量子计算会破解比特币吗?看懂量子威胁与后量子密码的真实进度
一边说量子计算机明天就要偷走你的比特币,一边说这事永远不会发生,两种说法都不对。这篇把真正的风险摆出来,也把被夸大的部分摘掉。
隔三差五就有一条“量子计算机几分钟破解比特币”或者“量子机器能秒杀所有加密”的新闻刷屏,评论区里一半人开始担心自己钱包里的币,另一半人骂这是标题党、纯属炒作。这两种反应其实都省略了中间那段又复杂又要紧的事实。如果你还没搞懂量子计算机本身是怎么回事,建议先看《量子计算到底能干什么》打个底;这篇专门聚焦一个更具体的问题:量子计算到底威胁了加密货币的什么、“先存后解”是怎么回事、真要破解需要多大的机器、后量子密码学又进展到哪一步了。读完你会知道,短期内该不该慌,长期又该盯紧什么。
这篇适合你,如果
- 你刷到“量子计算机破解比特币”的新闻,想知道有几分是真的
- 你持有或关心加密资产,想弄清楚这件事现在该不该担心
- 你想学会分辨一条“量子威胁”报道,是真研究进展还是恐慌营销
这篇不适合你,如果
- 你要的是 Shor 算法、格密码之类的数学推导
- 你要的是某个具体钱包、交易所的操作步骤教程
- 你在找“抗量子概念币”值不值得买的建议
先说结论:短期内你的币是安全的,但有一类风险值得现在知道
先把最要紧的判断放在最前面:今天,没有任何一台量子计算机具备破解比特币或以太坊所用签名算法的能力。这不是乐观猜测,而是硬邦邦的工程差距,破解所需的纠错量子比特规模,和现在最强的量子芯片之间,差着好几个数量级,后面会给你具体数字。
但“短期安全”不等于“可以完全不管”。有一类风险不是十年后才开始存在,而是从今天就在悄悄累积:如果某笔比特币的公钥已经在链上曝光过(比如这个地址被花出去过),这条记录会永久留在公开账本上,理论上可以被人先存下来,等未来某天量子机器真的成熟了,再回头拿去计算私钥。这种“先囤证据、以后再算账”的打法,就是后面要讲的“先存后解”。
这篇不站在“马上完蛋”或者“永远没事”任何一边,而是把威胁到底是什么、进度到哪一步、你现在能做什么,一次摆清楚。
量子到底“威胁”了加密的什么
很多人下意识以为量子计算威胁的是“挖矿”,其实真正的靶子是另一套机制:证明“这笔钱确实是你的、这笔交易确实是你签的”的公钥签名算法。比特币和以太坊用的都是一种叫 ECDSA 的签名方案(建立在一条叫 secp256k1 的椭圆曲线上):你的钱包生成一把只有自己知道的私钥,和一把可以公开的公钥;花钱的时候用私钥签名,全网节点用你的公钥去验证这个签名对不对得上。这套不用信任任何中间人、就能验证一笔转账合法性的机制,正是区块链能绕开中间人转移价值的根基。
它的安全性建立在一个数学难题上:已知公钥,反推出对应的私钥,在经典电脑上要算的时间长到没有实际意义。量子计算机真正让人紧张的地方,就在于它有可能让这道题从“不可能”变成“理论上可解”。
挖矿用的是完全不同的另一套机制:不断猜一个随机数字,凑出一个满足难度要求的哈希值(SHA-256),这跟签名依赖的数学问题完全不是一回事,量子对它的威胁也小得多,下一节细讲。
Shor 与 Grover:一个是真威胁,一个只是“打个折”
量子计算领域里,和加密扯上关系的算法主要是两个,威胁程度天差地别,很多报道会把它们混为一谈,这正是误解的源头。
Shor 算法专门用来破解像比特币签名依赖的那类数学难题(大数分解和椭圆曲线离散对数)。如果有一台足够强大、足够稳定的量子计算机,理论上可以用 Shor 算法直接从公开的公钥算出对应的私钥。这是真正意义上的降维打击:一旦机器足够格,整套签名机制的安全假设就不成立了,不是变慢,是被绕开。
Grover 算法则经常被拿来讨论“挖矿会不会被破解”,但它的本质只是加速“大海捞针”式的搜索,带来的是平方级加速,不是指数级。对 SHA-256 这类哈希函数来说,Grover 能把它的安全强度从 256 位打个对折,变成约 128 位。128 位听起来少了一半,但仍然是天文数字级别的安全余量,而且矿工完全可以通过调高挖矿难度、换用更长的哈希等参数上的手段去补偿这种理论上的削弱。
