交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
人们普遍认为,未来仅有约25%至30%的比特币可能面临量子计算机的攻击风险。例如,Project 11的比特币风险清单目前列出了6,887,180枚、价值超过4500亿美元的比特币被视为“面临风险”。此清单将“面临风险”定义为存储在公钥已暴露地址中的比特币。其中,大约300万至400万枚被认为已经丢失,且无法升级为量子安全。
但这并非事情的全貌。事实上,如果不采取任何措施过渡到后量子安全,理论上,一旦被花费,除了那些已丢失的、存放在量子安全地址中的币外,所有2100万枚比特币都可能被足够先进的量子计算机破解。只是,那些存放在旧式地址类型中的、占比约四分之一的比特币最容易受到攻击,并将首先被盗。如果需要攻击中本聪的比特币(其公钥在过去15年一直暴露),量子计算机可能需要耗费数月时间进行运算。
然而,其余的比特币供应仍将容易受到更复杂攻击者的威胁。这是因为,当你花费比特币时,公钥会在交易被打包确认前,于内存池中暴露。通常,这段时间持续10分钟到60分钟,具体取决于网络使用情况,这为攻击提供了一个短暂的时间窗口。随着量子计算机规模扩大,人们相信它们终有一天能够执行“即时攻击”。
BIP-360无法防止短时暴露攻击
最近更新的BIP-360提案明确概述了这种危险。该提案创建了一种名为“支付至默克尔根”的新地址类型,应能使相当一部分面临风险的比特币被转移到具有量子弹性的地址。
然而,该提案特别警告,P2MR输出仅能抵抗针对椭圆曲线密码学的长时暴露攻击;即,针对公钥暴露时间超过花费交易确认所需时间的攻击。
BIP-360的合著者Ethan Heilman向杂志指出,长时暴露攻击是需要首先应对的重大威胁:
对于短时暴露攻击,攻击者只有在输出被花费后才能得知公钥。这意味着攻击者需要与诚实交易被矿工确认的速度竞赛,抢在之前破解公钥并进行双花攻击。
很可能,首批对比特币构成威胁的量子计算机需要极长时间来破解一个公钥。想象一下,你有一台需要6个月才能破解公钥的量子计算机。进行短时暴露攻击是没有意义的。然而,攻击一个公钥已暴露的输出中存储的大量比特币则是有意义的。
对比特币的短时量子攻击是否可能?
短时攻击在理论上是可能的,但没有人确切知道,需要多少年后,一台密码学意义上相关的量子计算机才能拥有足够多、运行足够快的物理量子比特,以利用那个短暂的时间窗口。
上周,首个拥有100万个物理量子比特的量子计算机设施在芝加哥开始建设,目标是在2027年完成。PsiQuantum从贝莱德旗下基金筹集了10亿美元,这表明投资者确信该技术已接近成熟,值得投入巨资。
过去几年,破解加密所需的物理量子比特预估数量急剧下降。今年2月,一篇名为“顶峰架构”的预印本科学论文提出,使用不到10万个物理量子比特即可在大约一个月内破解2048位RSA加密,若使用47.1万个量子比特则可在一天内完成。
RSA加密的安全性依赖于大数质因数分解的难度,而比特币的椭圆曲线密码学则不同,因此这项研究并非精确指南,但一些人认为ECC甚至更容易破解。量子计算专家Scott Aaronson教授指出,RSA加密使用2048位密钥,而比特币的ECC使用256位密钥,这使得它更容易被破解,因为肖尔算法主要只关心密钥大小。
用量子计算机破解比特币需要多长时间?
根据德勤合伙人Marc Verdonk的研究报告《量子计算机与比特币区块链》的表述:当前的科学预测估计,量子计算机需要大约8小时来破解一个RSA密钥,一些具体计算预测比特币签名可能在30分钟内被黑客攻击。
Verdonk表示,这仍能提供针对短时攻击的保护,但他警告该领域仍处于起步阶段。“目前尚不清楚这样的量子计算机未来会变得多快。如果量子计算机从公钥推导私钥的时间接近10分钟,那么比特币区块链将从根本上被攻破。”
也有尖锐的批评者认为,量子计算机永远无法变得足够经济实惠和快速,以至于对大多数风险地址进行长时攻击都变得可行。
CoinShares的Christopher Bendiksen最近发布了一份报告,认为实际上只有大约10,200枚比特币可能被盗。他声称,大部分早期矿工的币存放在32,607个独立地址中,即使在量子计算技术发展最离谱的乐观情景下,也需要“数千年才能解锁”。
Bendiksen断言,要在一天内破解比特币,需要一台拥有1300万个物理量子比特的量子计算机;要在一小时内完成,则需要一台比谷歌“柳树”的105个量子比特强300万倍的量子计算机。
这一论断基于2022年的研究,这似乎确实是专门针对破解比特币的最新研究。然而,上个月关于用10万个量子比特破解RSA的估计值大幅降低,表明这项研究可能已经过时。2022年的论文本身也指出,RSA-2048的难度与比特币的EC加密相当。
量子计算机的类型很重要
以太坊研究员Justin Drake在Unchained节目中被问及Bendiksen的报告,虽然他未读过报告,但对其时间框架提出了异议。
Drake指出,破解私钥所需的时间将取决于不同类型量子比特的研究进展。谷歌正在研究超导量子比特,而像PsiQuantum这样的公司则在光子中编码量子比特,以实现快速的门操作。这两种类型的量子比特都非常快。其他关于囚禁离子和中性原子的研究则优先考虑相干性而非速度。
Drake指出:“有不同的量子计算模式。有快速的计算机,如超导和光子学,还有慢速的,如囚禁离子和中性原子。如果你有快速的那种,例如谷歌正在研究的超导材料,那么破解一个密钥的时间估计在分钟量级,大约十分钟。”
为何短时攻击可能根本不值得
Edwards表示,虽然短时攻击在理论上是可能的,但在针对比特币的首批长时攻击导致价格暴跌后,其经济性可能就不成立了。
“显然,这在现实中不会发生,因为一旦具备这种能力,可能就没人会持有比特币了,或者其价值将接近于零,所以没人会费这个劲。这就是为什么我们必须解决这个问题,对吧?如果我们希望这个网络繁荣发展并达到更高水平,就像我们都希望看到的那样,那么我们就需要升级网络。不作为根本不是一个选项。”
