量子電腦破解微型比特幣式金鑰，業界應停止假裝這只是科幻小說

一項影響深遠的小型演示

一台量子電腦已破解一個15位元的橢圓曲線加密金鑰，這是用於保護Bitcoin、Ethereum及大部分數位資產經濟的加密系統的簡化版本。

這一結果由量子安全公司Project Eleven宣布，該公司將其一枚Bitcoin的「Q-Day獎」頒發給獨立研究員Giancarlo Lelli。Lelli使用可公開存取的量子硬體，透過Shor演算法的一個變體，從對應的公鑰推導出私鑰。Shor演算法長期以來被視為公鑰加密技術最終面臨的威脅。

這一結果由量子安全公司Project Eleven宣布，來源：X

重要的注意事項同時也是顯而易見的：Bitcoin尚未被破解。15位元的橢圓曲線金鑰與Bitcoin的256位元secp256k1加密技術相去甚遠。兩者的規模差異是巨大的。一個15位元金鑰有32,768個可能的值。一個256位元金鑰大約有1.16 × 10^77個可能的值。這兩個數字若放在同一句話中，必須附上警示說明。

儘管如此，這一結果仍然重要，因為它公開展示了一種攻擊類型——在足夠大的規模下，這類攻擊將威脅橢圓曲線簽名。Project Eleven將其描述為迄今為止最大的公開量子攻擊橢圓曲線加密技術案例，並表示這比2025年早前的六位元演示提升了512倍。

「這類攻擊所需的資源持續下降，實際執行的門檻也隨之降低，」Project Eleven執行長Alex Pruden表示。「獲勝的提交成果來自一位使用雲端可存取硬體的獨立研究員。沒有國家實驗室，也沒有私有晶片。」

這一點值得認真對待。這項實驗並未讓Bitcoin資金面臨即時風險。但它確實表明，針對底層加密系列的量子攻擊已不再侷限於白板和會議討論，而是正在以縮小版的形式，在公開可用的系統上進行實際演示。

Bitcoin並未被破解，但某些幣種的曝險程度更高

Bitcoin所面臨的量子風險經常被誤解。主要的擔憂並不在於挖礦、工作量證明系統或歷史帳本，核心問題在於數位簽名。

Bitcoin的所有權透過簽名來證明。如果攻擊者能從公鑰推導出私鑰，他們便可以授權交易，就如同他們擁有這些幣一樣。傳統電腦在任何實際的時間範疇內都無法對抗Bitcoin當前的加密技術。而一台足夠強大的量子電腦執行Shor演算法，理論上可以做到這一點。

這一區別在Bitcoin的風險狀況中造成了重要的分化。存放在公鑰尚未曝光的地址中的幣更難被鎖定為攻擊目標。而存放在公鑰已在鏈上可見的地址中的幣，則面臨更高的未來量子攻擊風險。這包括舊的付款至公鑰輸出、重複使用的地址，以及其他揭露公鑰的錢包行為。

Coinbase量子諮詢委員會最近發表的一篇論文估計，約有690萬枚BTC屬於這一曝險程度較高的類別。以Bitcoin近77,500美元的交易價格計算，這意味著超過5,300億美元的BTC存放在可能在未來量子威脅模型中變得相關的地址中。

這個數字不應被解讀為「5,300億美元即將被盜」，而應被視為長期曝險集中所在的地圖。即時風險仍然較低，因為當今的量子電腦尚不足夠強大或可靠，無法破解Bitcoin的256位元橢圓曲線簽名。但曝險地址問題是真實存在的、可量化的，且並非均勻分佈於整個網路。

Brave New Coin此前在《Bitcoin面臨長期量子威脅，研究人員推動後量子升級》一文中探討了這一區別，指出風險較少在於Bitcoin是否能從技術上適應，更多在於去中心化網路是否能及時協調完成遷移。

Google的研究讓時間表變得更不從容

Project Eleven的結果在Google量子AI團隊發出更具重要性的警告之後出現。今年3月，Google研究人員發表了一篇關於保護橢圓曲線加密貨幣免受量子漏洞影響的論文，認為未來的量子電腦攻擊主要區塊鏈所使用的橢圓曲線加密技術，所需資源可能少於此前的估計。

該論文估計，在涉及超導架構、物理錯誤率和平面連接性的某些假設下，對secp256k1上的256位元橢圓曲線加密技術發動攻擊，所需的物理量子位元可能少於50萬個。這仍遠超今日公開量子硬體的能力。但這將討論從模糊的「某天」語言，轉向了具體的資源估計。

