比特币能否抵御量子计算？探秘BIP-360

比特币已经经受住了超过十五年的质疑、分叉和市场崩盘。下一个挑战来自量子计算——这场激烈的工程竞赛。而首批开发者已经在起草比特币的应对方案。2026 年 2 月，BIP-360 作为一份草案提案发布，旨在有针对性地强化比特币输出，抵御某一类特定的量子攻击。本文将解释 BIP-360 的实际目标、威胁的严重程度，以及这对你持有的比特币意味着什么。

关键要点

• 目前，还没有量子计算机能威胁到比特币。但保护它的数学原理存在一个已知的弱点，而解决这个问题的最佳时机是在硬件赶超之前。

• 真正的风险是那些在链上长时间可见的公钥，而不是量子计算本身。

• 大约 192 万 BTC 因其设计而结构性暴露，包括大多数早期中本聪时代的币。另外 412 万 BTC 因地址重复使用而暴露。

• BIP-360 提出了一种新的地址格式，无需重建比特币网络就能消除该风险。

• 对于大多数持有比特币的人来说，当前无需采取紧急行动，但了解风险是起点。

量子时钟正在倒计时

量子计算并非一个假想概念。它是一种进展，通常伴随着数字世界的过渡问题，因为保护网站、软件、身份系统、金融基础设施和加密通信的公钥系统与比特币处于同一水平。从这个意义上说，比特币并非特例，而是一个极为显眼的例子。

在许多系统中，暴露的公钥是短暂的，或者难以大规模检查。相比之下，在比特币上，公钥可以在链上保持可见数年之久，这为未来的攻击者提供了机会：他们现在可以收集这些公钥，待硬件升级后再尝试恢复密钥。这就是 “长期暴露风险” 背后的逻辑。

比特币的安全性依赖于椭圆曲线数字签名算法（ECDSA）。当钱包控制比特币时，它持有一个私钥，并从中衍生出公钥。在当今的计算机上，知道公钥并不能实际恢复私钥。

量子计算威胁着这一假设。一台运行 Shor 算法的、足够强大的量子机器，理论上可以从暴露的公钥中推导出私钥，从而获取资金。重要的限定词是“足够强大”。这样的机器目前并不存在。担忧是长期准备，而非比特币的即时崩溃。

这也是为什么 BIP-360（我们稍后将讨论，该提案于 2026 年 2 月发布）被定位为解决这一复杂问题的第一步。

量子威胁离我们有多远？

时间点仍然是困难的部分。没有人能确切说出密码学相关的量子计算机何时到来，而且估算差异很大，因为它们取决于架构、纠错模型以及假设的硬件开销。

Project Eleven 在 2026 年 4 月的结果就是一个很好的例子，说明了谨慎的重要性。该团队将其描述为在公共量子硬件上实现的 15 位 ECC 恢复。与此同时，前 Bitcoin Core 维护者 Jonas Schnelli 辩称，该输出与噪声无异，密钥实际上是由经典检查器恢复的，而非有意义的量子信号。换句话说，即使是这个被广泛引用的例子仍存在争议，且远未达到能攻破比特币的程度。

更重要的进展是理论性的，而非实验性的。Google 在 2026 年 3 月发布的 Quantum AI 白皮书 估计，解决 256 位椭圆曲线离散对数问题可能需要 1,200 个逻辑量子比特和 9000 万个 Toffoli 门，或 1,450 个逻辑量子比特和 7000 万个 Toffoli 门。简单来说，这意味着攻击仍然需要一台大型纠错量子计算机，可能由不到 50 万个物理量子比特组成。即便如此，Google 表示这样的机器可以在大约 9 到 12 分钟内恢复一个私钥，这与比特币 10 分钟的区块间隔相当接近，令人不安。

另一项来自 Caltech 和 Oratomic 的分析 表明，Shor 算法可以在密码学相关规模下执行，仅需 10,000 个可重构原子量子比特，尽管运行时间高度依赖于架构和并行度。该团队自己的报告称，在他们分析的中性原子设计中，使用大约 26,000 个物理量子比特，一次 P-256 离散对数攻击可能只需几天时间。

P-256，也称为 secp256r1 或 prime256v1，是一种广泛使用的 NIST 椭圆曲线。NIST，美国国家标准与技术研究院，是制定政府和工业界使用的测量和密码学标准的联邦机构。比特币使用 secp256k1，是同一家族中的不同曲线，因此针对一条曲线的进展将对另一条曲线构成严重警告。

