能夠竊取比特幣的量子電腦不再是理論上的未來問題。這是一個具有可衡量時間線的工程問題,而加密貨幣生態系統尚未開始防禦。Quantum Resistant Ledger (QRL)自2018年起使用XMSS簽章實現量子安全,提供比特幣和以太坊仍在規劃中的保護。請查看QRL 2.0 (Zond)和QRL常見問題。
最後更新: 2026年4月1日
物理學已被三大洲四個獨立團隊證實,擴展現在純粹是工程問題。Nature(2026年2月)確認了「氛圍轉變」:可用量子電腦將在十年內而非數十年後到來。Google的白皮書將superconducting機器上Bitcoin攻擊所需的物理qubit數降至50萬以下;Oratomic表明,一台約10,000至26,000個qubit的neutral-atom機器 - - 這一規模已在實驗室中得到驗證 - - 可以在數天內執行同樣的攻擊。NIST、NSA和Federal Reserve均已發布正式警告。硬體時間線的壓縮速度遠超研究界的預期。遷移時間線卻紋絲未動。
Google Quantum AI 發布的白皮書 -由 Justin Drake(Ethereum Foundation)與 Dan Boneh(史丹佛大學)共同撰寫 -是目前針對加密貨幣量子威脅最具權威的評估。核心結論:針對比特幣 ECDSA-256 的 Shor 演算法現在僅需約 1,200-1,450 個邏輯量子位元與不到 50 萬個物理量子位元,相較先前估算減少約 20 倍。搭配預先計算,攻擊可在約 9 分鐘內完成 -仍落在比特幣平均出塊時間之內。 論文提出新的攻擊分類(On-Spend、At-Rest、On-Setup),並讓鎖在 P2PK 地址中約 170 萬枚 BTC 所面臨的「銷毀或被盜」困境更加尖銳 -這些幣長期暴露於鏈上,任何分叉都無法遷移。Google 以零知識證明驗證結果,使資源估算可以被核實,而無需公開攻擊電路本身。
由 Caltech 主導、與衍生公司 Oratomic 共同發表的論文顯示,針對 ECC-256 的 Shor 演算法只需約 10,000 個可重新配置的原子量子位元就能執行 -若採並行模式則約需 26,000 個量子位元、約 10 天即可跑完。這比過去中性原子的估計低約 100 倍,也比通常用於表面碼的約 100 萬個量子位元低兩個數量級。 關鍵突破來自編碼率約 30% 的高比率 qLDPC 碼(約每 3.5 個物理量子位元對應 1 個邏輯量子位元),並搭配已可穩定運作 6,100 個相干量子位元的中性原子硬體。再加上僅需約 1,200 個邏輯量子位元的 Google 白皮書,兩項成果共同勾勒出一個比過去任何分析都更小、更近在眼前的可信 CRQC。
Google 公布其首份面向後量子遷移的公開時程表。安全工程副總裁 Heather Adkins 與資深密碼工程師 Sophie Schmieg 警告,能夠破解 RSA 與橢圓曲線密碼的密碼學相關量子電腦最早可能於 2029 年問世。Google 已將 ML-DSA 整合進 Android 17,並提出 Merkle Tree Certificates 以控制 Web PKI 中後量子簽章所帶來的負擔。 全球使用最廣的行動作業系統與瀏覽器現已進入明確的 PQC 時程表,而比特幣與以太坊治理仍未提出相應計畫,落差正以月為單位持續擴大。
Quantinuum的Skinny Logic計畫在其98量子位元的離子阱Helios處理器上展示,從98個物理量子位元中實現了48個經過糾錯的邏輯量子位元,比率為2:1。相比之下,表面碼(主流方法)通常需要500:1到1,000:1。邏輯量子位元的效能超過物理量子位元10到100倍。 對加密貨幣的重要性:Google白皮書將最低攻擊閾值設定為約1,200個邏輯量子位元。Oratomic論文表明這可以使用高速率qLDPC碼在約10,000-26,000個物理量子位元上實現。Skinny Logic結果是別的方法(離子阱+修改表面碼)達到2:1,顯示量子位元開銷的降低正在多個硬體平台上同時進行。
