比特幣的量子盲點：為何已曝光的1.7M BTC比時間表承諾更重要

對比特幣後量子未來的樂觀情緒，常常忽略了一個關鍵細節：大約有170萬BTC已經位於易受量子攻擊的輸出中。儘管主流評論者指出理論上的時間表以數十年計算，但實際鏈上曝露的情況揭示出一個更為混亂的局面，立即協調行動或許能避免災難性損失。

量子威脅是真實存在的，但時機並非一切

比特幣的脆弱點不在於工作量證明（proof-of-work），而在於數位簽名方案。該網絡目前依賴於secp256k1上的ECDSA和Schnorr簽名——一種一旦量子容錯電腦達到約2000到4000個邏輯量子比特就能破解的密碼學。當前的設備遠遠不足以達到這個標準，暗示在量子計算機成為可用之前，至少還有十年的時間窗口。

防禦框架已經存在。NIST已將ML-DSA（Dilithium）和SLH-DSA（SPHINCS+）定為FIPS 204和205的官方標準，Falcon則在FIPS 206中推進。Bitcoin Optech追蹤了多個提案，旨在通過新型輸出類型和混合簽名結構整合這些後量子方案。性能測試顯示，後量子簽名可以在類似比特幣的計算工作負載上正常運作。

但故事在這裡出現了裂痕：採用並非自動完成，密碼學只是戰鬥的一半。

真正的問題：已有25%的比特幣已經曝露

「量子安全」與「量子脆弱」的區別，完全取決於地址類型以及公鑰是否已在鏈上可見。這也是數字變得令人擔憂的地方。

早期的pay-to-public-key（P2PK）輸出，將原始公鑰直接放在區塊鏈上。一旦公開，它們就會永久暴露，任何擁有足夠計算能力的量子攻擊者都可以存取。Satoshi時代的輸出代表了相當大的歷史集中度，估計僅這些早期輸出就包含約170萬BTC。

Taproot P2TR輸出則引入了另一個問題：它們在創建時就將公鑰直接編碼在輸出中。與傳統的P2PKH或P2WPKH地址在花費前用哈希隱藏密鑰不同，Taproot UTXO在被轉移前就已暴露其公鑰。現代研究顯示，數十萬BTC現在已經存放在公開可見公鑰的Taproot輸出中。

標準的P2PKH和SegWit P2WPKH地址提供暫時的保護：在花費前，公鑰保持隱藏，直到被花費時才會暴露，這時就成為量子攻擊的目標。這創造了一個特定的脆弱窗口——交易廣播到確認之間的期間。在此期間，量子攻擊者理論上可以監控內存池，恢復私鑰，並用更高手續費的替代交易執行「簽名並竊取」攻擊。

在所有類別中，約有25%的比特幣總供應已經或即將暴露公鑰。這個數字來自德勤的分析、鏈上研究以及托管錢包的模式。其意義十分嚴峻：當前流通中的一部分資產可能成為攻擊目標，而非凍結資產。

遷移並非沒有代價——它需要空間和手續費

Saylor的說法是「安全性提升，供應量下降」，但技術現實更為複雜。後量子簽名比現有的ECDSA更大、更耗算力來驗證。英國區塊鏈協會期刊的研究指出，現實中的遷移可能會使區塊容量縮減約50%，增加節點運行成本，並大幅提高交易手續費。

這形成了一個協調難題。比特幣沒有中央權威。進行後量子軟分叉需要開發者、礦工、交易所和大戶之間達成壓倒性共識——在量子威脅真正出現之前同步行動。近期由風投支持的研究團隊強調，協調與治理的風險比密碼學本身更大。

時機的壓力既是心理層面，也是技術層面。如果在實際能力出現之前，市場就預期即將到來的量子能力，可能引發恐慌性拋售、鏈分裂或有爭議的硬分叉——這些都不會讓比特幣變得更強、更乾淨。

供應動態：三種競爭結果，沒有一個是自動的

聲稱比特幣的「供應量會下降」其實混淆了三種不同的情境，每個情境的影響都不同：

情境1：因放棄而縮減供應。 脆弱輸出中的幣，若所有者從未升級，將被視為遺失或明確列入黑名單。這假設高遵從性與接受供應縮減作為政策。

情境2：因盜竊而扭曲供應。 量子攻擊者利用升級窗口，竊取暴露的錢包。在此過程中，並未乾淨地減少流通供應，而是將其集中在攻擊者手中，造成價格重估的混亂。

情境3：在物理限制前的恐慌。 市場參與者預期量子威脅，提前拋售或引發有爭議的硬分叉，導致供應短暫下降，並非由密碼學硬化所致。

這些都不能保證一個乾淨、看漲的供應縮減。它們同樣可能引發短期波動、托管危機，以及對傳統錢包的一次性攻擊浪潮。

工作量證明的表現比預期更佳

一個被低估的優勢是：比特幣的工作量證明並不像簽名方案那樣易受量子攻擊。Grover的算法對SHA-256僅提供二次加速，意味著量子攻擊者大約需要2到3倍的計算資源來破解挖礦。調整難度參數可以在很大程度上抵消這個優勢。因此，挖礦安全性並非危機點。

真正的考驗：在壓力下的執行力

比特幣可以針對量子威脅進行強化。密碼學方案已經存在，標準已經定案，技術提案也在積極開發中。網絡可以採用後量子簽名，遷移脆弱輸出，並以更強的保障結束。

但這一切都取決於一個假設：比特幣的治理能在量子機器成熟之前，執行一個昂貴、充滿爭議且技術複雜的升級。這是一場關於協調的賭注，而非純粹的密碼學。已經曝露的170萬BTC、過渡期間的內存池風險、區塊容量的權衡，以及缺乏中央強制，都暗示時間比十年時間表更緊迫。

比特幣並非面臨二元的密碼失效，而是面臨協調的考驗。它是否能硬化或失敗，取決於開發者、礦工和持有者是否能提前行動，趁仍有共識的時候升級易受攻擊的供應。這個賭注比物理定律本身更不確定。