Security ·

量子计算机会破解Bitcoin吗?2026年分析

量子计算经常被引用为加密货币的终极威胁。头条新闻宣称,一台足够强大的量子计算机可以破解 Bitcoin 钱包、窃取资金,并在一夜之间摧毁整个区块链生态系统。但在2026年,这种情景有多现实,加密货币持有者实际上应该担心什么?

本分析拆解了量子威胁背后的真实科学,将炒作与真正的风险区分开来,并概述了您现在和未来几年可以采取的具体步骤来保护您的资产。

量子计算机 vs 椭圆曲线

每个加密货币钱包都依赖于私钥公钥之间的数学关系。当您在 BitcoinEthereum 上生成钱包时,您创建一个随机私钥并通过椭圆曲线乘法从中派生公钥。该系统的安全性建立在一个假设上:对于经典计算机来说,逆转这一操作(从公钥计算私钥)在计算上是不可行的。

Bitcoin 和 Ethereum 都使用 secp256k1 椭圆曲线,而 Solana 使用 Ed25519。两种曲线类型都依赖椭圆曲线离散对数问题(ECDLP)。在经典硬件上,求解256位密钥的 ECDLP 需要大约 2^128 次操作,这个数字大到地球上所有计算机并行运行到宇宙热寂也无法完成。

量子计算机改变了这个等式。它们使用可以存在于状态叠加中的量子比特运行,使某些计算比经典机器能实现的任何计算呈指数级加速。威胁椭圆曲线密码学的特定算法已被充分理解,它叫做 Shor 算法。

Shor 算法简单解释

Peter Shor 于1994年发表了他的算法,它提供了一种在量子硬件上多项式时间内解决整数分解和离散对数问题的方法。以下是不深入量子门操作的基本概念。

经典计算机试图将公钥逆向转换为私钥时,基本上必须猜测和检查。搜索空间如此庞大,暴力破解毫无希望。Shor 算法利用量子并行性来找到与椭圆曲线操作相关的数学函数的周期。一旦知道周期,推导私钥就变成了简单的算术。

对于 secp256k1 曲线上的 ECDSA 签名(Bitcoin 和 Ethereum 使用),量子计算机大约需要2,500个逻辑量子比特来破解256位密钥。对于 Ed25519(Solana 使用),要求类似,因为两种曲线都提供128位经典安全级别。

这里的关键词是"逻辑"量子比特。逻辑量子比特是由许多物理量子比特构建的纠错量子比特。当前的量子计算机错误率很高,每个逻辑量子比特可能需要1,000到10,000个物理量子比特进行纠错,具体取决于硬件架构。这意味着破解 secp256k1 可能需要250万到2500万个物理量子比特。

截至2026年初,最大的量子计算机大约有1,000到1,500个物理量子比特,而且大多数无法维持足够长的相干时间来满足 Shor 算法所需的深层电路深度。我们所在的位置与需要达到的位置之间的差距是巨大的。

时间线:什么时候可能发生?

量子计算研究人员的估计差异很大,值得了解原因。

乐观预测(2030-2035年): IBM 和 Google 等公司的一些研究人员有路线图显示在未来十年内可以达到数百万个物理量子比特。如果纠错按照这些路线图假设的速度推进,密码学相关的量子计算机可能在2030年代初出现。

中等估计(2035-2045年): 大多数学术密码学家将能够破解256位椭圆曲线的量子计算机时间线定在距今15到20年。这考虑到了在保持低错误率的同时扩展量子比特数量的工程挑战。

保守观点(2050年以后): 一些物理学家认为,退相干、纠错开销和基本工程障碍将把密码学相关的量子计算推迟到本世纪中叶之后很久,甚至在这个用例上可能永远不会到来。

美国国家标准与技术研究院(NIST)一直按照威胁足够真实以值得现在采取行动的假设运作,这就是为什么他们在2024年最终确定了首批后量子密码学标准。他们的立场本质上是:"我们不确切知道什么时候,但迁移将需要数年,所以现在就开始。"

对于加密货币,相关问题不仅是量子计算机何时到来,还有区块链生态系统能否在那一天之前迁移其密码学原语。鉴于 Bitcoin 协议更改需要广泛共识且通常进展缓慢,迁移的时间线可能与威胁本身的时间线同样重要。

后量子密码学

后量子密码学(PQC)指的是被认为能抵抗经典和量子攻击的密码学算法。NIST 在2024年标准化了三种 PQC 算法:CRYSTALS-Kyber 用于密钥封装、CRYSTALS-Dilithium 用于数字签名,以及 SPHINCS+ 作为基于哈希的签名备选方案。