重要的一点是，这已不再是一个遥远的学术问题。美国政府发布的 CNSA 2.0 指南 设定了联邦系统在 2035 年前迁移出椭圆曲线密码学的时间表，这表明主要机构已经在规划后量子过渡。一些报告也指出，在乐观路线图下，一台有能力的量子计算机可能在 2030 年之前到来，尽管这仍不确定。综合这些信号，规划时间范围是以年计，而非以十年计。

哪些比特币面临量子暴露风险？

并非所有比特币承担的风险程度相同。区别在于公钥是否已在链上可见。根据“暴露”的定义，不同的链上分析结果大致收敛于约 690 万 BTC（约占总量三分之一）的公钥已经暴露，或通过重复使用模式而日常暴露。

Glassnode 在 2026 年 5 月的 报告 将比特币的量子暴露分为两层。第一层是结构性暴露，即公钥因设计而已经在链上可见。第二层是操作暴露，即因地址重复使用和托管实践而变得脆弱的币。

Source

结构性暴露占 192 万 BTC，即发行量的 9.6%，而操作暴露总计 412 万 BTC，占 20.6%。其中交易所相关余额占该第二类中的 163 万 BTC，显示出风险在多大程度上仍取决于钱包卫生习惯。

这种区分很重要，因为结构性暴露的币无论持有者行为如何，都是永久目标，而操作暴露的币可以通过转移或改变地址使用方式来保护。

BIP-360 的实际提案内容

仍在完善中的 BIP-360 提案 指向一种新的比特币输出设计，通过移除 Taproot 的密钥路径花费表面，有助于减少长期暴露的量子风险。该提案引入了 Pay-to-Merkle-Root（P2MR），它使得花费条件在币被使用之前保持隐藏。

Taproot 于 2021 年 11 月上线，通过将未使用的脚本条件隐藏于链上，提升了隐私、可扩展性和智能合约效率，但密钥路径花费仍然依赖一个可见的公钥。BIP-360 并未取代比特币当前的签名方案，也没有解决所有量子攻击场景。如果被采纳，它将为新的币种提供一个量子强化的输出格式，而非通用修复方案。

与 Taproot 相比，P2MR 是更为谨慎的设计。它保留了脚本树的方法，但移除了随时间推移使比特币暴露最多的部分，从而提供了一种无需重新发明系统就能降低量子风险的方式。当你查看比特币的地址格式时，区别会更明显。

Source

比特币最早几年（2009 年至 2010 年）由 Pay-to-Public-Key（P2PK）主导，随后网络迅速转向更广泛使用的 Pay-to-Public-Key-Hash（P2PKH）。2017 年和 2021 年出现的急剧变化与 SegWit 和 Taproot 的到来一致，这两次升级改变了比特币交易的构建方式。P2WPKH 和 P2TR 的兴起显示出生态系统稳步接受了更新、更高效的地址格式。

当你并排查看比特币的地址格式时，会发现某些类型的地址会立即显示公钥，而其他类型则在花费发生前隐藏它们。

Source

P2MR 地址将以“bc1z”开头，这是 SegWit 版本 2 下的一个新前缀。BTQ Technologies 已经部署了一个可用的 Bitcoin Quantum 测试网，在受控环境中实现了完整的 P2MR 规则，为开发者和研究人员提供了一个在 BIP-360 仍为草案时评估量子安全交易工具的场所。

BIP-360 的有趣之处不仅在于它改变了什么，还在于它所传达的信号。比特币开发者开始将量子风险视为一个设计问题，而不仅仅是遥远的理论。

BIP-360 未解决的问题

BIP-360 有意保持范围狭窄。它解决了脚本树输出的长期暴露攻击，但并未端到端地解决比特币的量子问题。

首先，它对传统的 P2PK 输出（包括许多早期币）毫无作用。这些公钥已在链上，BIP-360 不会迁移、冻结、销毁或以其他方式改变那些 UTXO。关于脆弱旧币和供应冲击缓解的问题超出了其范围。

其次，它没有解决短期暴露攻击。大多数比特币花费仍然需要在交易等待进入内存池时暴露公钥，一台足够快的量子计算机原则上可以及时恢复该密钥，以广播竞争性花费。BIP 指出，这种保护可能需要未来提案中的后量子签名。

