EP | 量子運算 × 加密貨幣

只有比特幣有神
而神留下了百萬顆幣

Google 一份 57 頁的量子論文
把比特幣逼到一個沒辦法迴避的選擇題

區塊勢 Podcast | 許明恩 × 曾可維
SCROLL ↓
PART 1

天邊的那朵烏雲,
現在量得出距離了

過去在區塊勢討論量子運算,來賓曾可維有一個我很喜歡的比喻:量子電腦對加密貨幣的威脅,就像是天邊的一朵烏雲——你知道它在那裡,但不知道它什麼時候會飄過來,也不確定到底有多遠。

但 2026 年 4 月,Google 發了一份 57 頁的論文,把整件事的討論基礎徹底改變。這不是因為他們發明了什麼新的攻擊手法,而是因為他們第一次把「量子電腦需要多少量子位元、花多少運算時間才能攻破比特幣」這個問題,從一個「數量級估計」的階段,推進到「工程等級估計」的階段。

過去你問一個量子物理學家「需要多少顆量子位元才能攻破比特幣」,他可能會說幾十萬到上百萬。10 萬到 99 萬聽起來差 9 倍,但對他來說答案都是對的——因為這是個估計。但 Google 這次把數字精準地釘下來了。

「它讓這個討論變得更嚴肅,但不是讓它變得恐怖。
本來我們知道有一朵烏雲,現在我們量得出它的距離。」

用氣象預報來比喻會更清楚:以前我們只知道遠方有烏雲,現在我們知道這朵烏雲還很遠,但有一個明確的工程測量值。時間點依然不變——可維認為商業上有價值的量子電腦,抵達的時間不會早於 2035 年。

PART 2

為什麼大家說的年份都不一樣?

如果你最近在看量子運算相關新聞,會注意到好幾個不同的時程數字飛來飛去。這三個數字分別來自完全不同的角色:

三個時間表,三種立場

2028 Vitalik:以太坊升級時程
2029 Google:自家系統遷移到 PQC
2035 可維:量子電腦真正到來

差了 6、7 年,但這不是誰比較悲觀的問題,而是在問不同的問題。2028、2029 是「防禦端」的時間——Vitalik 跟 Google 要在那之前把升級做完。2035 是「攻擊端」的時間——可維估計的是攻擊真的可能發生的年份。

可維對「2030 年之前發生攻擊」這件事的機率估計是 0.5% 以下。但他也承認:對於 Google 這種把標準都制定好、只要一個模組一個模組替換的大廠來說,提前到 2030 年完成遷移,是完全合理的。

這就是為什麼「防禦提前,不代表攻擊提前」——你看到大家急著升級,不是因為明天要出事,而是因為升級本身就需要很多年。

PART 3

傳統金融也用密碼學,
但他們跟我們的工具不一樣

文章貼在社群上,常常會有人留言說:「你們幣圈太緊張了,量子運算威脅的是整個網路,傳統金融更應該擔心才對。」

這個觀察對了一半。TLS handshake、HTTPS、Gmail 的加密、銀行的簽章——這些每天運作的基礎建設,底層的密碼學跟加密貨幣用的是同一套。如果量子電腦真的跑得動 Shor 演算法,傳統金融確實也會被打到。

但差別在於:傳統金融是中心化的。Google 可以強制你下次登入就要用新的簽章方法;銀行可以要求你重新 KYC、直接 ban 掉不配合的帳戶。你不服氣?謝謝再聯絡。

加密貨幣完全不是這樣。一條去中心化的公鏈,沒有人有權力要求所有使用者「下一次交易請改用新的地址格式」。要升級,必須透過社群治理,取得多數節點共識。這個過程可能拖上好幾年。

「銀行更需要擔心沒錯,
但它有更多方法可以解決;
加密貨幣雖然打擊面比較小,
但工具也比較少。」
PART 4

三種攻擊,
打擊面比你想像的還要廣

Google 論文最有價值的部分,是它系統性地定義了量子電腦可以對加密貨幣做的三種攻擊。這三種攻擊對應到三種不同的鏈、三種不同的情境。

主要威脅:以太坊

靜態攻擊

只要你的公鑰已經暴露在鏈上——也就是你曾經從某個地址發出過交易——量子電腦就可以反推你的私鑰。比特幣用戶可以透過每次換新地址來避免(OneKey 就有這個功能)。但以太坊是 account-based,你一花過錢,公鑰就已經上鏈了,躲不掉。

主要威脅:比特幣

交易中攻擊

就算你從不重複使用地址,總有一天你要把幣花出去。那一瞬間,簽名會漂在 Mempool 裡面 10 到 20 分鐘。量子電腦有機會在這段時間破解。這個攻擊只對比特幣有效——以太坊 12 秒出一個區塊,Solana 更是 0.4 秒,量子電腦根本算不完。

主要威脅:以太坊、Solana 等智能合約鏈

設定攻擊

密碼學在智能合約生態系裡,存在於每一個角落:多簽錢包、跨鏈橋、ZK Rollup、穩定幣的簽章聚合。只要其中一個環節的密碼學被攻破,整個應用就可能被抽乾。最可怕的是這種攻擊不容易被察覺——你會以為「只是又一個跨鏈橋被駭了」。

把三種攻擊對應到三種鏈,你會發現沒有人能躲掉:比特幣有交易中攻擊的風險、以太坊有靜態攻擊、智能合約鏈有設定攻擊。穩定幣、跨鏈橋、ZK 這些都在設定攻擊的射程內。

PART 5

誰準備好了?
誰還在敲鑼打鼓?

