比特币的量子挑战：Saylor的乐观态度遇上170万暴露币的问题

迈克尔·塞勒在12月16日描绘了一幅乐观的画面，将量子计算视为比特币的净正面影响。他的论点很简单：网络将升级，活跃持有者迁移到安全地点，休眠币保持锁定状态，比特币变得更加强大。这一逻辑听起来令人信服，直到你仔细审视今天链上实际的情况。

时机窗口是真实的，但执行混乱

塞勒的方向性论点建立在坚实的技术基础上。比特币的密码学漏洞主要集中在数字签名——特别是基于secp256k1的ECDSA和Schnorr算法——而非工作量证明。一个足够先进的量子计算机运行Shor算法，理论上可以在达到2000到4000个逻辑量子比特后，从公钥中提取私钥。目前的量子设备远未达到这一阈值，这意味着现实中的威胁窗口至少还要十年。

国家标准与技术研究院（NIST）已经发布了防御工具包。像ML-DSA (Dilithium)和SLH-DSA (SPHINCS+)这样的标准，现已成为官方FIPS标准，能够抵抗量子攻击。比特币开发者也在探索后量子签名聚合和混合验证方案。密码学本身是可以解决的。

被忽略的是成本问题。后量子签名更大，验证起来也更耗算力。合理的估计显示，区块容量可能会缩减大约一半。节点运营者面临更高的成本。交易手续费也会增加，因为每个签名占用的区块空间更多。A16z最近的分析指出了一个更根本的问题：比特币没有中央权威来强制升级。后量子分叉需要开发者、矿工、交易所和大持有者的压倒性共识——在一个具有密码学相关的量子计算机出现之前协调一致。

170万比特币已面临量子威胁

这里塞勒的说法与链上实际情况出现了明显偏差。他声称“丢失的币保持冻结”，但这假设了一个干净的分类，而实际上比特币输出的工作方式并非如此。

早期的pay-to-public-key (P2PK)输出直接暴露了原始公钥——在链上永久可见，且可以被量子攻击者窃取。标准的P2PKH和SegWit P2WPKH地址在花费前会将公钥隐藏在密码哈希之后；一旦转移，公钥就会变得可见。Taproot P2TR输出在创建时就将公钥编码在输出中，即使在任何交易发生之前，这些UTXO也已暴露。

德勤的分析和随后的链上研究估算，大约25%的比特币——大约170万BTC，来自早期中本聪时代的P2PK输出，以及数十万的Taproot输出——已经公开暴露了公钥。这些币并非安全地休眠。它们正是如果出现量子攻击者，最有风险的币。

从未暴露公钥的币 (单次使用地址带哈希密钥)，受Grover算法的威胁较弱。Grover算法对哈希地址只提供平方根级别的加速，这一劣势可以通过参数调整抵消。但暴露的部分——旧的P2PK余额、现代Taproot UTXO中的可见公钥，以及从未移动过的休眠钱包——构成了真正的攻击面，不会简单地“保持冻结”。

供应动态是政治问题，而非自动

塞勒声称后量子迁移将缩减流通供应并增强安全性。升级签名的机制是真实存在的，但供应的变化完全取决于治理选择和采用率，而非物理定律。

可能出现三种竞争场景。第一，未升级的脆弱输出中的休眠币可能被视为丢失，甚至被列入黑名单——这是一个有争议的政治决定，可能会缩减供应。第二，量子攻击者可能在迁移完成前就耗尽暴露的钱包，将这些供应转变为攻击者持有的币，从而引发恐慌。第三，单纯对即将到来的量子能力的感知可能引发抛售、链分裂，或在任何量子计算机出现之前引发一连串的遗留钱包被清空。

这些场景都不能保证供应的纯粹减少或自动看涨。工作量证明仍相对稳健，因为Grover算法只提供二次方的加速，但内存池带来了更微妙的风险。一个花费哈希密钥地址的交易在等待确认时会暴露公钥。量子攻击者可以监视内存池，迅速恢复私钥，并用更高的手续费竞逐交易——一种“签名并窃取”的攻击，在广播窗口内提取价值。

数学告诉我们比特币可以加强，但协调比密码学更重要

物理学和密码学标准都一致：量子并不会一夜之间自动破解比特币。存在一个窗口——大约十年或更长时间——可以进行有计划的后量子迁移。比特币可以采用抗量子签名方案，升级脆弱的输出，并以更强的密码学保证出现。

但塞勒的信心依赖于一个并非理所当然的假设：开发者、矿工、大持有者和托管方能成功协调、按时迁移，并在不引发恐慌、盗窃或有争议的分叉的情况下完成升级。已经暴露在量子威胁下的170万比特币提醒我们，网络并非像一个统一的实体那样行动。一些持有者会提前迁移，另一些会延迟或忽视威胁。还有一部分在任何升级发生之前就会失去私钥访问权限。

比特币的后量子未来是可以实现的，并非密码学的必然。它是一个治理上的挑战，包裹在物理学中。塞勒在方向上是正确的——网络可以变得更强固——但他低估了这种强化的成本、政治复杂性以及其依赖性。

从变得更强到引发危机的差异，更多取决于量子计算机何时到来，以及比特币的去中心化生态系统是否能足够快地行动、广泛协调、并有意地管理过渡，而非单纯依赖密码学本身。这个赌注在于人类的协调能力，而非密码学。