Google刚刚告诉加密行业:威胁比任何人定价时认为的都更接近。行业——难得一次——正在倾听。
Google的Quantum AI团队在周一晚些时候发布的一份白皮书发现,破解用于保护比特币和以太坊钱包的256-bit椭圆曲线密码学,可能只需要少于500,000个物理量子比特(量子系统中的一种计算单位),这大约比之前将需求定在“数百万”级别的估计减少了20倍。
该论文还描述了:一旦某个交易暴露了一个公钥,量子计算机就可能在大约九分钟内破解比特币的私钥,从而让攻击者有41%的机会击败比特币的10分钟确认窗口。
这项研究如同一枚炸弹席卷了线上加密圈。并不是因为它说量子计算机今天就能破解比特币——它们做不到——而是因为它把“可能会发生”的时间线大幅压缩了。
“我们不再看中2030年代中期;我们可能在本十年末就拥有这种规模的量子计算机,”在X上,Dragonfly的管理合伙人Haseeb Qureshi说。“所有区块链都需要ASAP的迁移计划。后量子(Post-quantum)不再是一场演练。”
Qureshi指出了Google披露中一个不寻常的细节:团队没有发布实际的量子电路。相反,他们发布了一种零知识证明,用于验证电路确实存在,而不揭示它们如何工作。“这非常非典型,表明Google认为这事很严重,”他说。
Justin Drake是一名以太坊基金会研究员,作为后期共同作者加入了Google的论文。他表示自己对“q-day在2032年到来”的“信心显著提升”,并估计:至少有10%的机会,在那之前,量子计算机能从一个已暴露的公钥中恢复出一个“secp256k1”的私钥。
Drake提到,优化后的量子电路“只是1亿个Toffoli门”,而且“令人惊讶地相当浅”,并且在超导平台上,总运行时间大约为1,000秒。
“低垂的果实仍在被摘取:至少有一个Google的优化,来自一个令人意外地简单的观察,”Drake补充道。“AI还没有被指派去寻找优化。”
尽管人类研究者仍在发现直观的改进,但还没有触及所需量子比特数量的“地板”。Drake说,逻辑量子比特的数量“很可能很快就会降到1,000以下”。
今天对量子计算和密码学来说是一个具有里程碑意义的日子。两篇突破性论文刚刚发布(下一条推文中的链接)。这两篇论文都改进了Shor算法——因破解RSA和椭圆曲线密码学而臭名昭著。两项结果相互叠加,优化了…
— Justin Drake (@drakefjustin) 2026年3月31日
安全工程师Conor Deegan——他在Google论文中被引用的研究已发表——给出了最具技术细节的回应之一。他指出论文呈现出的一个模式:量子计算是一种一次性成本,用它产生可以无限次复用的经典漏洞利用方式。
以太坊的“KZG”可信设置、Zcash的“Sapling”协议,以及莱特币的“MimbleWimble”,都将椭圆曲线的强度嵌入到固定的公开参数中,而这些参数只需要被破解一次即可。
“鉴于这些资源估算,在ECDLP曲线上部署新的加密基础设施已经无法辩护,”Deegan说。
该论文估算,大约6.9百万比特币(约占总供应量的三分之一)存放在钱包中,而这些钱包里的公钥已经被暴露过。这包括网络早期的1.7百万BTC,其中包括中本聪(比特币网络这位神秘的创造者)的相关币,以及由于地址复用而受到影响的额外资金。
CoinDesk在周一早些时候报道称:比特币的2021年Taproot升级(旨在实现更高效、更私密的交易)默认也在区块链上暴露了公钥,而这一技术动作如今带来了量子风险。
这一数字远远超过CoinShares在2月份的估计:只有大约10,200 BTC足够集中,若被盗将导致“显著的市场扰动”。Google的方法统计的是所有已暴露的密钥,而不只是大额余额。
反应沿着熟悉的分界线展开。以太坊的准备工作得到了称赞;比特币的缺位引发了警惕。
“你可以把q-day想成Y2K,但是真实发生的,”以太坊圈里关注度很高、但只被称为“McKenna”的加密投资者、Arete的管理合伙人说。“人们应该感谢以太坊基金会的提前布局,并引领了这项研究。这其中最棘手的部分是比特币:缺乏紧迫感,以及在脆弱币该怎么办的问题上,达成共识存在争议。”
以太坊基金会上周推出了pq.ethereum.org,包含8年的后量子研究成果、每周都有超过10个客户端团队交付的开发网(devnet),以及一个多分叉的迁移路线图。
参与共同撰写Google论文的Drake也属于同一以太坊团队——研究者在量化威胁、而开发者在构建防御之间,形成了直接的联系。
StarkWare的联合创始人Eli Ben-Sasson敦促比特币社区“加强类似BIP 360的举措”,该提案将引入抗量子的“钱包格式”,以允许自愿迁移。
