真的不能太樂觀？同一天兩篇論文，量子計算破解比特幣的門檻驟降兩個數量級

3 月 31 日下午，比特币逆轉早晨的上漲行情，加速跌破 6.7 萬美元關口，市場恐懼與貪婪指數滑入 28。社交媒體上，一張被反复轉發的圖片顯示：量子計算機破解比特幣私鑰所需的物理量子比特，從百萬級跳水到了萬級。谷歌 Quantum AI 的研究員警告，量子攻擊可以在 9 分鐘內劫持一筆正在廣播的比特幣交易，約 41% 的機率抢在確認之前完成。約 690 萬枚已暴露公鑰的比特幣，此刻正靜靜躺在鏈上，等著算力追上理論。

觸發這場恐慌的，是前一天幾乎同時發表的兩篇論文。其中一篇來自谷歌 Quantum AI 團隊，另一篇來自中性原子量子計算公司 Oratomic。單獨看，每篇都是各自領域的重要進展。放在一起看，它們砍的是量子計算棧的不同層，效果直接相乘。

以太坊核心研究員 Justin Drake 在推文中稱這是「量子計算和密碼學具有里程碑意義的一天」。他參與了谷歌團隊的論文，該論文改進了 Shor 算法，密碼學界最著名的量子攻擊算法，專門用於破解 RSA 和橢圓曲線加密。比特幣和以太坊使用的 secp256k1 簽名算法，正屬於橢圓曲線加密的範疇。

為什麼兩篇論文放在一起才真正嚇人？因為破解一個橢圓曲線簽名所需的總物理量子比特 = 邏輯量子比特數（算法層面需要多少「乾淨」的計算單元）× 每個邏輯比特所需的物理比特數（紅錯誤層面需要多少「冗余」硬體來維持一個乾淨單元）。谷歌的論文壓縮了前者，Oratomic 的論文壓縮了後者。分子和分母同時縮小，乘積跳水。

據 EUROCRYPT 2026 收錄的論文，破解 256 位橢圓曲線所需的邏輯量子比特從 2017 年的 2,330 個（據 Roetteler 等人基準論文）降到 2020 年的 2,124 個（據 Haner 等人改進），再到 2026 年 3 月的 1,098 個。九年間，算法層面的需求縮減了超過一半。谷歌團隊的論文更進一步，針對比特幣和以太坊使用的 secp256k1 曲線做了專門優化，將所需邏輯比特壓到約 1,000 個，電路深度僅約 1 億個 Toffoli 門（據 CryptoBriefing 引用 Justin Drake 描述），在超導平台上意味著約 1,000 秒的 Shor 算法運行時間。

與此同時，根據推文引用的 Oratomic 論文數據，中性原子方案將每個邏輯位元所需的物理位元從傳統表面碼的約 400 個壓縮到約 10 個。這個突破的原理與 Google 完全不同。Google 優化的是演算法本身的效率，Oratomic 優化的是底層硬體的約錯開銷。兩項改進可以疊加。

兩個數字相乘：2017 年的估計是約 700 萬個物理量子位元，2026 年 3 月的中性原子路線估計是約 1 萬個。總需求從百萬級跌入萬級，降幅超過兩個數量級。

這個乘法效果催生了兩條截然不同的攻擊路線。

根據推文整理的論文推算，超導路線（Google 研究方向）需要約 50 萬個物理量子位元，運行約 9 分鐘即可破解一個私鑰，快到足以劫持實時交易。中性原子路線（Oratomic 研究方向）只需約 1 萬個物理量子位元，但運行時間拉長到約 10 天。這不是問題，因為它的攻擊目標是公鑰已暴露的休眠錢包，不趕時間。

差距怎麼理解？Google 目前最強的 Willow 處理器有 105 個超導量子位元（根據 Google Quantum AI 規格書），距離 50 萬的閾值還差約 4,762 倍。但中性原子領域的容錯計算系統已達約 500 個量子位元，距離 1 萬的閾值只差約 20 倍。如果看物理陣列規模而非容錯能力，實驗室已捕獲超過 6,100 個原子，差距進一步縮窄到不足 2 倍。

