关键要点
- 比特币的量子风险主要集中在公钥暴露及数字签名安全性上。
- BTQ构建类比特币量子测试网,在独立网络中试验后量子签名方案ML-DSA。
- 后量子签名显著放大交易体积,推高区块空间与带宽需求。
- “旧BTC风险”与早期输出类型、公钥直接暴露及地址重用等历史模式密切相关。
BTQ量子测试网的推出
BTQ Technologies表示,已于2026年1月12日上线一条比特币量子测试网。这一网络基于比特币核心代码分叉搭建,目标是在不影响比特币主网治理和共识的前提下,验证后量子签名在类比特币环境中的可行性和成本。
该测试网的核心改动,是将比特币当前使用的椭圆曲线数字签名算法(ECDSA)替换为ML-DSA。ML-DSA是美国国家标准与技术研究院(NIST)制定的模块格后量子签名标准,已被纳入联邦信息处理标准FIPS 204,用于应对后量子安全场景。
BTQ将该网络定位为一个覆盖完整生命周期的试验场,支持钱包创建、交易签名与验证、挖矿,以及区块浏览器、矿池等基础设施运行,以便在接近真实的系统环境中观察后量子签名的表现。
BTQ Technologies自我定位为专注后量子密码学和区块链安全的研究型公司,其比特币量子测试网即是围绕量子抗性签名在类比特币系统中运行特性的实验平台。
量子计算改变的是什么
目前关于比特币量子风险的讨论,主要集中在数字签名层面,而非比特币总量或量子计算机可以“猜中”随机钱包这类设想。
相关担忧围绕一种具备密码学相关能力的量子计算机(CRQC)展开:这类设备若能运行Shor算法,将可高效求解离散对数问题,从已知公钥推导私钥,从而破坏基于椭圆曲线的ECDSA及Schnorr签名体系。
Chaincode Labs将此视为比特币的主要量子威胁模型,因为一旦能够从暴露公钥恢复私钥,攻击者即可生成有效签名,发起未授权支出。
在这一框架下,风险被划分为两类:
- 远程暴露:部分旧脚本类型或因地址重用导致公钥长期在链上可见,理论上为未来CRQC提供攻击面;
- 短期暴露:交易从广播到确认的等待期内,公钥在链上暂时可见,存在一个相对狭窄的攻击窗口。
目前尚不存在对比特币构成即时威胁的量子计算机。与挖矿相关的潜在量子影响通常被视为与签名破解不同、且范围更受限的议题。
Shor算法已在数学上被提出,但要在现实中运行,需要大规模、具备容错能力的量子计算机。只有在此类设备可用的前提下,才可能从暴露公钥中推导出对应私钥。
后量子签名带来的工程权衡
BTQ的比特币量子测试网在技术上是对比特币核心的一次关键原语替换:用ML-DSA取代ECDSA。
这一替换直接带来体积和性能上的权衡。根据BTQ披露,ML-DSA签名大小约为ECDSA的38至72倍。为容纳更大的签名数据,该测试网将区块大小上限提升至64 MiB,以便在同一时间内处理更多交易。
更大的签名意味着:
- 单笔交易体积显著增加;
- 区块空间占用上升;
- 网络带宽和节点存储需求提高;
- 验证成本和系统整体吞吐能力面临新的约束。
BTQ将这些变化视为需要在真实网络条件下量化的工程问题,而非仅停留在理论估算层面。测试网因此被用作观察后量子签名在性能、容量和协调方面影响的工具。
“旧BTC风险”的集中区域
在后量子语境下,“旧BTC风险”通常指那些公钥已在链上暴露的比特币。若未来出现可运行Shor算法的CRQC,这些公钥理论上可能被用来推导私钥,从而生成有效支出交易。
在现有输出类型中,有三类因在锁定脚本(ScriptPubKey)中直接嵌入椭圆曲线公钥,被视为更易受到远程攻击:
- 支付给公钥(P2PK);
- 支付给多重签名(P2MS);
- 支付给Taproot(P2TR)。
相关分布情况呈现出数量与价值不对称的特征:
