比特币量子抗性迁移启动：BIP-360发布，680万枚BTC面临风险

比特币开发者发布了网络首个量子抗性地址提案，启动了一场可能持续数年的迁移，这一过程或将冻结中本聪的100万枚比特币。

比特币开发者于2月11日发布了BIP-360，这是网络首个量子抗性地址类型，而此时具备密码学相关性的量子计算机时间线已缩短至最快2030年。根据追踪量子威胁的研究组织Project Eleven的数据，约680万枚BTC（占所有已开采比特币的32%）存在于公钥已上链暴露的地址中。

"迁移需要数年时间，脆弱供应量巨大，而启动太晚可能是灾难性的，"以太坊基金会研究员、谷歌2026年3月量子论文的合著者Justin Drake表示。Drake现在认为，Q-Day——即量子计算机攻破实时区块链密码学的那一刻——在2032年前发生的概率为50%，最早2030年发生的概率为10%。

谷歌量子AI团队于3月31日发布的研究显示，破解secp256k1（保护每一笔比特币交易的椭圆曲线）的效率提升了10倍。论文显示，攻击可能只需不到1200个逻辑量子比特，远低于此前估计的900万个物理量子比特，且在未来机器上的运行时间不到九分钟。据EigenLayer创始人Sreeram Kannan称，一名18岁的研究员利用AI代理集群，在一个周末内独立达到了谷歌未发布突破的80%。

这些提案迫使比特币自诞生以来面临最具决定性的选择：是冻结约170万枚存放在古老地址中的比特币——包括中本聪约100万枚的币——以防止未来发生量子盗窃，还是坚持网络绝不冻结任何币的原则。

BIP-360与BIP-361的工作原理

BIP-360引入了一种名为"支付至量子抗性哈希"（P2QRH）的新输出类型，用NIST批准的量子后算法（如ML-DSA）取代椭圆曲线签名。新地址以"bc1r"前缀开头，从这些地址支出需要量子后签名，而非目前使用的易受量子攻击的ECDSA或Schnorr签名。该升级以软分叉方式部署，意味着旧版节点将新输出视为"人人可花费"，而升级节点则能正确验证。

代价是体积。来自SLH-DSA等方案的量子后签名可达8KB，远大于当前签名，这将占用更多区块空间，除非矿工提供见证折扣，否则可能推高手续费。BIP-360被设计为最小化的第一步——它保护新创建的币以及持有者选择迁移的币，而将更难的工程问题留给后续工作。

BIP-361于4月14日发布，着手解决暴露的遗留供应问题。该提案提出了一个截止日期，要求持有脆弱币的持有者必须迁移至量子抗性地址，此后网络将不再接受来自旧签名类型的支出。这一机制将冻结无法迁移的币——包括约170万枚存放在古老的"支付至公钥"地址中的比特币，其中约100万枚被广泛认为属于中本聪。

关于冻结币的争论

冻结问题将比特币的两项基础原则对立起来。一种观点认为，网络绝不能没收或冻结币，这是自比特币诞生以来嵌入其可信度的信条。另一种观点则认为，允许量子攻击者扫走690万枚BTC并倾销到市场，对比特币信心的摧毁远比预防性冻结更为致命。

"冻结币，即使是为了保护它们，也违背了许多比特币主义者奉为神圣的财产权绝对主义，"BIP-361的作者写道，承认了这种矛盾。支持者反驳说，无所作为意味着那些币最终将被盗——这是一种更加混乱的损失形式。

以太坊已承诺以2029年为量子后迁移目标，而美国政府NIST规定的退出量子脆弱密码学的截止日期是2035年。Drake称这个时间表"是个笑话"。Ledger首席技术官Charles Guillemet表示，大多数组织甚至尚未开始密码学资产盘点。

对于普通持有者来说，立即要做的事情很简单：停止重复使用比特币地址。任何已经花费过币的地址，其公钥都已永久暴露在链上。当BIP-360地址广泛可用时，持有者可以迁移到新的"bc1r"地址格式以获得全面保护。

目前尚不存在能够破解比特币密码学的量子计算机。但正如Guillemet所说："在安全领域，当你开始怀疑根基的那一刻，就是开始重建它的时刻。不是恐慌的时刻，而是规划的时刻。"

本文仅供信息参考，不构成投资建议。