Google還表示，已使用零知識證明驗證了敏感結果，而未披露完整的攻擊電路。這一細節至關重要。它表明頂尖研究人員開始將加密貨幣量子風險視為安全披露問題，而非抽象的猜測。

更廣泛的網路安全界已經開始行動。美國國家標準與技術研究院於2024年完成了首批後量子加密標準，包括ML-KEM、ML-DSA和SLH-DSA。NIST表示，這些標準已準備好實施。各國政府和大型企業現正規劃遷移時間表，因為加密技術的轉換需要數年而非數月。

加密貨幣行業應予以重視。該行業擅長在新的代幣敘事出現時快速行動，但在涉及缺乏即時行銷回報的緩慢技術基礎設施升級時，則表現得不夠一致。

難點不在於數學

Bitcoin幾乎可以肯定能夠提升量子抗性。後量子簽名方案已經存在。研究人員正在研究引入量子抗性地址格式、新簽名操作碼和分階段遷移路徑的方法。

困難的問題在於治理。Bitcoin被刻意設計為難以更改。這種保守主義是其優勢之一。它防止了魯莽的實驗，並保護了貨幣系統的可信度。但這也意味著重大的加密升級需要較長的前置時間、廣泛的共識、充分的審查和謹慎的啟動。

這造成了一種錯位。量子硬體的進步可能是非線性的，而Bitcoin的治理是刻意放緩的。如果網路等到威脅清晰可見才行動，可能會發現可用的應對窗口已經縮小。

最棘手的問題可能涉及休眠或遺失的幣。如果某些幣仍存放在曝險的公鑰地址中且從未遷移，網路應該怎麼做？對其置之不理並接受未來量子攻擊者可能奪取它們的可能性？鼓勵自願遷移並接受殘餘風險？考慮對脆弱輸出實施協議層面的限制？每個選項都有其取捨，且沒有任何一個在政治上會是容易的。

這就是為什麼量子辯論不應被簡化為Bitcoin今天是否安全的二元爭論。它今天是安全的。但這與「做好準備」並不是同一回事。合理的立場是：Bitcoin擁有時間，但時間只有被善加利用才有價值。

Ethereum及其他鏈面臨類似問題

Bitcoin並不孤單。Ethereum同樣依賴橢圓曲線加密技術，而權益證明網路透過驗證者簽名引入了額外的曝險。Coinbase的論文指出，權益證明鏈存在與驗證者用於保護網路的簽名方案相關的特定風險。

Ethereum在某些方面可能擁有更容易的路徑，因為其治理文化更能接受協議變更。Ethereum基金會已將後量子安全性列為研究議程中的更高優先事項，這一轉變由Brave New Coin在《Ethereum全力押注後量子安全性》一文中有所報導。這並不意味著Ethereum能夠免疫，只是說明其升級周圍的社會過程有所不同。

Bitcoin的升級文化更為保守，且有其充分理由。但同樣的保守主義在保護Bitcoin免受不必要變更的同時，也可能使必要的變更速度放緩。這就是其中的取捨，應該坦率地討論，而不是隱藏在口號之下。

對於交易所、託管機構、錢包提供商、礦工、開發人員和長期持有者而言，實際議程正變得越來越清晰：識別曝險的公鑰持倉、減少地址重複使用、改善錢包管理習慣、測試後量子簽名方案、模擬更大簽名對交易大小、手續費和區塊空間的影響，並在緊迫性消除精心設計的餘地之前啟動治理對話。

這一切都不需要恐慌，但確實需要認真對待。

這個訊號越來越難以忽視

15位元量子演示並非對Bitcoin加密技術的直接威脅。任何以這種方式呈現它的人都是在誇大結果。但完全將其置之不理同樣是不嚴肅的態度。

安全風險通常在變得緊迫之前很久便已變得危險。早期跡象是技術性的、漸進式的，且容易被忽視。一個小型金鑰被破解，資源估計降低了，雲端可存取硬體有所改善，標準機構開始遷移工作，大型科技公司開始發布謹慎的警告。每項單獨的進展都可以被解釋為無關緊要，但合在一起，它們構成了一種趨勢。

Bitcoin的價值主張部分建立在它能夠存續數十年的理念之上。這意味著它必須認真對待十年尺度的風險。後量子規劃並非對Bitcoin的攻擊，而是保持Bitcoin可信度的一部分。

從Lelli的結果中得出的正確結論，不是Bitcoin已被破解，而是業界再次收到提醒：加密技術有其保存期限，且在截止日期可見之前進行遷移規劃會更為容易。