第三，BIP-360 保持 SHA-256 和比特币的工作量证明系统不变。换句话说，它专注于公钥暴露，而非重建网络的哈希层。作为一次软分叉，它将添加新规则，而无需强制进行激进更改。

这需要多长时间？

说实话，不要期望太快。比特币升级通常很缓慢，这是有意为之的。由于 BIP-360 仍只是一份草案提案，你短期内不会在你最喜欢的钱包应用中看到“bc1z”地址。通过观察比特币的历史，我们大致可以推测出这个过程的展开方式。

以 SegWit 为例。该想法大约在 2015 年开始成形，但经过了两年的政治斗争和一场大规模的用户主导运动，才最终在 2017 年 8 月激活时推过终点线。Taproot 升级则顺利得多，但即便如此也不快。人们从 2018 年开始讨论，矿工直到 2021 年中期才锁定，最终于同年 11 月上线。

BIP-360 必须攀登同样的高山。从核心开发者、矿工到交易所、钱包构建者和硬件公司，行业的每个部分都必须达成一致。如果所有人都步调一致，我们可能会在本十年末看到广泛使用。但归根结底，比特币的移动速度只取决于社区允许的速度。

比特币持有者现在应该做什么？

对大多数持有者来说，当前不必恐慌。目前的硬件远无法实际对比特币实施这些攻击，而 BIP 本身将 P2MR 定位为预防性选项，而非紧急应对措施。

尽管如此，该提案给出了比“观望”更清晰的实际信息。防止长期暴露攻击在很大程度上取决于钱包卫生习惯。BIP 指出，用户应避免通过重复使用或其他不安全行为暴露公钥，并明确说明扩展公钥（即 xpubs）和钱包描述符也会暴露对量子脆弱的公钥信息。

这引出一个对持有者更有用的检查清单：

• 避免地址重复使用。 一旦公钥被暴露，同一地址上的任何剩余余额或后续存款都成为长期暴露目标。

• 对用于极长期冷存储的 Taproot 输出保持谨慎。 密钥路径表面正是 BIP-360 试图消除的暴露点。

• 限制不必要的 xpub 和钱包共享，因为它们也会暴露量子敏感的密钥数据。

• 关注钱包和托管系统中的“bc1z”支持。如果 P2MR 被采纳，将需要更新软件来接收和验证这些输出。

• 关注钱包提供商，因为他们正在努力提供量子相关的保护措施和用户指南。

对于高级用户、多签操作者和托管人来说，当前的任务是盘查。了解有多少 BTC 以 P2PK、Taproot 或重复使用格式持有很重要，因为每种格式有不同的长期暴露特征。BIP 还指出，从现有的 Taproot 脚本树迁移到 P2MR 将相对简单，而仅使用 Taproot 密钥路径花费的钱包则需要转向脚本树结构。

更大图景

BIP-360 提案是第一步，而非比特币对量子威胁的最终答案。它从一种新的输出类型中消除了一个具体的量子弱点，同时为未来的签名升级保留了空间，并保持社会和技术足迹相对较小。

该提案也处于一个更广泛的关于区块链应如何应对量子风险的辩论之中。外界存在许多更激进的构想，但它们通常伴随着巨大的权衡。另一些则依赖于协议级别的重大重构。例如，Vitalik Buterin 最近通过发布 X 上的后量子路线图 扩展了以太坊的防御措施。他的计划涉及一个为期多年、分四个步骤的过渡，以更换核心密码学层——这是一项庞大的工程努力，旨在抢在本十年末可能出现的漏洞之前。然而，这种级别的持续协议升级和复杂密码学正是比特币去中心化社区强烈抵制的。

即使其他网络试图实现完全的量子安全，实际结果也不理想。根据 BNB Chain 发布的 测试报告，升级到后量子签名后一切正常工作，但交易速度下降了约 40%，因为交易数据急剧膨胀。

从这个角度看，BIP-360 缓慢、渐进的方式是明智的策略，而非缺乏雄心。通过首先解决最紧迫的漏洞，比特币避免了在绝对必要之前用沉重代码压垮网络。它可能不是快速修复，但完全符合比特币一贯的演进方式——谨慎，且不破坏已有的功能。