Google Quantum AI任命Dr. Adam Kaufman(JILA Fellow,科羅拉多大學波德分校)領導新的中性原子量子運算團隊,作為超導程式之外的第二種硬體模態。中性原子陣列已達到10,000量子位元規模,具有可重組的「任意對任意」連接性。 重要性:Google的雙模態策略直接對沖了其白皮書中概述的fast-clock與slow-clock不確定性。中性原子平台在「空間維度」上高效擴展。Google的加密貨幣白皮書指出,slow-clock(中性原子/離子阱)CRQC將能在on-spend攻擊可行之前就發起at-rest攻擊 - - 同一週發表的Oratomic論文證明了這條路徑比此前認為的更容易實現。
PsiQuantum在芝加哥Illinois Quantum and Microelectronics Park開始建設,這是史上首個實用規模的量子運算建設專案。該設施為百萬量子位元量子超級電腦而設計,由NVIDIA、BlackRock和州政府合作夥伴提供10億美元資金。 這不再是實驗室實驗。工業規模的量子基礎設施正在建設中。PsiQuantum使用標準半導體工廠,賦予量子運算與傳統晶片相同的製造經濟性。
BTQ Technologies於2026年3月19日啟動了Bitcoin Quantum測試網v0.3.0 - - 這是BIP-360(Pay-to-Merkle-Root,P2MR)的首個可運行實作,該提案於2026年2月11日正式合併到比特幣官方BIP儲存庫。測試網擁有50多個礦工、處理了超過100,000個區塊,並配備完整的錢包工具。 BIP-360實際能做什麼和不能做什麼:BIP-360是有意義的第一步,但必須準確理解它保護了什麼,又有什麼完全暴露在外。Google Quantum AI白皮書將兩種主要攻擊類型標準化: At-Rest攻擊(最緊迫的威脅):量子攻擊者擁有無限時間。他們蒐集已永久儲存在區塊鏈上的公鑰並使用量子電腦推導出私鑰清空錢包。沒有時間壓力。這就是正在透過「先蒐集,後解密」緩慢發生的威脅。即使是slow-clock中性原子CRQC(如Oratomic架構)也能執行這種攻擊。 On-Spend攻擊(需要更快的量子電腦):當你傳送比特幣時,你的公鑰會短暫出現在mempool中約10分鐘。量子攻擊者需要在該窗口內破解金鑰並廣播競爭交易。Google白皮書估計,以每金鑰約9分鐘運行的fast-clock(超導)CRQC對比特幣約有41%的竊取機率。 BIP-360僅解決未來新地址的At-Rest攻擊。On-Spend攻擊被明確留給未來的提案。 不同地址類型如何暴露公鑰:P2PK(2009-2011年,中本聰時代)- 從接收BTC的那一刻起永久儲存在鏈上(即時風險)。P2TR/Taproot(2021年至今)- 從接收時起永久儲存在鏈上,地址本身編碼了公鑰的可恢復形式(即時風險)。P2PKH傳統地址(1...)- 在花費前隱藏,花費後永久暴露。P2WPKH/SegWit(bc1q)- 在花費前隱藏,花費後永久暴露。任何重複使用的地址 - 一旦花費即永久暴露。P2MR(BIP-360,提案中,bc1z)- 永遠不會在鏈上暴露。 Taproot的諷刺:2021年作為比特幣在隱私和智慧合約方面最先進的升級被啟用,卻因將公鑰的可恢復形式直接編碼在地址中而無意間加劇了量子暴露。 BIP-360(P2MR)改變了什麼:Taproot的「金鑰路徑」花費會將公鑰永久寫入區塊鏈。BIP-360完全移除了這條路徑,強制所有花費透過基於雜湊的腳本承諾進行。你的金鑰仍然會在約10分鐘的確認窗口期間短暫出現在mempool中 - - BIP-360並未解決這個問題。完整的mempool保護需要另一個未來提案,用後量子簽章(ML-DSA或SLH-DSA)替換ECDSA/Schnorr。 治理挑戰:BIP-360沒有主網啟用時程表。作為參考,SegWit花了約8.5年、Taproot花了約7.5年才獲得廣泛採用。BIP-360僅面向未來:對已暴露地址中的約4,700億美元無能為力。即使將現有代幣遷移到P2MR地址,也需要一筆會短暫暴露當前公鑰的交易。
