QRLHUB

加密貨幣的量子威脅:2026年新聞與動態

2 頁,共 2

最後更新: 2026年6月2日

突發新聞:2026年3月

2025年諾貝爾獎為量子運算的科學地位蓋棺論定。2026年,業界評估進展的標準已從「量子優勢」轉向「QuOps」(無錯誤量子操作),反映出更成熟的認識:真正的價值來自持續穩定的運算能力,而非單純的量子位元數量。

Google Quantum AI發布加密貨幣白皮書

Google Quantum AI發布的白皮書,由Justin Drake(Ethereum Foundation)與Dan Boneh(史丹佛大學)共同撰寫,是目前針對加密貨幣量子威脅最具權威的評估。核心結論:針對比特幣ECDSA-256的Shor演算法現在僅需約1,200至1,450個邏輯量子位元,以及不到50萬個物理量子位元,較先前估算縮減約20倍。搭配預先計算,攻擊可在約9分鐘內完成,仍在比特幣平均出塊時間之內。 論文提出新的攻擊分類法(On-Spend、At-Rest、On-Setup),也使鎖在P2PK地址中約170萬枚BTC所面臨的「銷毀或被盜」困境更加尖銳。這些幣長期暴露於鏈上,任何分叉都無法將其遷移。Google以零知識證明驗證其結論,使資源估算得以被獨立核實,無需公開攻擊電路本身。

Caltech/Oratomic證明Shor演算法僅需約10,000個物理量子位元

由Caltech主導、與衍生公司Oratomic共同發表的論文顯示,針對ECC-256的Shor演算法只需約10,000個可重新配置的原子量子位元即可執行,若採並行模式則約需26,000個量子位元,大約10天可完成。這比過去針對中性原子平台的估計低約100倍,也比通常援引的表面碼約100萬個量子位元低兩個數量級。 關鍵突破來自編碼率約30%的高速率qLDPC碼(約每3.5個物理量子位元對應1個邏輯量子位元),並搭配已可穩定運作6,100個相干量子位元的中性原子硬體。結合僅需約1,200個邏輯量子位元的Google白皮書,兩項成果共同勾勒出一台比過去任何分析都更小、更近在眼前的可信CRQC。

Google正式警告Q-Day可能在2029年到來

Google公布首份後量子遷移公開時程表。安全工程副總裁Heather Adkins與資深密碼工程師Sophie Schmieg警告,能夠破解RSA與橢圓曲線密碼的密碼學相關量子電腦最早可能於2029年問世。Google已將ML-DSA整合至Android 17,並提出Merkle Tree Certificates,以控制Web PKI中後量子簽章帶來的額外負擔。 全球使用最廣的行動作業系統與瀏覽器現已進入明確的PQC時程表。比特幣與以太坊的治理層仍未提出對等計畫,兩者之間的差距正以月為單位持續擴大。

Quantinuum「Skinny Logic」達成創紀錄的2:1物理對邏輯比率

Quantinuum的Skinny Logic計畫在其98量子位元的離子阱處理器Helios上實現,從98個物理量子位元中得到48個經糾錯的邏輯量子位元,達到2:1的比率。相較之下,主流的表面碼通常需要500:1至1,000:1。邏輯量子位元的效能超越物理量子位元10至100倍。 對加密貨幣的意義:Google白皮書將最低攻擊門檻設定為約1,200個邏輯量子位元。Oratomic論文顯示,採用高速率qLDPC碼,這個目標可在約10,000至26,000個物理量子位元上達成。Skinny Logic是另一條路線(離子阱加改良版表面碼)達到2:1的案例,說明量子位元開銷的降低正在多個硬體平台上同步推進。

Google擴展至中性原子量子運算

Google Quantum AI任命Dr. Adam Kaufman(JILA研究員,科羅拉多大學博爾德分校)領導新成立的中性原子量子運算團隊,作為超導路線之外的第二硬體方向。中性原子陣列已可達10,000個量子位元的規模,具備可重組的「任意對任意」連接性。 重要意義:Google的雙模態策略直接對沖了其白皮書所描述的fast-clock與slow-clock不確定性。中性原子平台在空間維度的擴展效率尤為突出。Google加密貨幣白皮書指出,slow-clock(中性原子/離子阱)CRQC甚至能在on-spend攻擊成為可能之前,就先發動at-rest攻擊,而同週發表的Oratomic論文則證明這條路徑比以往認為的更容易實現。

PsiQuantum開始建設首座百萬量子位元設施

PsiQuantum在芝加哥Illinois Quantum and Microelectronics Park動工興建,這是史上首個實用規模的量子運算建設計畫。該設施以建造百萬量子位元量子超級電腦為目標,由NVIDIA、BlackRock及州政府合作夥伴提供10億美元資金。 這已不再是實驗室計畫,工業規模的量子基礎設施正在破土興建。PsiQuantum採用標準半導體晶圓廠,使量子運算得以享有與傳統晶片相同的製造經濟規模。

BIP-360在比特幣測試網上線運行

BTQ Technologies於2026年3月19日啟動Bitcoin Quantum測試網v0.3.0,這是BIP-360(Pay-to-Merkle-Root,P2MR)的首個可運行實作,已有超過50個礦工和逾100,000個區塊。P2MR已於2026年2月11日合併至比特幣的BIP儲存庫。 它修復的範圍相當有限。P2MR移除Taproot的金鑰路徑,使公鑰不再寫入鏈上,但僅適用於新地址,且只針對At-Rest攻擊(蒐集那些已永久存在於鏈上、不受時間壓力的金鑰)。公鑰在每次花費時仍會出現在mempool中,On-Spend暴露完全未被解決,留待未來的後量子簽章提案處理。 而這還只是相對容易的部分。P2MR對已暴露地址中的約4,700億美元(所有P2PK、所有Taproot、每一個被重複使用的地址)毫無幫助。遷移其餘部分本身就是一場硬仗:比特幣約1.9億個UTXO,以全鏈每秒約7筆交易的上限計算,即使區塊全數用於遷移也需要將近一年,實際執行下來要數年之久,而每一筆遷移花費都會短暫重新暴露它本想保護的那把金鑰。BIP-360沒有主網啟用日期,而SegWit和Taproot的採用各自都花了7至8年。

新論文將ECC攻擊降至1,098個邏輯量子位元(EUROCRYPT 2026)

Chevignard、Fouque和Schrottenloher發表並獲EUROCRYPT 2026接收的論文,展示了一種空間最佳化的Shor演算法,僅需1,098個邏輯量子位元即可求解256位元橢圓曲線離散對數,較先前最低紀錄2,124進一步降低。該方法採用剩餘數系統與Legendre符號壓縮以規避模逆運算,對n位元曲線可達3.12n + o(n)的總量子位元需求。 關鍵取捨:這個量子位元最小化方案需要22次獨立執行,每次約需2^38.10個Toffoli閘,閘數量遠高於深度最佳化方法。對於以邏輯量子位元為瓶頸的早期容錯硬體,此方案為在更小的系統上攻擊ECC開闢了可行路徑;對於以閘數量為瓶頸的硬體,Google的約1,200至1,450個量子位元、18至23分鐘方案則仍更具實用性。

圖靈獎首次頒發給量子密碼學奠基人

ACM A.M.圖靈獎(計算科學最高殊榮)首次頒發給量子科學領域。Charles H. Bennett(IBM Research)和Gilles Brassard(蒙特婁大學)因在量子資訊科學的奠基性貢獻,共同獲得100萬美元獎金,表彰對象包括BB84量子金鑰分發協議(1984年)和量子隱形傳態(1993年)。 Bennett和Brassard所發明的量子安全密碼原語,如今已成為後量子防禦體系的基石。Brassard本人在頒獎典禮上特別強調了「先蒐集,後解密」攻擊的迫切威脅。

Raccoon-G - 首個支援完整BIP32 HD衍生的後量子錢包

研究人員發表了首個可完整恢復BIP32階層式確定性(HD)錢包功能的後量子方案。NIST標準PQC方案(ML-DSA)會破壞非硬化BIP32衍生所需的線性特性,Raccoon-G則透過使用高斯分布的秘密和未捨入的完整公鑰來保留這一特性,並在標準格假設下完成安全性證明。取捨之處在於金鑰較大:公鑰約16 KB,而secp256k1僅33位元組。

Circle(USDC)發布區塊鏈Q-Day路線圖

USDC發行方Circle發布詳細的量子準備路線圖,將整個區塊鏈技術堆疊均視為高風險。關鍵轉型包括:將TLS 1.3遷移至X25519MLKEM768,以及以抗量子STARKs替代橢圓曲線SNARKs。美國和歐盟預計將於2030年前強制要求關鍵基礎設施採用PQC。 對加密貨幣的意義:第一個主要穩定幣發行方已公開設定時程表。2030年的監管截止日期將大幅壓縮整個DeFi生態系統的遷移空間。

Intel Heracles - FHE晶片為加密運算提供5,547倍加速

Intel在ISSCC上展示Heracles處理器,這是一款專為全同態加密(FHE)設計的3nm晶片,能夠在不解密的情況下直接處理資料。效能較24核Xeon CPU快1,074至5,547倍。 FHE使量子安全且保護隱私的雲端運算進入生產就緒階段,即便在Q-Day到來之前,也能建立預設加密的基礎設施。

