BIP-360解读：比特币抗量子威胁的首次尝试

引言：比特币的抗量子挑战

比特币的设计哲学使其能够抵御严峻的经济、政治和技术挑战。截至2026年3月10日，其开发者团队正着手应对一项新兴的技术威胁：量子计算。

核心要点：BIP-360的关键改进

• BIP-360首次将抗量子性正式纳入比特币的发展路线图，标志着一次审慎的、渐进式的技术演进，而非一次剧烈的密码学体系变革。
• 量子风险主要威胁到已暴露的公钥，而非比特币采用的SHA-256哈希算法。因此，减少公钥暴露成为开发者着力解决的核心安全问题。
• BIP-360引入了支付到默克尔根（P2MR）的脚本，通过移除Taproot升级中的密钥路径花费选项，强制所有UTXO的花费都必须经由脚本路径，从而最大限度地降低椭圆曲线公钥的暴露风险。
• P2MR保留了智能合约的灵活性，依然通过Tapscript默克尔树支持多签、时间锁和复杂的托管结构。

量子计算对比特币的潜在威胁

比特币的安全性建立在密码学基础之上，主要包括椭圆曲线数字签名算法（ECDSA）以及通过Taproot升级引入的Schnorr签名。传统计算机无法在可行时间内从公钥逆向推导出私钥。然而一台具备足够能力的量子计算机若运行肖尔算法，则有可能破解椭圆曲线离散对数问题，进而危及私钥安全。

• 量子攻击主要威胁公钥密码体系，而非哈希函数。比特币采用的SHA-256算法在量子计算面前相对稳健。格罗弗算法仅能提供二次方的加速效果，而非指数级加速。
• 真正的风险在于公钥在区块链上被公开的时刻。

2026年比特币的潜在脆弱点

比特币网络中的各类地址类型，面临的未来量子威胁程度不尽相同：

• 重复使用的地址：当资金从该地址被花费时，其公钥便在链上公开，一旦未来出现密码学相关量子计算机（CRQC），该公钥将面临风险。
• 遗留的支付到公钥（P2PK）输出：早期的比特币交易直接将公钥写入交易输出中。
• Taproot密钥路径花费：Taproot升级（2021年）提供了两种花费路径：一种是简洁的密钥路径（花费时会暴露一个经过调整的公钥），另一种是脚本路径（通过默克尔证明暴露具体脚本）。其中，密钥路径是量子攻击下最主要理论薄弱点。

BIP-360的核心内容：引入P2MR

BIP-360提案新增了一种名为支付到默克尔根（P2MR）的输出类型。该类型在结构上借鉴了Taproot，但做出了一项关键性改动：彻底移除了密钥路径花费选项。

与Taproot承诺一个内部公钥不同，P2MR仅承诺脚本树的默克尔根。花费P2MR输出的流程为：

揭示脚本树中的一个叶子脚本。

提供一个默克尔证明，以证实该叶子脚本隶属于被承诺的默克尔根。

整个过程中，不存在任何基于公钥的花费路径。

• 避免因直接进行签名验证而暴露公钥。
• 所有花费路径均依赖于抗量子性更强的基于哈希的承诺。
• 长期存在于链上的椭圆曲线公钥数量将显著减少。
• 相较于依赖椭圆曲线假设的方案，基于哈希的方法在抵御量子攻击方面具有显著优势，从而大幅缩减了潜在的攻击面。

BIP-360所保留的功能

一个常见的误解是，放弃密钥路径花费会削弱比特币的智能合约或脚本功能。事实上，P2MR完全支持以下功能：

• 多签配置
• 时间锁
• 条件支付
• 资产继承方案
• 高级托管安排

BIP-360通过Tapscript默克尔树来实现上述所有功能。该方案在保留完整脚本能力的同时，舍弃了便捷但存在潜在风险的直接签名路径。

BIP-360的实践影响

BIP-360虽看似一项纯技术改进，但其影响将广泛触及钱包、交易所和托管服务等层面。若提案被采纳，它将逐步重塑新的比特币输出的创建、花费和保管方式，尤其对重视长期抗量子性的用户产生深远影响。

