比特币如何应对量子威胁？Galaxy 报告揭示 700 万枚 BTC 的潜在风险

量子计算从理论走向工程突破的速度，正在引起加密行业对底层密码学安全的重新审视。当“Q-Day”（量子计算机破解现有公钥密码体系之日）的时间线从模糊变得可预期，比特币作为市值最高的加密资产，其应对能力成为市场关注的焦点。Galaxy Digital 近期发布的研究对此给出了明确的阶段性判断：风险真实存在，但目前有限。

量子计算对比特币的威胁为何“真实存在”

比特币的安全性依赖于两种密码学机制：用于生成地址的哈希函数与用于签名的椭圆曲线数字签名算法（ECDSA）。量子计算对二者的威胁程度并不相同。哈希函数在 Grover 算法下的安全级别仅降低为平方根，尚属可控；而 ECDSA 在 Shor 算法面前则存在理论上的脆弱性——足够规模的容错量子计算机可从公开的公钥反推出私钥。

Galaxy Digital 研究主管 Alex Thorn 指出，这种威胁并非遥远的理论推演。安全机构 Project Eleven 的分析显示，约 700 万枚比特币（按当前价格计约 4,700 亿美元）因“长期暴露”而处于潜在风险中，即其公钥已在链上公开。这意味着一旦量子计算机具备破解能力，这些地址中的资产可能最先面临被提取的风险。

为何当前阶段的风险被界定为“有限”

尽管威胁存在逻辑上的必然性，但 Galaxy Digital 强调，这并非迫在眉睫的生存危机。将“真实”与“紧迫”区分开来，是理解当前行业共识的关键。

首先，当前量子计算仍处于“含噪中型量子（NISQ）”时代，距离破解 256 位椭圆曲线所需的、具备数千个逻辑量子比特的容错计算机尚有数年差距。麦肯锡 2025 年报告给出的 Q-Day 窗口期在 2 至 10 年之间，这一范围本身就反映了技术路径的不确定性。

其次，并非所有比特币都暴露于同等风险。只有地址被复用、采用旧格式（如 P2PK）或由托管方以“捷径”方式存储的资金，才会在链上留下公钥痕迹。绝大多数遵循“一地址一收一付”原则的 UTXO，其公钥仅在花费时暴露，且花费完成后资产已转移。这意味着量子威胁的“攻击面”远小于比特币总供应量。

抗量子迁移将面临哪些结构性权衡

比特币社区对重大变更历来秉持审慎原则。这种“能不动就不动”的文化在保障网络稳定性的同时，也为后量子迁移带来了独特的治理难题。

技术层面，解决方案已经启动。2026 年 2 月，BIP 360（Pay-to-Merkle-Root）正式纳入 BIP 仓库，通过移除 Taproot 的部分密钥路径、仅保留脚本路径，显著降低量子暴露面，并为未来插入后量子签名方案预留了接口。该提案不强制升级，属于软分叉性质的渐进式改进。

但更大的挑战来自治理层面。若启动全面后量子迁移，社区必须面对一个核心问题：如何处理那些公钥已永久暴露、且可能永远无法被所有者主动迁移的休眠比特币（包括中本聪地址中的约 100 万枚）。是允许“先到先得”式的竞争性提取，还是通过“沙漏”机制分阶段限制其支出权限？前者可能导致巨额资产在市场不明时间点集中释放，后者则涉及对资产可支配性的干预，与比特币“不可审查”的核心原则产生张力。

不同生态应对路径的差异如何影响行业格局

在应对量子风险的紧迫性上，不同公链生态呈现明显分化。以太坊联合创始人 Vitalik Buterin 已于 2026 年 2 月提出明确的抗量子路线图，并将其列为最高战略优先级，预计在 2029 年左右完成后量子升级。

