9 分钟破解比特币？谷歌量子白皮书的边界与误读

文：Max He @ Safeheron Lab

本文核心判断

• Google 白皮书显著推进了量子风险的工程化评估，但并未证明 CRQC 已接近现实落地

• 资源估算的下降 ≠ 现实攻击能力已到位，中间仍存在大量未跨越的工程挑战

• 行业需要建立的不只是「采用后量子算法」的能力，而是「应对密码学持续变化」的能力

• 2030–2035 是倒推迁移准备的关键参照窗口，而不是量子攻击到来的精确时点

2026 年 3 月 30 日，Google Quantum AI 联合以太坊基金会和斯坦福大学的研究者发布了一篇重磅白皮书 [1]。这篇长达 57 页的论文系统性地分析了量子计算对加密货币的威胁，并给出了迄今为止最为激进的资源估算：破解比特币和以太坊所依赖的 256 位椭圆曲线密码学，仅需不到 50 万个物理量子比特——这比此前的最佳估算缩减了近 20 倍。

与此同时，论文将量子攻击的讨论从比特币扩展到整个加密货币生态，进一步指出，以太坊的智能合约、质押共识以及数据可用性采样等机制中，同样存在潜在的量子攻击面。这意味着，这篇白皮书讨论的已不再只是「比特币私钥是否会被量子破解」这一单点问题，而是在推动整个行业重新审视：现有区块链系统面对量子能力演进时，哪些安全假设可能需要被重新评估。

这篇白皮书在区块链行业引发了明显的震动。「量子计算或可在数分钟内破解比特币」的说法迅速扩散，也让许多从业者开始重新审视既有的安全假设。它之所以引发如此强烈的反应，也不只是因为资源估算进一步下降，更因为它第一次把「链上交易窗口攻击是否可能」与「区块链系统是否来得及完成迁移」放到了同一个讨论平面上。问题开始不再只是学术上的「能不能破解」，而是工程和治理上的“是否还有足够时间准备”。

但在这些情绪背后，一个更值得追问的问题是：Google 实际上证明了什么？又没有证明什么？这项工作在多大程度上改变了我们对量子风险的理解？

值得注意的是，这篇白皮书讨论的影响范围并不局限于比特币式的密钥暴露问题，而是延伸到了更广义的加密货币系统攻击面。不过，本文更关注的仍然是这篇工作对整体量子风险判断所带来的变化，而不是逐项展开不同链上机制的具体影响。

1 Google 这次到底做了什么？

1.1 ECDLP：区块链安全的基本假设

当前主流加密货币的安全性，建立在椭圆曲线离散对数问题（ECDLP）之上 [2]。以比特币和以太坊使用的 secp256k1 曲线为例 [3]，其核心假设是：在经典计算条件下，给定公钥（椭圆曲线上的点），无法在可行时间内推导出对应的私钥。

这一假设在过去数十年中被广泛接受，并构成了整个区块链系统的基础安全前提。然而，Shor 算法 [4] 指出，在理想的量子计算模型下，ECDLP 可以被高效求解，从而在理论上动摇这一安全基础。

1.2 资源估算：破解需要多少量子计算能力

Google 这次工作的核心，并不是提出新的攻击方式，而是重新回答一个长期存在的问题：如果未来真的能够造出足够大、足够稳定、能够运行这类量子算法的量子计算机，破解 ECDLP 需要多大的计算资源？

论文构造并优化了针对 secp256k1 的量子电路，并给出了两种不同优化方向的实现路径：一种尽可能降低逻辑量子比特数量，另一种尽可能减少非 Clifford 门（如 Toffoli 门）的数量。在一组明确的硬件与纠错假设下，这些电路可以在少于 50 万个物理量子比特的规模上执行。

与此前的主流估算 [5][6] 相比，这一结果在「时空体积」（spacetime volume）这一综合指标上有明显改进。更重要的是，它将原本偏理论化的讨论，转化为一组可以对比、可以跟踪的工程参数。

1.3「9 分钟」：这个数字是怎么来的

在资源估算之外，论文还进一步给出了攻击时间的一个直观量级。

在假设量子门操作时间约为微秒级、并考虑一定执行开销的情况下，完整运行相关量子电路大致需要十几分钟。考虑到量子算法的部分计算可以在公钥出现之前预先完成，真正与目标公钥相关的计算可以压缩到约一半时间，从而得到「约 9 分钟」的估算。

