比特幣多頭面臨量子簽名盜取風險，6.7百萬暴露的比特幣

量子電腦無法解密比特幣，但可能伪造由暴露的公開金鑰產生的簽名，除非錢包在大型容錯機器到來之前遷移到後量子路徑，否則約有6.7百萬BTC面臨風險。
摘要

• 比特幣在鏈上不存儲加密秘密；關鍵的量子威脅是利用Shor演算法從暴露的公開金鑰中恢復金鑰，進而對脆弱的UTXO進行授權偽造。
• Project Eleven的比特幣風險清單估計約有6.7百萬BTC的地址符合其公開金鑰暴露標準，Taproot的變更並未消除風險，若量子機器擴展則仍存在風險。
• 目前估計需要約2,330個邏輯晶片和數百萬個實體晶片來破解256位橢圓曲線加密（ECC），這為BIP層級的後量子輸出（例如P2QRH）和NIST標準方案提供了時間，儘管簽名較大且費用較高。

根據加密貨幣安全研究人員和開發者的說法，量子電腦對比特幣(BTC)的威脅在於潛在利用數字簽名，而非解密加密資料。

量子與比特幣，技術驗證？

比特幣的區塊鏈上不存儲任何加密秘密，使得“量子電腦破解比特幣加密”的普遍說法在技術上並不準確，長期比特幣開發者兼Hashcash發明人Adam Back表示。該加密貨幣的安全性依賴於數字簽名和基於哈希的承諾，而非密文。

Back在社交媒體平台X上表示：“比特幣不使用加密”，並補充說，這個術語錯誤反映了對技術基本原理的誤解。

實際的量子風險涉及授權偽造，即一個足夠強大的量子電腦運行Shor演算法，能從鏈上公開金鑰推導出私鑰，並為競爭交易花費產生有效簽名，根據技術文件所述。

比特幣的簽名系統，ECDSA和Schnorr，證明對一個金鑰對的控制權。公開金鑰暴露是主要的安全關注點，脆弱性取決於鏈上出現的資訊。許多地址格式會提交公開金鑰的哈希，直到交易花費前，原始公開金鑰保持隱藏。

Project Eleven是一個加密貨幣安全研究組織，維護一個開源的“比特幣風險清單”，追蹤腳本和地址重用層級的公開金鑰暴露情況。根據其公布的方法論，該組織的公開追蹤器顯示約有6.7百萬BTC符合其暴露標準。

Taproot輸出（P2TR）在輸出程式中包含一個32字節的調整後公開金鑰，而非公開金鑰哈希，這在比特幣改進提案341中有所說明。這改變了暴露模式，只有在大型容錯量子機器投入運作時才會產生影響，根據Project Eleven的文件。

Roetteler等人發表的“計算橢圓曲線離散對數的量子資源估算”研究建立了上限，最多需要9n + 2⌈log2(n)⌉ + 10個邏輯晶片來計算一個n位素數域上的橢圓曲線離散對數。對於n=256，約需2,330個邏輯晶片。

Litinski在2023年的估算中，認為一個256位橢圓曲線私鑰的計算約需5000萬個Toffoli閘。在這些假設下，一個模組化方法約用6.9百萬個實體晶片，約10分鐘即可計算出一個密鑰。Schneier on Security的摘要引用估計約需1300萬個實體晶片來在一天內破解加密，約需3.17億個實體晶片來鎖定一小時的時間窗口。

Grover演算法，提供平方根加速的暴力搜尋，代表對雜湊函數的量子威脅。NIST的研究指出，對SHA-256的前像，經過Grover演算法後，所需工作量仍約在2^128的範圍內，與橢圓曲線密碼學的離散對數破解相比，差距較大。

後量子簽名通常以千字節計量，而非數十字節，影響交易的重量經濟性和錢包用戶體驗，根據技術規範。

NIST已標準化包括ML-KEM (FIPS 203)在內的後量子原語，作為更廣泛遷移計劃的一部分。在比特幣生態系統中，BIP 360提出了“支付給量子抗性哈希”輸出類型，而qbip.org則倡導逐步淘汰傳統簽名，以促使遷移。

IBM在最近向路透社發表的聲明中討論了錯誤更正元件的進展，重申了到2029年左右實現容錯量子系統的發展路徑。該公司還報告稱，一個關鍵的量子錯誤更正演算法可以在傳統的AMD晶片上運行，根據另一份路透社報導。

可衡量的因素包括暴露公開金鑰的UTXO集比例、錢包對該暴露的反應行為變化，以及在保持驗證和費用市場約束的同時，網絡對量子抗性支出路徑的採用速度，根據Project Eleven的分析。