加密货币量子风险评估：区块链安全面临新挑战

引言：量子计算从理论走向现实

量子计算技术的突破正将曾经遥远的理论可能性转化为具体挑战。谷歌量子人工智能团队的研究表明，打造能够破解椭圆曲线加密的量子计算机所需资源与时间正在缩短。Coinbase量子咨询委员会指出，虽然此类机器尚未问世，但向抗量子加密迁移的时间窗口已经开启。

量子风险的核心机制

区块链的安全依赖于传统计算机难以破解但可能被量子计算机攻破的加密签名。当前大多数网络使用椭圆曲线签名（如ECDSA和BLS）来验证交易授权。肖尔算法等量子算法可从公钥推导私钥，使暴露的地址成为攻击目标。这种风险主要分为两种形式：

• 静态攻击：针对公钥已公开的钱包和验证者密钥。
• 动态攻击：在公钥暴露到交易确认前的短暂时间内发起攻击。

比特币的风险敞口分析

比特币的量子风险集中在钱包层面，其程度取决于UTXO模型和地址类型：

• P2PK地址：风险最高，因公钥在账本上明确可见。
• P2PKH地址：重复使用导致公钥暴露。
• P2SH地址：脚本隐藏但长期复用增加风险。
• P2WPKH/P2WSH地址：风险较低，因公钥在消费前隐藏。
• P2TR地址：灵活性提升但公钥直接嵌入地址。

高风险比特币数量估算

根据Project Eleven与谷歌的研究，约690万枚BTC存储在公钥已暴露的地址中。其中约170万枚来自中本聪时代和早期矿工的P2PK创币输出，其余分布在2017年后产生的区块中。

休眠币的特殊挑战

约170万枚BTC（占总供应量9%）自早期阶段以来从未流动，且存储于公钥已暴露或将在动用时即刻暴露的传统地址类型中。这些资产包括约110万枚与中本聪关联的BTC，分散于约2.2万个账户中。

其他区块链的量子风险

以太坊和Solana等区块链采用账户模型，外部拥有账户（EOA）的公钥在交易后完全暴露，使得更大比例的资产价值面临风险。此外，权益证明（PoS）链还因验证者使用的椭圆曲线签名而面临额外风险。

抗量子提案与迁移路径

比特币社区提出了多项抗量子提案，包括BIP-360和BIP-361，旨在通过新型支付类型和逐步淘汰易受攻击的签名类型降低风险。以太坊和Solana则分别聚焦于账户抽象和基于晶格的Falcon签名方案。

结论：未雨绸缪的重要性

尽管量子计算的实际威胁仍需时日，但近期技术进展已促使行业从理论讨论转向实际行动。社区正在构建迁移路径、测试新型签名方案，并就如何保护资产价值展开辩论。