#GoogleQuantumAICryptoRisk

谷歌量子AI刚刚发布了一份白皮书，悄然压缩了加密史上最具影响力的时间线之一，而大多数人还未完全理解这意味着什么。

核心发现是：破解比特币和以太坊都依赖的椭圆曲线密码学，可能需要大约50万个物理量子比特，使用高速超导系统——而非之前模型假设的数百万。这意味着执行优化版Shor算法的效率提高了20倍，Shor算法是一种专为打破ECDSA签名背后的数学而设计的量子方法。来自Oratomic的配套论文显示，使用中性原子量子计算机可能只需26,000个物理量子比特，权衡速度与规模，每个密钥大约需要10天。两组数字目前仍然遥不可及。关键词是“今天”。

攻击面并不均匀分布。它集中在一类特定的地址：那些在链上通过之前的支出已暴露公钥的遗留P2PKH钱包。大约30%到35%的比特币流通总量存放在这类地址中，包括Satoshi时代的币、长期未动的钱包，以及早期矿工的地址，这些矿工从未更换过密钥。谷歌估算，大约有170万未动用的BTC和690万BTC可能处于潜在暴露状态。在以太坊方面，数字更为惊人——超过$100 十亿美元的ETH被标记为有风险，前1000个钱包和至少70个主要智能合约被认定为脆弱，包括支撑关键稳定币的合约。

这是大多数讨论所忽略的非对称性。具有量子能力的攻击者不需要破解每个钱包，只需破解“正确”的钱包。他们可以在公钥广播到内存池的瞬间抢先发起交易，并在区块确认前推导出私钥。谷歌的论文指出，在先进的量子场景下，这种“支出时”攻击可以在10分钟内完成。这个时间窗口比平均比特币区块时间还要短。

比特币在这方面的暴露是结构性且治理复杂的。协议使用了secp256k1曲线的ECDSA——正是谷歌指出需要紧急迁移的密码类别。然而，比特币没有协调的后量子路线图，没有专门的资金结构，也没有明确的时间表。赋予比特币合法性的去中心化治理模型也使得协议范围内的密码迁移异常缓慢。引入后量子签名（如FALCON或SPHINCS+）的软分叉可能需要数年的开发者共识、测试和激活。同时，未动用的地址无法自行迁移。强制更换密钥要么依赖不存在的链上治理机制，要么实际上使旧地址格式无法支出——这涉及没收和治理的问题，社区历来难以解决。

以太坊处于更有利的结构位置，尽管也并非免疫。以太坊基金会已花费八年时间制定后量子路线图，涵盖协议的每一层。团队已在每周运行后量子签名方案的测试网络。以太坊通过硬分叉协调升级的能力，为其提供了比比特币更具体的前进路径。这种治理上的不对称是真实存在的，随着时间缩短，这将变得更加重要。

关于概率的诚实表述：以太坊研究员、论文合著者Justin Drake将2032年前出现具有密码学相关的量子计算机的概率估计为10%。Capriole投资的Charles Edwards则将Q-Day的概率估计为85%。这些估算之间的差异说明了一个重要事实——实际上没人知道确切的时间点，而且不确定性并没有随着量子比特数的提升而快速缩小。谷歌自己也设定了2029年为迁移其认证基础设施到后量子密码学的内部截止日期。这是一个值得认真对待的信号。当全球最强量子计算机的研发机构决定在三年内完成迁移，行业其他部分应将此视为一个前瞻性数据点，而非遥远的理论担忧。

这并不是：迫在眉睫的威胁、恐慌性抛售的理由，或加密已崩溃的证据。当前最先进的量子系统——包括谷歌的Willow芯片——大约在100到1000个噪声多、易出错的物理量子比特之间。现有硬件与所需的50万稳定、纠错量子比特之间仍有巨大差距。比特币的工作量证明机制和SHA-256哈希在短期内被认为具有抗量子能力；Grover算法理论上可以将挖矿难度减半，但这可以通过加倍密钥长度来应对，远不如签名问题紧迫。

这意味着：这是一次压缩事件，促使迁移讨论的紧迫性增强。时间窗口从未无限。现在模型显示，它比之前的估算要短得多。任何持有加密资产的人可以采取的实际措施都很简单——切换到Taproot或Bech32地址，停止重复使用地址，避免让暴露的公钥长时间闲置在遗留格式中。这些低摩擦的行动可以争取时间，无论治理辩论如何解决。

更深层次的问题是，比特币社区是否能在谷歌自身行为暗示的时间范围内，实现其威胁模型所要求的那种协调的密码迁移。技术方案已经存在，但治理方案尚未成熟。