IBM Quantum模擬真實磁性材料 - 經實驗室資料驗證

IBM與DOE的量子科學中心,使用50量子位元的Heron處理器模擬磁性晶體KCuF3,並將結果直接與Oak Ridge National Laboratory的中子散射實驗數據進行比對驗證。這是量子電腦的輸出結果首次以真實物理材料數據(而非傳統電腦的模擬結果)作為基準進行比較。 這表明,即使尚未達到完全容錯,當前「有雜訊」的量子硬體已能在實用規模上提供科學可靠的結果。IBM預計於2029年實現容錯系統。

矽基量子處理器實現通用邏輯閘集

深圳國際量子研究院的研究人員展示了一款矽基量子處理器,利用同位素純化矽28晶格中的五個施體磷核自旋,執行了包含T閘和CNOT操作在內的通用邏輯閘集,成果發表於Nature Nanotechnology。這驗證了在與現有CMOS半導體製造完全相容的平台上實現糾錯量子運算的可行性。

各國量子運算投資浪潮

多國量子投資相繼宣布:印度卡納塔克邦(1.14億美元,目標2035年建立200億美元量子經濟);澳洲NRFC(2,000萬澳幣,用於SQC原子級半導體量子位元);美國DOE(3,700萬美元,用於QIS國家研究中心);英國(1億美元用於Rigetti硬體開發,另有20億英鎊的ProQure計畫);歐盟執委會(7,500萬歐元,用於EURO-3C量子基礎設施)。PsiQuantum芝加哥設施新增10億美元投資,是迄今規模最大的單筆量子基礎設施投資。

Fermilab-MIT消除離子阱佈線瓶頸

Fermilab與MIT林肯實驗室展示了離子阱的真空內低溫電子技術,將控制晶片直接安裝於稀釋冷凍機內部,消除了過去限制離子阱系統停滯在數十個量子位元規模的纜線擴展瓶頸。這為通往數萬個電極規模的路徑提供了可信的技術依據。

UC Santa Barbara提出CN中心:用於量子網路的穩定矽缺陷

UCSB研究人員提出以CN中心矽缺陷作為結構穩定的電信波段量子位元發射器,解決了T中心因製造過程中氫遷移所導致的脆弱性問題。Photonic Inc.同時也在探索以氘取代的T中心,以改善磁場控制能力。 電信波段發射器是模組化量子架構的基石,可透過標準光纖連接各分散式處理器。

Niels Bohr Institute:運算過程中的即時量子位元監測

NBI研究人員展示了一套可即時追蹤量子位元效能波動的系統,精確度達到亞秒等級,使長時間運算過程中的動態雜訊校正成為可能。這是執行Shor演算法的必要條件,因為該演算法需要持續進行長時間的計算。

Majorana複製爭議(Frolov et al.,Science)

由Sergey Frolov領導的團隊在Science上發表複製研究,發現先前被解釋為Majorana量子位元特徵的訊號,在分析更完整的資料集之後,可以用更簡單的機制加以解釋。這項研究歷經兩年同儕審查。 背景說明:這與QuTech於2026年2月在Nature上發表的論文是兩回事,後者透過量子電容成功實現Majorana量子位元讀出,至今仍未受到質疑。這場爭議強化的是多元化硬體策略的價值,而非否定拓撲量子運算的整體前景。

Nature確認「氛圍轉變」,實用量子電腦十年內可期

Nature一篇重要新聞報導宣告量子運算出現「氛圍轉變」:研究人員如今普遍認為,實用的量子電腦可能在10年內到來,而非幾十年後。文章引用四個團隊,包括Google、Quantinuum、Harvard/QuEra,以及中國的USTC(祖沖之3.2),均已展示了閾值以下的量子糾錯,意味著邏輯錯誤率將隨量子位元數量增加而呈指數級下降。 關鍵引述: - Dorit Aharonov(希伯來大學):「此刻,我比以往更加確信量子運算終將實現,且時間表遠比人們預想的短。我們已進入一個新時代。」 - Nathalie de Leon(普林斯頓):將此番轉變形容為「氛圍轉變」,「人們現在開始接受這一現實了。」 - 陸朝陽(USTC):預計2035年前實現容錯量子電腦。 對加密貨幣的意義:三大洲的四個獨立團隊已先後證明,糾錯的基礎物理學確實可行。剩餘的挑戰屬於工程與製造,有可預測的擴展曲線,也有龐大的投資在背後支撐。

Iceberg Quantum Pinnacle Architecture將破解RSA-2048所需物理量子位元降至10萬以下

Iceberg Quantum(雪梨新創,已完成600萬美元種子輪融資)發布Pinnacle Architecture,這是一種採用量子LDPC碼而非表面碼的容錯量子運算設計。在標準硬體假設下(物理錯誤率10⁻³、碼週期時間1µs、響應時間10µs),該架構分解RSA-2048僅需不到10萬個物理量子位元,比Gidney(2025)此前最佳估算的約100萬個少了一個數量級。 架構原理:由三個模組化元件構成:(1)基於橋接QLDPC碼塊(廣義自行車碼)建構的處理單元,在距離16下將14個邏輯量子位元編碼於約860個物理量子位元中,同等距離的表面碼每個邏輯量子位元則需約511個物理量子位元;(2)魔法引擎,同步生產與消耗魔法態,實現T閘的連續管線;(3)供高效量子位元儲存的記憶體區塊。「Clifford框架清理」這項創新技術實現了跨處理單元的靈活平行性。 RSA-2048分解關鍵數字: - 最小量子位元配置:97,000個物理量子位元,執行時間約1個月 - 高速配置:151,000個物理量子位元,執行時間約1週 - 離子阱配置:310萬個物理量子位元,執行時間約1個月 對密碼學的意義:過去估計破解RSA-2048約需100萬個物理量子位元,QLDPC碼將其壓縮至原來的十分之一。Iceberg已與PsiQuantum、Diraq和IonQ展開合作,三家均預計在3至5年內實現這一規模的系統。此成果基於模擬和理論資源估算(而非實驗驗證),從根本上重置了密碼學相關量子運算的硬體門檻。 重要說明:該論文未直接涉及ECDSA/secp256k1。將類似的QLDPC架構應用於橢圓曲線密碼分析,可能使破解比特幣金鑰所需的物理量子位元數大幅低於目前約800萬個的估算。

QuTech首次實現Majorana量子位元讀出(Nature發表)

QuTech(台夫特)與ICMM-CSIC(馬德里)的研究人員在Nature上發表論文,首次演示了對Majorana拓撲量子位元中所儲存量子資訊的單次即時讀出。研究團隊以量子電容作為全域探針,成功區分了最小Kitaev鏈的奇偶同位態,奇偶同調時間超過1毫秒。 重要意義:拓撲量子位元(Microsoft的主要技術路線)透過Majorana零模將資訊非局域化儲存,天然抗拒局部雜訊,但這一特性也使讀出長期以來是一大難題。此次突破在不損害拓撲保護的前提下解決了讀出問題,為可用的Majorana量子電腦建立了所需的量測基元。

QuTech QARPET晶片以200萬個/mm²密度對1,058個自旋量子位元進行基準測試

QuTech(台夫特理工大學)在Nature Electronics上發布QARPET平台(Qubit-Array Research Platform for Engineering and Testing,量子位元陣列工程與測試研究平台),這是一種交叉陣列晶片架構,可在23×23的網格中容納多達1,058個半導體自旋量子位元,僅需53條控制線。該晶片達到每平方毫米約200萬個量子位元的潛在密度。 重要意義:擴展量子處理器需要掌握大型陣列中量子位元的統計特性。QARPET使半導體量子位元的測試方式與傳統晶片業接軌,可在單次冷卻中完成數百個量子位元的特性分析,加速了借助現有CMOS製造基礎設施通往百萬量子位元半導體量子電腦的路徑。

Reed-Muller碼無需輔助量子位元即可實現完整Clifford群

來自大阪、牛津和東京的研究人員證明,高碼率量子Reed-Muller碼僅透過橫向閘和折疊橫向閘,即可實現完整的邏輯Clifford群,無需任何輔助量子位元。這是第一個適用於邏輯量子位元數量隨區塊長度近線性增長之碼族的同類構造。 重要意義:這在QLDPC碼之外,開闢了另一條降低容錯量子運算開銷的路徑。消除Clifford閘的輔助量子位元需求,意味著每次邏輯運算所需的物理量子位元更少,進一步壓低了密碼學相關計算的硬體門檻。

ePrint 2026/106 - 修訂的ECDSA攻擊估算(Kim et al.)