- P2PK:在当前未花费交易输出(UTXO)中占比约0.025%,但锁定的比特币价值约占总量的8.68%,约为1,720,747枚,主要为早期“中本聪时代”的沉睡币;
- P2MS:约占UTXO数量的1.037%,但据估计仅对应约57枚比特币;
- P2TR:按数量计约占UTXO的32.5%,但价值占比约0.74%,约为146,715枚,其公钥暴露与Taproot密钥路径设计相关,调整后的公钥在链上可见。
此外,地址重用也被视为风险放大的因素。原本只在支出时短暂暴露的公钥,一旦因重用而多次出现在链上,就会长期处于可见状态,从而由“短期暴露”转变为“远程暴露”。
BTQ在自身材料中采用了这一“暴露公钥”框架,认为潜在受影响的币池规模较大。其引用的数字为约626万枚比特币被视为“暴露币”,并以此作为在类比特币环境中提前测试后量子签名的理由之一。
比特币后量子准备的现实约束
在比特币层面,当前更具现实性的工作集中在可观测性和准备度上。
如前所述,签名威胁模型以公钥暴露为前提。因此,讨论往往围绕现有钱包和脚本实践如何提前暴露公钥展开,例如某些传统脚本类型,或通过避免地址重用等行为在默认情况下减少暴露面。
在这一视角下,“旧BTC风险”更多是历史输出类型和使用模式的结果,而非对所有比特币均匀适用的即时威胁。
另一个重要约束是容量问题。即便在社会层面形成后量子迁移共识,实际执行仍将受到区块空间和网络协调的限制。
River的相关说明汇总了学术估算,指出迁移时间线对假设条件高度敏感:
- 若假定所有区块空间几乎全部用于迁移交易,理论时间线可显著压缩;
- 若采用更接近现实的区块空间分配,过渡期可能被拉长至数年,且尚未计入治理与采用节奏等因素。
BTQ的测试网被归入这一准备工作范畴。通过在类比特币环境中运行后量子签名,工程师可以观察更大签名尺寸、不同区块限制等带来的运营成本,而测试网本身并不意味着比特币即将遭遇量子破解。
量子计算机当前面临的主要技术障碍是噪声和错误率。现有量子比特易出错,需要大量物理量子比特通过纠错构建少量可靠的“逻辑”量子比特,才能支撑破解现实世界密码学所需的长时间计算。
协议层面可能的缓解路径
在协议设计层面,量子准备通常被视为一个渐进、有序的过程。
后量子签名方案普遍比椭圆曲线签名更大,带来交易体积、带宽和验证成本的连锁反应。BTQ通过ML-DSA的实验,直观呈现了这类工程权衡。
因此,一些比特币改进提案首先聚焦于减少现有脚本结构中的公钥暴露,而非立即锁定某一具体后量子签名算法。
一个近期例子是比特币改进提案(BIP)360,提出一种新的输出类型——支付给Tapscript哈希(P2TSH)。该方案在结构上与Taproot相近,但移除了依赖椭圆曲线签名的密钥路径支出,仅保留可通过脚本路径支出的tapscript原生路径,从而避免对易受量子攻击的密钥路径的依赖。
相关思路也在比特币开发者邮件列表中被讨论,通常被归入“仅哈希”或“脚本支出”Taproot家族,有时被称为支付给量子抗性哈希(P2QRH)风格构造。这类提案同样尝试在复用Taproot结构的同时,绕开对量子敏感的密钥支出路径。
目前,这些方案均未形成定论。整体共识是,比特币若启动量子应对,将更可能以渐进方式推进,在保守性、兼容性与交易格式变更成本之间寻求平衡。
测试网的启示
BTQ的比特币量子测试网并未给出量子风险争议的答案,但在两个方面提供了更清晰的参照:
- 一是多数被认为可信的威胁模型,都将焦点放在公钥已暴露的位置,这也是“旧币”模式在相关分析中频繁出现的原因;
- 二是后量子比特币首先是工程与协调问题,而非单一算法选择问题。BTQ在测试网中采用ML-DSA并上调区块大小上限,以适应更大签名的做法,具体展示了这类权衡。
从定位上看,该测试网是一个用于测量成本和约束条件的沙盒环境,而非比特币即将被量子计算机攻破的信号。
