比特币量子威胁引发关于 4 种抗冲动修复方案的辩论

Jan3 创始人 Samson Mow 警告称，仓促的量子修复方案对比特币造成的危险可能比它旨在解决的威胁更大，这引发了关于网络未来的辩论。

关于保护比特币 1.3 万亿美元网络免受量子计算机攻击的辩论正在升级，竞争方案因可能引入新风险和更高费用而面临批评。最近谷歌的研究表明，一台足够强大的量子机器可以在不到九分钟的时间内破解比特币的核心密码学，这比网络 10 分钟的平均区块确认时间还要快，辩论也因此被重新点燃。

“简单来说：为了让比特币安全对抗量子计算机，结果却被普通计算机攻破，”Jan3 创始人 Samson Mow 在 X 上表示，他对 Coinbase 高管呼吁对比特币抗量子升级采取更快行动表示反对。

辩论的核心是后量子签名，据估计，其体积是比特币当前 64 字节签名的 10 到 125 倍。根据 Mow 的说法，数据量的巨大增加将严重降低网络吞吐量，增加交易费用，并可能引发“区块大小战争 2.0”，即参考 2017 年关于网络扩容的激烈辩论。

一些分析师预测早在 2029 年就会出现可行的量子威胁，因此赌注巨大。大约 650 万枚比特币位于量子计算机可以直接攻击的地址中，其中包括早期 P2PK 地址中的约 170 万枚 BTC，其中一些属于比特币的创造者中本聪。一次成功的攻击不仅在财务上是灾难性的，而且还会粉碎比特币作为由代码保护的“稳健货币”的基本前提。

量子计算机攻击比特币的 2 种方式

量子计算机通过推翻比特币的核心安全假设来威胁比特币：即从公钥导出私钥在计算上是不可能的。公钥在两种主要情况下会被暴露。

第一种是“长期暴露”攻击，目标是闲置在公钥在区块链上永久可见的地址中的代币。这包括旧版支付公钥（P2PK）地址中的 170 万枚 BTC，以及同样在链上嵌入公钥的现代 Taproot (P2TR) 格式。

第二种是针对移动中交易的“短期暴露”攻击。当一笔交易被广播时，它会停留在内存池（mempool）中等待矿工将其打包进区块。在这个短暂的窗口期内，公钥是可见的，这给量子攻击者提供了推导私钥并广播竞争交易以在原始交易确认前窃取资金的机会。

4 种保护网络的竞争方案

为了应对这些威胁，开发者们一直在致力于几项比特币改进提案（BIP），每项提案都有其权衡取舍。

1. BIP 360 (Pay-to-Merkle-Root)： 该提案旨在通过从链上记录中移除公钥来保护新代币免受长期暴露攻击。它引入了一种隐藏公钥的新输出类型，让量子计算机无处攻击。然而，它无法保护已经处于暴露地址中的数百万枚比特币。

2. SPHINCS+ 签名： 由美国国家标准与技术研究院（NIST）标准化的这种基于哈希的签名方案被认为具有抗量子攻击的能力。主要缺点是体积。SPHINCS+ 签名可能超过 8 KB，这也是 Mow 担忧网络效率和更高费用的根源。

3. 承诺/揭示方案 (Commit/Reveal Scheme)： 由闪电网络共同创造者 Tadge Dryja 提议，这一软分叉将防止短期暴露的内存池攻击。它涉及一个两步过程，用户首先向区块链“承诺”其交易的哈希值，稍后才“揭示”完整的交易细节，但这会增加交易成本。

4. Hourglass V2： 这一有争议的提案针对的是已暴露的 P2PK 地址中的 170 万枚 BTC。它接受这些代币可能被盗的事实，并试图通过限制其支出速率（每区块一枚比特币）来防止造成市场崩溃的抛售。

尽管辩论仍在继续，但研究和提案的稳步涌现表明开发者们正在严肃对待这一长期威胁。然而，鉴于比特币去中心化的治理模型，任何关于前行路径的共识预计都将是一个缓慢而谨慎的过程。

本文仅供参考，不构成投资建议。