QRLHUB

加密货币的量子威胁:2026年最新动态

2 页,共 2

最后更新: 2026年6月2日

突发新闻:2026年3月

2025年诺贝尔奖将量子计算确立为成熟科学。2026年,行业评价标准已从"量子优势"转向"QuOps"(无差错量子操作数),折射出业界更为成熟的共识:价值来自持续稳定的运行,而非原始量子比特数量。

Google Quantum AI发布加密货币白皮书

Google Quantum AI发布的这份白皮书由Justin Drake(Ethereum Foundation)和Dan Boneh(斯坦福大学)联合撰写,是迄今针对加密货币量子威胁最权威的技术评估。核心结论:针对比特币ECDSA-256的Shor算法现在仅需约1,200至1,450个逻辑量子比特和不足50万个物理量子比特,与此前估算相比削减约20倍。配合预计算,攻击可在约9分钟内完成,仍在比特币平均出块时间之内。 论文提出了新的攻击分类体系(On-Spend、At-Rest、On-Setup),并使锁定在P2PK地址中约170万BTC的「销毁还是被盗」困境愈发尖锐。这些币的公钥长期暴露于链上,任何分叉都无法将其迁移。Google以零知识证明对结论进行了验证,使资源估算可被独立核实,而无需公开攻击电路本身。

Caltech/Oratomic证明Shor算法仅需约10,000个物理量子比特

由Caltech主导、Oratomic参与的一篇论文表明,针对ECC-256的Shor算法可在约10,000个可重构原子量子比特上运行,或在并行模式下以约26,000个量子比特在约10天内完成。这比中性原子平台此前的估算低约100倍,比通常引用的表面码所需约100万量子比特低两个数量级。 这一突破来自编码率约30%的高速率qLDPC码(每约3.5个物理量子比特对应1个逻辑量子比特),结合目前已能稳定运行6,100个相干量子比特的中性原子硬件。结合Google白皮书仅需约1,200个逻辑量子比特的结论,两项成果共同勾勒出一台比此前任何分析所预测的都更小、更近在眼前的可信CRQC。

Google正式警告Q-Day可能早至2029年到来

Google公布了首个面向后量子迁移的公开时间表。安全工程副总裁Heather Adkins和高级密码工程师Sophie Schmieg警告称,能够破解RSA和椭圆曲线密码的密码学相关量子计算机最早可能在2029年出现。Google已在Android 17中集成ML-DSA,并提出Merkle Tree Certificates以控制Web PKI中后量子签名带来的开销。 全球使用最广泛的移动操作系统和浏览器现已制定明确的PQC时间表,而比特币和以太坊的治理仍缺乏对等的规划,差距正在逐月扩大。

Quantinuum"Skinny Logic"实现创纪录的2:1物理到逻辑量子比特比率

Quantinuum的Skinny Logic计划在其98量子比特的Helios离子阱处理器上演示,从98个物理量子比特中实现了48个经纠错的逻辑量子比特,比率达2:1。相比之下,表面码(主流方案)通常需要500:1到1,000:1。逻辑量子比特的性能比物理量子比特高出10到100倍。 对加密货币的意义:Google白皮书将最低攻击阈值定为约1,200个逻辑量子比特。Oratomic论文表明,借助高速率qLDPC码,这一目标可以在约10,000至26,000个物理量子比特上实现。Skinny Logic采用的是另一种方案(离子阱加改进表面码),同样达到2:1,表明量子比特开销的降低正在多个硬件平台上同步推进。

Google进军中性原子量子计算

Google Quantum AI任命Dr. Adam Kaufman(JILA Fellow,科罗拉多大学博尔德分校)领导新的中性原子量子计算团队,作为超导体系之外的第二种硬件路线。中性原子阵列已达到10,000量子比特规模,具备可重构的"任意对任意"连接性。 重要意义:Google的双路线策略直接对冲了其白皮书中提出的fast-clock与slow-clock不确定性。中性原子平台在"空间维度"上扩展效率更高。Google的加密货币白皮书指出,slow-clock(中性原子/离子阱)CRQC将能在on-spend攻击可行之前就发动at-rest攻击。同周发表的Oratomic论文进一步证明,这条路径比此前认为的更容易实现。

PsiQuantum启动全球首个百万量子比特设施建设

PsiQuantum在芝加哥Illinois Quantum and Microelectronics Park正式动工,这是历史上首个实用规模的量子计算建设项目。该设施为百万量子比特量子超算而设计,由NVIDIA、BlackRock及州政府合作方提供10亿美元资金。 这已不再是实验室实验。工业规模的量子基础设施正在建设之中。PsiQuantum采用标准半导体代工厂,使量子计算获得与经典芯片相同的制造经济性。

BIP-360在比特币测试网上线

BTQ Technologies于2026年3月19日启动了Bitcoin Quantum测试网v0.3.0,这是BIP-360(Pay-to-Merkle-Root,P2MR)的首个可运行实现,已有50余名矿工参与、区块数超过100,000个。P2MR已于2026年2月11日并入比特币BIP仓库。 它所修复的范围十分有限。P2MR移除了Taproot的密钥路径,使公钥不再写入链上,但仅针对新地址,且仅针对At-Rest攻击(即收割已永久存在于链上、无需时间压力的密钥)。每次花费时公钥仍会出现在mempool中,On-Spend暴露问题完全未被触及,留待未来的后量子签名提案解决。 这还只是容易的部分。P2MR对已暴露地址中约4,700亿美元的资产(所有P2PK、所有Taproot、每一个被重复使用的地址)毫无帮助,而迁移其余部分本身就是一场硬仗:比特币约1.9亿个UTXO,以全网约每秒7笔交易的上限计算,即便区块只用于迁移也需约一年时间,实际则要数年,且每笔迁移花费都会短暂地重新暴露它本想保护的那把密钥。BIP-360没有主网激活日期,而SegWit和Taproot各自的采用都花了7至8年。

新论文将ECC攻击降至1,098个逻辑量子比特(EUROCRYPT 2026)

Chevignard、Fouque和Schrottenloher被EUROCRYPT 2026接收的论文(ePrint 2026/280)展示了一种空间优化的Shor算法,仅需1,098个逻辑量子比特即可求解256位椭圆曲线离散对数,低于此前最低记录的2,124个。该方法利用剩余数系统和Legendre符号压缩来规避模逆运算,对n位曲线实现3.12n + o(n)总量子比特。 重要权衡:这一量子比特最小化结果需要22次独立运行,每次约需2^38.10个Toffoli门,远多于深度优化方案的门数量。对于逻辑量子比特是瓶颈的早期容错硬件,该方案开辟了在更小系统上攻击ECC的路径。对于门数量是瓶颈的硬件,Google的约1,200至1,450量子比特、约18至23分钟方案仍更为实用。

图灵奖首次授予量子密码学奠基人

ACM A.M.图灵奖(计算领域最高荣誉)史上首次授予量子科学领域。Charles H. Bennett(IBM Research)和Gilles Brassard(蒙特利尔大学)因其在量子信息科学领域的奠基性工作共同获得100万美元奖金,两人的贡献包括BB84量子密钥分发协议(1984年)和量子隐形传态(1993年)。 Bennett和Brassard所发明的量子安全密码原语,是当今后量子防御体系的基础。Brassard本人在颁奖典礼上着重强调了「先收集,后解密」攻击的紧迫性。

Raccoon-G:首个支持完整BIP32 HD派生的后量子钱包

研究人员发布了首个能够恢复BIP32分层确定性(HD)钱包完整功能的后量子构造。标准NIST PQC方案(ML-DSA)会破坏非硬化BIP32派生所需的线性特性。Raccoon-G通过使用高斯分布的秘密和完整的未舍入公钥来保留这一特性,安全性已在标准格假设下得到证明。代价是密钥更大:公钥约16 KB,而secp256k1仅为33字节。

Circle(USDC)发布区块链Q-Day路线图

USDC发行方Circle发布了详细的量子准备路线图,将整个区块链技术栈视为风险敞口。关键过渡举措:将TLS 1.3迁移至X25519MLKEM768;以抗量子的STARKs替代基于椭圆曲线的SNARKs。美国和欧盟预计将在2030年前要求关键基础设施采用PQC。 对加密货币的影响:首家主要稳定币发行方公开设定了迁移时间表。2030年的监管要求将压缩整个DeFi生态系统的迁移窗口。

Intel Heracles:FHE芯片为加密计算带来5,547倍加速

Intel在ISSCC上展示了Heracles处理器,这是一款专为全同态加密(FHE)设计的3nm芯片,可在不解密数据的前提下直接进行处理。性能较24核Xeon CPU提升1,074至5,547倍。 FHE使量子安全且隐私保护的云计算达到生产就绪状态,即便在Q-Day到来之前也能实现默认加密的基础设施。

