比特币量子风险现状：仅部分资产处于直接威胁

当前市场普遍认为，仅有约25%至30%的比特币面临量子计算机攻击风险。这一评估基于项目11发布的风险清单，其中列出了超过688万枚、价值逾4500亿美元的比特币被标记为“面临风险”。该定义明确指向存储在公钥已暴露地址中的币。其中约300万至400万枚已被确认丢失，无法通过升级实现量子安全。

长时暴露与短时暴露攻击的双重挑战

理论上，若不推进向后量子安全体系过渡，所有2100万枚比特币皆存在被足够先进量子计算机破解的可能性。然而，最易受攻击的是那些长期暴露公钥的旧式地址，占比约为四分之一，将首先成为目标。若攻击中本聪持有的比特币（其公钥在过去15年持续暴露），则可能需数月运算时间才能完成破解。 更广泛的风险来自“短时暴露”：当用户花费比特币时，公钥会在交易被打包前于内存池中短暂暴露，通常持续10至60分钟。此期间形成一个可被利用的时间窗口。随着量子计算机规模扩大，人们预期未来可能出现“即时攻击”，即在公钥暴露瞬间完成破解。

BIP-360提案的防护边界与局限

最新更新的BIP-360提案提出“支付至默克尔根”（P2MR）新型地址类型，旨在将大量面临风险的比特币迁移至具备量子弹性的存储结构。然而，该方案仅能有效抵御针对椭圆曲线密码学的长时暴露攻击——即公钥暴露时间超过交易确认周期的情况。 BIP-360合著者Ethan Heilman指出，短时暴露攻击的核心在于攻击者必须在交易确认前完成公钥破解并发起双花。由于当前量子计算能力尚不足以在几分钟内完成此类任务，因此这类攻击在现阶段不具备现实可行性。但未来若量子计算机效率提升，此窗口将迅速缩小甚至消失。

短时攻击的可行性：时间框架仍存争议

尽管短时攻击在理论上成立，但具体所需时间仍无定论。近期进展显示，首个拥有百万级物理量子比特的设施已在芝加哥启动建设，目标于2027年完成。与此同时，PsiQuantum获得贝莱德旗下基金10亿美元投资，反映资本对量子技术成熟度的高度信心。 2024年2月发布的《顶峰架构》预印本论文提出，使用不到10万个物理量子比特可在一个月内破解2048位RSA加密；若采用47.1万个量子比特，则一天内即可完成。虽然该研究针对的是RSA而非比特币所用的椭圆曲线加密（ECC），但部分专家认为ECC因密钥更短（256位），反而更容易被肖尔算法攻破。量子计算权威Scott Aaronson教授强调，密钥大小是决定破解难度的关键因素，这使得比特币的签名更易受威胁。

破解比特币所需时间：从小时到分钟的预测分歧

德勤合伙人Marc Verdonk在其报告《量子计算机与比特币区块链》中指出，当前科学预测认为，量子计算机大约需要8小时破解一个RSA密钥，而比特币签名可能在30分钟内被攻破。尽管如此，他仍认为现有时间窗口足以提供一定缓冲，但警告该领域尚处早期阶段。“若量子计算机能在10分钟内推导出私钥，比特币区块链将从根本上被攻破。” 然而，也有观点持怀疑态度。CoinShares分析师Christopher Bendiksen认为，实际被盗的比特币数量可能极低，仅为约10,200枚。他指出，大部分早期矿工的币集中于32,607个独立地址中，即便在最乐观的技术情景下，也需要“数千年”才能解锁全部资产。其估算依据为：要在一天内破解比特币，需一台具备1300万个物理量子比特的计算机；一小时内完成，则需比谷歌“柳树”强300万倍的系统。 值得注意的是，该研究基于2022年数据，而近期关于10万量子比特破解RSA的估计大幅下调，表明原有模型可能已过时。且2022年论文本身亦承认，RSA-2048的破解难度与比特币的EC加密相近。

量子计算机类型影响破解速度

以太坊研究员Justin Drake在节目中指出，不同类型的量子比特对破解速度有决定性影响。谷歌采用超导量子比特，具有高速门操作能力；而像PsiQuantum等公司则专注于光子编码，同样追求快速运算。这两种路径均以速度为核心优势。 相比之下，囚禁离子和中性原子技术更注重相干性而非运行速度。Drake强调：“若采用超导或光子类快速量子计算机，破解私钥的时间可能降至分钟量级，约十分钟左右。”这表明攻击者的实际能力取决于底层硬件的发展方向。

经济可行性：短时攻击是否值得投入？

Edwards认为，即使短时攻击在技术上可行，其经济合理性也极低。一旦具备大规模破解能力，市场将迅速崩塌，比特币价格将暴跌至接近零。届时，持有者将集体抛售，网络失去价值基础。因此，“没人会费这个劲”去进行这种攻击。 “这正是我们必须提前行动的原因。如果我们希望比特币网络持续繁荣，就必须主动升级基础设施。不作为，根本不是一个可持续选项。”