Shor 瞄准的是签名这把锁的锁芯本身,机器一旦够格,理论上能直接开锁;Grover 瞄准的是挖矿这道题的答案空间,顶多把找答案的时间打个折,锁本身没坏。
“先存后解”:为什么有些风险是现在就埋下的
即使今天没有能破解签名的量子机器,攻击者也可以换一种打法:先把值得盯上的加密数据、已经曝光的公钥,原样存下来,不急着破解,等哪天量子机器真的成熟了,再回头计算出对应的私钥。这套“先囤证据、以后再算账”的策略,业内叫“先存后解”(harvest now, decrypt later),是密码学界这几年最常拿来提醒“别掉以轻心”的说法。
区块链数据的特性,让这件事格外值得关注:账本是公开、永久、不可篡改的。一旦某笔比特币的公钥曾经曝光过,这条记录就会永远留在链上,任何人都能看到、存下来、慢慢等。这和一封只在服务器上存几年的加密邮件不一样,公开账本上的记录理论上可以被存到很久以后。
但也不用把所有比特币都一视同仁地紧张。比特币里很多“还没花出去”的地址,用的是把公钥先做一次哈希再当作地址的格式,你转进去的钱,背后对应的其实是公钥的哈希,而不是公钥本身;只要这笔钱没被花出去、没触发过一次签名验证,公钥就一直藏在哈希后面,外人拿不到。真正暴露风险的,是那些已经花过一次、公钥已经在链上留下痕迹的地址,以及比特币早期一批直接用“裸公钥”当地址的老资产。以太坊这类账户模型的链情况不太一样:地址常年被反复使用,往往第一次转出交易一签,公钥就曝光了,之后这个地址上放着的资产,暴露方式和比特币不完全相同。
这不代表你的钱明天就会出事,而是提醒你:“公钥有没有暴露过”,是判断一笔资产风险高低的一个关键变量,第 8 节会给到具体能做的事。
破解比特币需要多大的量子计算机
新闻标题里常说“某公司造出了 XX 个量子比特的芯片”,这里说的“量子比特”,绝大多数时候指的是没有做纠错、容易出错的“物理量子比特”。而要真正稳定地跑一次 Shor 算法这种复杂运算,需要的是“逻辑量子比特”:把一大批物理量子比特捆在一起、彼此纠错,凑出一个足够可靠、能稳定工作的单元。这两个词看着像同义词,含金量却差着一个数量级。
不同研究给出的具体数字不完全一致,但大致量级是:破解比特币所用的椭圆曲线签名,业界估计可能需要几千个纠错后的逻辑量子比特;换算成今天主流的纠错方案,对应的物理量子比特数,各路估计从几十万到上千万不等,而且这个数字这几年一直在被新的研究不断修正、下调。
对比一下现状:今天无论哪家公司,物理量子比特数才刚刚超过一千出头,而且这些比特还很“吵”,容易出错,大规模、稳定的纠错仍处在早期攻坚阶段。这中间差的不是一星半点,是好几个数量级的工程鸿沟,不是靠堆钱、拉时间线就能线性填上的。
正因为这道鸿沟这么大,业界对“什么时候能真正威胁到比特币”的估计跨度很宽,从大约十年到二十几年甚至更久不等,而且这些估计本身也在随硬件和纠错算法的进展持续修正。没有人能给出一个可靠的具体年份,谁要是言之凿凿地告诉你精确的“量子破解元年”,多半是在营销,不是在做研究。
后量子密码学:NIST 标准到哪一步了
与其干等着“量子什么时候能破解现有加密”这道题被回答,密码学界更早就动手准备一套替代方案:设计一批就算量子计算机也难以破解的新加密算法,这个方向统称“后量子密码学”(PQC)。
美国国家标准与技术研究院(NIST)牵头,花了将近十年时间在全球范围内公开征集、评审候选算法,2024 年正式发布了首批三项标准:FIPS 203(常被称作 ML-KEM,脱胎自 Kyber,用于密钥交换和加密)、FIPS 204(ML-DSA,脱胎自 Dilithium,用于数字签名)、FIPS 205(SLH-DSA,脱胎自 SPHINCS+,作为签名算法的备份路线,走的是和前者不同的数学思路,用来防止万一某一类方案被攻破)。
