加密產業向來不乏宏大敘事,而量子計算威脅的特殊之處在於——它既觸及真實的技術演進邊界,又高度依賴市場對「遙遠風險」的定價邏輯。自 2026 年以來,BlackRock 在 IBIT 招股書中正式將量子計算納入風險因素,Coinbase 研究主管 David Duong 警告約 651 萬枚 BTC 面臨長期曝險風險,與此同時,Quantum Resistant Ledger(QRL)等量子抗性代幣單日漲幅接近 50%。但這些訊號究竟指向一個需要立即行動的現實危機,還是市場提前消化的遠期敘事?
同時,比特幣自身正經歷一輪顯著的市場調整。截至本文撰寫時,比特幣價格為 $62,083.9,近 30 天跌幅 -10.73%,近一年跌幅達 -33.74%,總市值約 $1.24 兆,市場情緒處於中性區間。在這樣的價格環境下,「量子威脅」這一遠期結構性風險是否會被市場放大為短期敘事?
技術現實:量子演算法威脅的兩種路徑與適用邊界
量子計算對比特幣的威脅通常被簡化為「可以破解加密演算法」,但這種說法掩蓋了兩種演算法的本質差異。Shor 演算法針對的是公鑰密碼體系中的整數分解與離散對數問題,直接影響 ECDSA 與 Schnorr 簽名——這兩者是比特幣交易授權的核心機制。一台具備足夠邏輯量子位元的容錯量子計算機運行 Shor 演算法,理論上可以從鏈上公開的比特幣公鑰逆向推導出對應的私鑰,進而偽造授權簽名並轉移資產。
然而,「理論上」與「工程上」之間存在數量級的差距。Bernstein 在 2026 年發布的報告指出,從目前數十個邏輯量子位元躍升至威脅 ECDSA 所需的上千個邏輯量子位元,「是一個多維度工程挑戰,需要多年的突破性進展」。即便考慮到 2026 年 3 月 Google Quantum AI 發布的成果,將破解橢圓曲線加密所需資源預估縮減約 20 倍,實際達到可攻擊比特幣的規模仍然需要數千甚至上萬個邏輯量子位元的穩定運作。業界主流判斷是,這一技術節點至少還需 10 到 20 年時間。
相較之下,Grover 演算法針對的是 SHA-256 雜湊函數,理論上可以將暴力破解的有效計算量從 2²⁵⁶ 降低至 2¹²⁸,但這並未從根本上「破解」SHA-256 的安全性。CoinShares 研究指出,即便經過 Grover 演算法優化,2¹²⁸ 的計算量在工程實踐上仍然不可行,依賴雜湊保護的地址類型依然安全。至於 Grover 演算法對 PoW 挖礦效率的潛在影響——理論上可提升尋找有效 Nonce 的效率——但這一優勢僅在量子礦機能超越現有 ASIC 礦機算力時才具實際意義,而這個門檻遠高於 Grover 演算法本身的理論能力。
值得注意的一個結構性問題來自「先收集後解密」(Harvest Now,Decrypt Later)攻擊模式。NSA 與英國國家網路安全中心均已明確將 HNDL 列為當前即需應對的威脅:攻擊者今日捕獲加密資料,待未來 CRQC(Cryptographically Relevant Quantum Computer)出現後再行解密。對比特幣而言,交易資料本就公開透明,「收集」成本幾乎為零。這意味著一旦 CRQC 在未來某個時間點成為現實,所有歷史上公鑰已曝露的地址都將面臨追溯性攻擊。這並非遙遠的理論憂慮,而是已進入部分機構風險建模框架的現實議題。
曝露面量化:不同地址類型的差異化風險
比特幣網路的量子風險分布極不均衡,並非所有 BTC 持倉面臨相同威脅等級。Glassnode 量子風險資料集顯示,Binance 比特幣錢包中 85% 的地址存在公鑰已曝露情況,理論上屬於量子攻擊的高曝露面。這一數據的解讀需要更細緻的分類。
從地址類型來看,風險呈現金字塔式分布:
P2PK(Pay-to-Public-Key)地址:公鑰直接曝露於鏈上,無雜湊保護,是最脆弱的類型。這部分約包含 170 萬枚 BTC,占總供應量約 8%,其中包括比特幣創始人 Satoshi Nakamoto 約 110 萬枚的早期持倉。