Chevignard、Fouque和Schrottenloher被EUROCRYPT 2026接收的論文展示了一種空間最佳化的Shor演算法,僅需1,098個邏輯量子位元即可求解256位元橢圓曲線離散對數,較先前最低值2,124有所下降。該方法使用剩餘數系統和Legendre符號壓縮來避免模逆運算,對n位元曲線實現3.12n + o(n)總量子位元。 重要權衡:這一量子位元最小化結果需要22次獨立執行,每次約2^38.10個Toffoli閘 - - 遠高於深度最佳化方法的閘數。對於邏輯量子位元是瓶頸的早期容錯硬體,這為在更小系統上攻擊ECC開闢了道路。對於閘數量是瓶頸的硬體,Google的約1,200-1,450量子位元/18-23分鐘方案仍更實用。
ACM A.M.圖靈獎(計算領域最高榮譽)首次頒發給量子科學。Charles H. Bennett(IBM Research)和Gilles Brassard(蒙特婁大學)因其在量子資訊科學領域的奠基性工作共同獲得100萬美元獎金,包括BB84量子金鑰分發協議(1984年)和量子隱形傳態(1993年)。 Bennett和Brassard發明了量子安全密碼原語,這些原語現在是後量子防禦的基礎。Brassard本人在頒獎典禮上強調了「先蒐集,後解密」攻擊的緊迫性。
研究人員發布了首個恢復BIP32階層式確定性(HD)錢包完整功能的後量子建構。NIST標準PQC方案(ML-DSA)破壞了非硬化BIP32衍生所需的線性特性。Raccoon-G使用高斯分布的秘密和無捨入的完整公鑰來保持該特性,在標準格假設下證明了安全性。權衡:金鑰更大(公鑰約16 KB,而secp256k1為33位元組)。
USDC發行方Circle發布了詳細的量子準備路線圖,將整個區塊鏈技術堆疊視為處於風險之中。關鍵轉型:將TLS 1.3遷移至X25519MLKEM768;用抗量子STARKs替代橢圓曲線SNARKs。預計美國和歐盟將在2030年前要求關鍵基礎設施採用PQC。 對加密貨幣的影響:首個主要穩定幣發行方設定了公開時程表。2030年的監管要求將壓縮整個DeFi生態系統的遷移窗口。
Intel在ISSCC上展示了Heracles處理器,一款用於全同態加密(FHE)的3nm晶片,可在不解密的情況下處理資料。效能:比24核Xeon CPU快1,074-5,547倍。 FHE使量子安全且保護隱私的雲端運算可投入生產,即使在Q-Day到來之前也能實現預設加密的基礎設施。
IBM和DOE的Quantum Science Center使用50量子位元的Heron處理器模擬了磁性晶體KCuF3,結果直接與Oak Ridge National Laboratory的中子散射實驗進行了驗證。這是量子電腦輸出首次與真實物理材料資料(而非傳統電腦)進行比較。 這表明當前「有雜訊」的量子硬體已經在實用規模上提供了科學可靠的結果,尚未實現完全容錯。IBM預計2029年實現容錯系統。
深圳國際量子研究院的研究人員展示了一款矽基量子處理器,執行了通用邏輯閘操作集,包括T閘和CNOT操作,使用同位素純化矽28晶格中的五個施體磷核自旋。該成果發表於Nature Nanotechnology,驗證了在與現有CMOS半導體製造完全相容的平台上進行糾錯量子運算的可行性。
主要國家投資公布:印度卡納塔克邦(1.14億美元,目標2035年200億美元量子經濟);澳洲NRFC(2,000萬澳幣用於SQC原子級半導體量子位元);美國DOE(3,700萬美元用於QIS國家研究中心);英國(1億美元用於Rigetti硬體開發及20億英鎊ProQure計畫);歐盟執委會(7,500萬歐元用於EURO-3C量子基礎設施)。芝加哥PsiQuantum設施再增10億美元,為迄今最大的單筆量子基礎設施投資。
Fermilab和MIT林肯實驗室展示了離子阱真空內低溫電子技術 - - 將控制晶片直接安裝在稀釋冷凍機內部,消除了先前將離子阱系統限制在數十個量子位元的纜線擴展問題。這為實現數萬個電極開闢了可信的路徑。