这些标准不是停在纸面上。互联网基础设施层面已经在铺开,相当比例的网页加密连接已经开始用上其中的密钥交换算法;不少国家和大型机构也已经排出了迁移时间表,逐步把老的加密体系换成后量子版本。区块链协议这一层的迁移相对更靠后、更复杂,因为改签名算法牵涉到全网升级和历史地址的兼容问题,下一节细讲。
比特币、以太坊能升级抗量子吗
能。从密码学角度讲,比特币和以太坊完全可以把现在用的 ECDSA 签名换成一种后量子签名算法,这不是什么做不到的黑科技,难的从来不是“有没有技术方案”。
难的是协调。区块链的规则变更,需要全网大多数参与者(矿工或验证者、节点运营方、交易所、钱包开发团队)达成一致,通过软分叉或硬分叉的方式升级协议,这个过程往往需要好几年去讨论、测试、争取共识,历史上不少提案都是在争论中被搁置、改了又改。还有一个更棘手的问题:那些已经存在的旧地址、旧资产,要不要迁移、怎么迁移到新的签名方案下,本身就是个牵一发动全身的工程和治理难题。
不同链在这件事上的紧迫感和进度并不一样。有的链已经有团队专门在推进后量子签名的研究和路线图、定期做跨团队的互操作测试;比特币社区里也有开发者提出了几种从签名格式层面升级的方案,但目前还停留在讨论和提案阶段,没有形成全网一致的落地时间表。这种差异不代表哪条链“更危险”,眼下都还处在来得及提前准备的窗口期,但确实说明这件事不会自动发生,需要持续的社区投入去推着走。
普通人现在该做什么
首先,不需要因为这类新闻做出任何投资决定,无论是买入、卖出,还是“赶紧躲避”。今天没有任何证据表明有量子计算机具备破解比特币或以太坊的能力,恐慌性操作换来的实际损失,往往比量子威胁本身现实得多、迫在眉睫得多。
其次,把注意力放回能实际掌控的账户安全上:尽量避免反复使用同一个收款地址(减少公钥提前曝光的机会)、管好私钥和交易所账户的两步验证、对任何借“量子威胁”制造恐慌、催你立刻操作的信息多留一个心眼。如果你对 USDT 这类同样常被问到安全问题的加密资产也不太放心,可以看《稳定币是什么》,逻辑是相通的:搞清楚机制,比听风就是雨管用得多。
最后,对“抗量子币”“量子避险代币”这类宣传保持怀疑。真正的抗量子升级发生在协议底层的签名算法上,不是靠买某个代币就能获得的保险,多家监管机构已经点名过打着量子旗号做营销甚至诈骗的项目。看到这类东西,先用下面的自检清单过一遍,多数经不起推敲。这件事值得长期关注,不值得现在焦虑,把它放进“该盯紧的长期议题”清单,就已经足够。
一张表:网上常见的“量子秒杀比特币”说法,和实际情况差在哪
把前面讲的浓缩成一张对照表,下次刷到类似新闻,回来对一下就好。
| 网上常见说法 | 更接近事实的情况 | 为什么 |
|---|---|---|
| 量子计算机已经能破解比特币 | 现有机器远够不着破解所需的纠错规模 | 破解需要数千个纠错逻辑量子比特,换算成物理比特是几十万到上千万级,今天最强芯片才刚过千 |
| 挖矿马上会被量子机秒杀 | Grover 算法只带来平方级加速,威胁远小于签名那一侧 | 它把 SHA-256 的安全强度从 256 位打对折到约 128 位,仍是天文数字,还能靠调难度补偿 |
| 只要是比特币,风险都一样大 | 只有公钥已经在链上曝光过的地址,才是主要风险点 | 多数未花出去的地址背后藏的是公钥的哈希,公钥要等到花钱签名那一刻才会公开 |
| 量子来了,钱包立刻清零 | 真正的隐患是“先存后解”,风险是慢慢累积的,不是一夜发生 | 攻击者今天先存下曝光的公钥,等未来量子机成熟再回头计算私钥 |
| 反正没救了,加密迟早全失效 | 后量子密码已经有正式标准,协议可以逐步升级 | NIST 已发布 ML-KEM、ML-DSA、SLH-DSA 等标准,多条公链在推进迁移路线 |
