Google 量子研究示警:破解比特幣加密門檻大降,Taproot 與地址重用讓 690 萬枚 BTC 暴露量子風險
Google Quantum AI 團隊最新研究指出,破解比特幣與以太坊所依賴的 secp256k1 橢圓曲線密碼學,所需量子運算資源可能遠低於市場過去預期。研究同時警告,Taproot 重新引入公鑰直接上鏈的風險,再加上地址重複使用等問題,當前約有 690 萬枚比特幣處於可被量子攻擊利用的脆弱狀態,凸顯加密產業加速遷移至後量子密碼學(PQC)的迫切性。
(Google 目標於 2029 年完成後量子遷移,反觀比特幣社群共識未明)
破解門檻大幅下修,量子威脅比想像中更近
長期以來,市場普遍認為,量子電腦距離真正威脅比特幣與以太坊的加密安全仍有多年距離,原因在於破解橢圓曲線密碼學通常被認為需要數百萬個量子位元,技術門檻極高。
廣告 - 內文未完請往下捲動
Many are wondering “what Google saw” that caused them to revise their post-quantum cryptography transition deadline to 2029 last week. It was this: https://t.co/dQtmTK9pdz
— nic carter (@nic_carter) March 31, 2026
不過,Google Quantum AI 團隊在 3 月 30 日發布的最新白皮書,對這一認知提出了明確挑戰。研究指出,在其假設的超導量子架構、約 10^-3 的物理錯誤率與 surface code 容錯模型下,破解 secp256k1 所對應的 256-bit 橢圓曲線離散對數問題,可能只需約 1,200 至 1,450 個 logical qubits,即可對應到少於 50 萬個 physical qubits 的規模,較過去部分主流估算大幅下降。
更重要的是,Google 團隊認為,這樣的資源門檻已經低到足以讓市場重新評估「量子攻擊仍很遙遠」的假設。白皮書並未宣稱量子攻擊已經成熟到可以立刻落地,但它明確傳達的訊息是:威脅時間軸可能正在比市場想像中更快地逼近。
同時,學界也出現其他採用不同硬體假設的研究,嘗試用中性原子架構重新估算破解門檻。不過,這些研究中提到的 qubit 數量,不能直接與 Google 白皮書的數字一比一對照。因為不同量子硬體平台在錯誤率、容錯開銷、操作速度與可擴展性上差異很大,單看 qubit 數量,容易誤判真實風險。
換言之,12,481 個 atom qubits 聽起來可能遠小於 50 萬個 physical qubits,但兩者其實不是同一把尺。真正應該比較的,不只是 qubit 數量,而是各自所依賴的容錯模型、硬體架構與完成攻擊所需的總時間。
量子攻擊不只針對舊錢包,還可能在交易途中攔截資產
Google 白皮書最受關注之處,在於它不只討論量子電腦「能不能」破解比特幣,更進一步分析「實際上會怎麼攻擊」。
研究將量子攻擊分為三類,包括交易途中攔截的 on-spend attack、針對長期暴露公鑰資產的 at-rest attack,以及一次破解協議參數、之後可反覆利用的 on-setup attack。其中,對比特幣最直觀的威脅,正是前兩者。
所謂 on-spend attack,是指當用戶發起一筆比特幣交易時,公鑰資訊會在 mempool 階段暴露。Google 指出,若攻擊者能預先完成部分量子運算,並在公鑰曝光後立即接手,那麼從公鑰曝光到反推出私鑰的時間,可縮短至約 9 至 12 分鐘。
這個數字之所以引發市場關注,是因為比特幣平均出塊時間約為 10 分鐘。也就是說,在特定 fast-clock 架構假設下,量子電腦已開始逼近比特幣交易確認的時間窗口。根據白皮書採用的理想化模型,若量子攻擊耗時約 9 分鐘,攻擊者對 Bitcoin 交易發動 on-spend attack 的成功機率可接近 41%。
這代表量子威脅不再只是針對多年未動用、長期暴露公鑰的老舊錢包,而是有可能在交易尚未確認前,直接攔截資產、發送偽造交易,搶在原始交易被打包前完成竊取。
Taproot 重新暴露公鑰,與地址重用一同擴大量子風險面
