為什麼Adam Back認為Bitcoin的20年量子發展跑道比當前新聞頭條更重要

多年來，量子計算一直被視為加密貨幣最愛的末日情景，一個遙遠但具有生存威脅的風險，每當某個實驗室宣布量子位取得新里程碑時，這一話題就會週期性地浮現。

這個敘事遵循著可預測的軌跡：研究人員取得某些漸進式突破，社交媒體上隨即爆發「Bitcoin已死」的預言，然後新聞週期繼續前進。

但Back於11月15日在X上的言論，則以物理學而非恐慌為基礎，為這場討論帶來了迫切需要的時間表。

Blockstream執行長Back，其Hashcash工作量證明系統甚至早於Bitcoin誕生，他針對加速量子研究的問題給出了直白的評估。

Bitcoin在大約20到40年內，「很可能不會」受到與密碼學相關的量子電腦威脅。

更重要的是，他強調Bitcoin不必被動等待那一天的到來。

NIST已經標準化了量子安全簽名方案，例如SLH-DSA，Bitcoin可以通過軟分叉升級，在任何量子電腦構成真正威脅之前，提前採用這些工具。

他的評論將量子風險從無法解決的災難，重新定義為一個可解決的工程問題，並擁有數十年的緩衝期。

這一區別至關重要，因為Bitcoin的實際漏洞並非大多數人所想，威脅並非來自保護挖礦過程的SHA-256雜湊函數，而是來自secp256k1橢圓曲線上的ECDSA和Schnorr簽名，也就是證明所有權的密碼學。

運行Shor演算法的量子電腦可以解決secp256k1上的離散對數問題，從公鑰推導出私鑰，從而使整個所有權模型失效。

在純數學領域，Shor演算法讓橢圓曲線密碼學變得過時。

理論與現實之間的工程鴻溝

但數學與工程處於不同的宇宙。破解256位橢圓曲線需要大約1,600到2,500個邏輯、經過錯誤修正的量子位。

每個邏輯量子位都需要數千個物理量子位來維持相干性並修正錯誤。

根據Martin Roetteler及其他三位研究人員的研究，若要在與Bitcoin交易相關的狹窄時間窗口內破解256位EC密鑰，在現實錯誤率下大約需要3.17億個物理量子位。

必須考慮量子硬體的實際現狀。加州理工學院的中性原子系統運作於約6,100個物理量子位，但這些量子位噪聲大且缺乏錯誤修正。

Quantinuum和IBM的較成熟閘基系統則運作於數十至一百多個邏輯品質的量子位。

現有能力與密碼學相關性的差距橫跨數個數量級，這不是一個小的漸進步驟，而是一個需要在量子位品質、錯誤修正和可擴展性上取得根本性突破的鴻溝。

NIST自己的後量子密碼學說明明確指出：目前不存在與密碼學相關的量子電腦，專家對其出現時間的估計差異極大，有些專家認為「不到10年」仍有可能，而另一些則堅定認為要到2040年之後。

主流觀點集中在2030年代中後期，使Back提出的20至40年時間窗顯得保守而非魯莽。

遷移路線圖已經存在

Back所說的「Bitcoin可以隨時間加入」指向了開發者間已經流通的具體提案。

BIP-360，標題為「Pay to Quantum Resistant Hash」，定義了新的輸出類型，支援同時包含傳統簽名和後量子簽名的花費條件。

單一UTXO可在任一方案下被花費，允許逐步遷移而非硬性截止。

Jameson Lopp及其他開發者基於BIP-360制定了多年遷移計畫。首先，通過軟分叉新增PQ能力的地址類型。然後逐步鼓勵或補貼將幣從易受攻擊的輸出遷移到PQ保護的輸出，每個區塊專門預留部分區塊空間給這些「救援」操作。

自2017年以來的學術研究早已建議類似的過渡。一份2025年Robert Campbell的預印本提出了混合後量子簽名，在過渡期內交易同時攜帶ECDSA和PQ簽名。