UCSB研究人員提出將CN中心矽缺陷作為結構穩定的電信波段量子位元發射器,解決了T中心因製造過程中氫遷移而導致的脆弱性問題。Photonic Inc.同時也在探索氘取代T中心以改善磁場控制。 電信波段發射器是模組化量子架構的基礎,可透過標準光纖連接分散式處理器。
NBI研究人員展示了一套可即時追蹤量子位元效能波動的系統 - - 精確度達到亞秒級 - - 使長時間運算過程中的動態雜訊校正成為可能。這是Shor演算法的先決條件,該演算法需要長時間的持續運算。
由Sergey Frolov領導的團隊在Science上發表了複製研究,發現先前被解釋為Majorana量子位元特徵的訊號,在分析更完整的資料集後可以用更簡單的機制來解釋。這項工作經歷了兩年的同儕審查。 背景:這與QuTech於2026年2月在Nature上發表的透過量子電容成功實現Majorana量子位元讀取的論文是兩回事,後者至今未受質疑。這場爭議強化了多元化硬體策略的價值,而非否定拓撲運算整體。
2026年3月 - - 以3月30-31日連續發表的兩篇重要論文為高潮 - - 標誌著從量子研究到量子緊迫性的決定性轉變。Google Quantum AI發表了有史以來最全面的加密貨幣量子威脅技術分析,同時揭示了物理量子位元需求約20倍的削減(降至50萬以下)和9分鐘的on-spend攻擊窗口。次日,Caltech/Oratomic證明同樣的攻擊可在中性原子架構上僅用10,000個物理量子位元實現 - - 比該平台此前估計低100倍。兩篇論文共同瓦解了量子懷疑論者賴以依靠的兩大防線:需要數百萬量子位元,以及中性原子機器太慢而無關緊要。Quantinuum的Skinny Logic成果和EUROCRYPT論文將最低邏輯量子位元門檻降至1,098,糾錯效率也取得了重大進展。PsiQuantum開始建設全球首座實用規模量子設施,各國政府在五個地區承諾超過15億美元的新量子投資,圖靈獎首次表彰量子密碼學。在防禦方面,BIP-360進入測試網 - - 重大進展,但沒有主網時程表,也沒有對已暴露地址中數千億美元的保護。硬體在加速。遷移沒有。
<500,000 physical qubits, ~9 min on-spend attack
Caltech/Oratomic; 10,000 physical qubits; high-rate qLDPC codes
<500,000 physical qubits, on-spend/at-rest/on-setup attack taxonomy
~6,500 logical qubits for practical secp256k1 attack in ~2 hours
Protocol-semantic constraint on Bitcoin's PQC migration
Establishes baseline qubit estimates for ECDSA-256
Physical qubit requirements at different time constraints
Breakdown by address type
1.9M BTC in P2PK, 4M BTC in reused addresses
ECDSA deprecated 2030, prohibited 2035
Official approved algorithms
HNDL attacks confirmed
256 qubits at 99.99% fidelity in 2026, 1,600 logical qubits by 2028
12 logical qubits achieved, 1,000 by 2030
200 logical qubits by 2029, 2,000 by 2033
48 error-corrected logical qubits, 2:1 ratio
Targeting cryptographically relevant neutral-atom FTQC before end of decade