Lightning Lab CTO 发布 zk-STARK 量子救援工具

• Lightning Labs 首席技术官 Olaoluwa Osuntokun 发布了针对 Taproot 和旧版 P2PK 安全的 zk-STARK 原型。
• 谷歌 2026 年 3 月的研究显示，Taproot 和旧版 P2PK 地址格式中有 690 万个 BTC 暴露在风险中。
• zk-STARK 原型能够实现安全的钱包恢复，并可能加速比特币向抗量子安全的转型。

4 月 8 日，Lightning Labs 首席技术官 Olaoluwa Osuntokun 在比特币开发者邮件列表上发布了一个可运行的 zk-STARK 原型。该工具允许用户证明 BIP-86 Taproot 钱包的所有权，并在紧急量子防御软分叉关闭易受攻击的密钥路径支出时，无需私钥即可使用资金。 

截至上周，谷歌研究人员透露，量子计算机可以在短短九分钟内破解比特币的核心加密技术，使用的物理量子比特远少于此前的估计。该原型为诚实的钱包所有者在未来任何网络升级期间提供了首个实用的救援机制。

比特币开发者发布可运行的 zk-STARK 原型

2026 年 4 月 8 日，Lightning Labs 首席技术官 Olaoluwa "Roasbeef" Osuntokun 在比特币开发邮件列表上发布了功能原型"通过 zk-STARK 证明 BIP-32 种子知识的后量子 BIP-86 恢复"。该系统生成一个 zk-STARK 证明，数学上证明特定的 Taproot 公钥是通过标准 BIP-32/BIP-86 路径从用户的主种子派生而来，而无需透露种子或任何私钥。

未优化的证明目前在配备 GPU 加速的 MacBook 上需要约 50 秒，消耗大约 12 GB 的内存，并生成 1.7 MB 的证明。Osuntokun 指出，优化后的生产版本将显著加快速度，并具有更小的、可聚合的证明，适合链上验证。

研究显示 690 万个 BTC 易受量子攻击

谷歌 2026 年 3 月的量子 AI 研究显示，使用少于 50 万个物理量子比特，破解 secp256k1 椭圆曲线加密可能只需九分钟。Taproot 和旧版 P2PK 输出中约有 690 万个 BTC 在链上永久暴露公钥，使它们面临风险。

Taproot 于 2021 年 11 月激活，改善了隐私和效率，但无意中增加了量子暴露。通过默认揭示公钥，它移除了旧有的"哈希优先"保护。量子攻击者现在可以直接从可见的公钥派生私钥，将理论上的漏洞变成了涉及数十亿美元 BTC 的实际威胁。

因此，禁用密钥路径支出的紧急软分叉将立即阻止量子盗窃，但也会使大多数现代单签名 Taproot 钱包无法使用，因为它们缺乏预配置的脚本路径后备方案。Osuntokun 的 zk-STARK 原型正好解决了这个问题，将理论漏洞转化为实际的、可恢复的场景。

比特币量子安全的下一步是什么？

可运行原型的发布将多年的理论讨论转化为可操作的代码，在任何紧急措施激活之前为开发者和节点运营商提供了实用工具。分析师预测，如果不加速升级，到 2029-2032 年，这些资金的很大一部分可能面临更高的风险。下一步可能包括：

• 在 bitcoin-dev 邮件列表上进行彻底的同行评审
• 可能的正式 BIP 提案
• 钱包集成和优化工作
• 测试证明聚合以提高链上效率

对于比特币持有者来说，这是一个安静但强大的进展，因为网络最关键的长期威胁现在有了一个可运行的缓解方案，不需要用户提前转移资金。在网络禁用 Schnorr 密钥路径签名以防止量子盗窃的后量子紧急情况下，这个证明将成为新的链上授权方法。

相关：Bitcoin Cash 2026 预测：5 月升级带来量子安全和智能合约