为什么如何处理易受攻击的历史遗留供应，尤其是中本聪的比特币，可能是比特币历史上最具哲学挑战性的决定。

实施方式的辩论

除了冻结问题，关于实现抗量子的最佳方法还存在激烈的技术辩论，这反映了比特币核心开发者之间对于正确路径的真实分歧。

BIP-360引入新输出类型的方法是一种选择，但不是唯一选择。另一个被广泛讨论的替代方案是保留Taproot的现有结构，并添加一个隐藏的后量子备用花费路径，而不是用新类型完全取代Taproot输出。“十一号项目”将其描述为一种“即时”升级，在量子安全分支真正被需要之前，保持Taproot当前的效率和隐私性，仅在威胁变得真实时才激活后量子保护。

BitMEX Research在2026年初也概述了类似的方向，主张开发一个量子安全版本的Taproot，使得同一输出既可以通过量子安全路径花费，也可以通过经典路径花费。这种方法的吸引力在于它能在更长时间内保持兼容性和效率，避免立即承担强制使用后量子签名带来的区块空间成本。

第三种方法是直接升级比特币的签名方案，使用基于哈希的方案，而不是先引入新的输出类型。比特币优化工程组关于抗量子的研究强调了在优化这些签名方案、温特尼茨风格的原型以及更广泛的研究方面正在进行的工作，以使后量子签名能够适应比特币的约束条件。这里的挑战在于规模问题：基于哈希的后量子签名体积庞大，使其效率足以适应比特币有限的区块空间是一个尚未解决的工程难题。

多种竞争方案的存在本身就具有重要意义，因为它意味着比特币的量子防御仍在设计而非定论阶段。这场辩论涵盖多个层面：主动的输出设计（如BIP-360的新地址类型）、更广泛的后量子签名升级，以及BIP-361中更为强硬的选项（如迁移截止日期和冻结已暴露比特币）。比特币的治理模式要求开发者、矿工和用户之间达成大致共识才能进行任何更改，这意味着这些竞争性提案将在最终确定前经历长期的辩论、完善和测试。这既是优势也是令人沮丧之处：它确保了如此重大的变革能够得到彻底审查，但也意味着比特币的量子迁移将是缓慢且充满争议的，历时数年展开，而非一次性决定性升级。目前摆在桌面上的提案是漫长过程的开端，而非最终答案。

比特币与其他链的对比

比特币并非唯一面临量子威胁的区块链，观察其他主要网络如何应对，有助于我们理解比特币这种审慎且充满争议的过程。

以太坊采取了更为激进和集中的规划方法。维塔利克·布特林发布了一份抗量子路线图，旨在网络多个层面实现抗量子能力。以太坊计划在2026年的分叉中纳入相关准备，其更灵活的治理机制和对全面协议变更的意愿意味着，原则上它可以比比特币更快地迈向全面的抗量子能力。然而，权衡在于，以太坊更快、更集中的规划牺牲了比特币缓慢、共识驱动的过程所保留的部分保守主义。在比特币激烈辩论是否冻结比特币的地方，以太坊定期、雄心勃勃的升级文化使其路径更顺畅，但也可能缺乏充分的实战检验。

瑞波的XRP账本是行动最具体的网络之一，其四阶段计划目标是在2028年前实现抗量子。瑞波已经在其测试网络上运行NIST批准的后量子签名方案，并与“十一号项目”合作进行验证器测试。Hedera则采取了完全不同的方法，已经使用了基于哈希的密码学，这种密码学天生就比椭圆曲线方案更具抗量子性，这使其在结构上具有先发优势。

这些不同的方法反映了每个网络不同的架构和治理模式，有些能够通过集中协调快速行动，而另一些（如比特币）则需要缓慢达成共识。

比较揭示了比特币面临的特殊挑战。比特币的量子迁移比大多数网络更困难，原因有二：其巨大的、已暴露的历史遗留供应量（包括中本聪的比特币）在较新的链上是没有先例的；其二，其共识驱动的治理机制使得全面变革缓慢且充满争议，这是那些更集中协调的网络可以避免的。比特币看似行动迟缓，部分原因是它面临的是一个更困难的版本，风险更高，变革的门槛也更高。那些能够快速实现量子防御的网络通常更年轻、更集中或架构更简单，而比特币则集巨大的易受攻击供应量、神圣的不可更改性原则和去中心化治理于一身，使得它的路径最为艰难。尽管存在这些障碍，比特币仍在着手应对威胁，这一点值得注意，但持有者应预期其迁移过程将比与行动更快的链相比所认为的必要速度更慢，且争议更多。

对比特币持有者的意义

撇开技术复杂性，对于普通比特币持有者而言，实际影响比骇人的标题所暗示的要更令人安心，但并非毫无影响。

首先也是最重要的一点是，目前不存在迫在眉睫的危险。当今尚不存在能够破解比特币密码学的量子计算机，根据专家估计，威胁仍在数年之外，迁移目标从2029年延伸到2035年。持有者目前无需采取任何紧急行动，正在辩论中的提案是在尚有充足时间的情况下采取的预防措施，而非对正在发生的攻击的紧急应对。比特币开发者早在量子威胁成为现实之前就开始应对，这是网络健康和有远见的标志，而非恐慌的理由。

第二点是持有者已经可以采取一个简单的保护步骤，并且理解它并无成本。漏洞仅适用于公钥已暴露的地址，主要是那些已经发送过交易的地址或古老的P2PK地址。存放在现代地址类型中且从未被花费过的比特币，其公钥隐藏在哈希值之后，这提供了一层保护，因为公钥仅在花费比特币时才会暴露。当抗量子地址通过BIP-360的部署而广泛可用时，持有者将能够将他们的比特币迁移到新的“bc1r”地址类型以获得全面保护。实际的指导是留意迁移的到来，并计划在适当的时候、在量子威胁成为现实之前，将比特币转移到抗量子地址。

更深层的意义在于，这一事件揭示了比特币的适应性，这是量子细节之下的真实故事。比特币常被批评为行动迟缓、抗拒变化，这种保守主义确实存在。但对抗量子的反应显示了系统正在按预期运作：开发者识别出了长期威胁，提前数年提出了具体解决方案，并开始了审慎的、共识驱动的解决进程。最具争议的问题——如何处理包括中本聪比特币在内的丢失和易受攻击的比特币——仍未解决，并可能成为比特币有史以来最艰难的决定之一，因为它让网络的不可更改性与安全性相互对立。比特币如何解决这种紧张关系，是选择冻结易受攻击的比特币以保护它们，还是坚持绝对的不可更改性并接受风险，将深刻揭示比特币最珍视的价值。

目前，持有者的结论应是保持冷静的认知：威胁真实但遥远，应对已经开始，无需紧急行动，而最艰难的选择仍在前面。比特币正在走向抗量子之路，这个过程缓慢、审慎，并伴随着对其自身原则的激烈辩论。