IBM Quantum模拟真实磁性材料,结果经实验室数据验证

IBM与DOE量子科学中心使用50量子比特的Heron处理器模拟了磁性晶体KCuF3,结果直接与Oak Ridge National Laboratory的中子散射实验进行了比对验证。这是量子计算机的输出结果首次以真实物理材料数据(而非经典计算机结果)作为基准。 这表明,当前"有噪声"的量子硬件在尚未实现完全容错的情况下,已能在实用规模上提供科学可靠的结果。IBM预计在2029年前实现容错系统。

硅基量子处理器实现通用逻辑门集

深圳国际量子研究院的研究人员演示了一款硅基量子处理器,利用同位素纯化硅28晶格中的五个磷施主核自旋,成功执行了包括T门和CNOT操作在内的通用逻辑门集。该成果发表于Nature Nanotechnology,在与现有CMOS半导体制造完全兼容的平台上验证了纠错量子计算的可行性。

全球量子投资浪潮

各主要国家和地区相继宣布重大量子投资:印度卡纳塔克邦(1.14亿美元,目标2035年形成200亿美元量子经济);澳大利亚NRFC(2,000万澳元用于SQC原子级半导体量子比特);美国DOE(3,700万美元用于国家QIS研究中心);英国(1亿美元用于Rigetti硬件开发,另有20亿英镑的ProQure计划);欧盟委员会(7,500万欧元用于EURO-3C量子基础设施)。芝加哥PsiQuantum设施额外注入10亿美元,成为迄今规模最大的单笔量子基础设施投资。

Fermilab-MIT消除离子阱布线瓶颈

Fermilab与MIT林肯实验室展示了离子阱真空内低温电子技术,将控制芯片直接安装于稀释制冷机内部,彻底消除了此前将离子阱系统限制在几十个量子比特的电缆扩展瓶颈。这为实现数万个电极开辟了可信的路径。

UC Santa Barbara提出CN中心:用于量子网络的稳定硅缺陷

UCSB研究人员提出将CN中心硅缺陷作为结构稳定的电信波段量子比特发射器,解决了T中心因制造过程中氢迁移导致的脆弱性问题。Photonic Inc.同时也在探索以氘取代T中心来改善磁场控制。 电信波段发射器是模块化量子架构的基础,可通过标准光纤连接分布式处理器。

Niels Bohr Institute:计算过程中的实时量子比特监测

NBI研究人员展示了一套可实时跟踪量子比特性能波动的系统,精度达到亚秒级,使长时间计算过程中的动态噪声校正成为可能。这是Shor算法的先决条件,该算法需要长时间的持续计算。

Majorana重现性争议(Frolov et al.,Science)

由Sergey Frolov领导的团队在Science上发表了重现性研究,发现此前被解读为Majorana量子比特特征的信号,在分析了更完整的数据集后,可以用更简单的机制来解释。这项工作经历了两年的同行评审。 背景:这与QuTech于2026年2月在Nature上发表的通过量子电容成功实现Majorana量子比特读出的论文是两回事,后者至今未受质疑。这场争议强化了多元化硬件策略的价值,并非否定拓扑量子计算的整体前景。

Nature确认"氛围转变",可用量子计算机十年内到来

Nature的一篇重磅新闻特写宣布量子计算领域出现"氛围转变":研究人员如今认为有用的量子计算机可能在10年内而非几十年后到来。文章引用的四个团队,Google、Quantinuum、Harvard/QuEra和中国的USTC(祖冲之3.2),均已证明了阈值以下的量子纠错,即随着量子比特数量增加,逻辑错误率呈指数级下降。 关键引语: - Dorit Aharonov(希伯来大学):"此时,我更加确信量子计算将会实现,而且时间线比人们预想的短得多。我们已进入一个新时代。" - Nathalie de Leon(普林斯顿):将这一转变描述为"氛围转变","人们现在开始接受了。" - 陆朝阳(USTC):预计2035年前实现容错量子计算机。 对加密货币的意义:三大洲四个独立团队已证明纠错所依赖的基础物理学切实可行。剩余挑战在于工程和制造,而这是一个具有可预期扩展曲线且有巨额资本支持的挑战。

Iceberg Quantum Pinnacle Architecture将破解RSA-2048所需物理量子比特压缩至10万以下

Iceberg Quantum(悉尼初创公司,完成600万美元种子轮融资)发布了Pinnacle Architecture,这是一种采用量子LDPC码而非表面码的容错量子计算设计。在标准硬件假设下(物理错误率10⁻³、码周期1µs、响应时间10µs),该架构可使用不足10万个物理量子比特分解RSA-2048,比Gidney(2025年)此前最佳估算的约100万个减少了一个数量级。 工作原理:该架构由三个模块化组件构成:(1)由桥接QLDPC码块(广义自行车码)构建的处理单元,在距离16下将14个逻辑量子比特编码于约860个物理量子比特中(表面码在相同距离下每个逻辑量子比特需约511个物理量子比特);(2)魔法引擎:同步生产和消耗魔法态,实现T门的连续流水线;(3)用于高效量子比特存储的内存块,支持并行读取。一种名为"Clifford帧清理"的新技术实现了处理单元间的灵活并行性。 RSA-2048分解关键参数: - 最小配置:97,000个物理量子比特,运行时间约1个月 - 高速配置:151,000个物理量子比特,运行时间约1周 - 离子阱配置:310万个物理量子比特,运行时间约1个月 对密码学的影响:此前估算破解RSA-2048约需100万个物理量子比特,QLDPC码将其压缩了10倍。Iceberg正与PsiQuantum、Diraq和IonQ开展合作,三家均预计在3至5年内实现这一规模的系统。该成果基于模拟和理论估算(而非实验验证),从根本上重置了密码学相关量子计算的硬件门槛。 重要说明:该论文未直接涉及ECDSA/secp256k1。将类似的QLDPC架构应用于椭圆曲线密码分析,可能使破解比特币密钥所需的物理量子比特数大幅低于当前约800万个的估算。

QuTech首次实现Majorana量子比特读出(发表于Nature)

QuTech(代尔夫特)与ICMM-CSIC(马德里)的研究人员在Nature发表论文,首次演示了对Majorana拓扑量子比特所存储量子信息的单次实时读出。团队以量子电容作为全局探针,成功区分了最小Kitaev链的奇偶校验态,奇偶相干时间超过1毫秒。 重要意义:拓扑量子比特(Microsoft的主要技术路线)将信息非局域地存储于Majorana零模中,天然抵抗局部噪声,但这一特性也使读出长期以来极具挑战性。此次突破在不损害拓扑保护的前提下解决了读出难题,为实用Majorana量子计算机建立了所需的测量基元。

QuTech QARPET芯片以每平方毫米200万个的密度对1,058个自旋量子比特进行基准测试

QuTech(代尔夫特理工大学)在Nature Electronics上发布了QARPET平台(Qubit-Array Research Platform for Engineering and Testing),这是一种交叉阵列芯片架构,可在23×23网格中容纳多达1,058个半导体自旋量子比特,仅需53条控制线。该芯片实现了约每平方毫米200万个量子比特的密度。 重要意义:扩展量子处理器需要深入理解大规模阵列中量子比特的统计特性。QARPET使半导体量子比特测试与传统芯片行业规范接轨,可在单次冷却中完成数百个量子比特的表征,加速了借助现有CMOS制造基础设施迈向百万量子比特半导体量子计算机的进程。

Reed-Muller码:无需辅助量子比特即可实现完整Clifford群

来自大阪、牛津和东京的研究人员证明,高码率量子Reed-Muller码仅通过横向门和折叠横向门便可实现完整的逻辑Clifford群,无需任何辅助量子比特。这是首个适用于逻辑量子比特数量随块长近线性增长的码族的此类构造。 重要意义:这提供了另一条(与QLDPC码并行的)降低容错量子计算开销的路径。消除Clifford门对辅助量子比特的依赖,意味着每次逻辑运算所需的物理量子比特更少,进一步压缩了密码学相关计算的硬件门槛。

ePrint 2026/106:修订的ECDSA攻击资源估算(Kim et al.)