比特币社区的节奏则相对谨慎。尽管 BIP 360 标志着量子防护首次进入正式路线图，但完整的迁移计划仍处于讨论阶段。Castle Island Ventures 创始合伙人 Nic Carter 近期指出，这种滞后可能成为其他公链的相对优势，市场或将开始反映这种优先级差异。需要指出的是，比特币开发者的审慎不等于“视而不见”——BIP 360 获得的历史最高评论数量表明，核心贡献者正在积极评估这一长期挑战。

未来演进路径的可能场景推演

基于当前的技术进度与社区博弈，未来 5 至 10 年可能出现几种情景：

情景一：有序迁移（高概率）。量子计算进展符合预期，社区在 5-7 年内达成治理共识，分阶段实施迁移：第一阶段禁止新资金流向旧地址格式，第二阶段逐步将活跃资金转移至后量子安全地址，最后对长期休眠的暴露地址采用分阶段限制方案。这一路径下，市场信心保持稳定，技术升级被视为网络韧性的体现。

情景二：竞争性提取（低概率但冲击大）。若 Q-Day 突然临近且社区治理陷入僵局，部分暴露地址的资金可能被具备量子算力的实体抢先提取。这将引发资产所有权认定的混乱，并可能动摇比特币的“最终确定性”叙事。

情景三：混合防护机制（中等概率）。通过软分叉引入“哨兵”机制，对暴露地址的支出交易增加额外的验证层或时间锁，既不完全剥夺所有权，又为生态争取迁移缓冲期。

现有解决方案的进展与局限性

当前，围绕量子风险的应对工作正在多个层面推进。NIST 已于 2024 年定稿首批后量子密码学标准（包括 CRYSTALS-Kyber 与 CRYSTALS-Dilithium），为区块链行业提供了可参照的加密原语。比特币开发者正基于此推进新地址类型的标准化工作，使用户可将资金从易受攻击的格式主动迁移出去。

然而，任何方案都无法回避两个限制：一是兼容性，比特币的向后兼容原则要求新方案不能使旧钱包失效；二是自愿性，无法强制所有持有者执行迁移，这意味着长期暴露的休眠地址将持续存在。Alex Thorn 指出，“正在推进的工作比人们意识到的要多得多”，但社区仍需对迁移的长期性保持耐心。

总结

量子计算对比特币构成的威胁，本质上是密码学基础设施代际更替与去中心化治理节奏之间的博弈。Galaxy Digital 的研判提供了一个平衡的坐标：风险真实存在，量化规模约 700 万枚比特币处于“暴露”状态；但时间窗口充足，技术路径已有雏形，社区治理正处于从分歧走向共识的过程。对于市场参与者而言，将量子风险纳入长期监测框架是必要的，但将其误判为短期生存危机则可能偏离对行业基本面的判断。

FAQ

Q1：量子计算什么时候会真正威胁到比特币安全？

目前行业普遍预估的 Q-Day 窗口期在 5 至 10 年之间，具体时间取决于量子硬件纠错能力与算法优化的突破节奏。当前量子计算机仍无法对 ECDSA 构成实际威胁。

Q2：如果量子威胁成真，我的比特币会丢失吗？

如果你的比特币存储在遵循安全规范的钱包中（不重复使用地址、每次收款使用新地址），公钥仅在交易广播时短暂暴露，且资产在暴露后随即转移，风险可控。长期暴露的风险主要集中在地址复用、旧格式地址或托管方操作不当的场景。

Q3：比特币社区目前有哪些应对措施？

BIP 360 已于 2026 年 2 月纳入提案，通过调整 Taproot 脚本结构降低量子暴露面，并为未来插入后量子签名方案预留空间。更完整的迁移计划仍在讨论中。

Q4：我应该因为量子风险而卖出比特币吗？

Galaxy Digital 研究主管 Alex Thorn 的观点具有代表性：量子风险应纳入监测范围，但不构成回避比特币敞口的理由。长期技术挑战不应被误判为即时威胁。

Q5：以太坊等公链的应对速度是否更快？

以太坊已明确将抗量子升级列为战略优先级，并制定了相对清晰的路线图。不同公链的治理文化与技术迭代节奏存在差异，这可能在长期影响各自的叙事与市场定位。