为何中本聪的钱包是量子计算的主要攻击目标
随着研究人员评估计算能力的进步将如何影响早期比特币地址,中本聪持有的110万比特币钱包正日益被视为一个潜在的量子安全漏洞。
中本聪估计持有的110万枚比特币常被称作加密世界的终极“失落宝藏”。它静静躺在区块链上,犹如一座休眠火山,又像一艘自诞生以来从未发生链上交易的数字幽灵船。这笔巨额财富,按当前市值估算价值约670亿至1240亿美元,已然成为一段传奇。
但在越来越多的密码学家和物理学家眼中,它也被视为一个价值数百亿美元的安全威胁。这个威胁并非来自黑客、服务器漏洞或密码遗失,而是一种全新计算形式——量子计算的兴起。
随着量子计算机从理论研究实验室迈向强大的工作原型机,它们对现有密码体系构成了潜在威胁。这包括保护中本聪比特币的加密技术、更广泛的比特币网络,以及全球金融基础设施的部分环节。
这并非遥不可及的“假设”。建造量子计算机与研发抗量子防御技术的竞赛,是当今时代最关键且资金最充足的技术竞争之一。以下是您需要了解的关键信息。
### 为何中本聪的早期钱包易受量子攻击
大多数现代比特币钱包在交易发生前会隐藏公钥。但中本聪遗留的“支付给公钥”地址并非如此,它们的公钥永久暴露在区块链上。
要理解这一威胁,关键在于认识到并非所有比特币地址都采用相同标准。漏洞存在于中本聪在2009年和2010年使用的地址类型。
当前大多数比特币存储在“支付给公钥哈希”地址(以“1”开头)或更新的隔离见证地址(以“bc1”开头)中。对于这类地址,区块链在接收比特币时并不存储完整公钥,仅存储公钥哈希值;实际公钥仅在花费比特币时才被揭示。
这好比银行的投递箱:地址哈希是投递口,任何人都能看到并存入资金;公钥则是投递口后上锁的金属门,无人能看见锁具或其机制。公钥这把“锁”仅在你决定花费比特币的那一刻向网络展示,此时你的私钥会将其“解锁”。
然而,中本聪的比特币存储在更古老的P2PK地址中。在这种旧格式中不存在哈希值。公钥本身——即比喻中的锁具——被清晰且永久地记录在区块链上,供所有人查看。
对经典计算机而言,这无关紧要。逆向推导公钥以找到对应私钥仍几乎不可能。但对量子计算机来说,这个暴露的公钥犹如一份详细的蓝图,无异于公开邀请他人前来开锁。
肖尔算法如何让量子计算机破解比特币?
比特币的安全体系——椭圆曲线数字签名算法——依赖于经典计算机在计算上无法逆向破解的数学原理。而肖尔算法若在足够强大的量子计算机上运行,正是为破解该数学原理而生。
比特币的安全模型建立在ECDSA之上,其强度来源于单向数学假设:用私钥乘以曲线上的一个点来推导公钥很容易,但想通过公钥逆向推算出私钥却基本不可能。这被称为椭圆曲线离散对数问题。
经典计算机没有已知方法能“分解”这个运算,唯一选择是暴力破解——尝试每一个可能的密钥。而可能的密钥数量高达2的256次方,这个数字之庞大甚至超过了已知宇宙中的原子总数。这就是为什么比特币能抵御地球上所有经典超级计算机的攻击,无论现在还是未来。
量子计算机不需要猜测——它能直接计算。
实现这一点的工具是肖尔算法,这是一种1994年提出的理论算法。在足够强大的量子计算机上,该算法能利用量子叠加态,找出椭圆曲线问题中隐藏的数学规律(尤其是周期性)。它可以在几小时或几天内,通过已暴露的公钥逆向推导出生成该公钥的唯一私钥。
攻击者无需入侵服务器。他们只需从区块链中提取已暴露的P2PK公钥,输入量子计算机,等待私钥被破解输出,随后就能签署交易并转移中本聪的110万枚比特币。
您知道吗?据估算,破解比特币加密需要一台拥有约2330个稳定逻辑量子比特的量子计算机。由于当前量子比特存在噪声且易出错,专家认为需要超过100万个物理量子比特构建容错系统,才能合成这2330个稳定逻辑量子比特。
Q日离我们还有多远?