新研究大幅修訂了破解比特幣secp256k1曲線所需的量子資源估算。Kim et al.展示了針對橢圓曲線Shor演算法的最佳化量子電路,與所有先前研究(包括Roetteler et al. 2017和Häner et al. 2020)相比,量子位元數乘以電路深度的乘積最多提升40%。 被廣泛引用的「約2,330個邏輯量子位元」,是一種執行時間極不切實際的量子位元最小化設計。能在約2小時內完成的實際攻擊,需要約6,500個邏輯量子位元和約800萬個物理量子位元。最大電路深度2^28遠低於NIST的MAXDEPTH限制2^40。 結論:以Quantinuum Helios為例(98個物理量子位元,48個邏輯),目前的量子硬體距離這個門檻仍相當遙遠,但以2029至2033年為目標的公司路線圖,已將其納入下一個十年的可及範圍。

ETH Zurich在超導量子位元上首次演示晶格手術

ETH Zurich與Paul Scherrer研究所的研究人員在17量子位元的超導處理器上演示了晶格手術,這是首次在超導量子位元上執行這項關鍵操作。成果發表於Nature Physics,團隊採用距離為3的表面碼,將單個邏輯量子位元分裂為兩個糾纏的邏輯量子位元,同時持續糾正位元翻轉錯誤。 重要意義:晶格手術是容錯量子運算的核心操作。正如研究員Ilya Besedin所解釋的:「可以說,晶格手術就是那個關鍵操作,所有其他操作都可以由它建構出來。」這一突破清除了超導量子電腦擴展的主要障礙,讓IBM、Google和USTC所追求的主流架構距離能夠運行Shor演算法的容錯系統又近了一步。

史丹佛腔陣列顯微鏡開啟百萬量子位元擴展之路

史丹佛研究人員在Nature上發表突破性論文:一種新型光學腔陣列,可高效捕獲單個原子發出的光子,實現所有量子位元的並行讀出。團隊展示了一個40腔工作陣列和超過500腔的原型,並有明確路徑通往數萬個腔的規模。 重要意義:百萬量子位元量子電腦的最大障礙之一在於量子位元讀出,原子發射光子速度太慢且方向分散。史丹佛配備微透鏡的腔體,透過高效地將每個原子的光引導至特定方向,解決了這一難題。研究人員設想建立「量子資料中心」,讓個別量子電腦透過基於腔體的網路介面相互連接,共同構成量子超級電腦。

Alice & Bob「電梯碼」將錯誤率降低10,000倍

法國貓量子位元量子運算公司Alice & Bob(NVIDIA合作夥伴)宣布推出「電梯碼」,這是一種新型糾錯技術,僅需約3倍的量子位元,即可實現邏輯錯誤率降低10,000倍。該技術透過在計算過程中將邏輯輔助量子位元「上下移動」,提供額外的位元翻轉保護。 重要意義:糾錯開銷是構建實用量子電腦的最大障礙,標準方法每個邏輯量子位元需要大量物理量子位元。Alice & Bob的貓量子位元天然抵抗一類錯誤(位元翻轉),電梯碼則以極低的成本成倍放大了這種保護,有望讓實用量子電腦比預期更早到來。

量子計算超快光子相位調變器(JMU維爾茨堡)

德國維爾茨堡大學(Julius Maximilian University)的研究人員,透過將鐵電鈦酸鋇晶體整合至III-V光子平台,開發了一款超快、超低損耗的光學相位調變器,並獲得660萬歐元的聯邦資金支持。該晶片以極高速度控制光訊號,且幾乎無損耗。 重要意義:量子光子電路需要同時具備極高速度與極低光損耗的元件,即使是微小損耗也可能導致量子態崩潰。這款調變器有望加速量子光子學從實驗室走向實用大規模技術的轉型進程。

USTC祖沖之3.2加入閾值以下QEC俱樂部

中國科學技術大學(USTC)使用107量子位元的祖沖之3.2處理器,展示了閾值以下的表面碼容錯量子糾錯。成果作為Physical Review Letters編輯推薦論文發表,團隊採用距離為7的表面碼,實現了Λ = 1.40的錯誤抑制因子,證明其系統在臨界錯誤閾值以下運行。 第四支團隊:USTC由此成為繼Google、Quantinuum和Harvard/QuEra之後,全球第四個達成閾值以下QEC的團隊,也是美國以外的第一個。其新型全微波洩漏抑制架構將洩漏群體抑制了72倍,且該設計同時降低了稀釋冷凍機內部的佈線密度,帶來了可擴展性優勢。

Ubuntu 26.04 LTS預設搭載後量子密碼學

Ubuntu 26.04 LTS(「Resolute Raccoon」,2026年4月23日發布)將在OpenSSH和OpenSSL中預設啟用後量子密碼學,採用混合後量子演算法。這是第一個將PQC設為所有加密通訊預設選項的主流Linux發行版。 對加密貨幣的意義:全球最普及的伺服器作業系統將PQC設為預設值,意味著後量子過渡已不再只是理論,而是正在生產基礎設施中落地部署。比特幣和以太坊至今仍以量子脆弱的ECDSA作為唯一簽章方案,對比格外鮮明:Linux伺服器已用混合PQC保護SSH連線,而數十億美元的加密貨幣資產卻仍僅由secp256k1把守。

洛斯阿拉莫斯國家實驗室成立量子計算中心

洛斯阿拉莫斯國家實驗室成立了專責量子運算研究中心,整合三十餘位跨越國家安全、演算法、電腦科學和人才培育領域的量子研究人員。該中心同時支持DARPA的量子基準測試倡議、DOE的量子科學中心,以及NNSA的超越摩爾定律計畫。

僅PQC簽章升級無法支持比特幣的一致性遷移

Michael Strike(Quantum Compliance, LLC)的新預印本正式論證,僅憑後量子數位簽章演算法,不足以支持比特幣在其現有協議語義框架下的一致性遷移。分析並不評估具體的密碼構造或治理機制,而是聚焦於比特幣在所有權定義、有效性和共識機制上所衍生的結構性約束。 核心發現:在保持比特幣基本假設不變的前提下(即簽章定義所有權、帳本歷史不可篡改、節點獨立驗證),論文描述了一個協議語義約束,指出若不修改底層共識語義,某些遷移目標將無法同時達成。 重要意義:這將實務遷移分析中一直存在的隱含觀點正式化:比特幣的量子遷移挑戰不僅僅是密碼學問題(把ECDSA換成Dilithium),更是根本性的協議設計問題。

2026時間線壓縮更新 - 硬體門檻正在崩塌

QLDPC碼重寫遊戲規則:Iceberg Quantum的Pinnacle Architecture表明,借助QLDPC碼,破解RSA-2048所需的物理量子位元數可降至10萬以下,較表面碼估算減少10倍。硬體合作夥伴PsiQuantum、Diraq和IonQ均預計在3至5年內實現這一規模的系統。 四支團隊達到閾值以下:Google、Quantinuum、Harvard/QuEra和USTC均已獨立展示閾值以下的QEC。兩年前,尚無一支團隊做到這一點。 拓撲量子位元邁出關鍵一步:QuTech透過量子電容首次實現Majorana量子位元讀出(Nature發表),攻克了困擾業界十年的實驗難題。Microsoft的拓撲路線因此獲得新的可信度。 晶格手術已完成演示:ETH Zurich在超導量子位元上首次執行晶格手術,補上了容錯運算最後一塊關鍵拼圖。 糾錯的經濟學正在改變:Alice & Bob的電梯碼(3倍量子位元換來10,000倍錯誤降低)、IonQ的Beam Search解碼器(錯誤率降低17倍)以及Reed-Muller碼消除輔助量子位元開銷,正從多個方向同時重塑成本方程式。 百萬量子位元的擴展路徑清晰可見:史丹佛的腔陣列顯微鏡展示了大規模並行量子位元讀出。QuTech的QARPET以200萬個/mm²密度對1,058個自旋量子位元完成基準測試。通往10萬個以上量子位元的路徑,現在是工程問題,不再是物理問題。 基礎設施已在行動:Ubuntu 26.04預設搭載PQC。洛斯阿拉莫斯整合量子中心。PsiQuantum任命AMD/Xilinx資深主管擔任執行長,進入部署階段。DARPA第B階段已有11家公司參與。2026年是量子從實驗室走向實際部署的一年。

blueqat發布桌面級矽量子電腦

日本新創公司blueqat在SEMICON Japan 2025上展示首台國產半導體量子電腦,在矽晶片上採用單電子電晶體,工作溫度為0.3開爾文,遠高於超導系統的工作溫度。 重要意義:成本低於1億日圓(約67萬美元),僅為超導系統價格的三十分之一;功耗僅1,600瓦,而非數十千瓦;相容標準CMOS製造工藝,可做成桌面尺寸。 威脅加速:矽量子運算借助現有半導體晶圓廠,有望實現「摩爾定律經濟學」,成本隨產量下降,良率隨迭代提升。這可能大幅壓縮達到CRQC能力的時間表。目標:2030年達到100個量子位元。

MIT實現可擴展的晶片基離子阱冷卻

MIT與林肯實驗室在光子晶片上展示了偏振梯度冷卻技術,利用整合式奈米天線在100微秒內將離子冷卻至都卜勒極限的十分之一以下。 重要意義:傳統離子阱系統需要龐大的外部光學器件,限制了擴展至數十個離子的規模。晶片整合可在單一晶片上實現數千個離子位點,穩定性更高。這消除了擴展離子阱量子電腦的關鍵障礙,而離子阱是達到密碼學攻擊所需量子位元保真度的主流架構之一。

