比特幣的量子防禦比市場恐慌所暗示的更為堅固

加密貨幣社群在比特幣量子風險問題上分成兩派：一派認為這是迫在眉睫的威脅，需立即採取行動；另一派則認為市場上的FUD遠遠超過實際的技術危險。近期由Gabor Gurbacs等產業人物參與的辯論，已明確展現對時間表、威脅嚴重性以及準備是否為謹慎或恐慌的根本分歧。

今日抵抗量子攻擊的架構

比特幣對抗量子計算的防禦，基於一個關鍵的區別：其共識機制與交易驗證層本質上不同。網路的工作量證明安全性依賴於SHA-256，這是一種基於雜湊的演算法，比起公開金鑰密碼學，更能抵禦量子攻擊。即使是Grover’s演算法，這個提供比經典計算更快速度的量子突破，也只帶來二次方的改善——不足以破解保護網路的經濟激勵結構。

真正的脆弱點在於用於保護個別交易的ECDSA簽名。如果未來出現足夠強大的量子電腦，Shor’s演算法理論上可能破壞這些金鑰。然而，比特幣的設計展現了前瞻性：地址重複使用在經濟上是不鼓勵的，這使得大多數公開金鑰在鏈上保持隱藏，直到交易真正被花費。這個做法大大降低了暴露風險。

為何“量子末日”敘事反而助長不必要的恐懼

Gurbacs一直強調量子相關的擔憂被過度誇大，並指出三個具體事實削弱了末日論的說法。第一，破解ECDSA所需的量子硬體必須“令人難以置信的快速且穩定”——這些能力目前遠未達到原型階段。第二，如果這樣的機器存在，其他密碼系統會先崩潰：TLS加密、PGP和政府的PKI基礎設施都會先垮台。截至2024年，這些都尚未被攻破，顯示量子計算仍屬於理論威脅多於實務。

第三，比特幣的模組化架構允許在不影響貨幣政策或供應規則的情況下升級簽名層。近期NIST標準化的FIPS-205，正式化了SLH-DSA(無狀態雜湊簽名演算法)，證明可信機構正推出後量子安全的替代方案。這一點消除了不作為的藉口：現在已經有可行的標準。

漸進式遷移的技術理由

Adam Back，一位創始的密碼朋克，提出一個優雅的解決方案：比特幣可以在現有的Taproot/Schnorr框架內引入新型簽名方式，無需立即造成全球性破壞。用戶可以選擇採用抗量子的方法——例如，將資產存放在新型葉子類型中——而舊有基礎設施仍然運作。這種階段性策略讓開發者能提前準備基礎設施並測試標準，遠在真正威脅出現之前。

時間線很重要。NIST直到2024年8月才正式確定SLH-DSA，這代表密碼學界在評估這些替代方案方面仍處於早期階段。開發者需要數年而非數月來審核實作、理解權衡，並達成共識選擇方案。Back預估“如果出現具有密碼學相關的量子電腦(CRQCs)，schnorr與ECDSA簽名方法將被淘汰”，但他預測這仍“遠在2030年之後”。

安全專家反駁的焦點：治理與協調

並非所有人都認為逐步準備就足夠。Dan McArdle（來自Messari）與Graeme Moore（來自Project Eleven）指出三個Gurbacs可能低估的結構性複雜性。

第一，傳統P2PK輸出是第一個問題。一些非常早期的比特幣交易使用的是立即暴露公開金鑰的支付給公鑰格式，沒有現代標準的地址重複保護。雖然散布在網路中，但若量子電腦突然加速，這些可能成為攻擊目標。

第二，記憶池狙擊（Mempool sniping）是一個較為奇特的風險：一個強大的量子對手理論上可以在交易傳播但尚未確認的短暫窗口中竊取資金。攻擊者會從待確認交易中提取發送者的公開金鑰，計算出私鑰，然後重定向資金——全部在確認之前完成。然而，McArdle承認，這需要比目前任何接近完成的量子硬體快數量級的技術。

第三，後量子簽名膨脹是最具體的挑戰。像SLH-DSA這樣的方案產生的簽名比secp256k1大——可能需要增加區塊大小以維持交易吞吐量。這個治理戰一直困擾比特幣，從2015-2017年的擴容戰爭開始，重新討論可能導致社群共識破裂。

Moore強調，即使在理想條件下，完全遷移到後量子簽名也可能需要六個月或更長時間，暗示應該現在就開始準備，而非等到威脅逼近。他也質疑比特幣社群是否會接受NIST標準化的演算法，因為中本聰曾刻意選擇非NIST曲線如secp256k1，出於對集中標準制定機構的不信任。

未遷移的幣：倫理與技術的交集

Moore提出一個挑釁性的思想實驗：在量子升級期間，所謂的“遺失”比特幣（包括歸屬中本聰的持幣）會怎樣？這些幣應該被凍結，還是允許變得脆弱？Gurbacs拒絕任何特殊豁免，認為治理規則應該對所有未遷移的金鑰一視同仁。他的立場是：較弱的密碼系統會先失效，這會提前多年警示，讓比特幣本身面臨的壓力更為可控。

市場漠不關心與現實時間線

截至發稿，比特幣(BTC)的價格為**$95.20K**，顯示市場對量子敘事仍未動搖。雙方都同意準備是必要的——只是緊迫性與時間表存在分歧。最終的分歧在於：能在五年、十五年或更長時間內出現能破解ECDSA的量子電腦嗎？

可以確定的是，比特幣的架構雖已成熟，但並未停止進化。網路可以透過軟分叉引入新型簽名方式、逐步用戶遷移到抗量子方法，以及持續研究後量子密碼學來適應。現在的辯論是：這種適應是主動進行，還是只有在量子威脅變得不可否認時才會採取行動。

未來幾年的標準化研究、治理討論與技術測試，將決定社群對這些風險的重視程度，以及準備是否是謹慎的勤勉或是對投機性FUD的過度反應。