比特幣的量子轉變：為何Saylor的願景忽略了170萬BTC的加密危機

Michael Saylor 於12月16日關於量子計算與比特幣的聲明反映出對網絡未來韌性的樂觀態度。他的論點——即量子技術的進步最終將鞏固比特幣的安全性，而非削弱它——捕捉了一個引人入勝的敘事。然而，在這種樂觀的框架之下，潛藏著一個更為複雜的技術現實：時間點、治理協調以及遺留輸出漏洞等挑戰，對他所設想的平滑過渡構成威脅。

物理窗口：十年行動期限，但執行仍不確定

Saylor 的方向性主張具有一定的合理性。比特幣受到量子電腦威脅，主要源於其數字簽名方案——特別是 secp256k1 上的 ECDSA 和 Schnorr 簽名，而非來自工作量證明。理論上，當量子系統達到約 2,000 至 4,000 個邏輯量子比特時，Shor’s 算法就會威脅私鑰推導，但目前的設備距離這個門檻仍有數量級的差距。具有密碼學相關性的量子電腦，可能還需要十年以上的時間才能實現。

NIST 最近的標準化工作進一步鞏固了這一時間表。該機構已完成包括 ML-DSA (Dilithium) 和 SLH-DSA (SPHINCS+) 在內的後量子簽名標準，作為 FIPS 標準的一部分——包括在 § 204 bgb 監管框架中的參考——而 FN-DSA (Falcon) 正在推進至 FIPS 206。比特幣的 Optech 已追蹤後量子簽名聚合和 Taproot 兼容構造的實時整合提案，實驗性工作證實像 SLH-DSA 這樣的算法可以在比特幣的運行限制內執行。

然而，Saylor 的敘述巧妙地避開了實施成本的問題。遷移研究表明，現實中的後量子轉型涉及重大防禦性權衡：雖然量子韌性提升，但區塊容量可能縮減約50%。較大的後量子簽名需要更高的驗證成本，推高交易手續費，因為每個簽名佔用的區塊空間比例更大。節點運營者面臨更高的計算需求。更難的挑戰仍然是治理——比特幣沒有中央授權機構。在一台具備能力的量子電腦出現之前，讓開發者、礦工、交易所和主要持有者達成壓倒性共識，這是一個政治和協調的負擔，甚至可能超越加密技術本身的挑戰。

暴露供應問題：為何“凍結”幣可能已經處於風險之中

Saylor 主張“遺失的幣會一直凍結”誤解了鏈上量子脆弱性的現實。幣的暴露程度完全取決於輸出類型和公鑰的可見性。

早期的 pay-to-public-key (P2PK) 輸出會將原始公鑰直接存放在鏈上，永久可見。標準的 P2PKH 和 SegWit P2WPKH 地址最初將公鑰隱藏在密碼哈希之後，但一旦幣被花費，公鑰進入記憶池（mempool），就會暴露出來。Taproot P2TR 輸出——一種現代構造——從一開始就將公鑰編碼在內，使這些 UTXO 在任何交易發生之前就已暴露。

根據 Deloitte 和近期比特幣專門研究的分析，約有 25% 的比特幣存在於公鑰已暴露的輸出中。鏈上調查顯示，約有 170 萬 BTC 鎖定在 Satoshi 時代的 P2PK 輸出中，還有數十萬在 Taproot 地址中，公鑰已暴露。這些閒置的持有量中，許多並不真正“遺失”——它們代表無主資本，可能成為擁有者在擁有足夠強大量子機器時的獎金。

唯一能得到可靠保護的幣，是那些從未暴露公鑰的幣：單次使用的 P2PKH 或 P2WPKH 地址，利用哈希保護，Grover’s 算法僅能提供平方根級的加速——這可以通過調整參數來抵消。真正處於風險的供應，正是那些閒置且已暴露的部分：已鎖定在已知公鑰上的幣，且所有者在任何升級周期中都保持不活躍。

供應動態：自動縮減並非保證

Saylor 主張“安全性提高，供應量下降”可以清楚地分為密碼學機制和投機性結果。這些機制是合理的：後量子簽名旨在抵抗大型容錯量子系統，並已納入官方標準。比特幣的遷移方案包括混合輸出，要求同時使用經典和後量子簽名，以及簽名聚合的想法，以最小化鏈條膨脹。

然而，供應量的縮減既非自動，也非必然。可能出現三種競爭情境：

情境一：放棄導致的損失。 在脆弱輸出中，所有者未進行升級，導致幣變得實質上被困或明確被列入黑名單，隨著網絡規則演變。

情境二：盜竊導致的再分配。 量子攻擊者竊取暴露的錢包，將供應轉移給新持有者，而非從流通中移除。

情境三：物理限制前的恐慌。 僅憑對量子能力逼近的感知，就可能引發恐慌性拋售、鏈分裂或有爭議的分叉，甚至在任何機器達到密碼學相關性之前。

這些情境都不能保證循環供應的實質性縮減，從而穩定支撐比特幣的價格。更可能的結果是價格的混亂重估、治理爭議，以及對遺留錢包的一次性攻擊浪潮。供應是否真正收縮，取決於政策選擇、用戶遷移速度和攻擊者能力——而非必然由密碼學決定。

工作量證明本身仍相對堅固。Grover’s 算法對 SHA-256 只提供二次方的加速，這一限制可以通過調整參數來應對。較微妙的危險在於記憶池：當交易花費哈希公鑰地址時，公鑰會在等待區塊包含期間變得可見。近期分析描述了一種“簽名並竊取”攻擊，量子對手監控記憶池，迅速恢復私鑰，並廣播一個具有更高手續費的衝突交易。

真正的賭注：協調而非密碼學

物理學和標準化路線圖都一致認為：量子計算不會一夜之間破壞比特幣。一個現實的後量子遷移窗口至少延續十年或更長時間，讓用戶在密碼學相關性到來之前進行有意義的升級。

但這種遷移伴隨著高昂的成本——計算、治理和財務。當前比特幣的相當一部分已經處於量子暴露的輸出中，這些並非未來機器的威脅，而是等著一旦能力到來就被協調攻擊者利用的脆弱點。

Saylor 的方向性正確，比特幣可以變得更安全。網絡可以採用後量子簽名，升級脆弱的輸出，並以更強的密碼學保障來強化安全性。然而，這一結果假設一個平滑的過渡：治理能夠無縫合作，所有者能及時遷移，攻擊者也不會利用過渡期間的漏洞。以目前比特幣約 $90.57K 的交易價格和超過 1.8 兆美元的市值來看，執行失敗的風險已經變得極為巨大。

比特幣或許能以更強的安全性出現——伴隨著簽名升級，甚至部分供應因放棄而實質性銷毀。但成功的關鍵不在於量子能力的時間表，而在於開發者和主要持有者是否能在物理限制追上之前，完成一個昂貴且政治上複雜的升級。Saylor 的信心最終反映的是對協調的押注，而非純粹的密碼學。