量子计算能破解比特币吗

不能。至少到2035年，比特币所用的椭圆曲线签名在可预见的容错量子计算机面前仍然安全。

为什么有人担心比特币会被“瞬间”挖光？

因为NIST 2024技术白皮书指出，Shor算法理论上能够把破解ECDSA的复杂度从O(2¹²⁸)降到O(n³)，然而这份白皮书同时给出了两个前提：需要一台拥有4200个逻辑量子比特且错误率低于10^-4的稳定机。现阶段IBM推出的Condor芯片才1000出头物理量子比特，离“能干活”还差量子纠错这最后一公里。换句话说，现在谈“破解”更像在谈科幻。

---

普通人该怎么理解“4200个逻辑量子比特”

• 逻辑量子比特≠物理量子比特；一个逻辑量子比特大约需要1000个物理量子比特来做纠错
• 换算下来至少420万物理量子比特，今天全球能运行的总和不到十万
• 退一步，即便物理规模达标，退相干时间与布线散热仍是工程地狱

所以我在实验室调侃说：“买显卡抢不到，买量子芯片就能抢到吗？”这句话让组里做低温的师兄笑出了声。

---

如果那一天真的到来，比特币会怎样自救？

Bitcoin Core维护者早在BIP-340就埋下了后量子兼容的Taproot Schnorr签名，而Ethereum社区2023年8月的社区 *** 会议也讨论过Winternitz一次性签名。我个人观点：区块链比公链开发者想的更有“活路”——只要社区投票通过软分叉，换算法即可。真正焦虑的是那些在链上签了长期合约、无法升级的旧地址。

---

量子霸权与加密安全的赛跑时间表

1. 2029-2031：可能出现“模拟霸权”，即量子机用变分算法在某些金融衍生品定价里打败经典超算
2. 2033-2035：首批后量子签名标准（CRYSTALS-Dilithium、FALCON）落地主流币圈
3. 2036之后：若摩尔第二定律（量子比特数每2年翻一倍）维持，ECDSA才算实质性濒危

这个时间线参考了MIT林肯实验室公开的时间推演图，也在我们每周Journal Club里过了一遍。

---

新用户的一分钟自查清单

1. 检查钱包是否支持Taproot升级；未升级的旧地址尽量把币转至新钱包
2. 了解“一次性签名”概念：Winternitz虽然体积大，却天然抗量子
3. 保留官方通道：关注Bitcoin Optech周报和NIST Post-Quantum邮件列表

---

写在最后的个人赌注

我把0.1 *** C锁进了一个2037年才能赎回的多签合约，用CRYSTALS-Dilithium+ECDSA双重签名作为“量子保险丝”。如果哪天量子机真能提前把ECDSA拆穿，我还持有Dilithium那张保险单。反之，这0.1就成了给儿子的毕业纪念品。

“真正的风险从来不是技术突破本身，而是我们对时间表的误判。”
——引用自《科学革命的结构》托马斯·库恩

我赌的是十年后的开发者仍在忙碌分叉，而不是量子霸权秒天秒地。赌局已经开始，你敢上桌吗？