Google 这次没有在宣判比特币死刑,是在逼它提前成年。过去,比特币一直在和宏观叙事赛跑。接下来,它还要开始和密码学时钟赛跑。量子威胁未必马上落地,但它已经足够真实到让整个行业无法继续装作没看见
就在这几天,加密圈最容易制造焦虑情绪的一条消息
不是 ETF,不是山寨季,更不是什么交易所新动作,而是 Google Quantum AI 团队扔出来的一份白皮书与博客
很多标题把它浓缩成一句足够抓眼球的话:破解比特币,只需要几分钟
* Quantum AI白皮书链接:https://quantumai.google/static/siteassets/downloads/cryptocurrency-whitepaper.pdf
这种说法当然很刺激,也确实足够传播。但如果你把 Google 这次真正发布的内容认真看完,就会发现,事情既没有那么简单,也没有那么遥远。真正值得重视的,不是比特币明天就要被量子黑客团灭,而是另一个更深层的变化:
量子威胁不再只是一个属于遥远未来的抽象名词,它正在开始进入比特币必须认真给出工程回应的时间窗口
Google Quantum AI 团队在 2026 年 3 月 31 日的官方博客中明确表示,他们更新了针对 ECDLP-256 的量子资源估算,认为未来量子计算机破解保护加密货币与其他系统的椭圆曲线密码学,所需的量子比特和门操作比此前认识到的更少
这件事之所以重要,不是因为 Google 证明了比特币今天已经不安全,因为它把整个讨论从会不会发生推进到了需要多快开始迁移。这两者之间,看起来只差一点语气,实际上却差了一整个时代判断。
过去很多人谈量子威胁,语气都很轻松。因为它总被放在一个足够远的位置:也许十几年后,也许几十年后,也许永远到不了
可 Google 这次给出的新估算,明显是在缩短这个心理距离。Google 在白皮书与博客中给出的两套电路资源估算分别为:不到 1,200 个逻辑量子比特加 9,000 万个 Toffoli gates,或不到 1,450 个逻辑量子比特加 7,000 万个 Toffoli gates
在其设定的标准硬件假设下,这些电路有可能在少于 50 万个物理量子比特的超导量子计算机上,于数分钟内执行完毕。这比此前破解 ECDLP-256 所需的物理量子比特数大约减少了 20 倍
* Google发表《负责任地披露量子漏洞来保障加密货币安全》:https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/
这也是为什么市场会突然紧张。因为在比特币这样的系统里,很多安全性并不是抽象存在的,而是非常具体地建立在椭圆曲线密码学之上。Google 在官方博客中说得很明确:当下多数区块链技术和加密货币,在关键安全环节上仍依赖 ECDLP-256,而这正是它们此次重新估算量子攻击资源成本的目标
换句话说,这不是在谈某种边缘密码套件的理论脆弱性,而是在谈今天整个加密货币世界最核心的一层密码学地基
但也正因为如此,我们反而更需要把这件事看得更冷静一点。因为 Google 真正说的,从来不是比特币马上会被量子计算机攻破,而是:在大规模、具备加密相关攻击能力的量子计算机真正到来之前,整个行业需要更快地完成后量子迁移
他们在博客里写得非常清楚,可行路径并不是无解,而是迁移到 post-quantum cryptography,也就是后量子密码学;同时,他们还给出了一系列短期与长期建议,包括避免暴露或重复使用脆弱的钱包地址,以及考虑如何处理那些长期无人动用、却可能因为公钥暴露而成为风险源的加密资产
所以即使量子攻击还没有发生,防御的工程周期也已经开始倒逼今天做决定
这恰恰是比特币接下来几年最棘手的地方。因为比特币的问题,从来不只是能不能改,而是怎么改、谁来推动、用什么代价改,以及在不撕裂共识的情况下改
很多传统软件面对安全风险,路径很直接:升级算法、更新系统、强制替换、快速分发。但比特币不是这样一种系统。它有历史包袱,有庞大的存量地址,有不同的钱包实现,有极度保守的协议文化,还有一种近乎信仰式的治理迟缓。也正因此,量子威胁对比特币最真实的压力,不只是密码学层面的,而是治理层面的
* Bitcoin Core 同步全部账本已需要接近600 GB空间,大约等于 7 个《三角洲行动》安装包
你会发现,这和很多人最初理解的完全不同。很多人觉得,量子风险的核心是哪天突然有一台超级量子计算机横空出世,然后老地址瞬间被扫空
这当然是一种风险想象,但更真实、更难处理的,往往是它的前夜:当威胁已经足够可信,但又没到立刻爆发的程度时,系统会不会及时迁移?用户会不会配合迁移?社区能不能在争论中形成明确的升级路径?