Equal1為矽量子伺服器融資6000萬美元

Equal1為其Bell-1矽量子伺服器籌得6,000萬美元,產品已開始向ESA太空HPC中心出貨。可機架安裝,資料中心即插即用,無需稀釋冷凍機,採用標準半導體製造工藝。 時間表壓縮:藉助現有晶圓廠實現半導體規模經濟(成本隨產量下降)。在其他架構仍停留在實驗室階段之際,Equal1已進入量產出貨。這條商業化路徑有望加速CRQC的到來。

量子安全年(YQS2026)- 威脅宣布進入運營階段

FBI、CISA和NIST在華盛頓特區啟動「2026量子安全年」倡議,正式宣告量子威脅已從理論轉變為現實運作威脅。聯邦機構面臨2035年前完成密碼學轉型的強制要求,由於基礎設施升級需要5至7年,必須立即行動。 「先蒐集,後解密」危機:敵對方正在主動攔截並儲存當今的加密區塊鏈交易,以備日後進行量子解密。任何保存期限超過Q-Day的資料,一旦被截獲,現在就已面臨實質風險。 關鍵算術:若Q-Day在8年後(2034年)到來,而遷移需要5至7年,今天才開始部署的組織已是勉強趕得上。比特幣和以太坊至今尚未啟動任何強制遷移計畫。

Quantinuum申請200億美元以上IPO - 「網景時刻」

Quantinuum提交機密IPO申請,目標估值逾200億美元。分析師稱此為量子領域的「網景時刻」,機構資本正式將量子視為商業可行技術,而非投機性研究。 時間表加速:公開市場為快速擴展、人才引進和製造提供資本。Quantinuum於2025年展示了100個可靠的邏輯量子位元,錯誤率比物理量子位元低800倍,充分證明了商業可行性。

2026時間線壓縮:所有障礙同時倒下

矽經濟學:blueqat(67萬美元系統)、Equal1(現已出貨)、Intel/AIST合作夥伴借助現有晶圓廠,量子位元數量有望實現「摩爾定律式」增長。 糾錯問題已獲突破:2025年發表120篇QEC論文,對比2024年的36篇。IonQ Beam Search解碼器(錯誤率降低17倍)、日本研究接近理論精度極限,關鍵瓶頸已告突破。 商業資本湧入:Quantinuum逾200億美元IPO、D-Wave 5.5億美元收購案、Equal1 6,000萬美元融資。研究補助轉向商業市場,帶來指數級加速效應。 物理層風險消除:Google Willow證明了閾值以下的糾錯。將系統擴展至數百萬量子位元,現在純粹是工程問題。 專家共識正在轉向:保守的「2035年以後」時間表愈來愈受到質疑,通往CRQC的多條路徑正同時獲得驗證。

D-Wave以5.5億美元收購Quantum Circuits,目標2026年推出閘模型

D-Wave收購Quantum Circuits Inc.(總計5.5億美元:3億美元股票加2.5億美元現金),將退火技術與糾錯閘模型技術合而為一。Rob Schoelkopf博士(transmon和雙軌量子位元的發明者、耶魯大學教授)加入,主導閘模型開發。 關鍵里程碑:D-Wave展示了閘模型量子位元的「可擴展片上低溫控制」,這是業界首創的突破,消除了一項主要擴展障礙。計畫於2026年推出首套雙軌系統並全面上市。 意義:D-Wave是目前唯一同時擁有退火(優化)和閘模型(密碼學相關)能力的公司,閘模型量子電腦的上市時間也比過去的預測提前了數年。

量子結構光達到實用應用

國際研究團隊在Nature Photonics發表綜合評述,顯示量子結構光已從實驗室新奇現象演進至緊湊型晶片技術。高維光子可增強量子通訊的安全性與運算效率。 實際影響:用於生物成像的全息量子顯微鏡及高靈敏量子感測器現已進入可行階段。該領域正站在商業部署的轉折點上。

IonQ突破解碼瓶頸

IonQ的新Beam Search解碼器將邏輯錯誤率降低17倍、執行速度提升26倍,在標準CPU上不到1毫秒即可完成解碼。IonQ估計,三台32核心CPU就能糾正1,000個邏輯量子位元,而等效的超導系統卻需要1,000個FPGA解碼器。 QEC報告2025確認即時解碼器是最後的關鍵瓶頸。IonQ的解碼器直接解決了這一問題,降低了2028年達成1,600個邏輯量子位元路線圖目標的風險。2030年達到40,000至80,000個邏輯量子位元的目標,將遠遠超過約2,330個的攻擊門檻。

日本團隊實現接近理論極限的糾錯

東京大學研究人員在npj Quantum Information上發表突破性成果,展示了接近「雜湊界限」(理論最大值)的糾錯效果。該方法在系統規模增長時仍能保持精度,消除了將量子電腦擴展至密碼學攻擊所需規模的主要障礙之一。

Nature Physics證明高效容錯量子運算

東京大學在Nature Physics發表的論文,從理論上證明容錯量子運算可同時實現常數空間開銷和多對數時間開銷,意味著量子位元的需求量不會隨問題難度呈指數級增長。這為在實用規模上發動密碼學攻擊的可行性奠定了更堅實的理論基礎。

D-Wave解決可擴展性瓶頸

D-Wave宣布業界首個適用於閘模型量子位元的可擴展片上低溫控制方案,解決了過去控制線複雜度隨量子位元數量失控攀升的問題。D-Wave股價在兩年內從不到1美元上漲至近31美元。

諾貝爾獎驗證量子運算

2025年諾貝爾物理學獎授予John Clarke(加州大學柏克萊分校)、Michel Devoret(耶魯大學/Google量子AI)和John Martinis(加州大學聖塔芭芭拉分校/Qolab),表彰三人對超導電路中巨觀量子穿隧效應的展示,這是當今量子處理器的根基所在。Martinis曾主導Google的量子霸權展示實驗。諾貝爾委員會在頒獎時明確引用「量子電腦」作為其應用。

矽量子位元達到99.9%保真度

Silicon Quantum Computing(雪梨)在Nature上發表11量子位元的處理器,實現99.99%單量子位元保真度和99.90%雙量子位元閘保真度,跨越實用糾錯門檻。相干時間達660毫秒。矽量子位元可利用現有半導體製造基礎設施,實現工業規模量產。

離子阱系統可擴展光學調制器

科羅拉多大學與Sandia實驗室在Nature Communications上發表CMOS製造的光學相位調制器,功耗比同類產品低80倍。這消除了離子阱系統(IonQ、Quantinuum)的一項擴展障礙,為其高保真度量子位元的量產化控制硬體鋪平了道路。

Shor演算法達到99.999%可靠性

研究人員在超過一百萬次測試案例中,Shor量子分解演算法的成功率達99.999%,而傳統實作的成功率僅有不穩定的個位數百分比。論文明確指出這一設計是為「量子密碼分析」而生。過去需要數千次執行才能成功,現在一次即可。

QuantWare宣布10,000量子位元處理器

荷蘭公司QuantWare推出VIO-40K:透過3D晶片堆疊架構整合NVIDIA,達到10,000個物理量子位元。2028年開始出貨,每片約5,000萬歐元。QuantWare同時正在建設Kilofab,這將是計畫中規模最大的量子製造設施之一。 10,000個物理量子位元代表顯著的擴展進展,但容錯邏輯量子位元的實際產量取決於所達到的錯誤率和碼距。以當前錯誤率估算,可能只能得到數十個邏輯量子位元;若保真度進一步提升,則有望更多。

Photonic計算分散式Shor演算法需求

Photonic Inc.發布首份在網路化量子電腦上執行Shor演算法的資源估算,考量了分散式運算的額外成本。先前的估算均假設採用單一整合系統。這表明攻擊者可透過聯網多台較小的系統達成目標,而無需建造一台龐大的單體機器。

清華展示78,400個光鑷子

清華大學利用單一元表面實現78,400個光鑷子點(接近目前極限的10倍)。光鑷子用於在中性原子量子電腦中捕獲原子,中性原子正是目前保持6,100量子位元紀錄的平台。此成果展示了通往10萬個以上量子位元系統的路徑。

Google自我改進量子糾錯

Google Quantum AI展示能從自身錯誤中學習並持續自我校準的量子電腦。強化學習系統實現錯誤率穩定性提升3.5倍,在超過1,000個控制參數的調整上超越人類專家20%。這為Shor演算法所需的長時間持續運算提供了關鍵支撐。

加州理工創下6,100量子位元世界紀錄

成果發表於Nature,加州理工創建了有史以來最大的量子位元陣列:6,100個中性銫原子,相干時間達13秒(為先前紀錄的10倍),操控精度99.98%。研究人員表示已「接近真正可擴展的平台」。規模化如今是工程問題,而非物理問題。

日本建設600公里量子加密網路

日本宣布建設連接東京、名古屋、大阪和神戶的600公里量子加密光纖網路,計畫2027年投入運作,2030年全面部署。目的是保護金融與外交通訊免受「先蒐集,後解密」攻擊。投資規模達數百億日圓。國家政府已開始備戰,比特幣至今卻毫無量子保護。

