Google 罕見示警加密貨幣
2029 量子危機

果汁機與私鑰

想像眼前有一顆蘋果和一台果汁機。果汁機上有一組旋鈕，可以精密地調控馬達轉速，總共有 10 的 77 次方個刻度——跟整個宇宙中的原子差不多多。不同轉速打出來的蘋果汁，質地都不太一樣。現在拿著一杯打好的果汁，要你回推這是用哪個轉速打出來的，你該怎麼判斷？

這就是加密貨幣的「橢圓曲線密碼學」原理。果汁就是公鑰，刻度就是私鑰。即便用當今最快的超級電腦，每秒嘗試一兆個刻度，也要花上宇宙年齡的 10 的 48 次方倍才能試完。

但 Google 這次發現，2029 年之後量子電腦可能只需要 9 分鐘就能算出刻度。量子電腦跳過了一格一格試的方法，改用「量子疊加態」讓旋鈕同時處在所有刻度上——就像「眼花」一瞬間看到蒙太奇般的畫面，從不同角度觀察就會發現隱藏的規律。那個規律的週期，就是私鑰。

Google 的突破：資源縮減 20 倍

量子電腦理論上已經可以破解私鑰，但實務上還沒被造出來，因為所需資源太過龐大。業界有兩條路線在平行推進：一群人在造更強的硬體，另一群人在找更聰明的方法讓更輕量的硬體就能完成運算。

Google 這篇論文屬於第二條路線。他們發現只需要不到 50 萬個物理量子位元，就能完成過去估計約 900 萬個才能做到的運算——資源消耗縮減將近 20 倍。也因此 Google 才跳出來警告加密貨幣社群，量子威脅的時程已經大幅提前。

靜態攻擊：誰最裸露？

Google 列舉三種攻擊型態，其中「靜態攻擊」影響範圍最廣——只要公鑰暴露在區塊鏈上，攻擊者就能用量子電腦算出私鑰。但各家區塊鏈的暴露程度完全不同：

冷錢包也不一定安全。量子電腦攻擊的是公鑰，不是你的裝置。只要冷錢包曾經發送過交易，公鑰就已經暴露在鏈上了。唯一安全的情況是錢包從未發送過交易——但這也代表幣被軟禁，動彈不得。

升級的代價：優勢變包袱

所有區塊鏈都用同一套橢圓曲線密碼學，因為金鑰小、成本低、最適合去中心化系統。抗量子密碼學金鑰體積大好幾倍，如果從一開始就引入，效能和速度都跟不上。所以普遍做法是先服務用戶，量子威脅留給未來。

一篇 Google 論文打亂了所有人的時程表。在這個共同基礎之上，每條鏈各自發展出不同優勢——但當基礎必須升級，優勢反而成了包袱：