比特币开发者启动量子安全路线，推出BIP-360

可信的编辑内容，由行业领先专家和经验丰富的编辑审阅。广告披露 比特币的量子安全讨论在代码和规范流程中又获得了一个具体的新成果：BIP-360的更新草案已合并到官方比特币改进提案仓库中，提出了一种与Taproot相邻的输出类型，旨在限制未来量子密钥恢复攻击的暴露。

这一变化的重要性不在于“解决”了当前的量子风险，而在于它正式确立了一条特定的、可选择的路径，既能保持Taproot的脚本树功能，又能去除在量子威胁模型下被认为最具问题的支出路径。

比特币开发者首次正式迈出量子抗性步伐

由Marathon Digital（MARA）孵化的研究平台Anduro在X（前Twitter）上表示，合并的更新“引入了Pay-to-Merkle-Root（P2MR），这是一种提议中的新输出类型，省略了Taproot中易受量子攻击的密钥路径支出，同时保持与Tapscript和脚本树的兼容性。”

相关阅读：德意志银行策略师称比特币“已不再是数字黄金”在BIP术语中，该提案属于“共识（软叉）”范围，定义P2MR为一种新的SegWit v2输出，直接提交到脚本树的Merkle根，而不是像Pay-to-Taproot（P2TR）那样提交到经过调整的公钥。实际意义很简单：P2MR输出只能通过脚本路径逻辑进行支出；密钥路径支出被完全移除。

该BIP的摘要将目标描述为在最小化变更的同时，为希望获得额外保护的用户提供一套选项：

“本文件提出一种新型输出类型：通过软叉实现的Pay-to-Merkle-Root（P2MR）。P2MR输出的功能几乎与P2TR（Pay-to-Taproot）输出相同，但移除了密钥路径支出。”

它还补充说，预期的保护对象是“抵御由密码学相关的量子计算机（CRQCs）进行的长时间暴露攻击”，以及“未来可能破坏比特币所用椭圆曲线密码学（ECC）的密码分析方法”。

该BIP的一个关键要素是定义上的严谨：它区分了“长时间暴露”攻击（即在链上长时间暴露公钥）与“短时间暴露”攻击（在未确认支出期间在内存池中短暂暴露公钥的攻击）。

文件明确指出，P2MR并非完全的量子防护措施。“值得注意的是，提议的P2MR输出仅能抵抗对椭圆曲线密码学的‘长时间暴露攻击’，即对在确认支出交易前暴露时间超过必要时间的密钥的攻击，”该BIP指出。

“对更复杂的量子攻击的保护，包括在交易等待确认期间从暴露的公钥中恢复私钥的保护（即‘短时间暴露攻击’），可能需要在比特币中引入后量子签名。”作者补充说，他们“打算在进一步研究后提出一个单独的方案”。

这也是为什么该提案强调与tapscript的兼容性。它将P2MR定位为一种脚本树输出类型，如果比特币未来采用后量子签名操作码，P2MR可以提供比旧的脚本机制更为清晰的升级路径，而旧机制不支持tapscript的演进。

Anduro强调，这一变更设计为软叉，“不影响现有的Taproot输出”。P2MR将是一种新型输出（bech32m地址以bc1z开头），而不是对现有bc1p Taproot UTXO的改造。

相关阅读：比特币大户交易所资金流出激增：是抄底信号吗？该提案也不假装这一变换是免费的。通过移除密钥路径支出，P2MR放弃了Taproot最紧凑的见证路径（单一的Schnorr签名）。BIP估算，最小的P2MR支出见证比Taproot密钥路径支出多37字节，但可能比等效的Taproot脚本路径支出更小，因为P2MR的控制块省略了内部公钥。

隐私方面也发生了变化。由于每次支出都是脚本路径，P2MR用户必须披露他们是从脚本树中支出——而Taproot的密钥路径支出可以避免信号暴露。

Anduro还表示，更新“也解决了关于比特币开发者未充分重视量子威胁的批评”，并提到加入Isabel Foxen Duke作为共同作者，以使BIP对“普通公众而非仅比特币开发者社区”更为清晰。

BIP-360仍处于“草案”状态，但其合并到规范仓库仍是一个重要的过程标志：它将量子安全的讨论从抽象的担忧和邮件列表的假设，转向了具体的共识变更提案，钱包、库和审查者现在可以逐行分析。

如果讨论进入下一阶段，很可能会集中在“准备好而非害怕”的可选择性措施（如P2MR）是否足够基础，还是比特币最终必须直接应对后量子签名和大规模迁移价值的操作现实。

截至发稿，比特币价格为66,558美元。

比特币必须重新夺回200周指数移动平均线，1周走势图 | 来源：TradingView上的BTCUSDT 比特币主义的编辑流程专注于提供经过充分研究、准确且无偏见的内容。我们坚持严格的来源标准，每个页面都由我们的顶级技术专家和经验丰富的编辑团队进行细致审查。这一流程确保了内容的完整性、相关性和价值，惠及我们的读者。