新研究大幅修订了破解比特币secp256k1曲线所需的量子资源估算。Kim et al.展示了针对椭圆曲线Shor算法的优化量子电路,与所有此前研究(包括Roetteler et al. 2017和Häner et al. 2020)相比,量子比特数×深度乘积提升多达40%。 被广泛引用的"约2,330个逻辑量子比特"是运行时间不切实际的量子比特最小化设计。实际攻击(约2小时完成)需要约6,500个逻辑量子比特和约800万个物理量子比特。最大电路深度2^28远低于NIST规定的MAXDEPTH上限2^40。 结论:当前量子硬件(Quantinuum Helios:98个物理量子比特,48个逻辑量子比特)距此阈值仍相当遥远,但以2029至2033年为目标的企业路线图已将其纳入未来十年内的可及范围。

ETH Zurich在超导量子比特上首次演示晶格手术

ETH Zurich与Paul Scherrer研究所的研究人员在17量子比特超导处理器上演示了晶格手术,这是该关键操作首次在超导量子比特上实现。相关成果发表于Nature Physics,团队使用距离为3的表面码将单个逻辑量子比特分裂为两个纠缠的逻辑量子比特,同时持续纠正比特翻转错误。 重要意义:晶格手术是容错量子计算的核心操作。正如研究员Ilya Besedin所言:"可以说晶格手术就是那个操作,所有其他操作都可以由它构建。"这扫除了IBM、Google和USTC所主导的超导量子计算机向能够运行Shor算法的容错系统迈进的主要障碍。

斯坦福腔阵列显微镜开辟百万量子比特扩展之路

斯坦福研究人员在Nature发表突破性成果:一种新型光学腔阵列,可高效捕获单个原子发射的光子,实现所有量子比特的并行读出。团队展示了一个40腔工作阵列和500余腔的原型,并有明确路径扩展至数万个腔。 重要意义:百万量子比特量子计算机的最大障碍之一是量子比特读出,原子发射光子速度慢且方向随机。斯坦福配备微透镜的腔体通过将每个原子的光高效导向特定方向来解决这一问题。研究人员展望"量子数据中心"的愿景,即各台量子计算机通过基于腔的网络接口连接,形成量子超算集群。

Alice & Bob"电梯码"将逻辑错误率降低10,000倍

法国猫量子比特量子计算公司Alice & Bob(NVIDIA合作伙伴)宣布了"电梯码",这是一种新的纠错技术,仅需约3倍的量子比特即可实现10,000倍更低的逻辑错误率。该技术通过在计算过程中"上下移动"逻辑辅助量子比特来提供额外的比特翻转保护。 重要意义:纠错开销是构建实用量子计算机的最大障碍。标准方案中每个逻辑量子比特需要大量物理量子比特。Alice & Bob的猫量子比特天然具有一类错误(比特翻转)的抗性,电梯码以极低代价将这种保护成倍放大,有望使实用量子计算机比预期更早到来。

量子计算用超快光子相位调制器(JMU维尔茨堡)

德国维尔茨堡大学(Julius Maximilian University)的研究人员通过将铁电钛酸钡晶体集成到III-V光子平台中,开发出超快、超低损耗的光学相位调制器。该芯片获得660万欧元联邦资金支持,能以极高速度控制光信号,损耗极低。 重要意义:量子光子电路要求器件同时具备极高速度和极低光损耗,即使是微小损耗也会导致量子态崩塌。这种调制器有望加速量子光子学从实验室走向实用大规模技术的步伐。

USTC祖冲之3.2加入阈值以下QEC行列

中国科学技术大学(USTC)使用107量子比特的祖冲之3.2处理器,演示了表面码阈值以下的容错量子纠错。该成果作为Physical Review Letters的编辑推荐发表,团队使用距离为7的表面码实现了Λ = 1.40的错误抑制因子,证明其系统在临界错误阈值以下运行。 第四支团队:这使USTC成为继Google、Quantinuum和Harvard/QuEra之后全球第四个实现阈值以下QEC的团队,也是美国以外的第一个。他们创新的全微波泄漏抑制架构将泄漏种群抑制了72倍,且关键地降低了稀释制冷机内部的布线密度,具备可扩展性优势。

Ubuntu 26.04 LTS默认启用后量子密码学

Ubuntu 26.04 LTS("Resolute Raccoon",2026年4月23日发布)将在OpenSSH和OpenSSL中默认启用后量子密码学,采用混合后量子算法。这是首个将PQC设为所有加密通信默认选项的主流Linux发行版。 对加密货币的意义:当全球最流行的服务器操作系统将PQC设为默认时,这标志着后量子过渡已不再是理论构想,而是正在生产基础设施中落地部署。比特币和以太坊至今仍以量子脆弱的ECDSA作为唯一签名方案。对比鲜明:Linux服务器已用混合PQC保护SSH连接,而数十亿美元的加密货币仍仅由secp256k1守护。

洛斯阿拉莫斯国家实验室成立量子计算中心

洛斯阿拉莫斯国家实验室成立了专门的量子计算中心,整合了多达三十余名横跨国家安全、算法、计算机科学和人才培养领域的量子研究人员。该中心将支持DARPA的量子基准测试倡议、DOE的量子科学中心以及NNSA的超越摩尔定律项目。

仅靠PQC签名升级无法支持比特币的连贯性迁移

Michael Strike(Quantum Compliance, LLC)的新预印本正式证明,仅后量子数字签名算法不足以支持比特币在现有协议语义下进行连贯性迁移。该分析不评估具体的密码构造或治理机制,而是聚焦于比特币在所有权、有效性和共识定义方面所产生的结构性约束。 核心发现:在保持比特币基本假设不变的前提下(签名定义的所有权、不可变的账本历史以及独立的节点验证),论文刻画了一个协议语义约束,表明在不修改底层共识语义的情况下,某些迁移目标无法同时满足。这一分析与时间无关(不依赖于CRQC何时到来),且不提出具体迁移机制。 重要意义:这将实际迁移分析所隐含的问题正式化。比特币的量子迁移挑战不仅仅是密码学问题(将ECDSA换成Dilithium),而是根本性的协议设计问题。即便拥有完美的PQC算法,比特币的所有权模型也会产生无法在不修改共识规则的情况下化解的迁移约束。

2026年时间线压缩更新:硬件门槛正在崩塌

QLDPC码改写规则手册:Iceberg Quantum的Pinnacle Architecture表明,借助QLDPC码,破解RSA-2048所需物理量子比特数可降至10万以下,较表面码估算减少10倍;硬件合作伙伴PsiQuantum、Diraq和IonQ均预计在3至5年内实现这一规模的系统。 四支团队低于阈值:Google、Quantinuum、Harvard/QuEra和USTC均独立实现了阈值以下的QEC。两年前没有任何团队能做到这一点。 拓扑量子比特迈出关键一步:QuTech通过量子电容首次实现了Majorana量子比特读出(发表于Nature),攻克了困扰业界十年的实验难题。Microsoft的拓扑路线因此获得新的可信度背书。 晶格手术已实现:ETH Zurich在超导量子比特上完成了首次晶格手术,填补了容错计算的关键缺失环节。 纠错经济学正在改变:Alice & Bob的电梯码(3倍量子比特开销换取10,000倍错误减少)、IonQ的Beam Search解码器(错误减少17倍)以及Reed-Muller码消除辅助量子比特开销,正从多个方向同步改写成本方程。 百万量子比特扩展路径已清晰可见:斯坦福的腔阵列显微镜展示了大规模并行量子比特读出;QuTech的QARPET以每平方毫米200万个的密度对1,058个自旋量子比特完成了基准测试。通向10万以上量子比特的路径现在是工程问题,不再是物理问题。 基础设施已开始行动:Ubuntu 26.04默认启用PQC;洛斯阿拉莫斯整合量子中心;PsiQuantum任命AMD/Xilinx资深人士担任CEO,进入部署阶段;DARPA第B阶段有11家公司参与。2026年是量子计算从实验室走向部署的一年。

blueqat发布桌面级硅量子计算机

日本初创公司blueqat在SEMICON Japan 2025展示了首台国产半导体量子计算机,在硅片上使用单电子晶体管,工作温度为0.3开尔文,远高于超导系统的工作温度。 重要意义:成本低于1亿日元(约67万美元),仅为超导系统价格的三十分之一;功耗1,600瓦,而非数十千瓦;兼容标准CMOS制造,桌面外形尺寸。 威胁加速:硅量子计算利用现有半导体晶圆厂,有望实现"摩尔定律经济学",即成本随产量下降、良率随迭代提升,可能大幅压缩达到CRQC能力的时间线。目标:2030年达到100量子比特。

MIT实现可扩展的片上离子阱冷却

MIT和林肯实验室在光子芯片上展示了偏振梯度冷却,利用集成纳米天线在100微秒内将离子冷却至多普勒极限的十倍以下。 重要意义:传统离子阱系统依赖笨重的外部光学器件,扩展规模受限于数十个离子。片上集成可在单芯片上实现数千个离子位点,稳定性更高,消除了扩展离子阱量子计算机的关键瓶颈。离子阱正是实现密码攻击所需量子比特保真度的主流架构之一。

Equal1为硅量子服务器融资6,000万美元

Equal1为其Bell-1硅量子服务器完成6,000万美元融资,产品已开始向ESA太空HPC中心出货。机架式设计,数据中心可直接部署,无需稀释制冷机,采用标准半导体制造工艺。 时间线压缩:利用现有晶圆厂实现半导体经济学,成本随产量下降。其他架构仍停留在实验室阶段时,Equal1已进入量产。这条商业化路径可能加速CRQC时间线。

