什麼是 Q-Day？解析量子運算對 Bitcoin 的威脅

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯11442 字

簡要摘要 - 今日的量子電腦規模太小且不穩定，遠不足以威脅現實世界的密碼學。 - 公鑰已曝光的早期 Bitcoin 錢包，長期而言風險最高。 - 開發者正在探索後量子簽章（post-quantum signatures）以及可能的遷移路徑。量子電腦今日尚無法破解 Bitcoin 的密碼學，但該領域的最新進展顯示，這道差距正以比預期更快的速度縮小。朝向容錯量子系統（fault-tolerant quantum systems）邁進的進展，提高了「Q-Day」的風險高度——也就是當一台足夠強大的機器能夠破解較舊的 Bitcoin 位址，並使超過 7,110 億美元的脆弱錢包暴露在外的那一刻。長期以來被視為遙遠的威脅，Q-Day 在 2026 年 3 月被驟然推至焦點，多篇研究論文指出量子電腦可能比預期更早破解密碼學系統。將 Bitcoin 升級至後量子狀態需耗費數年，這意味著相關工作必須在威脅來臨之前就開始。專家指出，挑戰在於沒有人知道那會是什麼時候，而社群在如何最妥善推進計畫上一直難以達成共識。這份不確定性帶來一種揮之不去的擔憂：能夠攻擊 Bitcoin 的量子電腦，可能在網路做好準備之前就先上線。本文將檢視量子對 Bitcoin 的威脅，以及這個排名第一的區塊鏈要做好準備需要做出哪些改變。量子攻擊將如何運作一次成功的攻擊不會看起來戲劇化。具備量子能力的竊賊會從掃描區塊鏈、尋找任何曾經洩露過公鑰的位址開始。舊錢包、重複使用的位址、早期礦工輸出，以及許多休眠帳戶都屬於這個類別。攻擊者複製一個公鑰，並透過量子電腦使用 Shor's algorithm 進行運算。該演算法由數學家 Peter Shor 於 1994 年提出，賦予量子機器分解大數並解決離散對數問題的能力，效率遠遠超越任何古典電腦。Bitcoin 的橢圓曲線簽章正是仰賴這些問題的困難度。只要有足夠的錯誤校正量子位元，量子電腦就能利用 Shor 的方法計算出與曝光公鑰對應的私鑰。正如 Andreessen Horowitz 研究合夥人、Georgetown University 副教授 Justin Thaler 對 Decrypt 所說，一旦私鑰被還原，攻擊者就能轉移幣。「量子電腦能做到的事——而這與 Bitcoin 相關的部分——就是偽造 Bitcoin 目前所使用的數位簽章，」Thaler 說。「擁有量子電腦的人可以授權一筆把你帳戶裡所有 Bitcoin 都轉走的交易，或不論你想怎麼形容它,在你並未授權的情況下發生。這就是擔憂所在。」偽造的簽章在 Bitcoin 網路看來會像是真的。節點會接受它,礦工會將它打包進區塊,而鏈上不會有任何標記指出該筆交易可疑。若攻擊者一次同時鎖定一大批曝光位址,數十億美元可能在幾分鐘內被轉移。市場會在任何人確認量子攻擊正在發生之前就先開始反應。 2026 年 3 月,Caltech 與 Google 發表的研究論文指出,未來的量子電腦可能以比先前預期更少的量子位元與運算步驟,破解橢圓曲線密碼學。這些論文在加密貨幣社群引發震驚,Bitcoin 安全研究者 Justin Drake 在推文中指出:「到 2032 年,量子電腦從曝光公鑰中還原一把 secp256k1 ECDSA 私鑰的機率至少有 10%。」今日對量子運算與密碼學而言,是劃時代的一天。兩篇突破性論文剛剛發表(連結在下一則推文)。兩篇論文都改進了 Shor's algorithm——這個以破解 RSA 與橢圓曲線密碼學而惡名昭彰的演算法。兩項成果相互疊加,優化了不同層級的…… — Justin Drake (@drakefjustin) March 31, 2026 量子運算在 2026 年的現況自 2025 年起,量子運算終於開始顯得不再那麼理論,而更具實用性。 - 2025 年 11 月:IBM 發表了新晶片與軟體,瞄準 2026 年達成量子優勢、2029 年實現容錯系統。 - 2025 年 1 月:Google 的 105 量子位元 Willow 晶片展現了大幅的錯誤率下降,以及超越古典超級電腦的基準測試表現。 - 2025 年 2 月:Microsoft 推出其 Majorana 1 平台,並與 Atom Computing 共同創下邏輯量子位元糾纏的新紀錄。 - 2025 年 4 月:NIST 將超導量子位元的相干時間延長至 0.6 毫秒。 - 2025 年 6 月:IBM 訂下到 2029 年達成 200 個邏輯量子位元、2030 年代初期超過 1,000 個的目標。 - 2025 年 9 月:Caltech 發表了一台中性原子量子電腦,以 99.98% 的準確率運作 6,100 個量子位元。 - 2025 年 10 月:IBM 糾纏了 120 個量子位元;Google 確認了經驗證的量子加速。 - 2026 年 3 月:Caltech 與 Google 的研究論文指出,量子電腦對 Bitcoin 密碼學構成的威脅可能比預期更早出現,Bitcoin 安全研究者預估到 2032 年量子電腦還原一把 Bitcoin 私鑰的機率為 10%。 - 2026 年 4 月:BIP-361 提案旨在透過凍結量子脆弱幣來應對量子攻擊風險,在 Bitcoin 社群中引發分歧。為何 Bitcoin 變得脆弱 Bitcoin 的簽章使用橢圓曲線密碼學。從某個位址花費時會揭露其背後的公鑰,而這種曝光是永久性的。在 Bitcoin 早期的 pay-to-public-key 格式中,許多位址甚至在首次花費之前就已在鏈上公開其公鑰。