Quantum Horizon: An evaluation of quantum computing as a threat to Bitcoin and Ethereum

该论文认为，虽然量子计算主要通过 Shor 算法破解数字签名而非挖掘过程，对比特币和以太坊构成了重大但可控的威胁，但关键挑战在于由治理主导向后量子密码学的及时迁移，而非技术本身，且预计到 2050 年出现具有密码学相关性的量子计算机的概率为 60%。

要点

宏观图景：一场迫在眉睫但可控的风暴

想象一下，比特币和以太坊是两个巨大的、高安全性的保险库。多年来，人们一直担心超级智能的“量子计算机”有一天会破解这些保险库的锁。

这篇论文认为，虽然威胁是真实存在的，但它并不是明天就会发生的灾难。作者指出，我们已经清晰地看到了风暴云，知道哪些锁是脆弱的，并且手里握着更换这些锁的蓝图。唯一可能导致崩溃的情况是，负责管理的人员（即“治理”团队）行动过于迟缓。

以下是该论文核心要点的详细解读：

---

1. 两种不同的“超能力”（Shor 与 Grover）

人们经常混淆两种不同类型的量子计算机攻击。论文指出，我们必须停止混淆它们。

• 真正的威胁 (Shor 算法)：万能钥匙。
  • 类比： 想象你的银行账户有一个数字签名（独特的印章）来证明你拥有这笔钱。Shor 算法就像一个神奇的装置，通过观察你的公开印章，就能瞬间推算出你的私密密钥。
  • 结果： 如果量子计算机掌握了这种能力，它就可以伪造你的签名并窃取你的代币。这就是危险所在。
• 虚假的威胁 (Grover 算法)：快速猜测。
  • 类比： 比特币挖矿就像一场巨大的抽奖，计算机通过猜测数字来获胜。Grover 算法就像是一个速度加速器，它让计算机猜测的速度快了一倍（或者更准确地说，是时间的平方根）。
  • 结果： 论文指出，这并不是问题。这就像是在赛车比赛中给人类配了一个稍微快一点的计算器。网络只需调整难度（让抽奖变得更难），量子计算机依然无法快到足以接管网络。挖矿是安全的。

2. 时间线：“很快”，但“不是现在”

这种神奇的“万能钥匙”机器何时会出现？

• 今天： 我们还没有这种机器。我们目前最先进的机器与能够破解锁所需的超级坦克相比，就像是一辆单车。我们距离拥有足够的算力大约还差 400 到 500 倍。
• 预测： 作者结合了专家预测和硬件进展进行了一次复杂的模拟（类似于天气预报）。
  • 到 2035 年： 这种机器存在的概率约为 六分之一。
  • 到 2040 年： 概率上升至 30%。
  • 到 2050 年： 概率约为 60%。
• 结论： 现在不是“恐慌时刻”，但绝对是“开始打包行李的时间”。我们在机器到来之前，大约有 10 到 15 年的时间来解决问题。

3. 谁真正处于危险之中？（“暴露”的代币）

并非所有的比特币或以太坊代币都处于风险之中。这取决于“印章”（公钥）在哪里是可见的。

• 安全区（新地址）： 如果你把钱放在一个全新的、从未使用的地址里，你的私密密钥就隐藏在一面单向镜后面。即使是量子计算机，在你不尝试消费这笔钱之前，也看不见它。
• 危险区（重复使用的地址）： 如果你曾经使用过某个地址进行过交易，那么你的“印章”现在已永久公开在区块链上了。量子计算机可以窃取停留在该地址中的任何资金。
• “丢失”区（不可还原的风险）：
  • 比特币： 大约有 230 万枚 比特币是“休眠”状态（丢失的密钥或来自中本聪等早期时代的币）。这些所有者永远无法移动它们。如果量子计算机到来，这些币将永远消失。这是一种永久性的损失，但其数额是固定的（约占所有比特币的 12%）。
  • 以太坊： 由于以太坊的工作方式类似于银行账户（你会重复使用同一个地址），目前约有 50%–65% 的以太坊处于“暴露”状态。然而，与丢失的比特币不同，这些所有者仍然可以将资金转移到安全的地方。