“说量子计算机正在到来不是FUD,”Ben-Sasson说。“FUD是在说比特币无法适应。它可以适应。只是需要从今天就开始着手这些解决方案。”
比特币需要为量子时代做好准备。
我们需要加强类似BIP 360的举措。
我们需要投入更多精力,寻找有创意、聪明的解决方案,以确保比特币在后量子时代仍然安全。说量子计算机正在到来不是FUD。FUD是在说…
— Eli Ben-Sasson | Starknet.io (@EliBenSasson) 2026年3月31日
比特币倡导者Bit Paine给出了相对克制的看法。“我仍认为大约10年是更可能的时间框架,但我对我们在未来五年内看到某种具有破坏性的事态发展的可能性赋予了令人不安的高。高到:在接下来的一到两年内采取行动是谨慎的。”
促使他改变思路的因素是“量子计算(QC)进展中的持续非线性,以及支撑这项研究的保密‘迷雾’”。他说,当物理量子比特的估计值下降了好几个数量级时,“我们可能没有太多时间窗口:从‘量子正朝着扰乱比特币的方向发展’到‘secp256k1被破解’之间。”
Paine还补充了国家安全层面的维度。“可能会在隐蔽模式下开发一种CRQC,然后像从看不见的地方突然出现一样掉出来。”
Google选择使用零知识证明而不是发布电路,这也强化了这一点。假如世界领先的量子实验室出于安全原因对自己的研究进行自我审查,那么具备同等或更强能力的国家行为体几乎不太可能完全公开发布。
Drake也呼应道:“从现在起,假设最先进的算法将会被审查。学术出版物出现‘黑屏’般的空白,将是一个不容忽视的信号。”
一些行业声音质疑:为什么Google把最详细的分析投向加密行业,而不是银行或军事系统。ETF分析师Eric Balchunas问:为什么Google要把这些研究的时间/金钱“用在加密上,而不是一些社会意义更重大的领域”。
Castle Island Ventures的合伙人Nic Carter给出了答案:区块链是最脆弱的系统,因为它们依赖于量子计算机可以破解的加密。“银行不会因为你逆向分析一个单一密钥而失败。区块链会,”Carter说。“它们要脆弱得多。银行无论如何都会升级。那里的攻击面不会出现。”
Binance联合创始人Changpeng Zhao呼吁保持冷静,但也承认现实中的困难。
“所有加密的事情只需要升级到抗量子(Quantum-Resistant,后量子)的算法。所以不需要恐慌,”Zhao说。“但实际上有一些执行层面的考虑。在一个去中心化的世界里组织升级很难。”
Zhao也直接提出了中本聪(Satoshi)的疑问:如果这些币在迁移期间发生移动,“这意味着他还在,这就很有趣。要是不动,”他说,“那也许更好地锁定,或在本质上销毁这些地址,让它们不要流向第一个破解的人——那个最早破解它的人。”
看到一些人在恐慌,或者在问量子计算对加密的影响。
从高层次看,所有加密都要做的只是升级到抗量子(后量子)算法。所以不需要恐慌。😂实际上有一些执行层面的考虑。在……很难
— CZ 🔶 BNB (@cz_binance) 2026年3月31日
在加密X上最流行的反驳是:量子计算不仅破解区块链,而是会“破解一切”。
“如果量子毁掉比特币,它也会毁掉全球银行体系、SWIFT转账、证券交易所、军事通信、核指挥系统,以及地球上每一个HTTPS网站,”加密评论员Quinten Francois写道。
Elon Musk则轻描淡写地补了一句:至少“如果你忘了你钱包的密码,将来它也能被访问到”。
论文直面了这种说法。集中式系统——从银行到军事网络——都可以把软件更新推送给用户。去中心化的区块链却做不到。即使在已经达成解决方案之后,比特币基础设施的迁移时间表——包括用户钱包、交易所支持以及新的地址格式——也可能需要5到10年。
与此同时,Google表示它正在与Coinbase、斯坦福区块链研究所(Stanford Institute for Blockchain Research)以及以太坊基金会一起,共同推进负责任的迁移过渡方案。
该公司将其研究定位为并非“攻击加密”,而是为了“支持加密货币生态系统的长期健康”。
来自行业几乎每个角落的信息现在都一样:威胁不再是理论层面的;是时候行动了。唯一剩下的变量是:需要迁移的那些协议,能否在硬件追上之前就完成迁移。
了解更多:比特币、以太坊及其他网络是如何为迫在眉睫的量子威胁做准备的
相关文章
比特币 ETF 在 5 月 1 日实现 2213 万 1,000 美元的日净流入纪录,而以太坊 ETF 则录得 5636 万美元的净流出