後來的 pay-to-public-key-hash 格式則將公鑰隱藏起來,直到首次使用為止。由於這些最早期的幣公鑰從未隱藏,包括大約 100 萬枚 Satoshi 時代的 Bitcoin 在內,都暴露在未來的量子攻擊風險之下。Thaler 表示,切換到後量子數位簽章需要主動參與。「為了讓 Satoshi 保護他們的幣,他們必須把這些幣轉移到新的後量子安全錢包中,」他說。「最大的疑慮是被遺棄的幣,大約價值 1,800 億美元,其中約 1,000 億美元據信是 Satoshi 的。這些都是龐大的數字,但它們是被遺棄的,而那才是真正的風險。」讓風險雪上加霜的還有與遺失私鑰綁定的幣。許多幣已超過十年未被動用,且在沒有那些私鑰的情況下,它們永遠無法被轉入抗量子錢包,因此成為未來量子電腦可行的攻擊目標。沒有任何人能直接在鏈上凍結 Bitcoin。針對未來量子威脅的實務防禦,聚焦於遷移脆弱資金、採用後量子位址,或管理現有風險。不過,Thaler 指出,後量子加密與數位簽章方案伴隨著高昂的效能代價,因為它們比今日輕量的 64 位元組簽章來得龐大且資源密集得多。「今日的數位簽章約為 64 位元組。後量子版本可能大上 10 到 100 倍,」他說。「在區塊鏈中,這樣的尺寸增加是更大的問題,因為每個節點都必須永久儲存這些簽章。要管理那項成本——也就是資料本身的大小——在這裡比在其他系統中困難得多。」保護的路徑開發者已提出多項 Bitcoin Improvement Proposals,為未來的量子攻擊做準備。它們採取不同的路線,從輕量的選用性保護,到全網的遷移皆有。 - BIP-360 (P2QRH):建立新的「bc1r…」位址,將今日的橢圓曲線簽章與 ML-DSA 或 SLH-DSA 等後量子方案結合。它在不需硬分叉的情況下提供混合式安全,但較大的簽章意味著更高的手續費。 - Quantum-Safe Taproot:在 Taproot 中加入一條隱藏的後量子分支。若量子攻擊變得實際可行,礦工可透過軟分叉要求啟用後量子分支,而在此之前使用者照常運作。 - Quantum-Resistant Address Migration Protocol (QRAMP):一項強制性的遷移計畫,將脆弱的 UTXO 移至量子安全位址,可能需透過硬分叉實現。 - Pay to Taproot Hash (P2TRH):將可見的 Taproot 金鑰以雙重雜湊版本取代,在不引入新密碼學或破壞相容性的前提下,縮小曝光窗口。 - 透過 STARKs 的 Non-Interactive Transaction Compression (NTC):使用零知識證明將龐大的後量子簽章壓縮成每個區塊一個證明,降低儲存與手續費成本。 - Commit-Reveal Schemes:仰賴在任何量子威脅出現之前就已發布的雜湊承諾。 - Helper UTXOs 會附帶小型後量子輸出以保護花費。 - 「Poison pill」交易讓使用者預先發布還原路徑。 - Fawkescoin 式的變體會保持休眠,直到真正的量子電腦被展示出來為止。 - BIP-361:這項「Post Quantum Migration and Legacy Signature Sunset」提案,將逐步淘汰網路現有的簽章方案,並以協定強制凍結量子脆弱的舊式幣。 - Canary Fund:由 BitMEX Research 作為 BIP-361 的替代方案所提出,將產生一個量子脆弱的「canary」位址並公開其公鑰;從該位址發出的有效花費將觸發軟分叉,禁止量子脆弱的花費行為。 - QSB:由 StarkWare 研究員 Avihu Mordechai Levy 提出的「Quantum-Safe Bitcoin」交易方案,會以基於雜湊的密碼學與 Lamport signatures(一種被認為能抵禦量子攻擊的早期簽章方案)取代橢圓曲線簽章。整體來看,這些提案勾勒出一條邁向量子安全的逐步路徑:現在採用如 P2TRH 這類快速、低衝擊的修補,並隨著風險升高採用如 BIP-360 或基於 STARK 的壓縮等更重量級的升級。它們全都需要大規模的協調,而許多後量子位址格式與簽章方案仍處於討論的早期階段。社群共識要在 Bitcoin 上落實量子抗性所面臨的一項關鍵議題,是讓社群圍繞單一解決方案達成共識。 Thaler 指出,Bitcoin 的去中心化——其最大的優勢——同時也使重大升級變得緩慢且艱難,因為任何新的簽章方案都需要在礦工、開發者與使用者之間獲得廣泛共識。「對 Bitcoin 而言有兩個主要問題格外突出。第一,升級需要很長的時間,如果真的會發生的話。第二,就是那些被遺棄的幣。任何遷移至後量子簽章的行動都必須主動進行,而那些舊錢包的所有者已不在了,」Thaler 說。「社群必須決定這些幣該怎麼處理:要嘛同意把它們從流通中移除,要嘛什麼都不做,任由配備量子設備的攻擊者拿走它們。後者在法律上會處於灰色地帶,而奪取這些幣的人很可能也不在乎。」在 BIP-361 提案之後,這項議題被推至檯面,因為它對量子脆弱幣施加的強制性凍結在 Bitcoin 社群中極具爭議。Bitcoin OG Adam Back 呼籲採取涉及選用性升級的替代方案,而 Cardano 創辦人 Charles Hoskinson 則主張,在該提案下仍將有約 170 萬枚 BTC 處於脆弱狀態。我需要做什麼? 大多數 Bitcoin 持有者目前不需要立刻採取任何行動。少數習慣可以大幅降低長期風險,包括避免重複使用位址,讓你的公鑰在花費之前保持隱藏,並使用現代的錢包格式。今日的量子電腦距離破解 Bitcoin 還很遠,而對於何時會做到的預測差異極大。有些研究者認為威脅會在未來五年內出現,另一些則將之推遲至 2030 年代,但持續的投資可能加快這個時間表。