清華在硬體上展示量子分解

清華大學利用最佳化的Regev演算法在超導量子電腦上完成N=35的分解,將空間複雜度降至O(n log n)(理論最小值)。這是在真實量子硬體上直接演示量子密碼分析的案例。

IBM-Cisco量子網路合作

IBM和Cisco宣布計畫聯網容錯量子電腦,預計2030年代初期完成概念驗證,2030年代後期建立「量子網際網路」。網路化量子系統可整合各節點的算力,降低對單台機器實施密碼學攻擊的硬體門檻。

QEC報告顯示3.3倍加速

Riverlane 2025報告(集結25位專家,包括諾貝爾獎得主John Martinis):2025年共發表120篇QEC論文,對比2024年的36篇。所有主要量子位元類型均已突破99%雙量子位元保真度門檻。七種糾錯碼已有可運作的硬體實作。報告指出關鍵瓶頸:需在1微秒內完成的即時解碼器。IonQ於2026年1月發布的解碼器直接解決了這一問題。

斯圖加特實現量子隱形傳態

成果發表於Nature Communications:首次實現來自不同半導體源的光子之間的量子隱形傳態,保真度超過70%;此前該團隊已在36公里城市光纖中維持量子糾纏。這為跨地理距離的分散式量子運算開闢了路徑。

IonQ收購太空網路公司

IonQ收購Skyloom Global(已部署90個符合太空發展局資格的光學終端)。IonQ同時推進兩件事:建造具密碼學意義的量子電腦(目標2028年達到1,600個邏輯量子位元、2030年達到40,000至80,000個),以及打造連接這些電腦的全球基礎設施。

NVIDIA整合量子與超級電腦

日本RIKEN及其他中心採用NVIDIA的NVQLink:古典與量子處理器之間的延遲縮短至微秒等級(快1,000倍)。Shor演算法需要混合古典-量子計算模式,這項整合標誌著量子運算正式進入主流計算基礎設施。

哈佛/MIT/QuEra實現可擴展容錯

成果發表於Nature:利用448個中性原子建成首個完整且可擴展的容錯架構,實現2.14倍閾值以下的糾錯,意味著量子位元越多,錯誤率反而越低。資深作者、哈佛大學的Mikhail Lukin表示:「這個偉大的夢想……真正已是觸手可及。」

史丹佛發現優越低溫晶體

成果發表於Science:鈦酸鍶在低溫下展現比鈮酸鋰強40倍的電光效應,與半導體製造工藝相容,可進行晶圓級量產。更優異的材料意味著更精準的量子位元控制和更低的錯誤率。

芝加哥大學延伸量子網路至4,000公里

發表於Nature Communications:量子糾纏維持距離延伸至2,000至4,000公里(提升200至400倍)。分散式量子系統可跨越大陸距離整合算力,降低單機需求。

普林斯頓實現1毫秒相干

發表於Nature:量子相干超過1毫秒(業界標準的15倍)。與現有Google/IBM處理器相容。研究人員表示:「到本十年末我們將看到具科學意義的量子電腦。」

Quantinuum Helios達到創紀錄閘保真度

Quantinuum宣布Helios:98個物理量子位元,99.921%雙量子位元閘保真度(業界最高)。使用Iceberg碼以2:1編碼比率展示48個「邏輯量子位元」,達到編碼量子位元優於非編碼的「損益平衡」性能。 重要背景:Iceberg碼是距離-2,意味著它可以檢測錯誤但無法糾正。用於Shor演算法的容錯邏輯量子位元需要更高距離的碼,每個需要數百至數千個物理量子位元。Helios代表保真度的顯著進步,但通往密碼學相關量子運算的道路仍需要大幅擴展。

IBM藍圖:2033年2,000邏輯量子位元

IBM發布Nighthawk(120量子位元)和Loon(112量子位元)處理器,已具備容錯計算所需的全部硬體要素。藍圖:Starling(2029年,200邏輯量子位元)、Blue Jay(2033年,2,000邏輯量子位元)。約2,330的攻擊門檻落在這兩個里程碑之間。

牛津創下量子位元精度世界紀錄

牛津大學物理學家以電子微波訊號在室溫下控制捕獲的鈣離子,實現了0.000015%的單量子位元錯誤率(即99.999985%的保真度),比先前紀錄提升近一個數量級。

微軟4D編碼實現錯誤減少1,000倍

微軟推出四維幾何碼家族,實現錯誤率降低1,000倍,同時每個邏輯單元所需的物理量子位元減少5倍。物理量子位元開銷的降低,直接壓縮了密碼學相關量子電腦到來的時程。

2026年3月以3月30至31日接連發表的兩篇重磅論文為標誌,代表量子研究邁向量子緊迫性的決定性轉折。Google Quantum AI發表了迄今針對加密貨幣量子威脅最具權威的技術評估,揭示物理量子位元需求較先前估計大幅縮減約20倍(降至50萬以下),且on-spend攻擊窗口僅需9分鐘。次日,Caltech/Oratomic證明同樣的攻擊在中性原子架構上僅需10,000個物理量子位元,比過去針對該平台的估計低100倍。兩篇論文共同瓦解了量子懷疑論者長期依賴的兩道防線:一是「需要數百萬量子位元才能攻擊」,二是「中性原子機器太慢,不構成威脅」。Quantinuum的Skinny Logic成果與EUROCRYPT論文將最低邏輯量子位元門檻進一步壓低至1,098,糾錯效率也取得重大進展。PsiQuantum動工興建全球首座實用規模量子設施,各國政府在五個地區宣布合計逾15億美元的量子新投資,圖靈獎亦首次頒發給量子密碼學先驅。在防禦端,BIP-360進入測試網,雖是一大進展,但主網時程表付之闕如,對已暴露地址中數千億美元的資產也毫無保護。硬體在加速,遷移卻沒有。

加速威脅的關鍵技術進展

七個獨立的進展領域正以超乎預期的速度匯聚,每項突破相互強化,共同加速密碼學相關量子電腦的到來。

1. 穩定性:量子位元保持可用的時長

量子位元需要「存活」足夠長的時間來執行計算。近期進展將這個時間從微秒延長至毫秒,實現了千倍改進。 最新進展: - 加州理工6,100量子位元陣列(2025年9月):13秒相干時間,比先前類似陣列長近10倍 - SQC 11量子位元處理器(2025年12月):使用Hahn回波重聚焦的660毫秒核自旋相干 - 普林斯頓大學1毫秒相干時間(2025年11月):業界標準的15倍,系統性能潛在提升1,000倍 - 史丹佛鈦酸鍶(2025年11月):低溫下電光效應強40倍,實現更精準的量子位元控制

2. 轉換效率:物理量子位元到邏輯量子位元

物理量子位元需要透過糾錯來建立可靠的「邏輯量子位元」。目前估計,根據錯誤率和碼距,容錯邏輯量子位元每個需要數百至數千個物理量子位元;然而QLDPC碼正在大幅改變這一等式。 最新進展: - Iceberg Quantum Pinnacle Architecture(2026年2月):QLDPC(廣義自行車)碼在距離16時將14個邏輯量子位元編碼至約860個物理量子位元,與同等距離的表面碼(511個物理量子位元對應1個邏輯量子位元)相比,編碼率提升14倍。破解RSA-2048所需物理量子位元少於10萬個 - Reed-Muller碼(2026年2月):無需輔助量子位元即可實現完整Clifford群,進一步降低開銷 - Quantinuum Helios(2025年11月):2:1比率(98個物理量子位元對應48個邏輯量子位元) - 哈佛/MIT/QuEra(2025年11月):2.14倍低於閾值的糾錯,驗證了可擴展性

3. 規模:可以建構多少物理量子位元

當前紀錄:中性原子(6,100 Caltech研究;1,600 Infleqtion商用;1,180 Atom Computing)、超導(156 IBM Heron,105 Google Willow)、捕獲離子(98 Quantinuum Helios)。每個容錯邏輯量子位元需要數百至數千個物理量子位元(表面碼),透過QLDPC碼則可低於10萬個;大規模擴展正在快速推進。 最新進展: - QuTech QARPET(2026年2月):交叉陣列架構中以每mm²200萬量子位元密度集成1,058個自旋量子位元 - QuantWare VIO-40K(2025年12月):10,000量子位元處理器,業界標準的100倍 - 清華大學元表面(2025年12月):展示78,400個光鑷子,可實現大規模中性原子陣列 - 加州理工6,100量子位元陣列(2025年9月):有史以來最大的中性原子陣列,操控精度達99.98% - IQM 4,000萬歐元擴建(2025年11月):工業規模製造,每年30台以上量子電腦,目標2033年達到100萬台系統 - Aramco-Pasqal(2025年11月):在沙烏地阿拉伯部署200量子位元中性原子系統 - 哈佛/MIT/QuEra 448原子系統(2025年11月):展示完整容錯架構 - 哈佛/MIT/QuEra 3,000+量子位元系統(2025年9月):持續運行2小時以上 - IBM Nighthawk/Loon(2025年11月):120和112量子位元,具備先進容錯功能