用戶端的情況說明了這一點的重要性。大約25%的Bitcoin，約四到六百萬BTC，存放在公鑰已經在鏈上暴露的地址類型中。

Bitcoin早期的pay-to-public-key輸出、重複使用的P2PKH地址以及部分Taproot輸出都屬於這一類。這些幣一旦Shor演算法在secp256k1上變得可行，將成為首要攻擊目標。

現代最佳實踐已經提供了相當大的保護。使用新鮮P2PKH、SegWit或Taproot地址且不重複使用的用戶，能獲得關鍵的時間優勢。

對於這些輸出，公鑰在首次花費前都隱藏在雜湊之後，將攻擊者運行Shor演算法的窗口壓縮到mempool確認期間，僅以分鐘計而非數年。

遷移工作不是從零開始，而是建立在現有良好實踐之上，並將舊幣過渡到更安全的結構。

後量子工具箱已經就緒

Back提及SLH-DSA並非隨意拋出名詞。2024年8月，NIST最終確定了首批後量子標準：FIPS 203 ML-KEM用於密鑰封裝，FIPS 204 ML-DSA用於基於格的數位簽名，FIPS 205 SLH-DSA用於無狀態雜湊型數位簽名。

NIST還將XMSS和LMS標準化為有狀態雜湊型方案，基於格的Falcon方案也在規劃中。

Bitcoin開發者現在擁有一系列NIST認可的演算法，以及參考實現和函式庫。

專注於Bitcoin的實現已經支援BIP-360，這表明後量子工具箱已經存在並持續成熟。

協議無需發明全新的數學理論，可以採用經過多年密碼分析的既有標準。

這並不意味著實現過程毫無挑戰。一篇2025年關於SLH-DSA的論文發現其易受Rowhammer式故障攻擊，強調雖然安全性依賴於普通雜湊函數，但實現仍需加強防護。

後量子簽名也比傳統簽名消耗更多資源，這引發了關於交易大小和手續費經濟性的討論。

但這些都是已知參數的工程問題，而非未解的數學謎題。

為什麼2025年不是量子元年

BlackRock的iShares Bitcoin Trust（IBIT）於2025年5月修訂其招股說明書，納入了有關量子計算風險的詳細披露，警告稱足夠先進的量子電腦可能會危及Bitcoin的密碼學安全。

分析師立即認為這只是標準的風險因素披露，與一般技術和監管風險並列的模板語言，而非BlackRock預期量子攻擊即將來臨的信號。

短期威脅是投資者情緒，而非量子計算技術本身。

2025年一項SSRN研究發現，與量子計算相關的新聞會引發部分資金流向明確標榜量子抗性的幣種。但傳統加密貨幣在此類新聞出現時僅出現溫和的負回報和交易量激增，而非結構性重估。

回顧2024和2025年實際推動Bitcoin價格波動的因素，無論是ETF資金流、宏觀經濟數據、監管還是流動性週期，量子計算很少成為直接原因。

CPI數據、ETF資金流出日和監管衝擊推動價格行動，而量子計算則產生頭條新聞。

即使是那些發出「25% Bitcoin面臨風險」最強烈警告的文章，也將威脅定義為數年之後，同時強調現在就應開始升級。

這種框架始終落在「治理與工程問題」而非「立刻拋售」。

關鍵在於預設，而非死線

Bitcoin的量子故事其實不是關於密碼學相關的量子電腦會在2035年還是2045年出現，而是關於協議治理能否在那個時間點到來前協調完成升級。

每一份嚴肅的分析都得出相同結論：現在就是準備的時候，正因為遷移需要十年，而不是因為威脅迫在眉睫。

決定Bitcoin量子韌性的問題在於開發者能否就BIP-360或類似提案達成共識，社群能否在不分裂的情況下激勵舊幣遷移，以及溝通能否保持理性，防止恐慌超越物理現實。

2025年，量子計算帶來的是治理挑戰，需要10到20年的路線圖，而不是決定本輪價格走勢的催化劑。

物理學進展緩慢，而路線圖已經可見。

Bitcoin的角色是在硬體到來前就採用PQ-ready工具，並避免治理僵局將可解決的問題變成自我造成的危機。

本文《Why Adam Backs thinks Bitcoin’s 20-year quantum runway matters more than today’s headlines》最早發表於CryptoSlate。