Ark Invest报告:三分之一以上比特币（BTC）供应存量子威胁风险

量子计算对比特币的威胁，这个话题已经讨论了好些年，但最近Ark Invest和Unchained联合发布的一份白皮书，给了一个非常具体的数字——大约三分之一的比特币供应，至今仍然暴露在未来的量子威胁之下。当然，这个风险并非迫在眉睫，需要好几年的时间才会真正变成一个现实问题。

报告的核心判断是，目前比特币网络中约65.4%的供应，已经安全地避开了量子计算突破可能带来的冲击。这为开发者们争取到了宝贵的缓冲时间，可以集中精力研究如何对剩下的那部分比特币进行量子防护。那么，具体是哪部分面临风险？

大约是34.6%的BTC供应，合计约500万枚BTC。报告将这些资产分成了几类：约500万枚（占总量25%）是因为地址重复使用而存在可迁移风险；还有170万枚（占8.6%）是遗留在P2PK（支付至公钥）地址中的，这是比特币最早的交易脚本形式，资金直接锁定在公钥上；另外还有20万枚（约占1%），来自P2TR（支付至Taproot）地址，同样被认为存在可迁移风险。如果未来量子计算机真的攻克了比特币的椭圆曲线加密算法（ECC），那么这些资产就将面临被直接窃取的风险。报告指出，要完成这个级别的破解，需要大约2,330个逻辑量子比特以及数千万到数十亿个量子门操作。即便如此，报告也直言，真正要投入实用，量子系统还得达到一个需要很长时间才能实现的性能水平。

这个估算范围，比今年2月CoinShares的分析要广得多。CoinShares当时认为，真正具有市场相关性的脆弱比特币大约只有10,200个，仅占供应量的0.05%。当然，他们也承认，传统P2PK地址面临的理论风险其实要大得多。顺带一提，总部位于芝加哥的PsiQuantum公司，已经计划在2027年建成首个量子计算机设施，目标是拥有100万个物理量子比特，并且已经从与贝莱德相关的基金那里筹集了10亿美元。量子竞争的紧迫感，确实在一步步逼近。

来源：Ark Invest，大卫·普埃尔

量子突破仍是比特币的“长期风险”

Ark的白皮书明确了一个关键点：量子风险不会突然爆发，而是一个逐步演变的过程。期间会出现诸多中间预警信号，而不是一个单一的故障点瞬间击穿整个系统。从这个角度看，量子突破目前仍属于比特币网络的“长期风险”，而不是迫在眉睫的威胁。这给了社区足够的时间去研究并制定应对量子能力长期发展的网络保护方案。

报告将量子计算的发展划分为五个阶段。只有到了最后一个阶段，纠错码（ECC）的破解速度才能超过比特币每10分钟出块的速率。对于存储在量子易受攻击地址中的比特币，真正面临风险要在第三阶段之后——届时量子计算机才有能力破解256位椭圆曲线加密密钥。报告给出的时间点是，第一个公钥可能在2030年代中期被破解，这个判断是基于谷歌、IBM和微软等多家公司的共识目标。

量子计算的发展阶段。来源：Ark Invest

尽管存在治理挑战，比特币仍须采用抗量子地址格式

论文的判断很直接：量子计算机迟早会进入第4阶段，并对比特币网络构成实实在在的威胁。这意味着，比特币必须马不停蹄地研究和采用抗量子攻击的地址格式。具体路径上，需要在比特币中集成后量子密码学（PQC），比如基于格的ML-DSA签名方案，以及基于哈希的SLH-DSA签名。

“这些标准让我们对后量子密码学的能力充满信心，”Ark Invest在报告中写道。但同时，他们也不得不承认，比特币采用去中心化治理结构，要在共识层面升级到后量子密码学，难度会大得多——这需要网络中的大多数参与者同意进行一次软分叉。这本身就是一项巨大的治理挑战。

所以，最终的方案很可能是一个逐步引入的过程。目前讨论较多的一种草案路径是BIP-360，它提出了一种“支付至默克尔根”的输出类型，通过消除Taproot密钥路径漏洞来降低长期暴露的量子风险。不过，BTQ Technologies的总裁兼量子创新负责人克里斯·谭明确指出，BIP-360并非最终的解决方案。该提案虽然引入了新的地址格式，但关键的是并没有纳入后量子数字签名——而这恰恰是任何真正有意义的长期量子攻击防御所必不可少的一环。