HASH GAME - Online Skill Game GET 300

　　夜幕低垂的拉斯维加斯，在比特币 2025 年会议的一场私密午餐会上，加密货币的资深专家们罕见地流露出凝重。空气中弥漫的并非纸醉金迷的喧嚣，而是一种更为深沉的忧虑：量子计算，这项曾被视为遥远未来的颠覆性技术，正以惊人的速度逼近，其寒光已然投射在比特币看似坚不可摧的加密壁垒之上。警告声称，强大的量子计算机可能在数年内破解比特币的私钥，将价值约 420 亿美元的比特币置于险境，甚至可能引发一场波及整个市场的「清算事件」。

　　要理解量子计算对比特币的威胁，首先需要审视比特币安全的基石——ECDSA。简单来说，当你创建一个比特币钱包时，会生成一对密钥：一个私钥（你必须绝对保密）和一个公钥（可以公开）。公钥经过一系列哈希运算生成比特币地址。交易时，你用私钥对交易进行数字签名，网络中的其他人可以用你的公钥来验证这个签名的确出自你手，且交易信息未被篡改。对于经典计算机而言，从公钥反推出私钥，在数学上被认为是不可行的，这正是比特币安全的根基。

　　哪些比特币最先暴露在量子炮火之下？首当其冲的是那些直接暴露了公钥的地址。最典型的便是比特币早期使用的 P2PK（Pay-to-Public-Key）地址，其地址本身或相关交易直接公开了公钥。据估计，仍有数百万比特币（一种说法是约 190 万至 200 万枚）沉睡在这类地址中，其中不乏传说中属于中本聪的早期「创世」比特币。此外，更为常见的 P2PKH（Pay-to-Public-Key-Hash）地址，虽然地址本身是公钥的哈希值，相对安全，但一旦该地址发生过支出交易，其公钥就会在交易数据中被公开。如果这些地址被重复使用（即多次从同一地址发出交易），其公钥便持续暴露，同样面临风险。据德勤等机构早前分析，因地址重用等原因导致公钥暴露的比特币可能也高达数百万枚。包括较新的 Taproot（P2TR）地址，尽管引入了 Schnorr 签名等技术优化，但在某些情况下，公钥或其变体仍可能被推断出来，使其无法完全豁免于量子威胁。

　　综合来看，沉淀在各类易受攻击地址中的比特币总量，可能占到比特币总供应量的一定比例。早前（如 2022 年）的估算认为，大约有 400 万到 600 万枚比特币处于较高风险中。若以当前比特币价格（例如，假设为 7 万美元一枚）粗略计算，这部分资金的价值可达 2800 亿至 4200 亿美元。这或许是「420 亿美元」风险警告的一个更合理的解释来源——它指的不是一个精确的数字，而是对巨额财富暴露于潜在风险的一种警示。

　　谷歌量子人工智能团队的研究员 Craig Gidney 在 2025 年初的更新研究中指出，破解 2048 位 RSA 加密（常用于传统网络安全）可能不再需要先前估计的数千万物理量子比特，而是「少于一百万个带有噪声的量子比特」，并且可能在「不到一周」的时间内完成。这一估计的显著降低，得益于算法优化和错误校正技术的进步，例如近似剩余数运算、更高效的逻辑量子比特存储以及「魔术态」提纯等技术的应用。尽管 Gidney 强调，这样的量子计算机仍需满足苛刻的条件（如连续五天稳定运行，极低的门错误率），远超当前技术水平，但它无疑缩短了我们感知中的「量子安全距离」。而对于比特币所使用的 ECDSA (secp256k1 曲线 )，虽然具体破解所需的量子资源相较于 RSA-2048 的最新估算尚无同样精确且广为接受的公开数据，但密码学界的普遍观点是，由于其数学结构，量子计算机攻破 ECDSA 可能比攻破 RSA 更为容易。