量子安全年(YQS2026):威胁正式宣告进入运营阶段

FBI、CISA和NIST在华盛顿特区启动"2026量子安全年"倡议,宣布量子威胁已从理论转变为现实运营威胁。联邦机构面临在2035年前完成密码学转型的强制要求。由于基础设施升级需要5至7年,必须立即行动。 「先收集,后解密」危机:对手正在主动拦截和存储今天的加密区块链交易,留待日后量子解密。任何保存期限超过Q-Day的数据,一旦被截获,现在实际上就已形同破解。 关键算术:若Q-Day在8年后(2034年)到来,而迁移需要5至7年,今天就开始行动的机构"勉强来得及"。比特币和以太坊尚未启动强制迁移。

Quantinuum申请200亿美元以上IPO,分析师称之为量子领域的"网景时刻"

Quantinuum提交机密IPO注册,目标估值超过200亿美元。分析师称这是量子领域的"网景时刻",机构资本已将量子计算视为商业可行赛道,而非投机性研究。 时间线加速:公开市场将为快速扩展、人才引进和制造提供资本。Quantinuum已于2025年展示了100个可靠逻辑量子比特,错误率比物理量子比特低800倍,商业可行性由此得证。

2026年时间线压缩:所有障碍同时倒塌

硅经济学:blueqat(67万美元系统)、Equal1(已出货)、Intel/AIST合作伙伴均利用现有晶圆厂,量子比特有望实现"摩尔定律式"扩展。 纠错难题已解:2025年发表120篇QEC论文,2024年仅36篇;IonQ Beam Search将错误率降低17倍,日本团队接近理论精度极限。关键瓶颈已被消除。 商业资本涌入:Quantinuum拟IPO估值超200亿美元,D-Wave以5.5亿美元完成收购,Equal1融资6,000万美元。研究拨款向商业市场的转化,意味着指数级加速。 物理层风险消除:Google Willow证明了阈值以下的纠错。扩展至数百万量子比特,现在纯粹是工程问题。 专家共识正在转变:保守的"2035年以后"预期受到越来越多的质疑,通往CRQC的多条路径正在同步得到验证。

D-Wave以5.5亿美元收购Quantum Circuits,目标2026年推出门模型量子计算机

D-Wave收购Quantum Circuits Inc.(5.5亿美元:3亿美元股票加2.5亿美元现金),将退火技术与纠错门模型技术合二为一。transmon和双轨量子比特的发明者、耶鲁大学教授Rob Schoelkopf博士加入,主导门模型开发。 关键里程碑:D-Wave展示了门模型量子比特的"可扩展片上低温控制",业界首次攻克这一难题,消除了主要扩展障碍。首个双轨系统计划于2026年全面上市。 意义:D-Wave成为业界唯一同时具备退火(优化)和门模型(密码学相关)能力的公司,将门模型推向市场的时间比此前预测提前了数年。

量子结构光迈入实用阶段

国际团队在Nature Photonics发表综合综述,显示量子结构光已从实验室的好奇心演进为紧凑型芯片技术。高维光子可提升量子通信安全性和计算效率。 实际影响:用于生物成像的全息量子显微镜和极高灵敏度的量子传感器现已可行。该领域已到达商业部署的转折点。

IonQ突破解码瓶颈

IonQ的新型Beam Search解码器将逻辑错误率降低17倍,运行速度提升26倍,在标准CPU上执行时间不到1毫秒。IonQ估计,三个32核CPU即可纠错1,000个逻辑量子比特,而等效的超导系统需要1,000个FPGA解码器。 QEC报告2025将实时解码器列为最关键的剩余瓶颈,IonQ的解码器直接消除了这一障碍,大幅降低了其2028年路线图目标(1,600个逻辑量子比特)的技术风险。2030年目标的40,000至80,000个逻辑量子比特,将远超约2,330的攻击阈值。

日本团队实现接近理论极限的量子纠错

东京大学研究人员在npj Quantum Information上发表突破性成果,展示了接近"哈希边界"(理论最大值)的纠错能力。该方法在系统规模增长时仍能保持精度,消除了将量子计算机扩展至密码攻击所需规模的主要障碍。

Nature Physics证明高效容错量子计算可行

东京大学在Nature Physics上发表论文,证明容错量子计算可以同时实现常数空间开销和多对数时间开销,即量子比特需求不会随问题难度呈指数增长。这为在所需规模上实现实用密码攻击进一步奠定了理论基础。

D-Wave攻克可扩展性瓶颈

D-Wave宣布业界首个适用于门模型量子比特的可扩展片上低温控制方案,解决了控制线复杂度此前随量子比特数量不可控增长的难题。公司股价在两年内从不足1美元涨至近31美元。

诺贝尔奖为量子计算正名

2025年诺贝尔物理学奖授予John Clarke(加州大学伯克利分校)、Michel Devoret(耶鲁大学/Google Quantum AI)和John Martinis(加州大学圣巴巴拉分校/Qolab),以表彰他们在超导电路中展示宏观量子隧穿的工作,这正是当今量子处理器的基础。Martinis领导了Google的量子霸权演示。诺贝尔委员会在颁奖词中明确将"量子计算机"列为应用场景。

硅量子比特达到99.9%保真度

悉尼硅量子计算公司在Nature上发表了一款11量子比特处理器,实现了99.99%的单量子比特门保真度和99.90%的双量子比特门保真度,跨越实用纠错的阈值。相干时间达到660毫秒。硅量子比特可利用现有半导体制造工艺,有望实现工业规模量产。

离子阱系统迎来可扩展光学调制器

科罗拉多大学和Sandia实验室在Nature Communications上发表了一种CMOS制造的光学相位调制器,能效比替代方案高80倍。这消除了离子阱系统(IonQ、Quantinuum)的扩展障碍,为其高保真度量子比特提供了可批量生产的控制硬件。

Shor算法可靠性达到99.999%

研究人员在超过一百万次测试中实现了99.999%的Shor算法成功率,而传统实现的成功率仅为个位数百分比。论文明确指出该成果面向"量子密码分析"设计。如今一次执行即可成功,此前则需数千次重试。

QuantWare宣布推出10,000量子比特处理器

荷兰公司QuantWare发布VIO-40K:通过3D芯粒架构与NVIDIA集成,实现10,000个物理量子比特。预计2028年开始出货,每片约5,000万欧元。公司还在建设Kilofab,这将是迄今规划中规模最大的量子制造设施之一。 10,000个物理量子比特是规模扩展上的重大进展,但容错逻辑量子比特的实际产出取决于所达到的错误率和码距。按当前错误率估算,或可产出数十个逻辑量子比特;随保真度提升,数量还可进一步增加。

Photonic发布分布式Shor算法资源估算

Photonic Inc.发布了首个针对联网量子计算机运行Shor算法的资源估算,将分布式计算成本纳入考量。此前的估算均基于单体系统假设。实际上,攻击者可以联网多台较小的系统,而无需构建一台大型机器。

清华大学展示78,400个光学镊子

清华大学利用单块元表面实现了78,400个光学镊子位点,接近当前极限的10倍。光学镊子用于捕获中性原子量子计算机中的原子,该平台目前保持着6,100量子比特的世界纪录。这一成果展示了通往10万个量子比特以上系统的可行路径。

Google量子计算机实现自我改进式纠错

Google Quantum AI展示了能从自身错误中学习并持续自校准的量子计算机。强化学习系统将错误率稳定性提升了3.5倍,超越人类专家调优效果20%,同时管理超过1,000个控制参数。这为Shor算法所需的长时间持续计算奠定了基础。

加州理工创下6,100量子比特世界纪录

发表于Nature。加州理工构建了史上最大的量子比特阵列:6,100个中性铯原子,相干时间13秒(是此前纪录的10倍),操控精度99.98%。研究人员表示已"接近真正可扩展的平台"。规模化扩展如今是工程问题,不再是物理问题。

日本启动600公里量子加密网络建设

日本宣布建设连接东京、名古屋、大阪和神户的600公里量子加密光纤网络,计划2027年投入运营,2030年全面部署。目标:保护金融和外交通信免受「先收集,后解密」攻击,投资规模达数百亿日元。各国政府正在积极备战,比特币却毫无量子防护。

清华大学在真实硬件上演示量子因式分解

清华大学使用优化的Regev算法在超导量子计算机上分解了N=35,将空间复杂度降低至O(n log n)(理论最小值)。这是在真实硬件上直接演示量子密码攻击能力的一次重要突破。

IBM与Cisco携手布局量子网络

IBM和Cisco宣布计划联网容错量子计算机,预计2030年代初完成概念验证,2030年代末实现"量子互联网"。联网系统可整合各节点的计算能力,从而降低对单台机器的规模要求,使密码攻击门槛进一步下降。