这一数字之所以引发广泛关注，是因为它接近比特币约 10 分钟的平均出块时间。这意味着，在某些假设下，攻击者理论上可能在交易确认之前完成私钥恢复。

需要强调的是，这一时间估算依赖于一整套理想化前提，其意义更多在于提供一个量级参考，而不是现实攻击能力的直接体现。

1.4 零知识证明：为什么不公开电路

论文的另一个重要特点，是在不公开具体量子电路的前提下，引入了一种「可验证披露」的方式 [7]。

研究团队将电路通过哈希进行承诺，并在一个公开的验证程序中，对电路在一组随机输入上的行为进行检查，同时验证其资源上界。整个验证过程被封装为一个零知识证明，使得任何第三方都可以在不接触电路细节的情况下，确认相关声明的正确性。

这一做法在「保护攻击细节」与「提高结论可信度」之间取得了一种平衡，也使得资源估算不再只是研究者的陈述，而具备了密码学意义上的可验证性。

2 这件事该怎么理解？

在进一步理解这些结果之前，有一个概念值得先明确。

论文中多次提到 CRQC (Cryptographically Relevant Quantum Computer）。这个术语直译为「密码学相关的量子计算机」，但它并不是对量子计算机的泛称，而是指那些已经具备现实密码分析能力的量子计算系统。换句话说，真正值得区块链行业关注的，并不是量子计算是否持续进步，而是它何时发展到足以在现实条件下破解 ECDLP 这样的密码问题。

从这个角度看，Google 这篇工作的意义，不只是展示量子计算的进展本身，而是在更具体地回答一个问题：一台能够对现实密码系统构成威胁的量子计算机，究竟需要具备怎样的资源规模、执行能力和时间特性。

进一步来说，这一问题可以从三个维度来理解：量子计算系统的执行特性、技术演进可能带来的不同路径，以及这些能力最终对应的攻击方式。

2.1 快时钟和慢时钟：量子计算机并不只有一种

论文提出的一个重要视角，是区分不同类型的量子计算架构。

一些平台（如超导量子比特 ）具有较快的基本操作速度，纠错周期较短，可以在较短时间内执行深电路；而另一些平台（如离子阱 [14] 或中性原子 ）操作速度较慢，但在其他方面可能具有优势。

这种差异意味着，「量子计算能力」并不是一个单一指标。同样规模的量子系统，在不同架构下，对密码学问题的实际攻击能力可能存在数量级上的差别。

这种执行特性的不同，直接影响的是 CRQC 形成的方式和时间结构：有些系统更接近在短时间窗口内完成计算，而另一些系统则更适合长时间运行。

2.2 两种可能的演进路径

基于上述架构差异，可以进一步考虑量子计算能力的演进路径。

一种情况是，具备较快执行能力的量子系统率先达到容错水平，此时针对链上交易的实时攻击（例如在交易确认前恢复私钥）将成为主要风险。另一种情况是，较慢但更稳定的系统先取得突破，此时攻击更可能集中在长期暴露的公钥上，例如历史地址或重复使用的密钥。

这两种路径并不互斥，但它们对应的风险时间结构和防御重点存在明显差异。

从这个角度看，CRQC 的出现并不一定对应一个明确的时间点，而更可能表现为不同能力逐步具备的过程。

2.3 三种攻击方式

在上述框架下，可以将量子攻击大致分为三类。

第一类是「交易中攻击」（on-spend attack），即在交易进入内存池后、被写入区块前的时间窗口内恢复私钥。第二类是「静态攻击」（at-rest attack），针对已经长期暴露在链上的公钥，攻击者可以拥有更充裕的计算时间。第三类是「设置攻击」（on-setup attack），针对某些依赖公共参数的协议，通过一次性量子计算获取可重复利用的后门。

这三类攻击的共同点在于，它们都依赖同一个基础能力——在可接受时间内求解 ECDLP，但对时间窗口和系统结构的依赖各不相同。

从结果上看，这三类攻击只是同一件事情的不同表现形式：当量子计算能力达到 CRQC 所代表的水平之后，对不同系统条件和时间约束的具体影响。

3 离真正的量子攻击还有多远？

3.1 这篇白皮书没有证明什么

需要强调的是，这篇白皮书虽然显著推进了量子风险的工程化评估，但它并没有证明 CRQC 已经接近现实落地，也没有证明现有区块链体系会在短期内面临真实可行的量子攻击。

论文真正做的，是在一组明确假设下进一步压缩了破解 secp256k1 所需的资源估算，并将原本偏抽象的风险讨论，推进到了一个更适合工程评估的位置。它证明的是：相关问题比过去理解的更具体，也更值得持续跟踪；但它并没有证明，支撑这些攻击所需的大规模容错量子系统已经近在眼前。

3.2 资源需求在下降，但工程距离仍然明显

更进一步说，从「量子算法在理论上可以破解 ECDLP」，到「现实世界中真的出现足以威胁密码系统的量子计算能力」，中间并不只是简单的工程放大问题。真正决定量子攻击能否落地的，不只是纸面上的资源估算数字，还包括容错架构、误差校正、实时解码、控制系统，以及长时间稳定执行深电路所需的整体系统能力。

