真的不能太乐观？同一天两篇论文，量子计算破解比特币的门槛骤降两个数量级

3 月 31 日下午，比特币逆转早晨的上涨行情，加速跌破 6.7 万美元关口，市场恐惧与贪婪指数滑入 28。社交媒体上，一张被反复转发的图片显示：量子计算机破解比特币私钥所需的物理量子比特，从百万级跳水到了万级。谷歌 Quantum AI 的研究员警告，量子攻击可以在 9 分钟内劫持一笔正在广播的比特币交易，约 41% 的概率抢在确认之前完成。约 690 万枚已暴露公钥的比特币，此刻正静静躺在链上，等着算力追上理论。

触发这场恐慌的，是前一天几乎同时发表的两篇论文。一篇来自谷歌 Quantum AI 团队，另一篇来自中性原子量子计算公司 Oratomic。单独看，每篇都是各自领域的重要进展。放在一起看，它们砍的是量子计算栈的不同层，效果直接相乘。

以太坊核心研究员 Justin Drake 在推文中称这是「量子计算和密码学具有里程碑意义的一天」。他参与了谷歌团队的论文，该论文改进了 Shor 算法，密码学界最著名的量子攻击算法，专门用于破解 RSA 和椭圆曲线加密。比特币和以太坊使用的 secp256k1 签名算法，正属于椭圆曲线加密的范畴。

为什么两篇论文放在一起才真正吓人？因为破解一个椭圆曲线签名所需的总物理量子比特 = 逻辑量子比特数（算法层面需要多少「干净」的计算单元）× 每个逻辑比特所需的物理比特数（纠错层面需要多少「冗余」硬件来维持一个干净单元）。谷歌的论文压缩了前者，Oratomic 的论文压缩了后者。分子和分母同时缩小，乘积跳水。

据 EUROCRYPT 2026 收录的论文，破解 256 位椭圆曲线所需的逻辑量子比特从 2017 年的 2,330 个（据 Roetteler 等人基准论文）降到 2020 年的 2,124 个（据 Haner 等人改进），再到 2026 年 3 月的 1,098 个。九年间，算法层面的需求缩减了超过一半。谷歌团队的论文更进一步，针对比特币和以太坊使用的 secp256k1 曲线做了专门优化，将所需逻辑比特压到约 1,000 个，电路深度仅约 1 亿个 Toffoli 门（据 CryptoBriefing 引用 Justin Drake 描述），在超导平台上意味着约 1,000 秒的 Shor 算法运行时间。

与此同时，据推文引用的 Oratomic 论文数据，中性原子方案将每个逻辑比特所需的物理比特从传统表面码的约 400 个压缩到约 10 个。这个突破的原理与谷歌完全不同。谷歌优化的是算法本身的效率，Oratomic 优化的是底层硬件的纠错开销。两项改进可以叠加。

两个数字相乘：2017 年的估计是约 700 万个物理量子比特，2026 年 3 月的中性原子路线估计是约 1 万个。总需求从百万级跌入万级，降幅超过两个数量级。

这个乘法效果催生了两条截然不同的攻击路线。

据推文整理的论文推算，超导路线（谷歌研究方向）需要约 50 万个物理量子比特，运行约 9 分钟即可破解一个私钥，快到足以劫持实时交易。中性原子路线（Oratomic 研究方向）只需约 1 万个物理量子比特，但运行时间拉长到约 10 天。这不是问题，因为它的攻击目标是公钥已暴露的休眠钱包，不赶时间。

差距怎么理解？谷歌目前最强的 Willow 处理器有 105 个超导量子比特（据 Google Quantum AI 规格书），距离 50 万的门槛还差约 4,762 倍。但中性原子领域的容错计算系统已达约 500 个量子比特，距离 1 万的门槛只差约 20 倍。如果看物理阵列规模而非容错能力，实验室已捕获超过 6,100 个原子，差距进一步缩窄到不足 2 倍。

20 倍和 4,762 倍，是两个完全不同量级的距离。中性原子路线比多数人想象中更近。

而比特币这边的处境，远没有准备好迎接这个变化。

据 Ark Invest 和 Unchained 联合报告，约 700 万枚比特币（约占总供应量 33%）暴露在量子风险下，价值约 4,400 至 4,800 亿美元。这些脆弱地址分三类。约 170 万枚位于早期 P2PK 地址，公钥直接暴露在链上，且大部分已丢失，无人能操作迁移。约 110 万枚归属中本聪，分布在约 2.2 万个地址中，持有者身份未知。剩余约 420 万枚在地址复用或 P2TR 地址中，公钥同样已暴露，但持有者理论上可以主动迁移到安全地址。

换句话说，约 280 万枚比特币（占脆弱总量的 40%）无论如何都救不了。它们的私钥要么丢了，要么持有者永远不会出现。这不是一个技术能解决的问题，而是一个治理问题，社区是否要冻结这些注定暴露的地址。据 CoinDesk 2 月报道，围绕是否冻结中本聪的 110 万枚持仓，比特币社区已经产生了激烈争论，目前没有达成任何共识。

即使是理论上可迁移的 420 万枚，迁移也不是自动发生的。持有者需要主动将资产从旧地址转移到使用新签名方案的地址，而历史经验表明，大量持有者不会在截止日前采取行动。

面对同一个威胁，三条主流公链的应对策略严重分化。

据以太坊基金会 2026 年 3 月 25 日上线的 pq.ethereum.org，以太坊已准备了 8 年，拥有完整的多阶段路线图：用 leanXMSS 哈希签名替换当前的 BLS 签名方案，目标 2029 年完成 L1 协议升级。超过 10 个客户端团队每周运行后量子 devnet 互操作性测试，用户可通过账户抽象渐进迁移，不需要硬分叉。谷歌自己也设定了 2029 年完成内部后量子迁移的截止日（据 Google Security Blog），以太坊的时间表与之吻合。

Solana 有一个实验性的方案。2025 年 12 月由 Zeus Network 首席科学家 Dean Little 在 GitHub 提出的 Winternitz Vault，使用哈希签名的一次性保险库机制。但这是可选方案，用户需要主动 opt-in，且没有官方时间表。

比特币的情况最为严峻。没有协调方案，没有基金会级别的专项资金，没有时间表。比特币的治理模型要求去中心化社区达成广泛共识才能推动协议变更，而这个社区历史上以缓慢著称。据全球风险研究所 2026 年量子威胁时间线报告，密码学相关的量子计算机在 10 年内「相当可能」出现，在 15 年内「很可能」出现。以太坊的 2029 目标如果按计划推进，将在窗口关闭前完成迁移。比特币目前连讨论都还在早期阶段。

两篇论文同天发表，让一个长期被视为「遥远威胁」的问题突然有了具体的数字：1 万个物理量子比特，10 天，一个休眠钱包的私钥。

但需要强调的是，这仍然是一个理论门槛的大幅降低，而非一次迫在眉睫的攻击。当前最先进的中性原子系统离 1 万个容错量子比特仍有约 20 倍差距，超导路线的差距更在数千倍量级。10 到 15 年的时间窗口仍然存在，比特币社区并非毫无机会。比特币过去经历过区块大小之争、SegWit 激活等高度对立的治理考验，最终都在压力下走向了共识。量子威胁的性质不同于路线之争，它不涉及利益分歧，而是整个网络面临的共同风险。这反而可能成为推动比特币社区加速行动的外部力量。

真正的问题不是量子计算能不能破解比特币，而是比特币社区能否在窗口关闭之前完成准备。