| 买“抗量子币”能提前避险 | 真正的抗量子升级发生在协议层,不取决于买哪个代币 | 多数打着“抗量子”旗号的代币项目是营销甚至骗局 |
关于量子与比特币,几个最常见的误解
不是。破解比特币的签名需要数千个纠错后的逻辑量子比特,换算成今天的技术路线,可能对应几十万甚至上千万个物理量子比特;而今天最强的量子芯片,物理比特数才刚超过一千,纠错也还在早期。业界对这道鸿沟填平的时间,估计跨度从十年到二十几年不等,且高度不确定。
不是。真正被威胁的是几乎所有基于 ECDSA、RSA 这类公钥签名的系统,银行网络、网站的 HTTPS 连接、以太坊等其他区块链都在列。比特币只是因为账本公开、关注度高,显得格外扎眼,不代表它是唯一的靶子。
不能。真正的抗量子升级要发生在协议底层的签名算法上,不取决于你买了哪个代币;不少打着“抗量子”旗号的项目,本质是蹭热点的营销甚至骗局,多家监管机构已经点名警告过这类打着量子旗号的骗局。
看到“量子破解加密”新闻时,用这份清单自检
不需要懂物理,把下面几条过一遍,基本能分清是真研究进展,还是制造焦虑的营销稿。
- 它说的是“逻辑量子比特”,还是没做纠错的“物理量子比特”?两者含金量差一个数量级,只报数字不说清楚是哪种的,先打个问号。
- 它有没有提纠错开销、错误率?只吹比特数量、绝口不提纠错进展的报道,含金量通常不高。
- 信息来源是经得起同行检验的论文或权威机构,还是厂商公关稿、社交媒体截图?前者可信得多。
- 它有没有提后量子迁移的进度?一条负责任的“威胁”报道,通常也会讲清楚防御那一侧在做什么;只讲攻不讲防的,多半是在贩卖焦虑。
常见问题
量子计算机现在能破解比特币吗?
不能。破解比特币所用的椭圆曲线签名,需要数千个纠错后的逻辑量子比特,换算成今天的技术路线,可能对应几十万甚至上千万个物理量子比特。而目前最强的量子芯片,物理比特数才刚刚超过一千,纠错还处在早期攻坚阶段,远远够不着这个门槛。
量子威胁比特币大概还要多久?
没有人能给出确切答案。业界给出的估计跨度很大,从大约十年到二十几年甚至更久不等,而且这些估计本身也在随硬件和纠错技术的进展不断修正。比较负责任的说法是:这不是明年后年的事,但也不是可以永远不管的事,值得持续关注,不必现在恐慌。
什么是“先存后解”(Harvest Now, Decrypt Later)?
指攻击者今天先把加密数据或者已经曝光的公钥记录下来存着,不急着破解,等未来量子计算机成熟了再回头计算出私钥。区块链数据永久公开、不可篡改,这类风险主要落在那些公钥已经曝光过(比如地址被花出去过)的资产上,不是所有比特币都同等暴露。
后量子密码学(PQC)是什么?
它是一批专门设计、连量子计算机也难以破解的新加密算法。美国 NIST 已在 2024 年正式发布三项标准(常被称作 ML-KEM、ML-DSA、SLH-DSA),互联网基础设施已经在陆续替换成这类算法;区块链协议这一层的迁移相对更早期,需要更多社区协调。
普通人现在需要为量子威胁做什么吗?
不需要因此改变投资决定或做恐慌性操作。更实际的做法是做好基本的账户安全,比如尽量不重复使用地址、管好私钥和交易所账户的两步验证,对任何打着“抗量子币”“量子避险”旗号来卖代币的项目保持怀疑。本文是科普内容,不构成投资建议。
资料来源与延伸
- 美国 NIST 官网 nist.gov,后量子密码标准(FIPS 203/204/205)的官方出处
- 以太坊官方站点 ethereum.org,账户机制与后量子迁移方向的官方说明
- 比特币官网 bitcoin.org,比特币协议与签名机制的基础说明
- 论文预印本平台 arxiv.org,破解所需量子比特规模与“先存后解”相关研究的一手论文出处
更新记录:2026 年 7 月 6 日首发。首发版本涵盖 Shor 与 Grover 算法的区别、破解所需的量子比特规模、NIST 后量子密码标准进度,以及比特币、以太坊的迁移路线。后续会随硬件和标准化进展更新数字与时间线判断。