　　在硬件层面，几大巨头正在奋力追赶。IBM的量子路线图雄心勃勃，其「Osprey」处理器已达 433 物理量子比特，「Condor」更是达到实验性的 1121 物理量子比特。更重要的是，IBM 专注于提升量子比特质量和纠错能力，其「Heron」处理器（133 量子比特）凭借更低的错误率成为当前发展重点，并计划在 2025 年推出拥有 1386 物理量子比特的「Kookaburra」系统，通过多芯片连接实现更大规模。其更长远的目标是在 2029 年实现拥有 200 个高质量逻辑量子比特的「Starling」系统，届时预计能执行高达 1 亿次的量子门操作。

　　而 Quantinuum 公司则在 2025 年投下了一颗「重磅炸弹」，宣布其「Helios」量子计算系统将在当年晚些时候商业化可用，并且能够支持「至少 50 个高保真逻辑量子比特」。这一声明，如果完全实现，将是量子计算从实验研究迈向具有实际计算能力（尤其是在特定应用领域）的重要里程碑。该公司还在 2025 年 5 月展示了创纪录的逻辑量子比特隐形传态保真度，进一步证明了其在构建高质量逻辑量子比特方面的领先地位。

　　面对日益清晰的量子威胁，比特币社区并非束手无策。密码学界早已开始研究「后量子密码」（Post-Quantum Cryptography, PQC），即那些被认为能够抵抗已知量子算法攻击的新型密码算法。美国国家标准与技术研究院（NIST）经过多年筛选，已经公布了首批标准化的 PQC 算法，主要包括用于密钥封装的 CRYSTALS-Kyber，以及用于数字签名的 CRYSTALS-Dilithium、FALCON 和 SPHINCS+。

　　对于比特币而言，基于哈希的签名方案（Hash-Based Signatures, HBS），如 SPHINCS+，因其安全性不依赖于尚待大规模检验的数学难题（如格密码），而是基于已得到充分研究的哈希函数的抗碰撞性，被认为是一个有力的竞争者。SPHINCS+ 是无状态的（相比其前辈 XMSS 等），这一点对于区块链的分布式特性尤为重要。然而，基于哈希的签名通常面临签名体积较大、密钥生成和验证时间较长等挑战，这些都可能对比特币的交易效率和区块链的存储造成压力。如何在不牺牲比特币核心特性的前提下整合这些 PQC 算法，是一个巨大的技术难题。

　　比特币思想领袖 Jameson Lopp 在其广为讨论的文章《反对允许量子计算机恢复比特币》中，对这一问题提出了深刻的见解。他认为，如果任由拥有量子算力者「恢复」（实为窃取）那些未使用 PQC 保护的比特币，无异于一场面向少数技术寡头的财富再分配，这将严重损害比特币的公平性和可信度。他甚至提出了一个颇具争议的设想：设定一个「最终迁移期限」（drop-dead date），在此之后，未迁移到 QR 地址的比特币可能会被协议视为「已销毁」或永久无法花费。Lopp 承认，这是一种艰难的权衡，可能导致部分用户资产损失（尤其是那些长期休眠或丢失私钥的地址），甚至引发硬分叉，但他认为这是为了保护比特币网络长期完整性和核心价值主张所必须考虑的「苦药」。

　　然而，比特币这艘「万吨巨轮」，因其巨大的市值、广泛的用户基础以及根深蒂固的去中心化和抗审查理念，使其任何核心协议的改动都异常困难和缓慢。开发者社区对量子威胁的认知正在深化，相关的讨论（例如 Lopp 的文章、QRAMP 提案以及在 bitcoin-dev 邮件列表中的零星探讨）也在进行，但距离形成一个清晰、得到广泛共识的升级路线图，似乎还有很长的路要走。目前，尚缺乏来自主流比特币交易所、钱包服务商或大型矿池关于其 PQC 过渡计划的明确公开信息，这从一个侧面反映出，比特币的 PQC 转型更多还处于理论研究和早期探讨阶段，而非迫在眉睫的工程实施。