2025 12 12 量子電腦對比特幣構成威脅嗎

簡單來說：量子電腦對比特幣確實構成威脅，但主要的威脅點並不在 SHA-256（挖礦與地址生成），而是在 ECDSA（橢圓曲線數位簽章演算法，用於私鑰簽名與交易授權）。

以下我將以專業技術角度，為您拆解這個潛在的「黑天鵝」風險：

比特幣系統主要依賴兩種數學難題，量子電腦對它們的攻擊效果完全不同：

用途： 用於「挖礦」(Proof of Work) 以及生成比特幣地址。
量子威脅演算法： Grover's Algorithm (格羅弗演算法)。
影響：

Grover 演算法能提供「二次方加速」的破解能力。這意味著如果要破解 256 位元的 SHA-256，難度會從 $2^{256}$ 降低到 $2^{128}$。
結論：

雖然難度大幅降低，但 $2^{128}$ 仍然是一個天文數字，現有的量子理論認為這依然是安全的。
- 對策： 即使量子電腦強大到威脅 SHA-256，比特幣只需進行簡單的協議升級（軟分叉），將 SHA-256 升級為 SHA-512 或是量子抗性更強的雜湊算法（如 SHAKE256），就能抵消量子優勢。因此，SHA-256 被破解並不是主要風險。

用途： 用於生成「公鑰」與「私鑰」配對，並驗證交易簽名。這是保護你資產所有權的核心。
量子威脅演算法： Shor's Algorithm (秀爾演算法)。
影響：

Shor 演算法能提供「指數級加速」。對於傳統電腦來說，從公鑰推導出私鑰幾乎是不可能的（需要宇宙壽命的時間）；但對於足夠強大的量子電腦，Shor 演算法可以在幾小時甚至幾分鐘內，通過公鑰計算出私鑰。
結論：

這是真正的黑天鵝風險。如果量子電腦成熟，現有的 ECDSA (secp256k1) 將會瞬間崩潰。

既然 ECDSA 會被破解，為什麼大家還不恐慌？

量子位元 (Qubits) 數量不足：

要破解比特幣的 256 位元橢圓曲線密鑰，估計需要約 2,000 到 4,000 個邏輯量子位元 (Logical Qubits)。
- 目前最強的量子電腦（如 IBM、Google）雖然有數百到一千多個量子位元，但那些是充滿雜訊的「物理量子位元」。
- 考慮到糾錯需求，可能需要數百萬個物理量子位元才能構建出足夠的邏輯量子位元。專家預測這至少還需要 10-20 年。
比特幣地址的哈希保護機制 (Hash Protection)：

這是一個關鍵的緩衝設計。
- 你的比特幣地址（P2PKH）並不是公鑰本身，而是「公鑰的 SHA-256 哈希值」。
- 只要你沒有從該地址發送過交易，你的公鑰就不會暴露在區塊鏈上。
- 量子電腦雖然能從公鑰算私鑰，但無法從「哈希值」逆推公鑰（因為 SHA-256 抗量子性較好）。
- 風險窗口： 只有當你發起交易時，公鑰才會公佈。量子電腦必須在交易被打包進區塊前的短暫時間內（約 10 分鐘），截獲公鑰、算出私鑰、並發送一筆高手續費的偽造交易來搶走資金。

雖然大多數現代地址受到哈希保護，但以下兩類資產將面臨直接威脅：

P2PK (Pay-to-Public-Key) 早期地址：

在 2010 年以前（包括中本聰挖掘的約 100 萬枚比特幣），使用的是 P2PK 格式，公鑰直接暴露在區塊鏈上。一旦強大的量子電腦問世，這些沉睡的比特幣將是第一批被竊取的對象。
地址重複使用者：

如果你的一個地址曾經發送過比特幣（找零地址除外），你的公鑰就已經在區塊鏈歷史中公開了。這類地址也是高風險群。

這是否意味著比特幣必死無疑？並非如此。比特幣社群和開發者早就意識到了這個問題，並有相應的升級路徑：

軟分叉升級 (Soft Fork)： 比特幣協議可以通過軟分叉引入新的簽名算法。
抗量子簽名算法 (PQ-Signatures)： 例如 Lamport 簽名 或基於格密碼學 (Lattice-based) 的算法（如 NIST 最近標準化的 Dilithium 或 Falcon）。
遷移計畫：

當量子威脅臨近時，比特幣網絡會發布升級。用戶只需創建一個新的「抗量子地址」，並將舊地址的比特幣轉移過去即可。

量子電腦對比特幣的 SHA-256（挖礦）影響有限，真正的威脅在於 ECDSA（私鑰安全）。

這是一個「灰犀牛」（顯而易見且高機率發生的風險），而非完全不可預測的黑天鵝。

結論：

除非量子技術在明天突然出現「物理學上的意外突破」（例如無須糾錯的量子位元），否則比特幣有足夠的時間進行協議升級。這場攻防戰最終會變成一場「全網大遷徙」，即用戶將資產從舊地址轉移到新的抗量子地址，而非比特幣價值的歸零。