白皮書也特別點出,比特幣在 2021 年啟用的 Taproot 升級,雖然提升了交易效率、隱私與腳本靈活性,但從量子安全角度來看,也帶來了新的代價。
原因在於,Taproot 對應的 P2TR 腳本,會將 tweaked public key 直接寫入 locking script,而不像 P2PKH 或 P2WPKH 那樣,先用 hash 將公鑰隱藏起來。這意味著,在量子威脅框架下,Taproot 重新引入了公鑰直接暴露在鏈上的 at-rest 風險。
這並不代表 Taproot 在當代密碼學條件下是不安全設計,而是說,相較於將公鑰先藏在 hash 後方的地址類型,Taproot 在量子時代下構成了明顯的安全倒退。
不過,Google 並不是在說所有量子風險都由 Taproot 單獨造成。研究更完整的結論是:目前約有 690 萬枚比特幣處於可被量子攻擊利用的脆弱狀態,而這個數字來自多種風險來源的疊加。
其中包括早期 P2PK 地址直接暴露公鑰的資產、Taproot 地址的鏈上公鑰暴露、P2PKH/P2WPKH/P2SH/P2WSH 等地址類型因重複使用而導致公鑰可被追溯的情況,以及交易進入 mempool 後產生的短暫暴露窗口。
Google 在白皮書中指出,光是早期 P2PK 腳本就保護著超過 170 萬枚比特幣;若把各種已暴露或因重複使用而變得脆弱的資產一併計入,總量約達 690 萬枚 BTC,接近總供應量三分之一。這也讓 Taproot 這項原本被視為技術進步的升級,在量子威脅框架下呈現出「雙面刃」的一面。
以太坊未必更安全,只是風險形態不同
相較之下,以太坊因區塊時間更短,若只從交易在途攔截的 on-spend attack 角度觀察,暴露窗口確實比比特幣更短。
但這並不代表以太坊整體上更安全。Google 白皮書反而特別強調,以太坊除了面臨帳戶公鑰暴露問題外,還存在更多 Bitcoin 沒有的量子脆弱面,包括 account vulnerability、admin vulnerability、code vulnerability、consensus vulnerability 與 data availability vulnerability。
這意味著,以太坊的量子風險不應被簡化為「確認速度較快,所以比較安全」,而應理解為:它在某些交易攔截場景下窗口較短,但在帳戶模型、治理權限、PoS 驗證者與資料可用性等層面,可能面臨更複雜的攻擊面。
Google 以零知識證明揭露成果,呼籲 2029 年前啟動 PQC 遷移
值得注意的是,Google 這次並未公開完整攻擊電路細節,而是採用零知識證明(Zero-Knowledge Proof)方式,證明其資源估算具備可驗證性,同時避免直接提供惡意行為者可利用的攻擊藍圖。
白皮書的核心態度相當明確:對依賴 ECDLP 的加密貨幣社群而言,現在最危險的不是恐慌,而是繼續拖延。Google 團隊主張,相關區塊鏈應立即開始為後量子密碼學遷移做準備,遷移時限設定在 2029 年,而不是等到量子電腦真正落地後才倉促應對。
在過渡階段,白皮書也提出若干中間緩解方向,包括避免地址重複使用、減少不必要的公鑰暴露、導入 private mempool、commit-reveal 類機制,以及討論以 P2MR 等新腳本形式修補 Taproot 在量子安全上的倒退。
值得一提的是,Google 也明確指出,量子電腦在可預見的未來內,並不構成對 Bitcoin Proof-of-Work 挖礦本身的現實威脅。換言之,問題的核心不是「量子電腦會不會搶走挖礦算力」,而是它是否能在數位簽章、公鑰暴露與鏈上密碼機制上,打開足以造成大規模資產重分配的破口。
對加密產業而言,這份研究的真正意義,或許不在於證明量子危機已經爆發,而在於它大幅縮短了產業可以繼續觀望的心理安全距離。
目前 Coinbase、史丹佛區塊鏈研究院與以太坊基金會已被點名為合作推動這項轉型的夥伴。正如 Dragonfly 合夥人 Haseeb Qureshi 所指出的,這份研究的目的並非製造恐慌,而是在縮短的時間軸面前,為加密產業敲響一記必要的警鐘。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
