综合来看,沉淀在各类易受攻击地址中的比特币总量,可能占到比特币总供应量的一定比例。早前(如 2022 年)的估算认为,大约有 400 万到 600 万枚比特币处于较高风险中。若以当前比特币价格(例如,假设为 7 万美元一枚)粗略计算,这部分资金的价值可达 2800 亿至 4200 亿美元。这或许是「420 亿美元」风险警告的一个更合理的解释来源——它指的不是一个精确的数字,而是对巨额财富暴露于潜在风险的一种警示。
更令人不安的是所谓的「短程攻击」(Short-Range Attack)。当你发起一笔比特币交易时,你的公钥会随着交易信息一同广播到网络中,等待矿工打包确认。这个过程通常需要 10 到 60 分钟。如果一台量子计算机能在这短暂的时间窗口内从广播的公钥中破解出私钥,它就能构造一笔新的交易,以更高的手续费抢先将你的比特币转走。一旦这种攻击成为现实,那么几乎所有类型的比特币交易都将面临即时威胁。
量子硬件的竞赛:从理论到现实的疾行长期以来,构建一台能够运行肖尔算法破解实际密码系统的量子计算机,被认为是遥不可及的。然而,近年来的进展却令人瞩目,尤其是在提升量子比特(qubit)的质量、数量以及纠错能力方面。真正衡量量子计算机破解密码能力的关键,并非仅仅是物理量子比特的数量,而是能够可靠执行复杂算法的「逻辑量子比特」的数量和质量。
谷歌量子人工智能团队的研究员 Craig Gidney 在 2025 年初的更新研究中指出,破解 2048 位 RSA 加密(常用于传统网络安全)可能不再需要先前估计的数千万物理量子比特,而是「少于一百万个带有噪声的量子比特」,并且可能在「不到一周」的时间内完成。这一估计的显著降低,得益于算法优化和错误校正技术的进步,例如近似剩余数运算、更高效的逻辑量子比特存储以及「魔术态」提纯等技术的应用。尽管 Gidney 强调,这样的量子计算机仍需满足苛刻的条件(如连续五天稳定运行,极低的门错误率),远超当前技术水平,但它无疑缩短了我们感知中的「量子安全距离」。而对于比特币所使用的 ECDSA (secp256k1 曲线 ),虽然具体破解所需的量子资源相较于 RSA-2048 的最新估算尚无同样精确且广为接受的公开数据,但密码学界的普遍观点是,由于其数学结构,量子计算机攻破 ECDSA 可能比攻破 RSA 更为容易。
在硬件层面,几大巨头正在奋力追赶。IBM 的量子路线图雄心勃勃,其「Osprey」处理器已达 433 物理量子比特,「Condor」更是达到实验性的 1121 物理量子比特。更重要的是,IBM 专注于提升量子比特质量和纠错能力,其「Heron」处理器(133 量子比特)凭借更低的错误率成为当前发展重点,并计划在 2025 年推出拥有 1386 物理量子比特的「Kookaburra」系统,通过多芯片连接实现更大规模。其更长远的目标是在 2029 年实现拥有 200 个高质量逻辑量子比特的「Starling」系统,届时预计能执行高达 1 亿次的量子门操作。