P2PKH(Pay-to-Public-Key-Hash)地址:鏈上僅展示公鑰雜湊值而非公鑰本身,在新交易廣播前公鑰未被公開。此類地址在僅接收未發送的情境下具備天然的抗量子保護層,但一旦用戶發起交易(即「花費」UTXO),公鑰便曝露於鏈上,此後即進入與 P2PK 同等級的風險區間。
P2SH(Pay-to-Script-Hash)與 Taproot(P2TR)地址:曝露情況取決於具體腳本結構與支出條件。Coinbase 研究主管 Duong 在 2026 年 1 月的分析中指出,約 32.7% 的比特幣供應(約 651 萬枚 BTC)因地址重複使用與特定腳本類型而面臨長期曝露風險,涵蓋 P2PK、原生多簽與 Taproot 等地址類型。
換言之,量子風險的核心並非「有多少 BTC 可能被攻擊」,而是「在 CRQC 出現的時間點上,有多少 BTC 的公鑰已經曝露」。對個人用戶而言,避免地址重複使用、每次交易後更換接收地址,可有效降低自身持倉的長期曝露窗口。
NIST PQC 標準化進程:為遷移設定了清晰的時間刻度
2024 年 8 月,美國國家標準與技術研究院(NIST)正式發布首批後量子密碼學標準:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)用於密鑰封裝,FIPS 204(ML-DSA,原 CRYSTALS-Dilithium)與 FIPS 205(SLH-DSA,原 SPHINCS+)用於數位簽名,FIPS 206(FN-DSA,原 FALCON)作為第四種標準化簽名演算法。這些標準並非學術儲備,而是具備實際實施路徑的工業級規範。2026 年 5 月,NIST 進一步將 9 種數位簽名演算法推進至第三輪額外標準化流程,並新增 HQC 作為第五種演算法——基於糾錯碼的數學原理,作為 ML-KEM 的備用方案。
從時間線來看,NIST 給出了明確的遷移窗口:預計 2035 年前,RSA、ECC 等目前主流但量子脆弱的演算法將從標準中正式棄用與移除,但高風險系統需要更早完成遷移。對加密產業而言,這一時間線意味著比特幣社群需在未來 5 到 10 年內完成從 ECDSA/Schnorr 到 PQC 簽名方案的過渡。考慮到比特幣上一次主要軟分叉(Taproot)從提案到啟用耗時約三年,一個涉及全局簽名體系更換的升級,實際準備時間可能更長。
值得注意的一個趨勢是,部分 Layer-1 區塊鏈已開始先行部署 PQC 能力。Algorand 在 2025 年執行了首筆後量子安全交易,已將 Falcon 數位簽名部署至智能合約層與狀態證明系統。NEAR Protocol 在 2026 年 5 月宣布升級共識層與交易簽名體系,邁向後量子時代。這些先行動作在市場層面也獲得正向回饋——NEAR 在公告後 24 小時內上漲 5.6%,Algorand 一週內漲幅約 50%。量子抗性板塊在 2026 年加密市場中被普遍列為最明顯的領漲因素之一,相關代幣展現出顯著的系統性超額收益。
比特幣社群的應對策略:從 BIP-360 到 BIP-361 的路線演進
比特幣生態對量子威脅的回應已進入實質性提案階段,不再停留於理論討論。
2026 年初提出的 BIP-360 是一個基礎性軟分叉方案,透過引入 Pay-to-Merkle-Root(P2MR)新型輸出類型,在地址層移除量子脆弱的密鑰路徑,為新鑄造的 BTC 提供抗量子保護。它不直接處理既有資金,而是為「未來硬幣」建立安全基線。
同年 6 月發布的 BIP-361 則更具爭議性,也是目前最完整的量子遷移提案。由 Jameson Lopp 及五位合著者共同提出,BIP-361 設計了三階段遷移計畫:啟用後三年內禁止向舊式地址發送新 BTC,要求所有用戶遷移至量子抗性地址;啟用後五年徹底禁用舊式簽名,任何未遷移的 BTC 將被凍結;第三階段則引入零知識證明作為恢復機制,允許未及時遷移但持有助記詞的用戶贖回資產。Lopp 本人在提案發布後明確表示,BIP-361 目前仍處於草案階段,更接近「可能性素描」而非已定稿的實施方案,各項細節預計會隨研究進展持續調整。
