比特币自诞生以来，支持其价值的核心要素便是其号称永远不会被破解的加密机制。

但是，“狼”已经来了——谷歌已经正式表示，在量子计算机的帮助下，比特币的这一“护城河”正在以比人们预期更快的速度坍塌。

比特币安全性受威胁

周二，谷歌量子人工智能研究团队发布了一份共57页的白皮书，题为《保障椭圆曲线加密货币免受量子漏洞威胁：资源估算与缓解措施》

白皮书称，可能只需要一台超导量子计算机上不到50万个物理量子比特，就可以破解保护比特币、以太坊和大多数主流加密货币的椭圆曲线加密技术。这比之前对量子比特数量的估计减少了大约20倍。业内之前的估计认为需要数百万个量子比特才有可能实现。

同时在技术方面，利用中性原子构建可重构量子比特，允许量子比特跨区域直接通信，极大提升了纠错效率。仅需不到3万个物理量子比特即可在10天内破解256位加密技术，所需资源开销是此前预估的1/100。

这意味着什么？这意味着在量子计算机的超高运算速度之下，比特币的加密安全机制可能会在短短九分钟之内被破解，而且这一时间点极有可能会在2029年到来。各类加密货币将失去其看上去牢不可破的安全性，价值也将迎来重构。更严重的是，银行、金融机构、政府机关、企业基础设施的加密屏障也将不再安全。

包括Coinbase在内的多家机构已成立专门委员会研究此问题，而美国国家标准与技术研究院（NIST）等机构也已开始标准化抗量子算法（如CRYSTALS-Kyber）。

受美股集体强势反弹和此消息的影响，Alphabet（纳斯达克股票代码：GOOGL）股价暴涨5.14%，报287.56美元/股，从2月初高点下跌17%后迎来久违的反弹，总市值也回到了3.48亿美元。但年内Alphabet仍然下跌超9%。

截至4月1日亚洲交易时段，比特币价格反弹至约68000美元/枚，年内跌幅超过22%。所有比特币的总市值约为1.36万亿美元，近24小时交易量约360亿美元至430亿美元。

白皮书震动业内

谷歌量子计算团队的这一声明引发了投资者对Alphabet在量子计算领域领先地位的极大热情，而量子计算领域对网络安全、密码学、金融系统和人工智能基础设施都具有深远的影响。

这篇论文具有重要的机构影响力。其合著者包括以太坊基金会的贾斯汀·德雷克、斯坦福大学的丹·博内，以及由瑞安·巴布什和哈特穆特·内文领导的六位谷歌量子人工智能研究员。谷歌表示，在发表论文前，他们曾与美国政府进行过沟通，并将Coinbase、斯坦福区块链研究所和以太坊基金会列为合作方。

需要明确的是，尽管该白皮书震动整个币圈，但目前还没有任何量子计算机能够执行这种攻击。谷歌最先进的芯片Willow只有105个量子比特。但有一点需要引起警惕：现有硬件与能够破解比特币加密技术的机器之间的差距正在以比预期更快的速度缩小。

“我对2032年实现量子计算的信心显著增强，”德雷克在X上写道。他估计，到2032年，量子计算机至少有10%的概率能从泄露的公钥中恢复出私钥。

量子计算直接威胁加密货币

比特币的安全性依赖于一个数学假设：任何现有的计算机都无法从公钥推导出私钥。这个具体的数学问题被称为椭圆曲线离散对数问题（Elliptic Curve Discrete Logarithm Problem）。每次有人发送比特币时，他们都会暴露自己的公钥。一台传统的计算机需要比宇宙年龄还要长的时间才能从公钥逆向推导出私钥。

但量子计算机打破了这一假设。数学家彼得·肖尔于1994年发表的一种算法，其求解ECDLP的速度比任何经典方法都快得多。一台拥有足够多稳定且纠错的量子比特的量子计算机，运行肖尔的算法，就能导出私钥、伪造数字签名，甚至盗取钱包里的钱。

谷歌的白皮书指出，在所有依赖此类加密技术的系统中，加密货币面临着独特的安全风险。区块链使用椭圆曲线密钥，其大小几乎比同等安全级别的RSA密钥小一个数量级，这意味着一台更小的量子计算机就能破解它们。而且，与传统金融体系的多重安全保障不同，区块链无法对欺诈交易提供任何追索权。一次伪造的签名就可能导致无法挽回的损失。

三种量子计算攻击类型

该白皮书根据攻击者所需的速度，将针对加密货币的量子攻击分为三类：消费时（on-spend）攻击、静态（at-rest）攻击和设置时（on-setup）攻击。

比特币的“消费时攻击”针对的是传输中的交易。当有人广播一笔比特币交易时，他们的公钥就会在内存池中显示出来。攻击者拦截这笔交易，推导出私钥，并在原始交易确认之前广播一笔伪造的替代交易。比特币的平均出块时间为10分钟。

谷歌白皮书估计，一台超导量子计算机可以使用一种预先计算一半算法并处于“预备”状态等待目标出现的技术，在大约9分钟内完成破解。如果11台预备状态的机器并行运行，速度可以提升6.5倍，远低于出块时间。

据CoinDesk报道，在单台机器的情况下，攻击者大约有41%的概率抢在原始交易之前获得确认。

以太坊的12秒区块时间和Solana的400毫秒窗口使得在这些链上进行消费时攻击更加困难。

静态攻击的目标是区块链上已暴露的公钥：休眠钱包、重复使用的地址、使用旧式脚本类型保护的加密货币。攻击者有数天、数周甚至更长时间的时间。

设置阶段攻击最为特殊。这类攻击针对固定的协议参数，生成一个可重复使用的后门，之后可以在普通计算机上运行。比特币不受此类攻击的影响。但该白皮书警告说，以太坊的数据可用性采样机制和诸如Tornado Cash之类的隐私协议则不然。

目前对于比特币用户来说，进一步关注安全性尤为重要。如果比特币存放在之前发送过交易的地址中，那么公钥就已经暴露了。

首先要将资金转移到一个全新的、从未用过的地址，就能将它们从“静默目标”池中移除。这并不能使它们完全免受量子攻击，但可以重置其历史记录。

其次是停止重复使用地址。每次公钥出现在区块链上，它就成为潜在的攻击目标。

再一个是密切关注钱包、交易所和托管服务提供商对后量子时代的兼容性。早期采用者将占据优势。

三只热门量子计算股

除了Alphabet之外，另有三只热门量子计算股票值得关注，D-Wave Quantum (NYSE: QBTS)、IonQ (NYSE: IONQ)和Rigetti Computing (NASDAQ: RGTI)都有着潜在的巨大商机。

D-Wave目前的市值约为53亿美元。该公司拥有超过100家付费客户，包括埃森哲 （NYSE：ACN）、巴斯夫 （OTC：BASFY）和万事达卡 （NYSE：MA）。

IonQ是这三家量子计算公司中规模最大的，市值约为105.7亿美元。IonQ的客户包括电信巨头BT集团 （场外交易代码：BTGO.F）、三星 （场外交易代码：SSNL.F）和T-Mobile （纳斯达克股票代码：TMUS）。

Rigetti的市值约为46.63亿美元。该公司的客户包括美国空军研究实验室、英国国家量子计算中心和穆迪公司 （纽约证券交易所代码：MCO）。

主编精选，篇篇重磅，请点击订阅“邮件订阅”