2026年3月,Google 量子人工智慧團隊攜手史丹佛大學及以太坊基金會,發表了一份長達 57 頁的白皮書,系統性分析量子運算對加密貨幣安全性的威脅。其核心結論為:破解比特幣與以太坊所依賴的 256 位元橢圓曲線密碼學(ECC-256),所需的量子運算資源比先前最佳估算減少約 20 倍。具體來說,在超導量子電腦架構下,僅需不到 50 萬個實體量子位元即可完成攻擊,運算時間壓縮至約 9 分鐘。
這項發現的意義並非在於量子電腦已經能夠攻破比特幣——現有硬體距離標準仍遠——而在於它將「Q-Day」(量子電腦能破解現行密碼學的時刻)的時間表,從一個遙不可及的理論問題,壓縮為可計算的工程時程。Google 內部已將系統遷移至後量子密碼學(PQC)的截止日期訂於 2029 年。以太坊基金會研究員、論文共同作者 Justin Drake 估計,到 2032 年,量子電腦從已暴露公鑰中還原 secp256k1 私鑰的機率至少有 10%。
Shor 演算法如何從公開公鑰推導出私鑰
比特幣的安全性建立於橢圓曲線數位簽章演算法(ECDSA)之上,採用 secp256k1 曲線。其核心假設為:在傳統運算條件下,僅憑公開的公鑰,無法在可行時間內推導出對應的私鑰。這一假設構成整個區塊鏈系統的基礎安全前提。
Shor 演算法指出,在量子運算模型下,橢圓曲線離散對數問題可被高效求解。Google 此次工作的核心貢獻,在於直接編譯出針對 secp256k1 的 Shor 演算法量子電路,並給出具體的資源估算。論文提供了兩種方案:一種將邏輯量子位元控制在 1,200 個以下、Toffoli 門數量控制在 9,000 萬個以下;另一種將邏輯量子位元提升至 1,450 個,但將 Toffoli 門數量降至 7,000 萬個。在超導量子電腦上,這相當於少於 50 萬個實體量子位元。
更具象徵意義的是,Google 並未公開完整的攻擊電路,而是以零知識證明驗證電路的存在性與正確性。這種做法借鑑傳統資訊安全領域的「負責任揭露」原則,顯示量子密碼分析已進入需預先防範、而非事後補救的新階段。
兩類攻擊場景:即時攔截與離線收割
白皮書描述了兩種量子攻擊場景,其風險性質截然不同。
第一類為「即時攻擊」,針對記憶池中正在廣播的交易。當用戶發起比特幣交易時,公鑰會在網路中短暫暴露約 10 分鐘——這正是比特幣平均出塊的時間窗口。一台足夠快的量子電腦可於約 9 分鐘內自公鑰反推出私鑰,搶在交易確認前發起競爭交易竊取資金。論文估算,單台預先計算狀態下的量子機器於此窗口內成功攔截交易的機率約為 41%。
第二類為「靜態攻擊」,針對公鑰已永久暴露於鏈上的休眠錢包。此類攻擊無時間限制,量子電腦可依自身節奏破解。論文估算,約有 690 萬枚比特幣(佔總供應量約 33%)的公鑰已處於暴露狀態,其中包含約 170 萬枚中本聰時代的早期幣,以及大量因地址重複使用而暴露的資金。
白皮書中一項值得注意的發現是,比特幣於 2021 年的 Taproot 升級,雖在傳統安全性與隱私性上有所提升,卻預設將公鑰暴露於鏈上,實際上擴大了量子攻擊面。Taproot 移除了舊地址格式(P2PKH)中「先雜湊再暴露」的保護層。
應對量子威脅的技術代價與治理困境
因應量子威脅的路徑已相當明確,但其代價同樣顯而易見。美國國家標準與技術研究院(NIST)已於 2024 年 8 月完成首批後量子密碼學標準的標準化,包括 FIPS 203、204 與 205。在技術層面,可行的替代方案包括基於格的後量子簽章(如 ML-DSA,即原 CRYSTALS-Dilithium)、基於雜湊的簽章(如 SLH-DSA,即原 SPHINCS+)等。
然而,比特幣的去中心化治理模式,使其密碼學遷移格外複雜。導入後量子簽章方案需透過軟分岔或硬分岔實現,這需要社群共識、開發者協調、錢包服務商與交易所同步升級。比特幣社群已提出 BIP-360 提案,旨在引入抗量子簽章選項,但該提案仍處於討論階段。比特幣核心開發者 Adam Back 等人認為,量子威脅仍在「數十年之後」,過早進行大規模升級可能引入尚未充分驗證的加密漏洞。
這種爭議背後的真正問題是:量子威脅的不確定性,使「何時啟動遷移」本身成為一場博弈。過早升級可能浪費開發資源,過晚則可能面臨不可逆的資產損失。
量子威脅如何改變加密資產的安全估值邏輯
量子運算威脅重新定義了加密資產的「安全邊際」。傳統的安全假設——公鑰無法於可行時間內逆推出私鑰——正被重新校準。690 萬枚比特幣(以現市值超過 4500 億美元)公鑰已完全暴露,這些資產的安全僅依賴於量子電腦尚未成熟這一暫時性事實。