QEC报告:研究产出呈3.3倍加速

Riverlane的2025年报告(含诺贝尔奖得主John Martinis在内的25位专家参与)显示:2025年发表QEC论文120篇,2024年仅36篇;所有主要量子比特类型均已跨越99%双量子比特门保真度阈值;七种纠错码现已有工作硬件实现。确定的关键剩余瓶颈:1微秒实时解码器,已由IonQ于2026年1月的解码器方案解决。

斯图加特首次实现跨源量子隐形传态

发表于Nature Communications。研究团队首次实现了不同半导体源产生的光子之间的量子隐形传态,保真度超过70%。此前已在36公里城市光纤中维持了量子纠缠。这为跨地理距离的分布式量子计算铺平了道路。

IonQ收购天基网络公司Skyloom

IonQ收购了Skyloom Global,后者已部署90个经太空发展局认证的光通信终端。IonQ正同步推进两条战线:构建密码学相关量子计算机(2028年1,600个逻辑量子比特,2030年40,000至80,000个),以及建设连接这些系统的全球基础设施。

NVIDIA推动量子与超级计算机深度集成

日本RIKEN等研究中心采用了NVIDIA的NVQLink,实现经典处理器与量子处理器之间的微秒级延迟(比此前快1,000倍)。Shor算法有赖于混合经典-量子计算,这一集成标志着量子计算正式进入主流计算基础设施。

哈佛/MIT/QuEra实现可扩展容错量子计算

发表于Nature。研究团队展示了首个使用448个中性原子的完整可扩展容错架构,实现2.14倍低于阈值的纠错,即随量子比特数量增加,错误率持续下降。资深作者Mikhail Lukin(哈佛)表示:"这个伟大的梦想……真正触手可及。"

斯坦福发现更优越的低温晶体

发表于Science。钛酸锶在低温下展现出比铌酸锂强40倍的电光效应,与半导体制造工艺兼容,可实现晶圆规模生产。更优质的材料意味着更精确的量子比特控制和更低的错误率。

芝加哥大学将量子网络距离扩展至4,000公里

发表于Nature Communications。量子纠缠可在2,000至4,000公里距离上维持,比此前提升200至400倍。分布式量子系统可跨洲际距离整合算力,大幅降低对单台机器的规模要求。

普林斯顿量子相干时间突破1毫秒

发表于Nature。量子相干时间超过1毫秒,是行业标准的15倍,且与现有Google/IBM处理器兼容。研究人员表示:"到本十年末,我们将看到具有科学意义的量子计算机。"

Quantinuum Helios创下门保真度世界纪录

Quantinuum发布Helios:98个物理量子比特,双量子比特门保真度达99.921%,为全行业最高。团队使用Iceberg码以2:1编码比率展示了48个"逻辑量子比特",实现了编码量子比特性能超过未编码量子比特的"超越盈亏平衡"结果。 重要背景:Iceberg码为距离-2编码,可检测错误但不能纠正。Shor算法所需的容错逻辑量子比特需要更高码距,每个逻辑量子比特需对应数百至数千个物理量子比特。Helios是保真度上的重大突破,但通往密码学相关量子计算的道路仍需大幅度规模扩展。

IBM路线图:2033年实现2,000个逻辑量子比特

IBM发布了Nighthawk(120量子比特)和Loon(112量子比特)处理器,具备容错计算所需的全套硬件要素。路线图:Starling(2029年,200个逻辑量子比特),Blue Jay(2033年,2,000个逻辑量子比特)。约2,330的攻击阈值落在这两个里程碑之间。

牛津大学刷新量子比特操控精度世界纪录

牛津大学物理学家在室温下利用电子微波信号控制捕获的钙离子,实现了0.000015%的单量子比特错误率(保真度99.999985%),比此前纪录提升近一个数量级。

Microsoft 4D码实现1,000倍错误率降低

Microsoft发布了一系列四维几何码,在每个逻辑单元所需物理量子比特数减少5倍的同时,将错误率降低了1,000倍。这通过降低物理量子比特开销,直接压缩了密码学相关量子计算机的到来时间线。

2026年3月以3月30日和31日接连发布的两篇重磅论文为高潮,标志着量子领域从研究阶段向紧迫阶段的决定性转变。Google Quantum AI发布了迄今针对加密货币量子威胁最权威的技术评估,将物理量子比特需求削减约20倍至50万以下,并揭示了9分钟的on-spend攻击窗口。次日,Caltech/Oratomic证明同样的攻击在中性原子架构上仅需约10,000个物理量子比特,比该平台此前估算低约100倍。两篇论文共同击穿了量子怀疑论的两道防线:需要数百万量子比特,以及中性原子机器速度太慢不足以构成实际威胁。Quantinuum的Skinny Logic成果和EUROCRYPT论文将最低逻辑量子比特阈值进一步压低至1,098个,纠错效率亦取得重大进展。PsiQuantum启动全球首个实用规模量子设施的建设,各国政府在五个地区承诺超过15亿美元的新量子投资,图灵奖也首次授予量子密码学奠基人。在防御侧,BIP-360进入测试网,是值得关注的进展,但主网时间表付之阙如,对已暴露地址中数千亿美元的资产更是无能为力。硬件在加速,迁移却没有。

正在加速量子威胁的关键技术进展

七个独立进展领域正以超出预期的速度汇聚,每项突破都在与其他领域相互促进,共同压缩密码学相关量子计算机的时间线。

1. 稳定性:量子比特维持可用状态的时长

量子比特需要"存活"足够长的时间才能完成计算。近期进展将相干时间从微秒级延长至毫秒级,实现了千倍量级的提升。 最新进展: - 加州理工6,100量子比特阵列(2025年9月):13秒相干时间,比此前同类阵列长近10倍 - SQC 11量子比特处理器(2025年12月):核自旋相干时间660毫秒(Hahn回波聚焦) - 普林斯顿大学1毫秒相干时间(2025年11月):行业标准的15倍,系统性能潜力提升1,000倍 - 斯坦福钛酸锶(2025年11月):低温下电光效应强40倍,带来更精准的量子比特控制

2. 转换效率:物理量子比特到逻辑量子比特的转化率

物理量子比特需经纠错才能构成可靠的"逻辑量子比特"。按当前估算,每个容错逻辑量子比特需要数百至数千个物理量子比特(视错误率和码距而定)。QLDPC码正在显著改写这一方程。 最新进展: - Iceberg Quantum Pinnacle Architecture(2026年2月):QLDPC(广义自行车)码在码距16下将14个逻辑量子比特编码于约860个物理量子比特中,比同等码距的表面码(每个逻辑量子比特约需511个物理量子比特)编码效率高14倍;破解RSA-2048所需物理量子比特不足10万个 - Reed-Muller码(2026年2月):无需辅助量子比特即可实现完整Clifford群,进一步降低开销 - Quantinuum Helios(2025年11月):2:1编码比率(98个物理量子比特实现48个逻辑量子比特),已实现纠错检测 - 哈佛/MIT/QuEra(2025年11月):2.14倍低于阈值的纠错,可扩展性得到验证 - Microsoft/Quantinuum(2024年):使用距离-4码从56个物理量子比特实现12个逻辑量子比特

3. 规模:物理量子比特总数

当前记录:中性原子(6,100个,Caltech研究;1,600个,Infleqtion商用;1,180个,Atom Computing)、超导(156个,IBM Heron;105个,Google Willow)、捕获离子(98个,Quantinuum Helios)。表面码每个容错逻辑量子比特需要数百至数千个物理量子比特,借助QLDPC码可压缩至10万个以内;大规模扩展正在快速推进。 最新进展: - QuTech QARPET(2026年2月):交叉阵列架构中以每平方毫米200万个的密度集成1,058个自旋量子比特 - QuantWare VIO-40K(2025年12月):10,000量子比特处理器,预计2028年出货 - 清华大学元表面(2025年12月):展示78,400个光学镊子位点,为中性原子大规模阵列奠定基础 - 加州理工6,100量子比特阵列(2025年9月):中性原子当前纪录,操控精度99.98% - Harvard/MIT/QuEra 448原子系统(2025年11月):完整容错架构的首次演示 - IBM Nighthawk/Loon(2025年11月):分别为120和112量子比特,具备容错计算所需硬件功能