4. 这场竞赛：我们能及时修复吗？

论文对比了升级软件（迁移）所需的时间与量子计算机到达所需的时间。

• 升级计划： 我们已经拥有了新的“抗量子”锁（标准已于 2024 年定稿）。
  • 以太坊 有一条简单的路径：它可以让单个账户逐一升级其锁，而无需关闭整个网络。
  • 比特币 的路径较难：它需要大规模的社区共识来改变规则，这在政治上非常困难。
• 竞赛结果： 如果我们现在（2026 年）就开始升级，我们将在 2029–2031 年 之间完成工作。这甚至比量子计算机出现的最乐观预测（2035 年）还要早好几年。
• 真正的危险： 唯一的失败方式在于我们拖延。如果我们争论太久，直到 2033 年才开始，我们可能会在门敞开的情况下被攻破。

5. 更大的图景（其他加密货币）

作者研究了前 20 大加密货币。

• 坏消息： 目前还没有任何一种是完全安全的。它们都使用了同类型的、会被量子计算机破解的“锁”。
• 好消息： 一些项目（如 XRP 和 Solana）已经在测试新的锁。另一些项目（如 Dogecoin）则相对滞后。
• 教训： 使用什么样的数学算法并不重要，重要的是他们是否有升级计划，以及是否在资金被消费前隐藏了密钥。

总结：我们应该怎么做？

论文的结论是保持 “有准备的紧迫感”，而非恐慌。

1. 对于用户： 停止重复使用旧地址。如果你在旧的、重复使用的地址中有资金，请将其转移到新的地址。当“抗量子”钱包可用时，请计划升级。
2. 对于网络： 立即开始升级进程。不要等到紧急情况发生时才行动。
3. 底线： 威胁是真实的，时间窗口正在缩短，但这个问题是可以解决的。唯一能破坏系统的，是我们自己行动太慢。那种“不可还原”的损失（丢失的币）是微小且已知的，但网络的其余部分是可以被拯救的。

技术摘要

技术摘要：量子地平线 (Quantum Horizon)

问题陈述
本文探讨了量子计算对比特币和以太坊加密安全构成的威胁。它特别针对了将两种截然不同的量子算法混为一谈的问题：一是威胁椭圆曲线数字签名（secp256k1 上的 ECDSA 和 BLS12-381 上的 BLS）的 Shor 算法；二是加速无结构搜索的 Grover 算法。核心问题在于，在这些网络能够迁移到后量子标准之前，是否会出现具有加密相关性的量子计算机 (CRQC)，以及现有资产的风险暴露范围有多大。

研究方法
作者采用了一种结合资源估算、硬件建模和链上分析的多维度方法：

• 资源估算： 本文综合了算法进展（特别是 2すぎて 2025–2026 年间因特效门 (Toffoli gate) 数量减少带来的分解优化）与硬件扩展模型。文中区分了“逻辑”量子比特（纠错后的）与“物理”量子比特，并应用了“容错就绪滞后”来解释原始量子比特数与功能性机器之间的工程差距。
• 蒙特卡洛预测： 为了预测 CRQC 的到来，作者整合了四个信号：(1) 由于算法改进导致的资源需求下降；(2) 硬件扩展速率（物理量子比特翻倍）；(3) 容错就绪滞后；(4) 专家调查（全球风险研究所、Mosca）。该模型并未对这些分歧的信号进行平均化处理，而是保留了它们的分歧，从而得出了一个双峰概率分布。
• 暴露分析： 本文对比特币和以太坊进行了细粒度的链上分析，以区分“不可还原”风险（休眠/丢失的代币）和“可迁移”风险（活跃代币）。通过链扫描，量化了公钥是永久暴露还是隐藏在基于哈希的地址之后。
• 挖矿竞争力建模： 一个经过校准的模型评估了 Grover 算法对工作量证明 (PoW) 的影响，其中考虑了容错单操作成本、并行化限制以及网络难度调整。