市場正以多種方式對此風險做出反應。Taproot 地址的使用率已從 2024 年的 42% 下降至約 20%,顯示部分用戶主動迴避暴露公鑰的地址格式。CoinShares 投資策略師 Matthew Kimmell 指出,該研究的作用在於「縮短產業推進研究並制定行動計畫所需的窗口期」。
從更宏觀的角度來看,加密產業比傳統金融體系更易受到量子威脅,原因在於區塊鏈帳本的公開性與不可逆性。傳統金融機構可透過批次更新憑證與密鑰來抵禦量子攻擊,但鏈上資產的公鑰一旦暴露便永久存在,無法「撤回」。這種結構性差異意味著,加密產業需要建立的不僅僅是「採用後量子演算法」的能力,更是「因應密碼學持續演進」的制度框架。
從資源估算到實際攻擊還有多遠
白皮書雖大幅下調資源估算,但並不表示現實攻擊能力已近在眼前。目前最先進的量子系統——包括 Google 的 Willow 晶片——僅約 100 個實體量子位元,且尚未實現容錯運作。從現有硬體到 50 萬個穩定、具糾錯能力的實體量子位元,仍有大量工程挑戰待克服。
部分專家認為現階段的擔憂為時尚早。Blockstream 的 Adam Back 指出,比特幣網路底層並不依賴傳統加密技術,量子威脅的影響不在於攔截網路交易,而在於破解特定用戶的私鑰。此外,工作量證明機制中使用的 SHA-256 雜湊函數對量子攻擊相對更具韌性,Grover 演算法僅能將雜湊破解效率提升至平方根級,遠不及 Shor 演算法對公鑰密碼學的「指數級」威脅。
但這並不意味著產業可以被動等待。資安領域的「先收集、後解密」策略,意味著攻擊者可能正在現階段收集區塊鏈資料,等待未來量子電腦成熟後再行破解。這種時間上的不對稱,要求產業必須在量子電腦尚未問世前就完成防禦部署。
從 Google 2029 時程到國際監管路線圖
Google 訂下 2029 年完成內部系統向 PQC 遷移的目標,這一時程並非孤立事件。美國國家安全局的 CNSA 2.0 架構要求所有新建國家安全系統於 2027 年 1 月前採用量子安全演算法,全面應用遷移需於 2030 年前完成,基礎設施完整遷移則需於 2035 年前達成。NIST 標準與 NSA 監管時程的雙重壓力,正推動企業與機構將 PQC 遷移從研究議題轉化為合規要求。
這一背景對加密產業帶來更直接的挑戰。比特幣與以太坊等去中心化網路的升級週期往往需時數年。以太坊基金會已投入多年研究後量子路線圖,並於測試網中運行後量子簽章方案。相較之下,比特幣尚未形成明確的後量子路線圖與協調的資金機制,去中心化治理賦予其合法性的同時,也使協議層面的密碼學遷移格外緩慢。
總結
Google 量子 AI 團隊的白皮書並未宣告比特幣的終結,而是將量子威脅從模糊的遠期假設,轉化為一組可量化的工程參數。破解所需的 50 萬實體量子位元、約 9 分鐘的攻擊窗口、690 萬枚已暴露公鑰的比特幣——這些數字共同界定了一個真實存在且逐漸收窄的安全窗口。
產業所面臨的挑戰不僅在於技術層面——NIST 已解決演算法問題,真正困難在於治理層面的協調。在去中心化網路中,共識的建立需要時間,而量子電腦的進展不會等待共識的形成。未來五到七年,加密產業需在兩種風險間權衡:過早升級可能引入尚未充分驗證的加密方案,過晚升級則可能面臨不可逆的資產損失。無論最終路徑為何,量子運算已從理論概念,轉變為必須納入加密資產安全框架的現實變數。
FAQ
Q:量子電腦現在就能破解比特幣嗎?
A:不能。目前最先進的量子系統僅約 100 個實體量子位元,而破解比特幣 ECC-256 需約 50 萬個具糾錯能力的實體量子位元,仍有數百倍的差距。
Q:9 分鐘破解意味著什麼?
A:這是白皮書中描述的「即時攻擊」場景——在量子電腦處於預先計算狀態下,從公鑰出現到完成破解約需 9 分鐘,略短於比特幣平均 10 分鐘的出塊時間,理論上存在約 41% 的攔截成功率。
Q:哪些比特幣最危險?
A:公鑰已永久暴露於鏈上的地址風險最高,包括早期 P2PK 格式地址(約 170 萬枚)、因地址重複使用而暴露的地址,以及 Taproot 地址。論文估算約 690 萬枚比特幣處於此類暴露狀態。
Q:比特幣可以升級來防禦量子攻擊嗎?
A:可以。NIST 已完成後量子密碼學標準(如 ML-DSA 與 SLH-DSA),比特幣可透過 BIP-360 等提案引入抗量子簽章選項。問題在於升級需社群共識,過程可能歷時數年。
Q:用戶現在應該怎麼做?
A:避免重複使用地址,每筆交易使用新地址;將大額資產存放於冷錢包;關注社群關於抗量子升級的進展,主動將資產遷移至更安全的地址格式。