社群對該提案的反應呈現明顯分歧。支持者認為,凍結機制本質上是一種「防禦性激勵」——與其讓量子攻擊者透過破解獲取並拋售大量 BTC 摧毀網路價值,不如主動設定遷移窗口,保障整體資產安全。批評者則將之形容為「威權主義」與對比特幣去中心化哲學的背離,認為強制凍結合規持幣者資產觸碰了比特幣的基本信任底線。這一爭議本身就說明了一個深層事實:量子遷移不僅是技術問題,更涉及治理機制、財產權定義與社群共識的博弈。
在協議層推進緩慢的背景下,部分團隊選擇從應用層切入。Postquant Labs 於 2026 年 4 月推出 Quip Network 的量子抗性比特幣錢包,採用 WOTS+(Winternitz One-Time Signature)簽名方案,透過 Arch Network 的智能合約層疊加防護,而不對比特幣底層協議作任何修改。這種 L2 方案可在協議達成社群共識之前,為願意主動遷移的用戶提供即時防護。
市場敘事與客觀風險的錯位
2026 年加密市場的量子抗性敘事升溫,具有其客觀基礎。BlackRock 正式在 IBIT 招股書中將量子計算列為加密貨幣基礎設施的潛在失效風險;歐洲央行 2026 年 2 月的報告強調量子威脅對金融密碼學的系統性影響;NIST 進入 PQC 標準化的機構採納階段。這些訊號共同推動從機構到散戶的資金流向量子抗性賽道。
但從目前技術發展狀況來看,市場敘事與實際威脅之間仍存在顯著的「時間錯配」。一台能攻擊 ECDSA 的 CRQC 預計至少還需十年時間窗口。然而,技術發展往往呈現非線性特徵——Google 在 2026 年 3 月將破解橢圓曲線所需資源預估壓縮約 20 倍,就曾短期改寫業界對時間表的預期。正如 Mosca 不等式所揭示:若遷移準備時間加上資料敏感期超過 CRQC 到來時間,則遷移窗口實際上已經開啟。NIST 自身也明確建議機構採用「混合部署」(PQC + RSA/ECC)策略,避免後期大規模替換的系統風險。
對個人持倉者而言,現有「量子安全比特幣錢包」已有多項實施方案——從 Quip 的 WOTS+ 方案到 Bearby 採用的 NTRU Prime 格基標準,用戶無需等待協議升級即可在應用層獲得相當程度的防護。對機構與交易所而言,評估自身錢包地址的曝露面、建立加密敏捷性架構(Crypto-agility)並追蹤 NIST 演算法進展,是更為緊迫的中期課題。尤其值得留意的是,當前比特幣價格較一年前高點 $126,193 已下跌超過 33%,市場正處於消化宏觀壓力與結構性敘事的階段,量子抗性這一遠期邏輯更容易被短期資金當作板塊輪動的載體。理性區分「技術時間線」與「敘事時間線」,是避免被波動裹挾的基礎。
結語
量子計算對比特幣持倉的實際威脅等級,在今日技術條件下可精確描述為「遠期但真實存在的結構性風險」。Shor 演算法確實能從根本瓦解 ECDSA 簽名體系,但距離工程實現仍有十年以上距離;Grover 演算法對 SHA-256 的影響被廣泛誇大;NIST 已為標準遷移鋪設 2024—2035 年的完整時間線;比特幣社群也已從 BIP-360 到 BIP-361 推進至實質性提案階段。
但「時間窗口足夠」不等於「可以等待」。先收集後解密的攻擊模型意味著今日的公鑰曝露將對未來構成真實威脅,而量子計算技術的非線性進展也使「10 年窗口」並非剛性承諾。市場的提前定價既包含一部分對遠期風險的合理折現,也可能存在短期的敘事放大效應——尤其是在比特幣價格從歷史高點回撤超過 30%、市場整體情緒偏中性的環境下,任何具備「顛覆性」標籤的敘事都更容易獲得超額關注。對理性的加密從業者而言,區分可驗證的技術進展與市場情緒驅動的敘事波動,將在未來數年成為一項持續存在的能力要求。