20 倍和 4,762 倍，是兩個完全不同量級的距離。中性原子路線比多數人想像中更近。

而比特幣這邊的處境，遠沒有準備好迎接這個變化。

根據 Ark Invest 和 Unchained 聯合報告，約 700 萬枚比特幣（約佔總供應量 33%）暴露在量子風險下，價值約 4,400 至 4,800 億美元。這些脆弱地址分三類。約 170 萬枚位於早期 P2PK 地址，公鑰直接暴露在鏈上，且大部分已丟失，無人能操作遷移。約 110 萬枚歸屬中本聰，分布在約 2.2 萬個地址中，持有者身份未知。剩餘約 420 萬枚在地址復用或 P2TR 地址中，公鑰同樣已暴露，但持有者理論上可以主動遷移到安全地址。

换句話說，約 280 萬枚比特幣（佔脆弱總量的 40%）無論如何都救不了。它們的私鑰要麼丟了，要麼持有者永遠不會出現。這不是一個技術能解決的問題，而是一個治理問題，社區是否要凍結這些註定暴露的地址。據 CoinDesk 2 月報導，圍繞是否凍結中本聰的 110 萬枚持幣，比特幣社區已經產生了激烈爭論，目前沒有達成任何共識。

即使是理論上可遷移的 420 萬枚，遷移也不是自動發生的。持有者需要主動將資產從舊地址轉移到使用新簽名方案的地址，而歷史經驗表明，大量持有者不會在截止日前採取行動。

面對同一個威脅，三條主流公鏈的應對策略嚴重分化。

據以太坊基金會 2026 年 3 月 25 日上線的 pq.ethereum.org，以太坊已準備了 8 年，擁有完整的多階段路線圖：用 leanXMSS 哈希簽名替換當前的 BLS 簽名方案，目標 2029 年完成 L1 協議升級。超過 10 個客戶端團隊每周運行後量子 devnet 互操作性測試，用戶可通過帳戶抽象漸進遷移，不需要硬分叉。谷歌自己也設定了 2029 年完成內部後量子遷移的截止日（據 Google Security Blog），以太坊的時間表與之吻合。

Solana 有一個實驗性的方案。2025 年 12 月由 Zeus Network 首席科學家 Dean Little 在 GitHub 提出的 Winternitz Vault，使用哈希簽名的一次性保險庫機制。但這是可選方案，用戶需要主動 opt-in，且沒有官方時間表。

比特幣的情況最為嚴峻。沒有協調方案，沒有基金會級別的專項資金，沒有時間表。比特幣的治理模型要求去中心化社區達成廣泛共識才能推動協議變更，而這個社區歷史上以緩慢著稱。據全球風險研究所 2026 年量子威脅時間線報告，密碼學相關的量子計算機在 10 年內「相當可能」出現，在 15 年內「很可能」出現。以太坊的 2029 目標如果按計劃推進，將在窗口關閉前完成遷移。比特幣目前連討論都還在早期階段。

兩篇論文同天發表，讓一個長期被視為「遙遠威脅」的問題突然有了具體的數字：1 萬個物理量子比特，10 天，一個休眠錢包的私鑰。

但需要強調的是，這仍然是一個理論門檻的大幅降低，而非一次迫在眉睫的攻擊。當前最先進的中性原子系統離 1 萬個容錯量子比特仍有約 20 倍差距，超導路線的差距更在數千倍量級。10 到 15 年的時間窗口仍然存在，比特幣社區並非毫無機會。比特幣過去經歷過區塊大小之爭、SegWit 激活等高度對立的治理考驗，最終都在壓力下走向了共識。量子威脅的性質不同於路線之爭，它不涉及利益分歧，而是整個網絡面臨的共同風險。這反而可能成為推動比特幣社區加速行動的外部力量。

真正的問題不是量子計算能不能破解比特幣，而是比特幣社區能否在窗口關閉之前完成準備。