4. 可靠性:使系統隨著成長而更加穩定

舊問題:新增更多量子位元會使系統更不可靠。新突破:系統現在隨著規模擴大反而更可靠。這逆轉了一個延續30年的問題,使大型量子電腦真正可以建構。 最新進展: - IonQ EQC(2025年10月):99.99%雙量子位元閘保真度(世界紀錄「四個九」),每閘錯誤率8.4×10⁻⁵,無需基態冷卻即可維持,是2026年計劃中256量子位元系統的基礎 - Infleqtion Sqale(2025年9月):12個邏輯量子位元具備錯誤檢測,首次以邏輯量子位元執行Shor演算法,展示1,600個物理量子位元 - Google RL-QEC(2025年11月):使用強化學習實現邏輯錯誤率穩定性提升3.5倍,超越人類專家調優20% - SQC 11量子位元處理器(2025年12月):矽中雙量子位元閘保真度99.90%,單量子位元保真度99.99% - QEC報告2025(2025年11月):2025年發表120篇同行評審量子糾錯論文(對比2024年36篇);所有主要量子位元類型均已跨越99%雙量子位元閘保真度門檻 - 哈佛/MIT/QuEra(2025年11月):首個完整容錯架構,達到閾值以下性能 - Quantinuum Helios(2025年11月):2:1糾錯比率,99.921%閘保真度

5. 速度:運算執行速度

最新進展: - Shor演算法增強(2025年12月):超過百萬次測試的成功率達99.999%,大幅減少所需的重試次數 - 清華Regev優化(2025年11月):空間複雜度降至O(n log n),在超導硬體上展示了N=35的分解 - 閘速:超導量子位元20至100奈秒(Google、IBM);離子阱1至100微秒(Quantinuum、IonQ)

6. 網路:連接多個量子系統

不必建造一台不可能實現的10,000量子位元電腦,現在可以將十台1,000量子位元電腦跨越數千公里聯網。 最新進展: - Photonic分散式QRE(2025年12月):首個在分散式架構上運行Shor演算法的實際資源估算 - IBM-Cisco合作(2025年11月):計劃於2030年代初期實現網路化分散式量子運算,2030年代後期建立量子網際網路 - 日本600公里網路(2025年11月):連接東京-名古屋-大阪-神戶的國家量子加密骨幹網路,2027年完成 - 斯圖加特量子隱形傳態(2025年11月):首次實現不同量子點之間的隱形傳態,保真度超過70% - IonQ收購Skyloom(2025年11月):透過90個光通訊終端發展太空量子網路 - 芝加哥大學(2025年11月):量子網路延伸至2,000至4,000公里(200至400倍改進) - 中國:2,000+公里運行中的量子網路(自2017年起)

7. 理性設計:按規格設計量子位元

從試錯法轉向以計算方法設計具有可預測性能的量子系統。 最新進展: - 威斯康辛大學麥迪遜分校非對稱Rydberg門(2025年12月):改進的π-2π-π協議可在不需要強Rydberg阻斷的情況下實現高保真糾纏門,達到基本壽命極限的1.68倍以內,實現中性原子間的長程糾纏,放寬QLDPC碼實現的距離限制。 - 科羅拉多大學博爾德/Sandia光學調制器(2025年12月):CMOS製造的聲光相位調制器,可實現基於原子的量子電腦的可擴展雷射控制 - 芝加哥大學/阿岡(2025年11月):首個從第一性原理預測分子量子位元性能的計算方法 - 史丹佛鈦酸鍶(2025年11月):發現針對低溫量子操作最佳化的材料

企業向後量子密碼學遷移

比特幣和以太坊仍在競相尋找解決方案之際,中心化系統早已開始遷移。銀行、企業和雲端服務商正積極部署後量子密碼學,以因應2030至2035年的監管截止日期。技術已就緒,遷移正在進行中。

NIST 定案標準(2024年8月)

標準演算法基礎應用場景
FIPS 204 (ML-DSA)CRYSTALS-Dilithium模組格一般用途的首選
FIPS 205 (SLH-DSA)SPHINCS+無狀態雜湊格密碼失效時的備案
FN-DSAFALCONNTRU 格資源受限的環境

NSA CNSA 2.0 要求

  • 新的國家安全系統須於2027年1月1日前達到量子安全
  • 不符規範的系統須於2030年前全面淘汰

效能取捨:在 ARM 架構上,SLH-DSA (SPHINCS+) 的簽章速度比 ECDSA P256 慢2,200倍。這項額外負擔正是以太坊計畫調高 gas 上限的原因。

主要基礎設施已完成遷移

Cloudflare(2025年10月):超過50%的網際網路流量現已受到後量子加密保護,是全球最大的PQC部署。Cloudflare的基礎設施為數百萬網站提供服務,證明PQC在規模化應用中切實可行且不影響性能。 AWS和埃森哲:推出全面的企業遷移框架,服務於金融機構、政府和財富500強企業。多年分階段方法解決了完整遷移需要3至5年的現實,這也是為何他們現在就開始為2030年截止日期做準備。

對比

中心化系統:正透過協調的基礎設施更新進行遷移。AWS、Cloudflare、微軟、Google為客戶統一管理遷移複雜性。 比特幣/以太坊:必須協調數百萬獨立使用者,更新數十億美元的硬體錢包,達成網路共識,並期望100%參與。這一過程需要5至10年,卻連起步都還沒有。 基礎設施已然存在,遷移正在進行,傳統金融正在準備。加密貨幣卻沒有。

理解比特幣的量子漏洞

什麼會被破解?

比特幣使用兩種不同的密碼系統,面臨截然不同的量子漏洞:

  • SHA-256(挖礦)- 抗量子:Grover演算法僅提供二次加速,需要數億量子位元才能對挖礦產生有意義的影響,實質上具抗量子性。
  • ECDSA secp256k1(交易簽章)- 易受攻擊:Shor演算法提供指數級加速。最少約2,330個邏輯量子位元(Roetteler 2017),或實用執行時間(約2小時,Kim et al. 2026)需約6,500個。極易受量子電腦攻擊。
  • 結果:區塊鏈帳本維持安全,但個人錢包餘額可被盜取,因為用來證明所有權的密碼學簽章易受攻擊。
  • 底線:約30%的比特幣(約590萬BTC)密碼學金鑰已永久暴露,攻擊者現在就在蒐集這些資料,準備日後解密。

量子威脅的兩個階段

量子威脅分兩波到來,各有不同能力與預期時程:

  • 階段一:CRQC-休眠(2029-2032)。透過「先蒐集,後解密」在數小時至數天內破解金鑰。目標:約590萬BTC的休眠/已暴露錢包(190萬BTC在P2PK、400萬BTC在重複使用地址、所有Taproot地址)。需求:約6,500個邏輯量子位元,每把金鑰約需2小時(根據Kim et al. 2026)。
  • 階段二:CRQC-活躍(2033-2038)。在比特幣10分鐘出塊時間內破解金鑰。目標:所有1,900萬+BTC在任何交易期間。需求:約23,700個邏輯量子位元,深度優化電路(每金鑰約48分鐘),在10分鐘內完成1,260億次運算。
  • 企業目標:IonQ目標2028年達到1,600個邏輯量子位元。IBM目標2029年達到200個邏輯量子位元(Starling)、2033年達到2,000個(Blue Jay)。Google目標2029年實現糾錯系統。Quantinuum目標2030年達到「數百個」邏輯量子位元。

主要風險: 傳統估計假設每個邏輯量子位元需要1,000至10,000個物理量子位元。Quantinuum已實現2:1比率。有了網路能力,多個較小系統現在可以協同達成相同目標。

比特幣錢包漏洞分類

永久暴露(先蒐集,後解密)

  • 支付至公鑰(P2PK):190萬BTC,公鑰直接記錄在UTXO中,無法保護,包括中本聰約100萬BTC。
  • 重複使用地址(所有類型):400萬BTC,首次花費後公鑰暴露,任何剩餘餘額永久處於風險中。
  • 支付至Taproot(P2TR):持續增長,地址在接收資金時直接編碼公鑰,首次接收時立即暴露。
  • 總計永久暴露:約590萬BTC(流通供應量的28至30%)。比特幣核心開發者Pieter Wuille於2019年估計約37%。

暫時暴露(10至60分鐘窗口)

  • 新鮮P2PKH、P2WPKH、P2SH、P2WSH:僅在交易期間易受攻擊(在記憶池中10至60分鐘)。
  • 目前安全性:首次使用前安全。
  • 攻擊需求:在10分鐘內完整執行Shor演算法。
  • 保護:絕不重複使用地址(但一旦暴露,保護永遠失效)。

政府警告與命令

美國聯邦量子安全強制要求

美國政府已發布全面指令,要求所有聯邦系統和受監管行業轉型至後量子密碼學。

NIST後量子標準

2024年8月

發布三種抗量子演算法:ML-KEM(Kyber)、ML-DSA(Dilithium)、SLH-DSA(SPHINCS+)。

  • 2030年:ECDSA停用 - 不鼓勵用於新系統
  • 2035年:ECDSA禁止 - 禁止在所有聯邦系統中使用
  • 現在-2030年:所有機構必須開始遷移規劃

影響分析: ECDSA(包括secp256k1)是比特幣和以太坊的密碼學基礎。美國政府將於2035年正式將此加密技術認定為不安全。這些強制要求將迫使全球各國政府及受監管機構,在比特幣和以太坊於截止日期前完成複雜的多年升級之前,禁止持有或交易相關資產。

NSA要求

CNSA 2.0要求國家安全系統立即啟動規劃,明確演算法要求,優先處理高價值和長生命週期資產,並於2035年前完成全面轉型。

聯準會警告

2025年10月

聯準會明確警告,量子電腦對加密貨幣安全構成存亡性威脅。民族國家正積極實施「先蒐集,後解密」攻擊。當前的區塊鏈密碼學終將被全面破解,歷史交易資料屆時將無所遁形。目前沒有任何主流加密貨幣受到保護。

國際政府強制要求

盟國正在協調量子安全遷移時間表,部分國家的行動甚至比美國更快。

加拿大

遵循NIST藍圖 - ECDSA 2030年停用,2035年禁止

澳大利亞

更激進的時間表 - 到2030年更新密碼標準

「先收集、後解密」攻擊

什麼是HNDL?