4. 可靠性:系统随规模扩大而愈发稳定

旧问题:量子比特越多,系统越不可靠。新突破:系统现在随规模扩大反而更可靠。这逆转了一个困扰业界30年的难题,使构建大型实用量子计算机成为可能。 最新进展: - IonQ EQC(2025年10月):99.99%双量子比特门保真度("四个九"世界纪录),每门错误率8.4×10⁻⁵,无需基态冷却即可保持;是2026年计划中256量子比特系统的基础 - Infleqtion Sqale(2025年9月):12个具备错误检测的逻辑量子比特,史上首次在逻辑量子比特上运行Shor算法,展示1,600个物理量子比特 - Google RL-QEC(2025年11月):借助强化学习将逻辑错误率稳定性提升3.5倍,超越人类专家调优效果20% - SQC 11量子比特处理器(2025年12月):硅基平台上双量子比特门保真度99.90%,单量子比特保真度99.99% - QEC报告2025(2025年11月):2025年发表120篇同行评审QEC论文,2024年仅36篇;所有主要量子比特类型均已突破99%双量子比特门保真度 - 哈佛/MIT/QuEra(2025年11月):首个完整容错架构,实现低于阈值的纠错性能 - Quantinuum Helios(2025年11月):2:1纠错比率,门保真度99.921%

5. 速度:运算执行速率

破解比特币需要连续执行1,260亿次运算,当前系统能处理的运算量还在数百万级别。随着更快的量子门(纳秒至微秒级)和更高效算法的出现,差距正在持续缩小。 最新进展: - Shor算法增强(2025年12月):8位数因式分解成功率99.999%,大幅减少所需重试次数 - 清华Regev优化(2025年11月):空间复杂度从O(n^{3/2})降至O(n log n),以更少量子比特实现更实用的量子分解;在超导硬件上演示了N=35的分解 - 超导量子比特:门操作时间20至100纳秒(Google、IBM) - 离子阱:门操作时间1至100微秒(Quantinuum、IonQ)

6. 网络:连接多个量子系统

无需构建一台难以实现的10,000量子比特巨型机器,现在可以将十台1,000量子比特的系统跨越数千公里联网,达到相同效果。 最新进展: - Photonic分布式QRE(2025年12月):首次针对分布式架构上运行Shor算法的现实资源估算 - IBM-Cisco合作(2025年11月):计划于2030年代初实现网络化分布式量子计算,2030年代末实现量子互联网 - 日本600公里网络(2025年11月):连接东京、名古屋、大阪和神户的国家量子加密骨干网,2027年建成 - 斯图加特量子隐形传态(2025年11月):首次实现不同量子点之间的量子隐形传态,保真度超过70% - IonQ收购Skyloom(2025年11月):通过90个光通信终端实现天基量子网络 - 芝加哥大学(2025年11月):2,000至4,000公里量子网络,比此前提升200至400倍 - 中国:2,000公里以上运行中的量子网络(自2017年起)

7. 按需设计:从第一性原理出发设计量子比特

从反复试错到依据计算模型预先设计出具有可预测性能的量子系统。 最新进展: - 威斯康星大学麦迪逊分校非对称Rydberg门(2025年12月):改进的π-2π-π协议实现高保真纠缠门,无需强Rydberg阻塞,接近基本寿命极限的1.68倍以内;可实现中性原子间的长程纠缠,放宽QLDPC码实现的距离限制 - 科罗拉多大学博尔德/Sandia光学调制器(2025年12月):CMOS制造的声光相位调制器,为原子量子计算机提供可扩展的激光控制 - 芝加哥大学/阿贡(2025年11月):首个从第一性原理预测分子量子比特性能的计算方法 - 斯坦福钛酸锶(2025年11月):发现专为低温量子操作优化的新型材料

企业向后量子密码学的迁移进展

在比特币和以太坊仍在探寻解决方案之际,中心化系统已率先启动迁移。银行、企业和云服务商正积极部署后量子密码学,以满足监管截止要求。技术已经就绪,迁移正在有序推进。

NIST已定稿标准(2024年8月)

标准算法基础适用场景
FIPS 204 (ML-DSA)CRYSTALS-Dilithium模格通用场景的首选
FIPS 205 (SLH-DSA)SPHINCS+无状态哈希格密码失效时的备选
FN-DSAFALCONNTRU格受限环境

NSA CNSA 2.0要求

  • 新国家安全系统须于2027年1月1日前实现量子安全
  • 所有不合规系统于2030年前完成全面淘汰

性能权衡:SLH-DSA(SPHINCS+)在ARM架构上的签名速度比ECDSA P256慢2,200倍。这一开销是以太坊计划提高gas上限的原因之一。

主要基础设施已率先迁移

Cloudflare(2025年10月):超过50%的互联网流量现已受到后量子加密保护,这是全球迄今最大规模的PQC部署。Cloudflare的基础设施服务于数百万网站,证明PQC可以在大规模生产环境中部署而不产生性能问题。 AWS与Accenture:推出全面的企业迁移框架,服务于金融机构、政府和财富500强企业。多年分阶段方案直面完整迁移需要3至5年的现实,这正是他们提前布局以应对2030年截止日期的原因。

对比

中心化系统:正通过协调一致的基础设施更新推进迁移,AWS、Cloudflare、微软、谷歌为其客户管理技术复杂性。 比特币/以太坊:必须协调数百万独立用户、更新数十亿美元的硬件钱包、达成网络共识,并寄望于100%的参与率。这一过程需要5至10年,而且迄今尚未启动。 基础设施已经就绪,迁移正在进行,传统金融已在准备。加密货币还没有。

读懂比特币的量子漏洞

哪些会被攻破?

比特币使用两套截然不同的密码系统,面临的量子威胁也大相径庭:

  • SHA-256(挖矿),具有量子抗性:Grover算法仅提供平方级加速,需要数亿个量子比特才能对挖矿产生实质影响,实际上具备量子抗性。
  • ECDSA secp256k1(交易签名),高度脆弱:Shor算法提供指数级加速,最少需要约2,330个逻辑量子比特(Roetteler 2017),或约6,500个以实现约2小时的实用攻击(Kim et al. 2026)。极易受量子计算机攻击。
  • 结论:区块链账本本身仍然安全,但个人钱包余额可能遭窃,因为用于证明所有权的密码签名存在根本性漏洞。
  • 底线:约30%的比特币(约590万枚BTC)的密码密钥已被永久暴露,攻击者正在今天收集这些数据,留待日后解密。

两阶段量子威胁

量子威胁将分两波到来,各有不同的技术门槛和目标时间:

  • 阶段一:CRQC-休眠期(2029-2032年),通过"先收割后解密"策略在数小时至数天内破解密钥。目标:休眠或已暴露钱包中的约590万枚BTC(P2PK地址中190万枚BTC、重用地址中400万枚BTC及所有Taproot地址)。技术要求:约6,500个逻辑量子比特,计算时间较长(每个密钥约2小时,依据Kim et al. 2026)。
  • 阶段二:CRQC-活跃期(2033-2038年),在比特币10分钟出块时间内完成密钥破解。目标:任何交易期间的全部逾1,900万枚BTC。技术要求:约23,700个逻辑量子比特,采用深度优化电路(每个密钥约48分钟),在不足10分钟内完成1,260亿次操作。
  • 各机构目标:IonQ计划到2028年实现1,600个逻辑量子比特;IBM目标为2029年200个(Starling)、2033年2,000个(Blue Jay);Google计划2029年前完成纠错系统;Quantinuum目标是2030年前实现"数百个"逻辑量子比特。

主要风险: 传统估计假设每个逻辑量子比特需要1,000至10,000个物理量子比特。Quantinuum已实现2:1的比率。借助网络化能力,多个较小的系统现在可以协同运作,达到相同效果。

比特币钱包漏洞分类

永久暴露(先收割后解密)

  • 支付到公钥(P2PK):190万枚BTC。公钥直接写入UTXO,无法保护。包括中本聪的约100万枚BTC。
  • 重用地址(所有类型):400万枚BTC。首次花费后公钥即被公开,剩余余额永久处于风险之中。
  • 支付到Taproot(P2TR):数量持续增长。地址在收款时直接编码公钥,首次收款即刻暴露。
  • 永久暴露总量:约590万枚BTC(流通供应量的28%-30%)。比特币核心开发者Pieter Wuille于2019年估计这一比例约为37%。

临时暴露(10-60分钟窗口)

  • 全新的P2PKH、P2WPKH、P2SH、P2WSH地址:仅在交易广播期间存在风险(在内存池中停留10-60分钟)。
  • 当前安全性:首次使用前处于安全状态。
  • 攻击要求:在10分钟内完成完整的Shor算法运算。
  • 防护措施:永不重用地址(但一旦暴露,保护将永久失效)。

政府警告与强制要求

美国联邦量子安全强制要求

美国政府已发布全面指令,要求所有联邦系统及受监管行业向后量子密码学过渡。

NIST后量子标准

2024年8月

发布三种量子抗性算法:ML-KEM(Kyber)、ML-DSA(Dilithium)、SLH-DSA(SPHINCS+)。

  • 2030年:ECDSA弃用,不鼓励用于新系统
  • 2035年:ECDSA禁用,全面禁止在联邦系统中使用
  • 现在至2030年:所有机构须启动迁移规划

影响分析: ECDSA(包括secp256k1)是比特币和以太坊的密码学基石。美国政府将在2035年之前正式将这套密码体系列为不安全。这些强制要求将迫使全球各国政府和受监管机构禁止持有或交易上述资产,除非比特币和以太坊能在截止日期之前完成其复杂而漫长的多年升级进程。

NSA要求

CNSA 2.0要求国家安全系统立即启动规划,并明确算法要求。高价值资产和长生命周期资产须优先处理,全面过渡须于2035年前完成。

美联储警告

2025年10月

美联储明确警告,量子计算机对加密货币安全构成生存性威胁。民族国家正在积极实施"先收割后解密"攻击。现有区块链密码学将被彻底破解,历史交易数据将全面暴露。目前尚无任何主流加密货币具备量子防护能力。

国际政府强制要求

盟友国正在协调量子安全迁移时间表,部分国家的行动进度甚至已超过美国。

加拿大

遵循NIST路线图,ECDSA于2030年弃用、2035年禁用

澳大利亚

时间表更为激进,要求到2030年前完成密码学标准更新

「先收集,后解密」攻击

什么是HNDL?