这些条件中的一部分，确实属于工程实现问题；但它们并不能被简单理解为「只要继续投入，迟早一定会自然解决」。量子纠错与容错计算在理论上给出了可扩展路径，但现实世界是否能够把这些条件真正整合成一台可持续运行、足以威胁现实密码系统的 CRQC，仍然存在明显不确定性。

从这个角度看，Google 这篇白皮书更准确的意义，不是宣告量子攻击已经迫近，而是让行业第一次能够以更具体的工程参数来讨论这一风险，同时也提醒我们：不应把资源估算的下降，直接等同于现实攻击能力已经到位。

3.3 这不是一个适合精确预测年份的问题

也正因为如此，量子攻击的到来并不适合被理解为一个可以精确预测的时间点。对于区块链行业来说，真正重要的并不是「哪一年一定会出现 CRQC」，而是相关能力是否正在朝着一个越来越值得警惕的方向演进。

一方面，关键突破可能在短时间内显著改变资源需求；另一方面，看似接近的技术路线，也可能长期停留在某些基础瓶颈之前。这意味着，我们很难通过「今年多少量子比特、明年多少量子比特」这样的线性外推，去判断现实攻击能力会在何时出现。

因此，对这一问题更稳妥的理解，不是试图押注某一个精确年份，而是承认它具有较强的不确定性，同时把注意力放在那些真正会改变风险判断的底层信号上。

3.4 最值得警惕的，是预警信号可能并不明显

这也意味着，社区不应期待通过某一次「公开演示量子攻击」来获得清晰的预警信号。

很多人习惯于把公开演示视为技术成熟的标志，似乎只要还没有看到现实世界中的演示，就说明距离真正威胁还很远。但在量子密码分析这个问题上，这种直觉未必成立。等到某些标志性演示真的出现时，相关能力可能已经在更底层的技术环节上积累了相当长一段时间，防御窗口也可能已经明显收窄。

对区块链行业而言，这恰恰是它最难处理的一点：真正重要的变化，未必会以一种清晰、渐进、对外可见的方式展开。

4 我们该如何判断量子进展？

4.1 不要只看量子比特数量

如果说第 3 章回答的是「现在大概处在什么位置」，那么接下来的问题就是：未来应该看什么，才能更准确地判断量子进展。

最容易被传播、也最容易被误解的指标，是量子比特数量。它足够直观，也足够醒目，但对密码分析能力来说，它远远不是唯一、甚至也不是最关键的指标。单纯增加物理量子比特数量，并不自动意味着系统已经接近现实攻击能力。

真正更值得关注的，是这些量子比特是否能够在容错条件下被有效组织起来，是否能够稳定支撑深电路执行，以及它们是否与算法和控制系统形成了闭环。对行业来说，「有多少量子比特」最多只能说明规模变化，而不能单独说明现实威胁的接近程度。

4.2 真正值得关注的是三类信号

如果要对量子进展形成一个相对可操作的判断框架，可以重点关注三类信号。

第一类是硬件信号。这里真正重要的，不只是物理量子比特数量，而是是否开始出现稳定的逻辑量子比特，误差校正是否进入可扩展阶段，以及系统是否能够在纠错条件下持续运行。

第二类是算法信号。Google 这次白皮书本身就是一个典型例子。对于区块链行业而言，更值得关注的，不是某个单一数字本身，而是这类资源估算是否在持续下降：逻辑量子比特数量是否下降、关键门操作数量是否下降、整体时空体积是否继续收敛。

第三类是系统信号。这往往最容易被忽视。即使硬件和算法都在进步，仍然需要看到系统级能力是否逐渐成熟，例如长时间稳定执行深电路的能力、控制系统的扩展性，以及多项关键条件是否开始同时具备。现实中的攻击能力，最终依赖的不是单一指标，而是这些条件能否汇聚成一条闭合的工程路径。

4.3 公开演示可以参考，但不能当作唯一信号

很多人会自然地期待某种「标志性时刻」：例如某个实验平台公开演示了在小规模曲线上运行相关算法，于是大家把它看作风险真正开始显现的信号。

这种信号当然有参考价值，但它不适合作为唯一的判断依据。因为从技术演进的角度看，公开演示往往只是一个结果，而不是最早的变化本身。真正更重要的，是前面提到的那些底层条件是否已经逐步具备。

对行业而言，更现实的做法不是等待一个戏剧性的时刻，而是建立持续跟踪的习惯：观察硬件有没有进入新的阶段，算法资源是否继续压缩，以及系统能力是否正在从「分散改进」走向「整体成形」。比起「什么时候看到演示」，更值得问的是：在看到演示之前，我们是否已经看懂了技术进展的方向。