敵對方目前已在主動蒐集加密的區塊鏈資料,計劃等量子電腦問世後再行解密。聯準會於2025年10月確認,這些攻擊正在當下發生,而非未來才有的威脅。

為何重要

  • 過去的交易永遠無法追溯性地受到保護,區塊鏈的不可變性使這不可能實現
  • 隱私現在就已受到侵犯,而非未來,您的交易歷史已在被蒐集之中
  • 今天進行的每筆交易,在量子電腦到來時都可能變得脆弱
  • 約30%的比特幣(約590萬BTC)已永久暴露公鑰,等待被破解
  • 沒有任何軟體更新可以保護這些幣,它們在數學上已無可避免

誰處於風險中?

  • 中本聰在支付至公鑰地址中的約100萬BTC
  • 任何曾重複使用比特幣地址的人(400萬BTC已暴露)
  • 所有Taproot(P2TR)地址持有者,金鑰在接收資金時立即暴露
  • 無法遷移至量子安全地址的高價值休眠錢包
  • 未來:一旦量子電腦能在10分鐘內破解金鑰,所有比特幣和以太坊使用者

緊迫性不容小覷

為何2026年至關重要

NIST要求在2026年啟動遷移,才有任何在量子電腦到來前完成的可能。數字說明了一切:

  • 量子電腦:2029-2032(來自IBM、Google、IonQ、Quantinuum的匯聚時間表)
  • 比特幣升級過程:至少4-7年(SegWit僅達成共識就花了2年以上)
  • NIST截止日期:2030年停用、2035年禁止
  • 結論:比特幣需要在2-3年前就開始

視窗正在縮窄

每拖延一天,形勢就惡化一分:

  • 更多交易暴露於HNDL攻擊風險
  • 跨數百萬使用者的協調難度持續增加
  • 遷移窗口縮小,而量子電腦呈指數級改善
  • 量子電腦在遷移完成前到來的風險升高
  • 敵對者持續蒐集加密資料以備日後解密

遷移挑戰

  • 修復方案存在,並不等於網路是安全的。安全意味著在Q-Day之前整個技術堆疊都已完成遷移。
  • 比特幣:BIP-360(P2MR)只保護新地址,且僅在靜態(At-Rest)狀態下;一旦代幣被花費,其公鑰仍會出現在mempool中,而且對現有代幣毫無作用。BIP-361(遺留簽章落日)提議凍結或遷移已暴露的代幣,但它只是一份沒有啟用時程表的草案,且凍結遺失的代幣存在爭議。全部BTC中約34%(650萬至690萬枚,其中含約170萬枚中本聰時代的代幣)的公鑰已經暴露,任何修復都無法將其隱藏。要把比特幣約1.9億個UTXO以全網每秒約7筆交易的上限遷移,即使區塊只用於遷移也大約需要一年,實際上要數年,而每一筆遷移交易本身都會短暫暴露其金鑰。
  • 以太坊:基金會的目標是在2029年前完成核心Layer-1的後量子升級,但那僅僅是基礎協定(驗證者簽章、KZG承諾、ZK證明)。真正的價值在其之上:數億個ECDSA帳戶、整個智慧合約與DeFi技術堆疊、跨鏈橋以及Layer-2,每一項都有各自的密碼學相依性。許多合約不可更改,必須重新部署並遷移流動性;可組合性意味著單個協定依賴的代幣、預言機、跨鏈橋以及L2必須全部相容地一併遷移。透過EIP-8141實現的逐帳戶簽章靈活性,目前也仍只是為2026年底提出的方案。
  • 共同的主線:沒有達成一致的時程表、需要在數百萬使用者之間協調、後量子簽章比ECDSA大數十倍,以及一座不斷加速的量子時鐘。基礎層升級是里程碑,而非安全。

QRL的差異

當比特幣和以太坊面臨存亡性量子威脅、競相尋求解決之道時,QRL從創世之日起便已具備量子安全性。於2018年6月26日上線,主網穩定運行逾7年。採用NIST批准的XMSS簽章(2020年標準化),已通過多次外部安全稽核(Red4Sec、X41 D-Sec),已符合NIST 2030/2035截止日期的要求。了解更多

無需緊急補救,無需恐慌驅動的事後改裝,沒有脆弱的過去需要彌補,一切按計劃有序演進。

加密貨幣面臨的三大量子威脅

量子運算透過三種不同的攻擊途徑威脅加密貨幣,各有各的時間表與攻擊目標。

Shor演算法:破解數位簽章

目標: ECDSA secp256k1(比特幣、以太坊交易簽章)

機制: 為整數分解和離散對數問題提供指數級加速

需求: 最少約2,330個邏輯量子位元(Roetteler 2017);實用的約2小時攻擊需約6,500個(Kim et al. 2026)

影響: 可從公鑰推導出錢包私鑰,實現資金盜竊

時間軸: 階段一(2029-2032):數小時至數天內破解金鑰。階段二(2033-2038):在10分鐘出塊時間內破解金鑰。

面臨風險: 約590萬BTC(按當前價格約7,180億美元)永久暴露;所有加密貨幣在交易期間均有風險

Grover演算法:挖礦攻擊

目標: SHA-256(比特幣挖礦工作量證明)

機制: 為搜尋問題提供二次加速,有效將雜湊安全性減半

需求: 需要數億量子位元才能產生有意義的影響

影響: 可能使具備量子能力的礦工發動51%攻擊,但威脅遠比Shor演算法遙遠

時間軸: 預計2040年之前不會成為實際威脅

面臨風險: 挖礦安全性,但簽章攻擊將首先到來

先蒐集,後解密(HNDL)

目標: 今天傳輸的所有加密區塊鏈資料

機制: 敵對者現在蒐集加密資料並儲存,等量子電腦到來時解密

需求: 現在只需儲存容量;未來的量子電腦

影響: 過去的交易遭到暴露,隱私受損,永久暴露的錢包易受攻擊

時間軸: 正在發生,聯準會於2025年10月確認

面臨風險: 約590萬BTC已暴露;所有未來交易的隱私

「銷毀還是被盜」治理困境

比特幣面臨一個無解的治理抉擇:中本聰P2PK錢包中約100萬BTC,以及其他永久暴露地址中的幣,該如何處置?

約590萬BTC(約7,180億美元)的公鑰已永久暴露,任何軟體更新都無法加以保護,其中包括中本聰約100萬BTC、早期礦工獎勵,以及所有曾重複使用過的地址餘額。

選項一:袖手旁觀

攻擊者竊取數十億美元的比特幣,重創市場信心,締造史上最大規模盜竊案。當年為網路安全出力的早期採用者將血本無歸。

Proponents: 認為財產權神聖不可侵犯、後果應由市場承擔的人

選項二:凍結或銷毀已暴露的幣

違反比特幣不可篡改性的核心承諾,為未來的沒收行為開創先例,可能構成非法財產扣押,極可能面臨法律挑戰。

Proponents: 優先維護網路安全、而非個人財產權的人

選項三:強制遷移並設定截止日期

截止日期前未遷移至量子安全地址的幣將被凍結。然而金鑰遺失的持有者、已亡故的持有者,以及深度冷儲存的使用者,根本無力遵從。

Proponents: 尋求折中方案、力圖保全可救資產的人

沒有兩全之策,每個選項都抵觸了比特幣賴以立足的基本原則。這場爭論極可能撕裂社群,並可能催生採用不同方案的分叉鏈。2026年2月Strike的預印本將這一問題進一步正式化,論證即便有完美的PQC演算法,比特幣的協議語義本身也會產生遷移約束,這些約束在不修改底層共識規則的情況下無法化解。問題的根源是結構性的,絕非單純的密碼學問題。

