比特币多头面临量子签名盗窃风险，6.7百万暴露的比特币

量子计算机无法解密比特币，但可能伪造来自暴露的公钥的签名，除非钱包在大型容错机器到来之前迁移到后量子路径，否则约有6.7百万BTC面临风险。
摘要

• 比特币在链上不存储加密秘密；关键的量子威胁是通过Shor算法从暴露的公钥恢复密钥，从而在易受攻击的UTXO上实现授权伪造。
• Project Eleven的比特币风险清单估算约有6.7百万BTC在其公钥暴露标准的地址中，Taproot的变化未能消除风险，若量子机器规模扩大则仍存在风险。
• 当前估算表明，破解256位椭圆曲线密码（ECC）大约需要2,330个逻辑量子比特和数百万个物理量子比特，为BIP级别的后量子输出（如P2QRH(和NIST标准方案）提供了时间，尽管签名变得更大、更费钱。

据加密货币安全研究人员和开发者称，量子计算机对比特币)BTC(的威胁主要来自潜在利用数字签名，而非解密加密数据。

量子与比特币，技术验证？

比特币在其区块链上不存储任何加密秘密，使得“量子计算机破解比特币加密”的广泛说法在技术上不准确，长期比特币开发者和Hashcash发明者Adam Back表示。该加密货币的安全性依赖于数字签名和基于哈希的承诺，而非密文。

Back在社交媒体平台X上表示：“比特币不使用加密”，并补充说，这一术语错误反映了对技术基础的误解。

真正的量子风险涉及授权伪造，即运行Shor算法的强大量子计算机可以从链上公钥推导出私钥，并为竞争交易花费生成有效签名，技术文档指出。

比特币的签名系统（ECDSA和Schnorr）证明对密钥对的控制。公钥暴露是主要的安全隐患，其脆弱性取决于链上出现的信息。许多地址格式会提交公钥的哈希，直到交易花费时才暴露原始公钥。
![Bitcoin bulls face quantum signature‑theft risk on 6.7m exposed BTC - 1])https://www.tradingview.com/x/wCfFXigH/(

Project Eleven是一个加密货币安全研究组织，维护一个开源的“比特币风险清单”，追踪脚本和地址重用层面的公钥暴露情况。该组织的公共追踪器显示，符合其暴露标准的比特币约有6.7百万，依据其公布的方法论。

Taproot输出（称为P2TR）在输出程序中包含一个32字节的调整公钥，而不是公钥哈希，这在比特币改进提案341中有所说明。这改变了暴露模式，只有在大型容错量子机器投入运行时才会产生影响，Project Eleven的文档指出。

Roetteler等人发表的《计算椭圆曲线离散对数的量子资源估算》研究中，建立了计算n位素数域上的椭圆曲线离散对数所需的最大逻辑量子比特数上限为9n + 2⌈log2)n(⌉ + 10。对于n=256，这大约是2,330个逻辑量子比特。

Litinski在2023年的估算中，将256位椭圆曲线私钥的计算量估计为大约5000万Toffoli门。在这些假设下，采用模块化方法可以在大约10分钟内用大约690万物理量子比特计算出一个密钥。Schneier on Security的总结中，估算需要大约1300万物理量子比特在一天内破解加密，目标在一小时内则需要大约3.17亿个物理量子比特。

Grover算法为暴力搜索提供平方根加速，是量子对哈希函数的威胁。NIST的研究表明，对于SHA-256的预映像，应用Grover算法后目标工作量仍在2^128左右，远不及椭圆曲线密码的离散对数破解。

后量子签名通常以千字节计量，而非几十字节，这影响交易的重量经济性和钱包用户体验，依据技术规范。

NIST已将包括ML-KEM)FIPS 203(在内的后量子原语标准化，作为更广泛迁移计划的一部分。在比特币生态系统中，BIP 360提出了“抗量子哈希支付”输出类型，而qbip.org则倡导逐步淘汰传统签名以推动迁移。

IBM在最近向路透社发表的声明中讨论了纠错组件的进展，重申了到2029年左右实现容错量子系统的开发路径。公司还报告称，一种关键的量子纠错算法可以在传统的AMD芯片上运行，另据路透社的报道。

可衡量的因素包括暴露公钥的UTXO集比例、钱包对暴露的响应行为变化，以及网络在保持验证和费率市场约束的同时，采用抗量子支出路径的速度，依据Project Eleven的分析。