而且,这其实不是一个今天才被 Google 点燃的话题。量子攻击在 Crypto 世界从来不是一个突然冒出来的新议题。真正变化的,不是有没有人讨论,而是什么时候开始从科幻预警变成工程倒计时
过去几年,从中文圈的 KOL 到英文世界的研究者、开发者和机构分析师,这个话题都被反复提起,只是大多数时候市场更愿意把它当作一个长期、模糊、可以以后再说的问题。到了 2026 年,Google Quantum AI 把资源估算大幅往下修之后,这种以后再说的空间才被真正压缩
在可公开核实的代表性声音里,Vitalik Buterin 早在 2024 年就已经在以太坊研究论坛公开讨论过,如果量子紧急事件突然发生,链该如何通过 hard fork 尽可能保住大多数用户资金
他的切入点很有意思:不是先争论到底哪天来,而是假设它突然来了,系统有没有预案。这个姿态本身就说明,至少在核心开发者层面,量子威胁早就不是纯学术问题,而是被当成一种需要提前设计应急路径的系统性风险
* Vitalik Buterin 原文链接:https://ethresear.ch/t/how-to-hard-fork-to-save-most-users-funds-in-a-quantum-emergency/18901?
而在比特币这边,类似的敲钟也并不少见。Bitcoin Optech 长期把 quantum resistance 作为独立主题追踪,这意味着它不是一次市场热点,而是开发者社区持续关注的正式议程
到了 2026 年,BIP-360 被加入更严肃的讨论与实现语境,也说明比特币社区对量子风险的态度
所以如果要把这一层的情绪压缩成一句话,我会更愿意说:量子攻击从来不是一个没人提醒过的黑天鹅,它更像一个被一再延后的灰犀牛;Google 这次做的,不是第一次发明风险,而是把整个行业继续拖延的余地,又往前砍掉了一截
如果再把时间线往前拉,你会发现,历史上关于量子攻击最激烈的讨论,真正争的从来不是理论本身,而是迁移路径
早在 2018 年,学术界就已经有很有代表性的研究直接讨论比特币如何从当前签名体系安全过渡到量子抗性签名体系。那类研究的核心观点不是简单喊快升级,而是提出一种 commit–delay–reveal 的迁移思路,强调即便未来真的出现足够快的量子攻击者,系统也需要通过带延迟的迁移机制,尽量避免被快速链重组和抢跑攻击击穿
换句话说,学术界很早就意识到:量子时代最难的不是找到一个新签名,而是在去中心化系统里把几亿用户、几千万地址和巨额资产安全迁过去
再往后,社区里其实出现过很多潜在方案。比如用 Lamport signatures、XMSS、SLH-DSA 这类后量子或哈希基签名路线去构造更量子抗性的支出方式;又比如通过量子安全 Taproot scripts、pay-to-quantum-resistant-hash 或其他更具算法灵活性的脚本路径,尽量减少现有系统的破坏性升级
真正关键的问题不在于有没有候选密码学方案,而在于如何在比特币这种极度保守、极度重视兼容性和共识稳定的系统中,把迁移一步一步做出来
到了 2026 年,BIP-360 的意义已经不再只是有人提出了一个方向。更重要的是,它开始从提案走向可运行的实验基础设施。3 月,BTQ 宣布已在其 Bitcoin Quantum testnet v0.3.0 上完成首个可运行的 BIP-360 / P2MR 实现,支持创建、资助、签名、广播和确认 P2MR 交易。这意味着,比特币社区面向量子威胁的回应,至少在实验网络层面,已经不再只是论坛里的纸上辩论,而是开始进入可以真正测试的工程预演阶段
