比特币的量子变革：为什么Saylor的愿景忽视了170万BTC的加密危机

迈克尔·塞勒（Michael Saylor）12月16日关于量子计算与比特币的声明反映了对网络未来韧性的乐观态度。他的论点——即量子技术的进步最终将增强比特币的安全性，而非削弱它——捕捉了一个引人入胜的叙事。然而，在这种乐观的框架之下，隐藏着更为复杂的技术现实：时间安排、治理协调以及遗留输出的脆弱性，挑战着塞勒所设想的平滑过渡。

物理窗口：十年行动期，但执行仍不确定

塞勒的方向性主张具有一定的合理性。比特币面临量子计算威胁主要源于其数字签名方案——特别是secp256k1上的ECDSA和Schnorr签名，而非工作量证明。理论上，一旦量子系统达到大约2000到4000个逻辑量子比特，Shor算法就会威胁私钥的推导，但目前的设备远未达到这一门槛。具有密码学相关性的量子计算机可能还需要十年以上的时间才能实现。

NIST近期的标准化工作也强化了这一时间线。该机构已完成包括ML-DSA(Dilithium)和SLH-DSA(SPHINCS+)在内的后量子签名标准的制定，作为FIPS标准的一部分——包括在§ 204的监管框架中引用——FN-DSA(Falcon)也已通过FIPS 206推进。比特币的Optech项目已跟踪关于后量子签名聚合和Taproot兼容结构的实时集成提案，实验工作也确认诸如SLH-DSA等算法可以在比特币的操作限制内执行。

然而，塞勒的表述巧妙地回避了实现成本的问题。迁移研究表明，现实中的后量子过渡涉及重大防御性权衡：虽然量子韧性得以提升，但区块容量可能会缩减约50%。更大的后量子签名需要更高的验证成本，导致交易手续费上升，因为每个签名占用的区块空间比例更大。节点运营者面临更高的计算需求。更难的挑战仍然是治理——比特币没有中央授权机构。在新型量子计算机出现之前，获得开发者、矿工、交易所和主要持有者的压倒性共识，代表着一项政治和协调的巨大负担，可能超出密码学本身的挑战。

暴露的供应问题：为何“冻结”币可能已处于风险之中

塞勒声称“丢失的币会一直冻结”误解了链上量子脆弱性的实际情况。币的暴露完全取决于输出类型和公钥的可见性。

早期的pay-to-public-key（P2PK）输出——(P2PK)——直接在链上存储原始公钥，永久可见。标准的P2PKH和SegWit P2WPKH地址最初通过密码哈希隐藏公钥，但一旦币被花费，公钥进入内存池（mempool），即暴露出来。Taproot P2TR输出——一种现代结构——从一开始就编码了公钥，使得这些UTXO在任何交易发生之前就已暴露。

根据德勤（Deloitte）和近期比特币专门研究的分析，约有25%的比特币存在于公钥已暴露的输出中。链上调查显示，大约有170万BTC锁定在Satoshi时代的P2PK输出中，以及数十万在暴露公钥的Taproot地址中。这些休眠的持有资产中，许多并不真正“丢失”——它们代表无主资本，可能成为拥有足够强大量子机器的首个攻击者的“赏金”。

唯一能可靠保护的币，是那些从未暴露公钥的币：单次使用的P2PKH或P2WPKH地址，利用哈希保护，Grover算法只提供平方根级别的加速——参数调整可以抵消这种优势。最真实面临风险的供应，正是那些休眠、已暴露的部分：已锁定在已知公钥上的币，所有者在任何升级周期中都保持不活跃。

供应动态：自动缩减并非必然

塞勒声称“安全性提高，供应减少”可以清晰地分为密码学机制和投机性结果。机制方面是合理的：后量子签名旨在抵抗大规模、容错的量子系统，现在已成为官方标准的一部分。比特币迁移方案包括混合输出，要求同时使用经典和后量子签名，以及签名聚合的想法，以最小化链膨胀。

但供应减少既非自动，也非必然。可能出现三种竞争场景：

场景一：放弃导致的损失。 易受攻击的输出中，所有者从未升级的币变得实际上被困或明确被列入黑名单，随着网络规则演变。

场景二：盗窃引发的再分配。 量子攻击者窃取暴露的钱包，将供应转移给新持有者，而非从流通中移除。

场景三：物理限制前的恐慌。 仅仅是对即将到来的量子能力的感知，就可能引发恐慌性抛售、链分裂或有争议的分叉，甚至在任何机器达到密码学相关性之前。

这些都不能保证流通供应的净减少，从而可靠支撑比特币的价格。更可能的结果是价格的混乱重估、治理争议激烈，以及对遗留钱包的一次性攻击浪潮。供应是否真正收缩，取决于政策选择、用户迁移速度和攻击者能力——而非密码学本身。

工作量证明本身仍相对稳健。Grover算法对SHA-256仅提供二次方的加速，这一限制可以通过参数调整应对。更微妙的危险在于内存池：当交易花费哈希公钥地址时，公钥会在等待区块确认时变得可见。近期分析描述了一种“签名-窃取”攻击：量子对手监控内存池，迅速恢复私钥，并广播一笔冲突交易，收取更高的手续费。

真正的赌注：协调而非密码学

物理学和标准化路线图达成一致：量子计算不会一夜之间自动破解比特币。一个现实的后量子迁移窗口至少十年或更长时间，为有意的升级提供了空间。

但这次迁移伴随着高昂的成本——计算、治理和财务。如今比特币的相当一部分供应已处于量子暴露的输出中，面临的威胁不是未来的机器，而是能力到来后由协调攻击者操作的复杂设备。

塞勒的方向性观点是正确的，比特币可以变得更安全。网络可以采用后量子签名，升级脆弱的输出，并获得更强的密码学保证。然而，这一结果假设过渡过程顺利：治理无缝合作，所有者及时迁移，攻击者从未利用过渡的滞后。当前比特币价格约为$90,570，市值超过1.8万亿美元，执行失败的风险变得极其巨大。

比特币可能会变得更强——通过升级签名，甚至通过放弃部分供应实现“燃烧”。但成功的关键不在于量子能力的时间表，而在于开发者和主要持有者是否能在物理限制赶上之前，执行一场成本高昂、政治复杂的升级。塞勒的信心，最终反映的是对协调的赌注，而非密码学。