几周前，比特币开发者 Udi Wertheimer 在社交媒体发文称，在后量子世界中闪电网络将“无助地破碎”，并表示开发者对此无能为力。该说法在加密媒体中迅速传播，引发部分正在使用或评估闪电网络支付基础设施的企业关注。

Shell 在回应中表示，Wertheimer 对量子计算可能对比特币及闪电网络所依赖加密体系构成长期挑战的担忧“基本合理”，但将闪电网络概括为“无助地破碎”会掩盖关键条件，企业在基础设施决策中需要更清晰的风险框架。

量子威胁的核心前提：公钥暴露与私钥推导

Shell 指出，闪电通道在开启时需要参与方共享公钥。在存在加密相关量子计算机（CRQCs）的情形下，攻击者一旦获得公钥，理论上可利用 Shor 算法推导出对应私钥，从而盗取资金。

风险并非“被动耗竭”，攻击窗口集中在强制关闭阶段

Shell 认为，相关威胁比“闪电余额可能被盗”的笼统表述更为具体且具条件限制。

其解释称，通道开启交易采用 P2WSH（支付给见证脚本哈希），在通道保持开启期间，2-of-2 多重签名所需的原始公钥在链上处于隐藏状态；闪电支付的路由依赖 HTLC（哈希时间锁合约），核心在于哈希前图像的揭示，而非公钥暴露。因此，被动监视区块链的量子攻击者无法直接获得所需密钥材料。

Shell 将更现实的攻击窗口指向“强制关闭”。当通道关闭时，承诺交易会被广播到链上，锁定脚本首次公开可见，其中包含 local_delayedpubkey（标准椭圆曲线公钥）。按照设计，广播该交易的节点不能立即取回资金，需要先经过 CSV（检查序列验证）时间锁，通常为 144 个区块（约 24 小时）。

在后量子设定下，Shell 描述的攻击路径为：攻击者监视内存池，看到承诺交易确认后提取已暴露的公钥，尝试在时间锁到期前运行 Shor 算法推导私钥并支出输出。其补充称，强制关闭时的 HTLC 输出还可能带来更短窗口，部分可短至 40 个区块（约 6 至 7 小时）。

Shell 强调，这属于“与时间赛跑”的特定脆弱性：攻击者必须在固定窗口内主动完成高难度计算并逐一针对输出实施攻击，而非对所有闪电钱包进行被动、静默的持续性盗取。

量子硬件现状：距离破解比特币仍有巨大差距

在量子计算能力方面，Shell 表示，加密相关量子计算机目前并不存在，现阶段能力与所需水平之间仍存在巨大差距。

其称，破解比特币椭圆曲线密码学需要在 256 位密钥上解决离散对数问题，需数百万个稳定、经过纠错的逻辑量子比特运行一段时间。Shell 提到，迄今在实际量子硬件上使用 Shor 算法分解的最大数字为 21（3×7），该结果在 2012 年通过显著的经典后处理辅助实现；近期记录为对一个 90 位 RSA 数字的混合量子—经典分解。Shell 认为，尽管进展显著，但规模仍约比破解比特币所需水平小 2⁸³ 倍。

Shell 同时表示，谷歌等机构的量子研究值得关注，严肃研究者讨论的时间表从乐观的 2020 年代末到更保守的 2030 年代或更晚，但这并不等同于“闪电余额今天面临风险”。

开发社区的应对：多项后量子提案已在推进

针对“开发者无能为力”的说法，Shell 表示这与实际情况不符。其称，自去年 12 月以来，比特币开发社区已提出五个以上后量子方向的严肃提案，包括：SHRINCS（324 字节状态哈希签名）、SHRIMPS（跨多个设备的 2.5 KB 签名，约为 NIST 标准的三分之一）、BIP-360、Blockstream 的基于哈希的签名论文，以及在 tapscript 中引入 OP_SPHINCS、OP_XMSS 和基于 STARK 的操作码提案。

Shell 认为，更合适的表述是：闪电网络与比特币及多数互联网加密基础设施一样，需要进行基础层升级以实现量子抗性，而相关工作正在进行。

对企业的含义：关注规划与升级路径，而非被标题左右

Shell 表示，闪电网络目前已为 iGaming 平台、加密交易所、数字银行及支付服务提供商等处理真实支付量，并以较低成本实现跨境快速转移资金。其认为，企业需要评估的问题不应是是否因理论上的未来威胁而放弃闪电网络，而是建设闪电基础设施的团队是否持续关注潜在变化并提前规划。

Shell 结论称，闪电网络并非“无助地破碎”，其面临的是与整个数字金融系统相同的长期加密挑战，而开发社区正在积极应对。