比特币面临量子攻击的风险范围与现状

当前普遍认为,约25%至30%的比特币存在量子计算攻击风险。据Project 11风险清单显示,已有超过688万枚比特币(价值超4500亿美元)因存储于公钥已暴露的地址中而被视为“面临风险”。其中约300万至400万枚被认为已丢失且无法迁移至更安全的地址类型。 然而,这一评估仅反映当前状态。若不推进向后量子安全机制的过渡,理论上所有2100万枚比特币均可能在未来被足够先进的量子计算机破解。尤其当交易发生时,公钥将在内存池中短暂暴露,持续时间通常为10至60分钟,构成一个可被利用的时间窗口。 对于中本聪持有的比特币——其公钥在过去十五年始终处于公开状态——即便具备先进量子算力,也需耗费数月完成破解。但这并不意味着其余币种安全。一旦量子计算机规模扩大,实现“即时攻击”将成为现实,威胁整个网络的完整性。

BIP-360无法完全防范短时暴露攻击

最新更新的BIP-360提案提出一种名为“支付至默克尔根”(P2MR)的新地址类型,旨在将大量高风险比特币转移至具备量子弹性的存储结构中。 该提案明确指出,P2MR仅能抵御针对椭圆曲线密码学的长时暴露攻击,即公钥暴露时间超过交易确认周期的情况。而对于短时暴露攻击,情况则更为复杂:攻击者必须在输出被花费后立即得知公钥,并在矿工确认前完成私钥推导,以实施双花攻击。 BIP-360合著者Ethan Heilman强调,长时暴露攻击是首要应对目标。因为即使一台量子计算机需6个月才能破解一个公钥,对长期暴露的资产而言仍是可行的;但对于短时暴露,若破解时间远超10分钟,则攻击不具备经济可行性。

短时量子攻击是否现实?

从理论上看,短时攻击是可能的,但具体实现时间尚不确定。关键在于何时量子计算机能拥有足够数量且运行速度足够的物理量子比特,以捕捉那个短暂的暴露窗口。 近期动态表明,相关技术正快速推进。芝加哥已启动首个配备100万个物理量子比特的设施建设项目,预计2027年完成。同时,PsiQuantum获得贝莱德旗下基金10亿美元投资,反映出市场对量子计算成熟度的信心。 过去几年,破解加密所需量子比特数量大幅下降。2024年2月发布的《顶峰架构》预印本论文指出,使用不到10万个物理量子比特即可在约一个月内破解2048位RSA加密;若采用47.1万量子比特,一天内即可完成。 虽然比特币采用的是椭圆曲线密码学(ECC),不同于RSA,但专家如Scott Aaronson教授认为,由于比特币密钥仅为256位,相比RSA的2048位更易受肖尔算法影响,因此其安全性可能更低。

破解比特币需要多长时间?

根据德勤合伙人Marc Verdonk的研究报告《量子计算机与比特币区块链》,目前科学预测显示,量子计算机大约需8小时破解一个RSA密钥,而某些模型甚至预测比特币签名可在30分钟内被攻破。 Verdonk指出,这仍提供一定保护期,但他警告该领域处于早期阶段。“如果未来量子计算机能在接近10分钟内完成密钥推导,那么比特币区块链将面临根本性崩溃。” 然而,也有观点持谨慎态度。CoinShares的Christopher Bendiksen在报告中称,实际可能被盗的比特币仅有约10,200枚。他指出,多数早期矿工的币集中于32,607个独立地址,即便在最乐观的技术情景下,也需要“数千年”才能解锁全部。 Bendiksen进一步估算,要在一天内破解比特币,需一台拥有1300万个物理量子比特的设备;若要在一小时内完成,则需比谷歌“柳树”(105量子比特)强300万倍的系统。 值得注意的是,该研究基于2022年的数据,而近期关于用10万量子比特破解RSA的估算已显著降低,说明该结论可能已过时。此外,原始论文本身亦承认,RSA-2048与比特币的EC加密难度相当。

量子计算机类型决定攻击效率

以太坊研究员Justin Drake在Unchained节目中表示,不同类型的量子比特对攻击速度有决定性影响。谷歌正研发超导量子比特,具有极快门操作能力;而PsiQuantum则专注于光子编码,同样追求高速运算。 相比之下,囚禁离子和中性原子等技术更注重相干性而非速度。因此,若采用快速型量子计算机,如超导或光子系统,破解单个密钥的时间可能降至分钟级别,甚至约十分钟。

为何短时攻击可能无利可图

尽管短时攻击在理论上可行,但其经济合理性存疑。Edwards指出,一旦具备这种能力,市场反应将是灾难性的——比特币价格将暴跌,持有者纷纷抛售,网络失去信任。 “显然,这在现实中不会发生,因为一旦具备此能力,没人会愿意持有比特币,其价值将趋近于零。因此,攻击者根本没有动机去执行此类行为。” 他强调:“我们必须解决这个问题。不作为不是一个选项。只有通过升级网络,确保地址具备后量子安全性,才能保障比特币生态的长期繁荣。”