对手正在今天收集加密的区块链数据,待量子计算机就绪后再行解密。美联储已于2025年10月确认,这类攻击当下正在发生,绝非未来才有的威胁。

为什么这至关重要

  • 历史交易永远无法被追溯保护,区块链的不可篡改性决定了这一点
  • 隐私损失发生在现在,而非将来,您的交易历史正在被收割
  • 今天发出的每笔交易,在量子计算机到来后都可能成为攻击目标
  • 约30%的比特币(约590万枚BTC)已永久暴露公钥,随时等待被破解
  • 没有任何软件更新能保护这些币,从数学上看它们已无处可逃

谁面临风险?

  • 中本聪存放于P2PK地址中的约100万枚BTC
  • 任何曾重用过比特币地址的人(约400万枚BTC已暴露)
  • 所有Taproot(P2TR)地址持有者,首次收款时公钥即刻暴露
  • 无法迁移至量子安全地址的高价值休眠钱包
  • 未来:一旦量子计算机能在10分钟内破解密钥,所有比特币和以太坊用户都将面临风险

时间的紧迫性不容低估

为什么2026年是关键节点

NIST要求在2026年启动迁移,以期在量子计算机到来之前完成转型。几组数字足以说明问题:

  • 量子计算机:预计2029至2032年出现(IBM、Google、IonQ、Quantinuum路线图的共同交汇点)
  • 比特币升级周期:至少需要4至7年(SegWit光是达成共识就花了逾2年)
  • NIST截止日期:2030年弃用ECDSA,2035年全面禁止
  • 结论:比特币本应在2至3年前就着手行动

窗口正在关闭

每拖延一天,处境便恶化一分:

  • 更多交易暴露于HNDL攻击风险之下
  • 跨数百万用户的迁移协调难度持续攀升
  • 迁移窗口不断收窄,而量子计算机的进展呈指数加速
  • 量子计算机在迁移完成前到来的风险与日俱增
  • 对手持续收割加密数据,静待量子计算机就绪后解密

迁移挑战

  • 修复方案存在,并不等于网络安全。真正的安全意味着在Q-Day之前整个技术栈都已完成迁移。
  • 比特币:BIP-360(P2MR)只保护新地址,且仅限静态(At-Rest)状态,代币一旦被花费,其公钥仍会出现在mempool中,而且它对现有代币毫无帮助。BIP-361(传统签名日落)提议冻结或迁移已暴露的代币,但它只是一份没有激活时间表的草案,且冻结丢失代币的做法本身饱受争议。全部BTC中约34%(650万至690万枚,其中含约170万枚中本聪时代的代币)的公钥已经暴露,任何修复都无法将其隐藏。要把比特币约1.9亿个UTXO以全网每秒约7笔交易的上限加以迁移,即使区块专门用于迁移也约需一年,实际则要数年,而每笔迁移交易本身都会短暂暴露其密钥。
  • 以太坊:基金会的目标是在2029年前完成核心Layer-1的后量子升级,但那只是基础协议层(验证者签名、KZG承诺、ZK证明)。真正的价值在其之上:数亿个ECDSA账户、整个智能合约与DeFi技术栈、跨链桥以及Layer-2,每一项都有各自的密码学依赖。许多合约不可变,必须重新部署并迁移流动性;可组合性意味着单个协议依赖于代币、预言机、跨链桥和某个L2,这些都必须兼容地协同迁移。通过EIP-8141实现的逐账户签名灵活性,目前也仍只是为2026年底提出的方案。
  • 共同的主线:没有一致的时间表,需要在数百万用户之间协调,后量子签名比ECDSA大数十倍,而量子时钟还在不断加速。基础层升级是一个里程碑,而非安全本身。

QRL的独特之处

当比特币和以太坊正面临真实量子威胁、急于寻找解决方案时,QRL从第一天起就已具备量子安全性。主网于2018年6月26日上线,至今运行逾7年。使用NIST批准的XMSS签名(2020年标准化),经过多次外部安全审计(Red4Sec、X41 D-Sec),已符合NIST 2030/2035截止要求。了解更多

无需紧急救场,无需恐慌驱动的改造,没有脆弱的历史包袱,按既定计划有序演进。

加密货币面临的三类量子威胁

量子计算通过三个不同的攻击向量威胁加密货币,每类威胁都有各自的时间线与攻击目标。

Shor算法:破解数字签名

目标: ECDSA secp256k1(比特币、以太坊交易签名)

机制: 为整数分解和离散对数问题提供指数级加速

要求: 最少约2,330个逻辑量子比特(Roetteler 2017);实现约2小时实用攻击需约6,500个(Kim et al. 2026)

影响: 可从公钥推导出钱包私钥,进而窃取资金

时间线: 阶段一(2029-2032年):数小时至数天内破解密钥。阶段二(2033-2038年):在10分钟出块时间内完成破解。

面临风险: 约590万枚BTC(按当前价格约7,180亿美元)已永久暴露;交易期间所有加密货币均存在风险

Grover算法:挖矿攻击

目标: SHA-256(比特币挖矿工作量证明)

机制: 为搜索问题提供平方级加速,有效将哈希安全强度减半

要求: 需要数亿量子比特才能对挖矿产生实质影响

影响: 可能使配备量子计算机的矿工发动51%攻击,但威胁比Shor算法远得多

时间线: 预计2040年之前不会成为实际威胁

面临风险: 挖矿安全,但签名攻击将先于它到来

先收割后解密(HNDL)

目标: 今天传输的所有加密区块链数据

机制: 对手现在收集加密数据并加以存储,等量子计算机就绪后再行解密

要求: 当前仅需存储能力;未来需量子计算机

影响: 历史交易遭到曝光,隐私被侵,永久暴露的钱包随时面临攻击

时间线: 当下正在发生,美联储已于2025年10月确认

面临风险: 约590万枚BTC已暴露;所有未来交易的隐私均岌岌可危

「销毁还是被盗」治理困境

比特币面临一道无解的治理难题,涉及中本聪P2PK钱包中约100万枚BTC以及其他永久暴露地址中的资产。

约590万枚BTC(约7,180亿美元)的公钥已永久暴露,无法通过任何软件更新加以保护。其中包括中本聪的约100万枚BTC、早期矿工奖励,以及所有曾被重用过的地址。

选项一:按兵不动

攻击者窃取数十亿美元的比特币,严重打击市场信心,酿成史上最大规模的密码资产盗窃案。为网络安全作出贡献的早期采用者将血本无归。

Proponents: 那些认为产权神圣不可侵犯、应由市场自行承担后果的人

选项二:冻结或销毁已暴露的币

违反比特币不可篡改的核心原则,为未来的强制没收开创先例,可能构成非法财产扣押,并面临法律挑战。

Proponents: 那些将网络整体安全置于个人产权之上的人

选项三:强制迁移并设置截止日期

截止日期前未迁移至量子安全地址的币将被冻结。然而密钥丢失的持有者、已故用户以及使用长期冷存储的用户根本无从遵守。

Proponents: 那些寻求折中方案、力图保住可保护资产的人

没有令人满意的答案。每个选项都与比特币赖以建立的基本原则相冲突。这场争论极有可能撕裂社区,并导致采取不同方案的链走向分叉。2026年2月Strike的预印本进一步将这一问题形式化,证明即便拥有完美的PQC算法,比特币的协议语义本身也会产生迁移约束,在不修改底层共识规则的前提下无从化解。这是一个结构性问题,而不仅仅是密码学层面的问题。

