正文

量子计算攻破比特币?专家:最早也要等到2035年

编辑:星球日报发布时间:2小时前

量子计算离破解比特币还有多远?

尽管理论研究不断推进,将破解椭圆曲线密码(ECC)——比特币、以太坊、HTTPS等广泛采用的加密基础——所需的物理量子比特数量从2022年的3.17亿大幅降至2026年论文提出的约50万个,但现实硬件进展仍远远落后。目前,全球最先进的量子处理器(如谷歌2026年3月发布的Willow芯片)仅能稳定运行约105个量子比特的真实算法,距离实用化攻击仍有数个数量级的差距。

量子计算即将攻破BTC?真相是最早也要2035年

关键瓶颈:逻辑量子比特与纠错

要运行Shor算法破解ECC,不仅需要大量物理量子比特,还需通过量子纠错构建可靠的“逻辑量子比特”。2026年研究指出,攻击需约1,200个逻辑量子比特连续执行9,000万个Toffoli门(一种复杂量子门),这意味着在当前纠错水平下,需约50万个物理量子比特协同工作。然而,即便谷歌在2024年展示了由101个物理量子比特组成的单个逻辑量子比特(distance-7码),其逻辑错误率仍高达每周期1.4×10⁻³,距离攻击所需的10⁻⁹以下目标相差百万倍。

其他技术挑战:解码、魔术态与架构

除量子比特数量外,实时解码校验子数据、高速生成与提纯“魔术态”(用于执行非Clifford门的关键资源)也是规模化难题。例如,破解ECC需消耗约9,000万个魔术态,而提纯工厂通常占总物理量子比特的2%-10%以上。虽有进展如Riverlane的微秒级解码器和QuEra的逻辑提纯演示,但距50万量子比特规模仍遥不可及。此外,模块化架构、低温控制和错误泄漏等问题也制约着系统扩展。

比特币实际风险有限,但并非为零

比特币地址并非直接暴露公钥,而是公钥的哈希值(SHA-256 + RIPEMD-160),因此Shor算法无法直接攻击未使用过的地址。只有当用户发起交易时,公钥才会公开并永久记录在链上。据估计,约670万枚BTC对应的公钥已暴露,理论上可能被未来量子计算机破解。现代钱包采用“一次一地址”策略可有效缓解此风险。真正解决方案是迁移到抗量子签名算法,但社区协调与旧币处理仍是巨大挑战。

以太坊面临类似威胁,迁移难度更高

以太坊同样使用secp256k1曲线和ECDSA签名,且账户地址常被重复使用,意味着几乎所有活跃账户一旦公钥暴露即面临风险。虽然后量子签名方案存在,但其体积远大于ECDSA,将显著增加节点存储负担。以太坊正借由zk技术升级同步推进签名方案替换,但仍需用户主动迁移,未迁移账户可能被迫销毁以防被黑客控制。

Shor算法如何破解ECC?

Shor算法的核心在于利用量子傅里叶变换高效求解椭圆曲线离散对数问题(ECDLP)。通过构造函数f(x, y) = xG + yQ(其中G为基点,Q为公钥),该函数在(x, y)平面上沿斜率为私钥k的方向周期性重复。量子叠加允许同时评估所有输入,而逆量子傅里叶变换则将周期信息转化为可测量的频率峰值,最终通过经典后处理恢复私钥k。

量子计算即将攻破BTC?真相是最早也要2035年

行业时间表:2035年是关键节点

以太坊研究员Justin Drake估计,2030年前发生量子攻击的概率仅10%,2032年前升至50%。而美国国家标准与技术研究院(NIST)与国家安全局(NSA)已将淘汰易受量子攻击密码体系的目标定在2035年。值得注意的是,量子计算并无类似摩尔定律的指数增长规律——过去四年理论需求下降600倍,但硬件规模十年仅增约10倍,真实时间表仍高度不确定。

量子计算即将攻破BTC?真相是最早也要2035年 量子计算即将攻破BTC?真相是最早也要2035年 量子计算即将攻破BTC?真相是最早也要2035年 量子计算即将攻破BTC?真相是最早也要2035年