Rigetti、Quantinuum等公司正竞相建造具备密码破解能力的量子计算机,其时间线已从数十年缩短至数年。
“Q日”指量子计算机能破解当前加密体系的假设时刻。多年来这被视为“10-20年后”的远期威胁,但如今时间线正急剧压缩。
我们需要百万物理量子比特才能获得2330个逻辑量子比特,根源在于量子纠错。量子比特极其脆弱,噪声显著且对微小振动、温度变化甚至辐射都异常敏感,可能导致退相干和量子态丢失,引发计算错误。
要执行破解ECDSA这类复杂计算,必须使用稳定的逻辑量子比特。而创建一个逻辑量子比特,可能需要将数百甚至数千个物理量子比特组合成纠错编码——这是维持系统稳定必须付出的代价。
我们正身处加速发展的量子竞赛中
Quantinuum、Rigetti、IonQ等量子公司,以及谷歌、IBM等科技巨头,都公开推进着激进的量子技术路线图。例如Rigetti公司仍计划在2027年前实现1000+量子比特系统。
这些公开进展尚未计入国家层面的机密研究。首个达到Q日的国家理论上将掌握全球金融与情报数据的“万能钥匙”。因此,防御体系必须在攻击成为现实前构建并部署完毕。
为何数百万比特币面临量子攻击威胁?
2025年人权基金会报告发现,651万枚BTC处于脆弱地址中,其中172万枚(包括中本聪的持仓)被认为已遗失或无法移动。
中本聪的钱包虽是最大目标,却非唯一目标。人权基金会2025年10月的报告分析了整个区块链的量子脆弱性,结果触目惊心:
651万枚BTC可能遭受远期量子攻击,其中172万枚BTC属于极早期地址类型,被认为处于休眠或可能遗失状态(包括中本聪约110万枚BTC,多数存放在P2PK地址)。其余449万枚BTC虽脆弱但可通过迁移保全,说明持有者仍可能采取行动。
这449万枚BTC的持有者犯了一个关键错误:地址复用。他们虽使用现代P2PKH地址,但在花费比特币(会暴露公钥)后,又将新资金接收到同一地址。这在2010年代初期是常见做法。地址复用导致公钥永久暴露在链上,使得现代钱包变得与中本聪钱包同样脆弱。
若有敌对势力率先实现量子突破(Q-Day),仅仅移动中本聪的比特币这一行为,就将成为攻击成功的铁证。这将立刻揭示比特币基础安全架构已被击穿,从而引发市场全面恐慌、交易所挤兑潮,并导致整个加密生态系统面临生存危机。
您知道吗?当前被广泛讨论的一种策略是“先截获,后破译”。恶意行为者已在持续记录各类加密数据——包括网络流量与区块链公钥——意图在多年后获得量子计算机时进行解密破译。
比特币如何转向量子安全防护
全球科技界正加速转向新一代抗量子加密标准。对比特币而言,这意味着需要通过重大网络升级(或称分叉)来采用全新算法。
密码学界并未被动等待危机到来。解决方案是后量子密码学——这套建立在全新复杂数学问题上的加密算法体系,被认为能同时抵御经典与量子计算机的攻击。
与椭圆曲线体系不同,多数PQC算法依托格密码学等数学结构。美国国家标准与技术研究院始终主导着这项标准化工作。2024年8月,该机构正式发布了首套PQC标准。
其中与比特币最相关的是基于模块格的数字签名算法(ML-DSA),它属于CRYSTALS-Dilithium标准的核心组成部分。全球科技界已开始采纳该标准:截至2025年末,OpenSSH 10.0已默认启用PQC算法,Cloudflare报告显示其多数网络流量也已获得PQC保护。
对比特币网络而言,升级路径将是通过全网软件更新实现软分叉。这次升级将引入新型抗量子地址(如提议中的“P2PQC”地址)。系统不会强制用户转移资产,而是允许用户自愿将资金从传统的脆弱地址(如P2PKH或隔离见证地址)迁移至新型安全地址。该实施方案将与当年隔离见证升级的推进方式类似。