• 钱包支持：钱包应用可能会提供可选的P2MR地址（可能以「bc1z」开头），作为「量子加固」选项，供用户接收新币或存储长期持有资产。
• 交易费用：由于采用脚本路径会引入更多见证数据，P2MR交易相较于Taproot密钥路径花费会略大，可能导致交易费用稍有增加。这体现了在安全性与交易紧凑性之间做出的权衡。
• 生态协同：全面部署P2MR需要钱包、交易所、托管机构和硬件钱包等各方进行相应更新。相关规划与协调工作需提前数年启动。

BIP-360的明确界限

尽管BIP-360增强了比特币对未来量子威胁的防御能力，但它并非一次彻底的密码学体系重构。理解其局限性同样至关重要：

• 现有资产不自动升级：所有旧的未花费交易输出（UTXO）在用户主动将资金转移至P2MR输出之前，其脆弱性依然存在。因此，迁移过程完全取决于用户的个体行为。
• 不引入新型后量子签名：BIP-360并未采用基于格的签名方案（如Dilithium或ML-DSA）或基于哈希的签名方案（如SPHINCS+）来替代现有的ECDSA或Schnorr签名。它仅移除了Taproot密钥路径带来的公钥暴露模式。要在基础层全面过渡到后量子签名，将需要一次规模大得多的协议变更。
• 不能提供绝对的量子免疫：即使未来突然出现可实际运行的CRQC，抵御其冲击仍需矿工、节点、交易所和托管机构之间进行大规模、高强度的协同应对。长期未动的「休眠币」可能引发复杂的治理难题，并给网络带来巨大压力。

开发者前瞻性布局的动因

量子计算的技术发展路径充满不确定性。部分观点认为其实用化仍需数十年，而另一些则指出，IBM在2020年代末的容错量子计算机目标、谷歌在量子芯片上的突破、微软在拓扑量子计算上的研究，以及美国政府设定的2030-2035年密码系统过渡期限，都预示着相关进展正在加速。

关键基础设施的迁移需要漫长的时间周期。比特币的开发者们强调，必须从BIP设计、软件实现、基础设施适配到用户采纳等各个环节进行系统性规划。如果等到量子威胁迫在眉睫再行动，将可能因时间不足而陷入被动。

围绕BIP-360的广泛讨论

关于实施BIP-360的紧迫性及其潜在成本，社区内仍存在持续的讨论。核心议题包括：

• 为长期持有者带来的轻微费用增加是否可以被接受？
• 机构用户是否应率先进行资产迁移，发挥示范效应？
• 对于那些永远不会被移动的「沉睡」比特币，应如何妥善处理？
• 钱包应用应如何向用户准确传达「量子安全」概念，既不引发不必要的恐慌，又能提供有效信息？

用户当前可采取的应对措施

目前，量子威胁并非迫在眉睫，用户无需过度担忧。但采取一些审慎的措施是有益的：

• 坚持地址不重复使用原则。
• 始终使用最新版本的钱包软件。
• 关注比特币协议升级的相关动态。
• 留意钱包应用何时开始支持P2MR地址类型。
• 持有大量比特币的用户，应quietly评估自身风险敞口，并考虑制定相应的contingency计划。

BIP-360：迈向抗量子时代的第一步

BIP-360标志着比特币在协议层面减少量子风险敞口方面迈出了第一个具体步骤。它重新定义了新输出的创建方式，最大限度地减少了公钥的意外泄露，并为未来的长期迁移规划奠定了基础。

它不会自动升级现有的比特币，保留了当前的签名体系，并凸显了一个事实：实现真正的抗量子安全，需要一个谨慎协调、覆盖全生态的持续努力。这有赖于长期的工程实践和分阶段的社区采纳，而非单个BIP提案所能一蹴而就。