美国投资管理公司方舟投资（ARK Invest）与专注比特币的金融服务公司 Unchained 在一份最新白皮书中表示，目前大部分比特币供应已相对不易受到未来量子计算突破的影响，但仍约有三分之一的供应在量子计算能力显著提升时可能面临风险。

三分之一供应被视为“量子易受攻击”

白皮书显示，约 65.4% 的比特币（BTC）供应被认为不易受到量子计算突破的威胁，但约 34.6% 的供应仍被视为存在量子风险。

在这部分存在风险的供应中，报告估算：

• 约 500 万枚比特币，占总供应约 25%，因地址重复使用而被假定为可迁移；
• 约 170 万枚比特币，占供应约 8.6%，被假定为丢失在 P2PK（支付至公钥）地址中，这是一种早期交易脚本形式，资金直接锁定在公钥上；
• 约 20 万枚比特币，占供应约 1%，因使用 P2TR（支付至 Taproot）地址类型而被假定为可迁移。

报告指出，如果未来量子计算机能够破解比特币当前采用的椭圆曲线密码学（ECC），上述相关比特币可能面临“量子盗窃”风险。白皮书称，这一能力的实现大致需要 2,330 个逻辑量子比特，以及数千万至数十亿级别的量子门操作。

报告同时强调，即便如此，要达到这一水平仍需量子系统在性能上取得显著进展，而研究认为这将需要较长时间。

白皮书的估算范围明显大于今年 2 月 CoinShares 的一份分析。后者当时认为，量子易受攻击的比特币市场相关部分约为 10,200 枚，仅占比特币供应的约 0.05%，尽管从理论上看，传统 P2PK 地址的暴露程度更高。

报告还提及，位于芝加哥的 PsiQuantum 预计将在 2027 年完成首个拥有 100 万个物理量子比特的量子计算设施，该设施被该公司描述为相当于数百亿台典型计算机的计算能力。PsiQuantum 已从与贝莱德相关的基金筹集了 10 亿美元资金。

方舟：量子威胁被视为长期风险

方舟投资与 Unchained 在白皮书中将量子计算对比特币的影响界定为“长期风险”。报告称，量子风险更可能是一个伴随“许多中间预警信号”的渐进过程，而非突然出现的单点故障。

报告指出，量子突破目前并非比特币网络的迫在眉睫威胁，这为社区“研究并制定保护网络的计划”留出了时间，以应对量子能力在更长周期内的演进。

白皮书将量子计算的发展划分为五个阶段，并称只有在最后一个阶段，量子计算机的能力才会快于比特币约 10 分钟的出块时间，从而对 ECC 构成直接威胁。

报告称，存放在量子易受攻击地址中的比特币，直到第三阶段——量子计算机能够破解 256 位 ECC 密钥时——才会真正面临风险。白皮书援引包括谷歌、IBM 和微软在内多家公司的共识目标称，首个公钥可能在 2030 年代中期被破解。

量子安全地址与后量子密码学

白皮书认为，量子计算机“必将”发展到足以对比特币网络构成威胁的第四阶段，因此比特币最终必须实施量子安全的地址格式。

报告指出，这将需要在比特币中集成后量子密码学（PQC），例如基于格的签名方案 ML-DSA 以及基于哈希的签名方案 SLH-DSA。方舟投资在报告中表示，这些标准让其对后量子密码学的能力“充满信心”。

不过，报告同时提示，由于比特币采用去中心化治理结构，将 PQC 升级到共识层面将面临更大挑战。这类升级通常需要网络中大多数参与者同意软分叉。

白皮书称，比特币最终将需要量子安全的地址格式，并在未来逐步采用后量子密码学。目前社区讨论中的一个草案路径是 BIP-360。该提案提出了一种“支付至默克尔根”（Pay-to-Merkle-Root）的输出类型，旨在通过消除 Taproot 的密钥路径漏洞来降低长期量子风险，但其本身并未引入后量子数字签名。

BTQ Technologies 量子创新总裁兼负责人 Chris Tam 在接受 Cointelegraph 采访时表示，BIP-360 并非比特币应对量子威胁的最终方案。

他称：“该提案引入了新的地址格式，但关键是没有包含后量子数字签名，而后者对于任何有意义的长期防御量子攻击都是必不可少的。”