破解比特币只需 9 分钟？谷歌量子团队将攻击门槛降低 20 倍

谷歌量子 AI 团队发布白皮书，展示了对 Shor 算法的重大优化。Shor 算法能破解比特币和以太坊使用的椭圆曲线加密，一旦量子计算机足够强大，攻击者就能从公钥反推私钥并窃取资金。

攻击门槛被压缩到什么程度

团队编译了两套攻击电路，分别需要不到 1200 和不到 1450 个逻辑量子比特（由数百个物理量子比特经纠错组成的计算单元）。在超导量子计算机上，两套电路均可在不到 50 万个物理量子比特的条件下于数分钟内完成计算。

此前学界的主流估计约为 1000 万个物理量子比特，这一突破将门槛降低了约 20 倍。

9 分钟窗口与资金劫持风险

攻击者可以提前完成大部分准备计算，在比特币交易广播后约 9 分钟内破解私钥。比特币平均出块时间约 10 分钟，攻击者有约 41% 的概率抢在交易确认前劫持资金。

目前约 690 万枚比特币（约占总供应量的三分之一）因公钥已暴露而面临潜在风险，其中约 170 万枚来自网络早期。谷歌还指出，2021 年的 Taproot 升级默认暴露公钥，可能进一步扩大脆弱钱包的范围。

负责任披露

谷歌选择以负责任的方式公开这一发现，而非隐瞒。目的是在量子硬件真正威胁到加密货币之前，推动社区提前部署抗量子方案。这份白皮书的定位更像是一份预演报告——问题还不紧急，但时间窗口已经比很多人想象的要窄。

加密社区对此反应不一。一部分人认为这是推动抗量子密码学标准化的重要信号；另一部分则担心，公开攻击细节可能加速恶意研究者的准备工作。

现阶段意味着什么

需要强调的是，"不到 50 万物理量子比特"仍然远超当前最先进的量子硬件能力。目前最接近这个数字的公开目标可能还有数年甚至更久的距离。但在密码学领域，提前规划迁移路径是标准做法——等到威胁实际发生时再切换，成本和混乱都会大得多。

对比特币生态而言，这意味着钱包设计、地址复用习惯、以及签名算法的升级可能需要被重新提上议程。长期持有且公钥已暴露的早期比特币，尤其值得持有人关注后续发展。