地缘政治与机构风险

除直接盗窃之外,量子计算还将带来系统性风险,威胁加密货币的采用前景与合法性地位。

机构认知风险

即使在量子计算机真正能够破解加密货币之前,机构也可能因预期的未来风险而提前撤资。保险公司、养老基金及受监管实体的信托责任,可能禁止它们持有存在已知未来漏洞的资产。

影响: 机构集体抛售引发的价格崩溃,可能在实际量子攻击发生前数年就已到来。

时间线: 随着公众意识增强,可能随时启动;NIST 2030截止日期临近后将进一步加速

量子考古

所有历史区块链数据均公开可查且不可篡改。一旦量子计算机问世,每一笔历史交易都将可被深度分析,交易图去匿名化将变得轻而易举。

影响: 所有历史比特币和以太坊活动的隐私将彻底瓦解,每个钱包、每笔交易、每条资金流向都将无所遁形。

时间线: Shor算法实用化后必然发生,且无法通过追溯性手段加以阻止

地缘政治竞争

各国正竞相抢占量子霸权。中国、美国、欧盟已在量子计算领域投入数百亿资金。率先实现密码学相关量子计算的国家将获得巨大战略优势。

影响: 量子能力可被用于经济战,针对对手的金融体系(包括加密货币)发起攻击。

时间线: 预计多个国家将在2030-2035年间实现CRQC

比特币社区内的争论

BIP-360(现已规范为Pay-to-Merkle-Root,作者为Hunter Beast)是目前最受关注的提案,但它仍是一份草案:没有达成共识的算法,没有激活日期,且只保护新地址。社区甚至对威胁有多紧迫这个问题本身都无法形成共识,而这本身就是风险的组成部分。以下各方观点的时间跨度接近二十年。

BIP-360: Pay-to-Merkle-Root (P2MR)

Author: Hunter Beast

Status: 草案,尚无共识算法,无激活日期

引入使用NIST批准的后量子签名(ML-DSA、SLH-DSA、FALCON)的新地址类型,仅在静态(At-Rest)状态下保护新地址

  • P2MR(Pay-to-Merkle-Root):为新地址隐藏链上公钥
  • 仅保护静态(At-Rest)状态的代币;每次花费时密钥仍会出现在mempool中
  • 向后兼容的软分叉方案
  • 无主网激活时间表;SegWit和Taproot各自都历经了7至8年才完成采用

挑战

  • 签名体积:PQC签名比ECDSA大40至100倍(gas成本急剧攀升)
  • 区块空间:迁移所有UTXO需要76至568天的区块空间
  • 共识:对采用哪种算法尚无定论(ML-DSA、FALCON还是SLH-DSA)
  • 时间线:整个流程需要4至7年,而量子计算机可能在3至6年内到来
  • 已暴露的币:对永久暴露的P2PK和重用地址尚无解决方案

专家观点

Charles Edwards (Capriole)

力主2026年启动部署;建议未迁移至BIP-360的币可能在2028年被"销毁";警告比特币中有20%至30%面临量子攻击者的威胁。

Adam Back (Blockstream)

认为量子威胁"还有数十年"才会到来,对紧迫性提出质疑,并指出比特币所使用的加密方式与大多数人理解的不同。

Jameson Lopp (Casa)

同意量子威胁并非迫在眉睫,但估计完全过渡到量子抗性签名方案需要5至10年方能实现。

Willy Woo

Taproot使用率已从2024年交易占比的42%跌至20%,称自己"从未见过最新格式失去采用率的情况"。

以太坊2026年量子准备

以太坊正通过计划中的协议升级推进量子抗性,2026年有若干关键里程碑。

Glamsterdam(2026年上半年)

gas上限从6,000万提升至可能超过2亿,以容纳更大的后量子签名。并行交易处理改善可扩展性。ZK证明验证:验证者从重新执行交易转为验证ZK证明。

量子相关性: gas上限扩大直接为后量子签名部署创造条件;ZK证明验证是迈向量子抗性执行层的基础性步骤

状态: 目标2026年上半年

Hegota(2026年下半年)

内置的提议者-构建者分离(ePBS):分散区块生产权,防止量子能力参与者垄断提议者市场。以128位可证明安全性为机构级金融应用奠定基础。

量子相关性: ePBS防止具备量子优势的参与者垄断区块生产;128位安全性提供抗量子基础

状态: 计划于2026年下半年

ZK-STARKs量子抗性

以太坊优先采用基于哈希函数的ZK-STARKs而非基于椭圆曲线的ZK-SNARKs,因为STARKs具备量子抗性。以太坊基金会研究员George Kadianakis指出:"ZK-EVM中的可靠性问题是灾难性的:如果攻击者能够伪造证明,他们就可以凭空铸造代币。"

量子相关性: ZK-STARKs提供量子抗性的零知识证明,消除证明系统中的椭圆曲线假设

状态: 积极开发中

优势

  • gas上限提升可容纳更大的PQC签名而不破坏费用市场
  • ePBS分散区块生产,抵消量子提议者优势
  • ZK-STARKs以基于哈希的量子抗性证明取代基于椭圆曲线的SNARKs
  • 128位可证明安全性为机构级量子抗性奠定基础

挑战

  • 目前约65%的以太币面临量子攻击风险
  • PQC签名使gas成本增加37至100倍
  • 合约迁移须由各开发者独立推进
  • 有锁定资金的DeFi协议面临复杂迁移

战略建议

基于当前威胁形势与行业发展轨迹,以下是针对不同利益相关方的关键考量。

比特币/以太坊持有者

  • 绝不重用地址,每次使用都会永久暴露您的公钥
  • 将资金从P2PK地址转移至P2PKH或P2WPKH(哈希型)地址
  • 避免将Taproot(P2TR)地址用于长期存储,首次收款时公钥即刻暴露
  • 考虑配置量子抗性替代方案(QRL)
  • 持续跟踪BIP-360进展,条件成熟时随时准备迁移
  • 了解自身风险敞口:存放于已暴露地址中的资金无法通过任何软件更新加以保护

机构与受托人

  • 将量子风险纳入加密货币持仓评估,作为履行信托责任的组成部分
  • 跟踪NIST时间表:2030年弃用ECDSA,2035年全面禁止
  • 就长期持仓评估量子安全替代方案
  • 记录量子风险评估结果以满足合规要求
  • 提前规划脆弱资产的退出时机,在机构性大规模撤资启动前完成布局

开发者与协议团队

  • 采用密码敏捷架构,支持签名方案的灵活切换
  • 借助账户抽象(EIP-4337)为PQC钱包升级提供技术支撑
  • 避免在智能合约中硬编码ECDSA假设
  • 使用NIST批准的PQC算法(ML-DSA、SLH-DSA、FALCON)进行测试
  • 持续跟踪以太坊Glamsterdam/Hegota升级进展

长期视角

向量子抗性密码学的过渡是不可避免的。问题不在于是否发生,而在于何时发生,以及迁移能否在攻击启动之前完成。从创世起就具备量子安全性的项目(如QRL)已完全规避这一风险;而仍面临迁移的项目(比特币、以太坊)则正在与时间赛跑,结果尚不明朗。

专家时间预测

Nature特写(2026年2月)

"氛围转变":实用量子计算机十年内到来。四支团队已实现阈值以下QEC。

Dorit Aharonov(希伯来大学)

"我们已进入一个新时代……时间线比人们预想的短得多。"(2026年2月)

Fred Chong(芝加哥大学,ACM院士)

"我们已非常稳固地进入逃逸速度时代。构建一台大型实用量子计算机不再是物理问题,而是工程问题。"

Scott Aaronson(德克萨斯大学奥斯汀分校)

2025年进展"达到或超越"预期。将后量子密码迁移的紧迫性比作1940年的Frisch-Peierls备忘录。

Charles Edwards(Capriole)

"量子事件视界"在2至9年内到来

Adam Back(Blockstream)

实质性威胁距今20至40年

Michele Mosca(滑铁卢大学)

公钥密码学在2026年前被攻破的概率为七分之一

Chainalysis

量子计算机能够破解现有标准还需5至15年

Alice & Bob CEO(NVIDIA合作伙伴)

足以破解比特币的量子计算机将在"2030年后几年"出现

陆朝阳(USTC)

预计2035年前实现容错量子计算机

Infleqtion(2025年9月)

在逻辑量子比特上首次执行Shor算法;目标2030年实现1,000个逻辑量子比特,正在以INFQ代码于NYSE上市。

IonQ路线图

实验室双量子比特门保真度达99.99%;2026年计划256量子比特系统;2028年1,600个逻辑量子比特;2030年目标200万个物理量子比特

IBM路线图

2033年实现2,000个逻辑量子比特(Blue Jay),超过ECDSA破解门槛

参考资料

重大里程碑突破

最新突破

2026年2月

比特币漏洞分析

政府标准与警告

企业路线图

行业分析