核心贡献

1. 解耦威胁： 本文严格区分了对签名（Shor's）的威胁与对挖矿（Grover's）的威胁。结论认为，虽然签名易受攻击，但 PoW 挖矿并不会受到量子加速的实质性威胁，这是由于其二次方限制、高昂的容错成本以及平方根级别的并行化瓶颈。
2. 双峰时间线预测： 文中没有提供单一的点估计，而是提出了一个关于 CRQC 到来的双峰分布。一个峰值反映了专家调查（中心点约为 2038–2040 年），另一个峰值反映了自下而上的物理模型（中心点约为 2052 年）。综合预测显示，到 2035 年出现 CRQC 的概率约为 1/6，到 2050 年上升至约 60%。
3. 暴露分层： 作者量化了“不可还原”风险底线。对于比特币，他们估计约有 230 万枚 BTC（供应量的 12%）处于不可还原的风险中（休眠/丢失），而约有 370 万枚 BTC 是可迁移的。对于以太坊，他们估计 50–65% 的供应量位于使用了公开密钥的“已使用”账户中，但指出这在很大程度上可以通过账户抽象进行迁移。
4. 治理是约束性因素： 本文认为，主要的瓶颈不是技术可行性，而是治理。预计从 2026 年开始的及时迁移将在 2029–2031 年间完成，早于即使是最乐观的 2035 年 CRQC 出现时间。失败的风险在于治理瘫痪，而非无法实现后量子密码学。

结果

• 硬件差距： 截至 2026 年 6 月，最先进的硬件拥有约 1,000–1,200 个物理量子比特，且最多仅有约 100 个逻辑量子比特。破解 secp256k1 需要约 1,200–2,330 个逻辑量子比特，这意味着即使面对激进的估计，也存在 400–500 倍的差距，若面对保守估计，差距则更为巨大。
• 挖矿安全性： 单台运行在乐观的 100 GHz 门速度下的量子机器可实现约 21 TH/s，大约仅为单个现代 ASIC 的十分之一。网络难度调整将抵消任何量子挖矿优势，使“量子矿机”威胁微乎其微。
• 漏洞分布：
  • 比特币： 约 30% 的供应量在静止状态下暴露于量子风险中。其中，约 12% 是不可还原的（休眠/丢失），约 19% 是可迁移的。
  • 以太坊： 由于账户复用，约 50–65% 的供应量处于暴露状态，但其结构上比比特币的 UTXO 模型更容易通过账户抽象（EIP-7702/8141）进行修复。
• 市场准备度： 对前 20 大加密货币的调查显示，目前尚无任何一种是完全后量子的。准备度取决于迁移进度和暴露模型（UTXO vs. 账户），而非所使用的特定曲线。尽管比特币和以太坊拥有具体的迁移路径，但由于治理复杂性，它们处于主要区块链中准备度较低的一端。

意义与主张
本文声称，量子对比特币和以太坊的威胁是真实的、广泛的，但也是有限的且可以实质性缓解的。

• 可缓解性： 威胁仅限于数字签名；底层的共识机制（PoW/PoS）和哈希函数仍然是安全的。
• 可操作性： “约束性因素”是治理速度。作者断言，从 2026 年开始的及时迁移允许网络在 CRQC 可能到来的年份之前完成升级。
• 残余风险： 唯一无法修复的损失是休眠代币（例如中本聪时代的比特币）这一“不可还原的核心”，这构成了一个有界的、可特征化的损失，而非系统性崩溃。
• 立场： 本文倡导“有准备的紧迫感”而非恐慌。结论指出，尽管由于算法进展导致时间窗口有所压缩，但只要去中心化社区能够有效协调，在 CRQC 出现之前激活后量子标准（如 NIST 的 ML-DSA 和 SLH-DSA），迁移窗口依然开启。