5 我们该如何判断量子进展？

5.1 这不是「现在的问题」，但必须现在开始准备

从工程现实来看，量子计算尚未具备对现有加密货币体系发起攻击的能力。无论是在硬件规模、误差控制，还是长时间稳定执行深电路的能力上，距离论文所假设的条件仍然存在明显差距。

但这并不意味着行业可以继续把这一问题无限期地推迟下去。与过去相比，一个重要变化在于：相关技术路径已经变得越来越清晰，资源估算也在持续收敛。对于区块链系统而言，真正需要关注的，不是某一个具体时间点，而是是否已经为未来的迁移预留了足够的时间和空间。

密码学基础设施的升级往往不是一次简单的软件替换。它涉及协议、实现、生态协同、资产迁移以及用户习惯的变化，其时间尺度通常以年为单位，而不是月或季度。从这个角度看，这不是一个“现在就会爆发”的问题，但已经是一个必须尽早进入规划的问题。

5.2 算法会变，但区块链系统设计不需要被推翻

量子计算直接冲击的，是区块链系统底层所依赖的密码学假设，例如基于椭圆曲线的签名方案，而不是区块链系统作为一类安全系统所面对的问题本身。

这意味着，很多今天已经被证明有效的安全机制，并不会因为量子计算的出现而失去价值。对于区块链和数字资产行业来说，无论是密钥管理、多方计算（MPC）、硬件隔离（TEE）、权限控制、审计机制，还是围绕账户体系、交易审批、风控与治理所建立起来的整体安全架构，解决的仍然是密钥暴露、单点失效、内部风险以及操作失误等现实问题。这些问题不会随着底层密码学原语的变化而消失。

因此，更合理的理解不是「量子时代需要把整套区块链安全体系推倒重来」，而是：需要升级的，首先是底层密码学组件；而需要保留和增强的，则是区块链系统在密钥保护、权限分层、风险隔离和治理控制方面已经形成的设计原则。 真正重要的，不只是替换某一种签名算法，而是让整个系统具备承载这类密码学迁移的能力。

5.3 从「选哪种算法」走向「能否平滑迁移」

当前后量子密码学已经进入标准化与工程落地阶段。NIST 主导的首批 PQC 标准已于 2024 年正式发布 [12]，但不同方案在性能、签名大小、实现复杂度以及安全假设上仍然存在明显差异，工程实践和行业采用路径也仍在持续演进之中。

在这种背景下，比起过早押注某一种具体算法，更重要的问题正在发生变化：系统是否具备平滑迁移的能力。

这种能力包括几个层面：能否在不影响业务连续性的前提下引入新的签名方案；能否支持一段时间内的混合模式；以及当标准和工程实践继续演进时，是否还能继续调整和兼容。

从长远看，区块链行业真正需要建立的，不只是「采用后量子算法」的能力，而是「应对密码学持续变化」的能力。前者是一轮迁移，后者才是长期可持续的系统设计。

6 结语：一次重要的技术信号

从今天的工程现实看，量子计算仍不足以对现有加密货币体系构成实际威胁。无论是硬件规模、误差控制，还是长时间稳定执行深电路所需的容错能力，距离论文所假设的条件仍有明显差距。换句话说，CRQC 并不是一项“只要时间到了就自然会落地”的技术，其实现仍取决于一系列尚未完全跨越的工程挑战。

但与此同时，这个问题也已经不再适合被视为遥远未来的抽象讨论。Google 在 2026 年 3 月明确将自身的后量子迁移时间线设到 2029 年[8]；英国 NCSC 则给出了 2028、2031、2035 三个迁移关键节点 [9]；G7 Cyber Expert Group 面向金融体系的路线图虽然不设监管性 deadline，但也将 2035 视为整体迁移的参考目标，并建议关键系统尽量在 2030～2032 之间优先完成迁移 [10]。

同时，也需要避免过度解读。就目前主流公开资料来看，即便较为激进的公开判断，更多也是将风险窗口前移到 2030 年前后，而不是形成「CRQC 会在 2030 年前明确落地」的一致结论。Global Risk Institute 2025 年专家调查显示，未来 10 年内出现 CRQC 属于「quite possible（28%–49%）」，未来 15 年内才进入「likely（51%–70%）」区间 [11]。

因此，Google 这篇白皮书最重要的意义，并不在于宣告量子攻击已经到来，而在于它让这个问题第一次变得足够具体：可以讨论，可以评估，也必须开始准备。对区块链和数字资产行业来说，2030～2035 是一个值得认真对待、并为迁移预留空间的关键窗口。它未必对应量子攻击真正到来的具体年份，却很可能决定行业到那时是否仍然拥有从容应对的余地。