地緣政治與機構風險

量子運算對加密貨幣的威脅,遠不止於直接盜竊,還製造了足以動搖加密貨幣採用與合法性的系統性風險。

機構認知風險

即使在量子電腦真正能夠破解加密貨幣之前,機構便可能因預判未來風險而提前撤資。保險公司、退休基金和受監管實體受信託責任約束,可能被禁止持有具有已知未來漏洞的資產。

影響: 由機構拋售引發的價格崩潰,可能在量子攻擊真正降臨前數年便已發生。

時間軸: 隨著各界意識提升可能隨時觸發;隨著NIST 2030截止日期臨近將進一步加速

量子考古學

所有歷史區塊鏈資料都是公開且不可更改的。量子電腦到來之後,每一筆曾經發生的交易都可被重新分析,交易圖的去匿名化將易如反掌。

影響: 比特幣和以太坊的所有歷史活動將面臨全面的隱私崩潰。每一個錢包、每一筆交易、每一筆資金流向都將無所遁形。

時間軸: 一旦Shor演算法具備實用性即無可避免,事後無法追溯防範

地緣政治競爭

各主要大國正競相搶奪量子霸權。中國、美國和歐盟已投入數十億美元用於量子運算研發。率先實現密碼學相關量子運算的國家,將獲得無可估量的戰略優勢。

影響: 量子能力可被用作經濟戰武器,針對對手的金融體系,包括加密貨幣。

時間軸: 預計多個國家將在2030至2035年之間實現CRQC

比特幣社群的辯論

BIP-360(現已規範為Pay-to-Merkle-Root,由Hunter Beast撰寫)是目前最受矚目的提案,但它仍是一份草案,既未確定採用哪種演算法,也沒有啟用日期,且僅保護新地址。就連問題有多緊迫,社群都無法形成共識,而這本身就是風險的一部分:下方專家觀點的時間跨度,接近二十年。

BIP-360: Pay-to-Merkle-Root (P2MR)

Author: Hunter Beast

Status: 草案,沒有達成一致的演算法,沒有啟用日期

引入使用NIST批准的後量子簽章(ML-DSA、SLH-DSA、FALCON)的新地址類型,僅在靜態狀態下保護新地址

  • P2MR(Pay-to-Merkle-Root):在鏈上隱藏新地址的公鑰
  • 僅保護靜態(At-Rest)狀態的代幣;金鑰在每次花費時仍會出現在mempool中
  • 向後相容的軟分叉方法
  • 沒有主網啟用時程表;SegWit和Taproot各自的採用都花了7至8年

挑戰

  • 簽章大小:PQC簽章比ECDSA大40至100倍(gas成本暴增)
  • 區塊空間:所有UTXO的遷移需要76至568天的區塊空間
  • 共識:對使用哪種演算法尚無共識(ML-DSA vs FALCON vs SLH-DSA)
  • 時間表:過程需要4至7年,但量子電腦可能在3至6年內到來
  • 已暴露的幣:對永久暴露的P2PK和重複使用地址沒有解決方案

專家觀點

Charles Edwards (Capriole)

力促2026年部署;指出未遷移至BIP-360的幣到2028年可能遭到「銷毀」。警告比特幣中有20至30%易受量子攻擊者侵害。

Adam Back (Blockstream)

主張量子威脅「還有數十年」,反對緊迫性,並指出比特幣並非以多數人所理解的方式使用加密。

Jameson Lopp (Casa)

同意量子威脅並非迫在眉睫,但估計完全過渡到量子抗性簽章需要5至10年。

Willy Woo

Taproot使用率已從2024年交易的42%降至20%,表示自己「從未見過最新格式失去採用率的情況」。

以太坊2026年量子準備

以太坊透過計劃中的協議升級積極推進量子抗性,2026年有數個關鍵里程碑待完成。

Glamsterdam(2026年上半年)

Gas上限從6,000萬提升至潛在的2億以上,以容納體積更大的後量子簽章。平行交易處理提升可擴展性。ZK證明驗證:驗證者從重新執行交易轉為驗證ZK證明。

量子相關性: Gas上限擴展直接為後量子簽章的部署創造空間;ZK證明驗證是邁向抗量子執行層的基礎步驟

狀態: 目標2026年上半年

Hegota(2026年下半年)

引入固化的提議者-構建者分離機制(ePBS):使區塊生產去中心化,防止具備量子優勢的行為者壟斷提議者市場。確立128位元可證明安全性,為機構級金融應用奠定基礎。

量子相關性: ePBS防止具備量子優勢的行為者壟斷區塊生產;128位元安全性奠定抗量子基礎

狀態: 計劃於2026年下半年

以ZK-STARKs實現量子抗性

以太坊正優先採用ZK-STARKs(基於雜湊函數)而非ZK-SNARKs(基於橢圓曲線),因為STARKs本身即具備抗量子特性。正如以太坊基金會研究員George Kadianakis所指出:「ZK-EVM中一旦出現完備性問題將是災難性的:若攻擊者能夠偽造證明,便可憑空鑄造代幣。」

量子相關性: ZK-STARKs提供抗量子的零知識證明,從證明系統中徹底消除橢圓曲線假設

狀態: 積極開發中

優勢

  • Gas上限提升可容納更大的PQC簽章,而不破壞費用市場
  • ePBS使區塊生產去中心化,消弭具備量子優勢的提議者所帶來的不公平競爭
  • ZK-STARKs以雜湊函數為基礎的抗量子證明取代基於橢圓曲線的SNARKs
  • 128位元可證明安全性為機構級量子抗性奠定基礎

挑戰

  • 目前約65%的以太幣面臨量子攻擊風險
  • PQC簽章使gas成本增加37至100倍
  • 合約遷移需要開發者各自主動採取行動
  • 鎖定資金的DeFi協議面臨複雜的遷移挑戰

策略建議

根據當前的威脅格局與產業發展走向,以下是針對不同利害關係人的關鍵考量。

比特幣/以太坊持有者

  • 絕不重複使用地址,每次使用都會永久暴露您的公鑰
  • 將資金從P2PK地址轉移至P2PKH或P2WPKH(雜湊)地址
  • 避免使用Taproot(P2TR)地址進行長期儲存,接收時公鑰即暴露
  • 考慮配置量子抗性替代品(QRL)
  • 關注BIP-360發展,在可用時準備遷移
  • 了解您的風險敞口:暴露地址中的資金無法透過軟體更新加以保護

機構和受託人

  • 將加密貨幣持倉中的量子風險評估納入信託責任
  • 監控NIST時間表:2030年停用、2035年禁止ECDSA
  • 評估長期持倉的量子安全替代品
  • 記錄量子風險評估以符合監管合規
  • 考慮在機構大規模撤離前制定易受攻擊資產的退出時間表

開發者和協議

  • 實施可以替換簽章方案的密碼敏捷架構
  • 使用帳戶抽象(EIP-4337)啟用PQC錢包升級
  • 避免在智慧合約中寫死ECDSA假設
  • 使用NIST批准的PQC演算法進行測試(ML-DSA、SLH-DSA、FALCON)
  • 關注以太坊Glamsterdam/Hegota升級進展

長期視角

向抗量子密碼學的過渡不可避免。問題從來不是「是否」,而是「何時」,以及遷移能否在攻擊降臨之前完成。從創世之日起便以量子安全為設計前提的項目(QRL)已徹底規避了這一風險。那些尚需遷移的(比特幣、以太坊)正在與時間賽跑,結果如何,尚未可知。

專家時程預測

Nature特稿(2026年2月)

「氛圍轉變」,實用量子電腦十年內可期。現已有四支團隊達到QEC閾值以下。

Dorit Aharonov(希伯來大學)

「我們已進入一個新時代……時間表比人們想像的短得多。」(2026年2月)

Fred Chong(芝加哥大學,ACM Fellow)

「我們已非常穩固地進入逃逸速度的時代。建造一台真正有用的量子電腦,已不再是物理問題,而是工程問題。」

Scott Aaronson(德克薩斯大學奧斯汀分校)

2025年「達到或超出」預期。將後量子密碼遷移的緊迫性比作1940年的Frisch-Peierls備忘錄。

Charles Edwards(Capriole)

「量子事件視界」距今2至9年

Adam Back(Blockstream)

實質威脅尚需20至40年

Michele Mosca(滑鐵盧大學)

公鑰密碼學在2026年前被破解的機率為七分之一

Chainalysis

量子電腦足以破解現行標準,尚需5至15年

Alice & Bob執行長(NVIDIA合作夥伴)

能夠破解比特幣的量子電腦將在「2030年後數年」出現

陸朝陽(中國科學技術大學)

預計2035年前實現容錯量子電腦

Infleqtion(2025年9月)

首次在邏輯量子位元上執行Shor演算法;目標2030年實現1,000個邏輯量子位元。以INFQ代碼在NYSE上市。

IonQ藍圖

實驗室雙量子位元閘保真度達99.99%;2026年計劃256量子位元系統;2028年達到1,600個邏輯量子位元;目標2030年實現200萬個物理量子位元

IBM藍圖

2033年達到2,000個邏輯量子位元(Blue Jay),超過ECDSA破解所需門檻

參考資料

重大里程碑突破

最新突破

2026年2月

2025年9月至11月

比特幣漏洞分析

政府標準與警告

企業發展藍圖

產業分析