当然这并不等于 Bitcoin Core 官方 testnet 已经正式部署了 BIP-360。目前公开可确认的是,BTQ 在其量子比特币测试环境中完成了首个工作实现。换句话说,BIP-360 已经从概念方案进入了可运行、可验证、可测试的前沿实验阶段,但距离成为比特币主流生态的正式升级路径,中间仍然隔着提案审议、实现兼容、钱包适配、基础设施支持和社区共识这些更难跨过去的门槛
也正因为如此,BIP-360 这件事反而更值得重视。它不是终局,不是比特币已经量子安全的宣布,而更像是一个很比特币风格的信号:先把脚手架搭起来,先把最脆弱的一部分攻击面缩小,先争取时间,再为后续真正的后量子签名迁移铺路。对比特币这样的系统来说,很多时候,先进入可测试阶段,本身就是一种非常重要的进展
说到这里,其实还要补一层常被忽略、但对市场情绪极其重要的东西:不是所有 BTC 的风险是同一时刻、同一强度爆发的。
量子攻击的风险在比特币内部,本来就存在受影响面分层。最典型的区别在于:公钥是否已经暴露。 Google 在博客里专门建议社区避免暴露或重复使用脆弱地址”,这背后对应的就是一个基本事实:对于已经花费过、已公开公钥的地址,量子攻击者的目标更清晰、潜在攻击路径也更直接;而那些尚未公开公钥、从未花费过的 UTXO,风险逻辑则不完全相同。
这一点非常关键。因为它意味着,量子威胁不会表现为某个瞬间全网所有币一起变得同样危险,而更可能是先从最脆弱、最暴露、最长期未迁移的那批资产开始被市场重新定价。而一旦市场先形成这种分层意识,量子时代带来的第一轮冲击,未必是攻击本身,而可能是哪些币更干净、哪些地址更安全、哪些历史 UTXO 更该尽早迁移的资产分化
这会直接冲击比特币很核心的一层叙事:数字黄金
过去比特币最强的地方,在于它被视为一种极其长期、极其稳固、近乎不受技术栈变化影响的价值载体。它之所以能成为数字黄金,不是因为它没有波动,而是因为它被相信拥有一种更深的、跨周期的、近乎制度级的稳定性
但量子问题会迫使市场重新思考:如果底层密码学未来必须迁移,那永恒性到底建立在什么之上?
这并不意味着数字黄金叙事会崩掉。恰恰相反,它更像是在被迫升级。过去的数字黄金更强调不会被随意增发、不会被主权信用稀释、不会被中心化机构轻易篡改;未来的数字黄金还得额外证明:它也不会因为技术栈代际变化,而失去自我更新能力
也就是说,比特币未来要证明的,可能不只是我够硬,而是我既够硬,也够活。前者是抗审查,后者是抗淘汰
而更进一步,真正可能先逼迫迁移提速的,未必是社区论坛本身,而可能是机构、交易所、托管方和 ETF 发行人
比特币社区当然可以慢,开发者当然可以谨慎,论坛讨论当然可以拖很久;但机构风控、上市公司 treasury、ETF 托管人和中心化交易所未必有同样的耐心
因为对于这些角色来说,量子威胁一旦从科幻题材变成被 Google 正式更新过资源估算的已知安全曲线,它就会慢慢进入风险评估模型。到那时,真正把迁移时钟拨快的,可能不是社区共识,而是合规要求、托管政策和大型资金管理标准
所以 Google 这次不是在宣判比特币死刑,而是在逼比特币提前成年