資料狀態✓ 已擷取全文閱讀原文（Decrypt）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-27

MARA Holdings 成立新基金會，旨在應對 Bitcoin 量子威脅並強化網路韌性

相似度 380%標的 BTC關鍵字 quantum/threat/bitcoin

2026-04-25

Bitcoin 防止量子威脅的時鐘正在倒數，這可能導致包括 Satoshi 在內的 690 萬枚 BTC 被耗盡

相似度 380%標的 BTC關鍵字 quantum/threat/bitcoin

2026-04-24

隨著量子研究人員破解簡化金鑰，Bitcoin 的「Q-Day」日益臨近

相似度 380%標的 BTC關鍵字 quantum/day/bitcoin

2026-04-23

1450 億美元的算術：為何 Bitcoin 的量子威脅是可控的，而非生存危機

相似度 380%標的 BTC關鍵字 quantum/threat/bitcoin

2026-04-20

量子威脅即將衝擊 Bitcoin 與加密貨幣——XRP Ledger 正如何準備應對

相似度 380%標的 BTC關鍵字 quantum/threat/bitcoin

2026-04-17

當量子電腦來襲時：傳統財產法對您的 Bitcoin 會如何處置

相似度 380%標的 BTC關鍵字 quantum/what/bitcoin

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：9123d8c8f0

來源：Decrypt

發佈：2026-04-18 14:53:16

分類：一般 · 導出分類 neutral

標的：BTC

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言