这些算法依赖于没有已知高效量子算法的数学问题(格问题、哈希函数)。特别是基于格的密码学已被研究数十年并经受了广泛的密码分析。

对于区块链应用,签名方案是关键组件。Bitcoin 交易使用 ECDSA 签名。后量子 Bitcoin 需要将 ECDSA 替换为 Dilithium 或基于哈希的签名方案如 SPHINCS+。权衡是显著的:

  • 签名大小: ECDSA 签名约72字节。Dilithium 签名约2,400字节。SPHINCS+ 签名可超过7,000字节。这直接影响区块空间和交易费用。
  • 密钥大小: secp256k1 公钥为33字节(压缩)。Dilithium 公钥约1,300字节。
  • 验证速度: 后量子签名验证通常比 ECDSA 慢,不过 Dilithium 的速度还算合理。

Ethereum 由于其基于账户的模型和协议升级历史,具有更大的灵活性。Solana 的架构基于 Ed25519,也需要根本性的改变,尽管其更快的升级周期可能是一个优势。

几个区块链项目已经在实验后量子签名。Bitcoin 社区已经讨论了添加后量子签名类型的软分叉提案,尽管没有具体时间表。关键要点是密码学工具已经存在,但集成到生产区块链中仍然是多年的工程工作。

当前密钥安全吗?

这是大多数加密货币持有者真正关心的问题。答案取决于"当前"是什么意思以及您的密钥如何使用。

未使用的地址(没有出站交易): 如果您收到了发送到某个地址的 Bitcoin 但从未从该地址支出,您的公钥尚未在区块链上公开。Bitcoin 地址是公钥的哈希,从地址找到公钥需要破解哈希函数(SHA-256 和 RIPEMD-160),量子计算机无法高效攻击这些函数。您的资金有额外的保护层。

重复使用的地址(公钥已暴露): 如果您从某个 Bitcoin 地址支出过,您的公钥在区块链上可见。未来的量子计算机可以从此公钥推导出您的私钥。然而,如果地址余额为零,则没有什么可偷的。

有余额且公钥已暴露的地址: 这是最脆弱的类别。如果您在之前发送过交易的地址中持有资金,您的公钥已暴露,您的资金理论上面临未来量子攻击者的风险。

对于 Ethereum 和其他 EVM 链,每笔交易都会暴露发送者的公钥,因此 Bitcoin 享有的"哈希保护"层在同等程度上不适用。

"现在收集,以后解密"威胁: 一个复杂的对手可能会记录加密数据和公钥,打算在量子计算机可用后解密它们。对于区块链数据,一切都已经是公开的,所以没有额外需要"收集"的东西。这种威胁对加密通信比对加密货币更为相关。

您今天可以采取的实际步骤

虽然量子威胁不是迫在眉睫的,但负责任的安全实践可以减少您未来的风险。以下是您可以做的。

用强熵生成密钥。 任何密码学安全的基础是随机性质量。使用 SafeSeed 的 Bitcoin 助记词生成器Ethereum 助记词生成器等受信任的工具来创建具有适当助记词。在量子计算机到来之前,一个糟糕生成的密钥今天就容易受到经典攻击。我们的指南加密货币中的熵是什么解释了为什么这很重要。

避免地址重复使用。 HD 钱包为每笔交易生成新地址,这意味着您的公钥仅在广播和确认之间短暂暴露。这种做法已经出于隐私原因被推荐,也限制了量子暴露。阅读更多关于 HD 钱包和派生路径的工作原理。

定期将资金转移到新地址。 如果您在之前交易过的地址中持有长期储蓄,考虑将这些资金转移到新生成的地址。这将您的公钥重新隐藏在地址哈希之后。

对高价值钱包使用离线生成。气隙计算机上生成助记词和私钥以获得最大安全性。这既能抵御当前威胁(恶意软件、键盘记录器)也能抵御未来威胁。

遵循冷存储最佳实践。 助记词的物理安全至关重要。我们的冷存储指南涵盖了金属备份、地理分布和访问规划。

关注协议升级动态。 当 Bitcoin、Ethereum 或 Solana 宣布后量子迁移计划时,您可能需要将资金转移到新的地址格式。关注核心开发者讨论确保您不会措手不及。

不要恐慌。 量子对加密货币的威胁是真实的但遥远的。您有数年,可能数十年的时间,在任何行动被迫之前。2026年对您加密货币的最大风险不是量子计算机,而是钓鱼攻击、恶意软件和糟糕的密钥管理。将您的精力集中在今天保护您的私钥安全最佳实践上,并将量子威胁作为值得监控的背景关注。

向后量子密码学的过渡将是去中心化系统历史上最大的协调升级之一。它将是混乱的、有争议的和缓慢的。但密码学社区已经准备了十多年,工具已经就绪。问题不是加密货币能否在量子计算中幸存,而是过渡将如何优雅地进行。