既然三種攻擊都有威脅,那各條公鏈現在準備到哪裡了?可維的判斷很直接——沒有任何主流的鏈真的做到了抗量子

以太坊在學術上研究得最多,透過帳戶抽象化底層可以替換簽章方法。Solana 做了一個比較粗糙的工程實作,用 hash-based 一次性簽名。StarkWare 跟 Sui 走的是另一條路,用零知識證明的技巧避開「必須暴露公鑰」的問題。

那有沒有鏈真的在主網上部署了抗量子簽章?有——StarkNet 號稱有。但可維提到一個令人不安的事實:StarkNet 前幾個禮拜才剛被 Solana 嘲笑,因為它的日交易量只有幾十到不到一百。技術上領先,但沒有人在用。

那如果真的去做,會怎麼樣?可維自己的 IOTA 就是最好的案例:他們在 2015 年白皮書就用了抗量子簽章,使用者體驗「痛苦到一塌糊塗」,簽名肥大十倍、手續費變貴、App 跑得更慢。最後在 2020-2021 年升級時,他們決定把抗量子的部分整個拿掉。

「如果你沒有必要的時候做這個痛苦,
所有人都會覺得『招誰惹誰』。」

這也是為什麼最近孫宇晨(Tron 創辦人)宣佈 Tron 要成為「第一個在主網部署抗量子簽章的主流區塊鏈」的時候,可維的反應是一個笑。技術細節還沒公佈——但總之先喊先贏。這就是孫宇晨的風格。

PART 6

比特幣的神格化,
現在變成一個治理難題

量子威脅對所有公鏈都是問題,但對比特幣而言,問題的性質完全不同。

其他鏈的問題是技術——要不要升級、怎麼升級、什麼時候升級。這些都可以討論。但比特幣卡在一個更根本的問題上:它從來沒有一個真正意義上的硬分叉,所有的協議升級都是向前相容的「軟分叉」。2017 年的比特幣內戰之後,比特幣社群變得對任何「無可挽回的改動」極度抗拒。

就算社群達成共識,把新的抗量子地址格式(像 BIP-360)部署上去——這在技術上是可以做的——那些不會起床換地址的早期持幣者怎麼辦?最極端的例子,就是中本聰那一百多萬顆幣。

這件事有多嚴肅?去看 Coinbase 當年的 S-1 上市文件,裡面列的「主要風險」有一條就是:「中本聰如果突然出現」。因為現在的中本聰已經是一個共同認知——他不存在,他不會發言,他不會動那些幣。這種「神」的狀態本身就構成了比特幣的基礎共識。

「所有區塊鏈都有神童,
只有比特幣有神。」

神童還能被勸說——以太坊基金會影響得了 Vitalik,Solana 有 Anatoly。但神沒有代理人,沒有對話窗口。當量子電腦開始逼近,比特幣社群要面對一個神不會主動處理、但又不能不處理的問題:那一百多萬顆沉睡的幣,該怎麼辦?

所有區塊鏈都有神童,
只有比特幣有神。

而神留下的,是逼著整個社群必須做出選擇的百萬顆幣。

PART 7

Google 論文甚至建議了
四種處理方案

Google 這篇論文讓人意外的地方,是它不只分析了攻擊面,還認真寫了一整節討論「政策建議」。用一個很有畫面感的比喻——數位打撈

中本聰的幣現在就像掉在瑪利亞納海溝底下的黃金。對當代的文明來講,要撈到一萬公尺深的海底基本上不可能,所以這些幣「存在但無法觸及」。但當科技進步,我們可以下沉到 6000 公尺、8000 公尺、總有一天可以抵達 10000 公尺——這時候就是先到先得。

這不再是一個「要不要治理」的問題,而是一個「怎麼治理」的問題。論文裡至少列出了四種方案:

最保守

方案一:凍結(BIP-361)

設定一個時間點,所有超過這個時間沒有移動的幣,協議層直接凍結。你 5 年、10 年後醒過來?對不起,這些幣成為歷史。

折衷派

方案二:沙漏(Sandglass)

允許這些幣被移動,但設限每個區塊只能處理一個包含舊地址的 UTXO。攻擊者要偷也只能慢慢偷,最大傷害會被壓住。

無為派

方案三:什麼都不做

讓第一個有量子電腦的人去撈。中本聰就是人類歷史的「One Piece 大秘寶」,誰先到誰就發大財。聽起來荒謬,但比特幣社群真的有人支持。

最激進

方案四:沒收做尾端發行

把這些幣通通沒收,全部加進未來的挖礦獎勵池。一石二鳥——既解決量子威脅,又補充比特幣長期缺乏的礦工補貼(security budget)。

選哪一個都會傷害到某一群人——持幣者不希望這些幣回流到市場(怕貶值);礦工希望這些幣變成補貼(多賺);基本教義派不想硬分叉(破壞共識)。而比特幣從來沒有一個神來裁決,所以每一個方案都是一場治理戰爭。

如果你是比特幣社群的一員,
你會投票支持哪個方案?

沒有標準答案 — 選完看看你屬於哪一派

你的立場

想聽完整對談?

這集 Podcast 訪問了新加坡國立大學量子運算博士曾可維,完整討論 Google 論文、三種攻擊類型、各鏈準備狀況,以及比特幣為何會被逼進這個治理困局。

閱讀完整文章 →