StarkWare 产品长Avihu Levy 在4 月9 日公开发布抗量子比特币交易方案Quantum Safe Bitcoin (QSB)，在不更动协议的前提下，实现抗量子运算的交易保护。这是目前已知首个仅凭比特币现有Legacy Script 规则，即可抵御Shor 演算法攻击的可行方案。

量子威胁迫在眉睫，比特币社群共识未明

量子运算对比特币构成的威胁，在Google Quantum AI 于上周发表的论文中再度受到关注。研究指出，破解比特币椭圆曲线加密(ECDSA) 的成本比预期少了90%，同时最快9 分钟就能从已曝光的公钥还原出私钥，Google 本身也订下2029 年完成自身服务后量子迁移的目标。

比特币现行主要签名机制ECDSA，其安全性建立在椭圆曲线数学难题之上。一旦量子电脑具备足够算力，攻击者便能透过Shor 演算法逆推私钥、伪造签名，进而窃取资产。从P2PK 输出、Taproot 到传统地址，只要公钥曝光，都面临私钥遭破解的风险。

然而，由于主流应对方案皆需要修改比特币底层协议。无论是需要软分叉的BIP-360 抗量子地址提案，还是SPHINCS+ 等基于杂凑的签名方案，都必须经过比特币社群出了名漫长且高度分歧的治理流程。

如今QSB 的出现，成功绕过了这道关卡。

QSB 是什么？如何在不动协议的情况下实现抗量子？

作为BIP-360 的共同作者，Avihu Levy 近期发布的QSB，主张无需变更共识即可在比特币上实现能抵御量子攻击的解决方案。

QSB 建立于BitVM 创始人Robin Linus 所开发的Binohash 交易技术之上，并针对其中两个量子安全漏洞进行了修正：其一是可能被Shor 演算法破解的椭圆曲线小r 值签名难题；其二是可能让攻击者利用的sighash 旗标漏洞。

在安全模型上，QSB 舍弃了依赖椭圆曲线数学难题的传统假设，改为建立在RIPEMD-160 杂凑函数上。量子电脑对杂凑函数的攻击，只能透过Grover 演算法取得二次加速，而非如Shor 演算法对ECDSA 那样完全破解，因此其对QSB 目前并不会构成威胁。

具体运作上，交易发起者需要解决一个计算成本高昂的杂凑谜题，将交易与一组特定参数绑定。任何人想窜改交易内容，答案就会立刻失效，必须从头重算。

整个方案完全在比特币现有的Legacy Script 限制内运行，包括201 个操作码上限与10,000 位元组的脚本大小限制，无需任何协议更动。该方案可达约118 位元的抗量子安全性(目前为0)。

实际使用成本与操作限制：低至75 美元的运算费用

QSB 目前并非零成本方案。每笔交易需支付约75 至150 美元的云端GPU 运算费用，以当前云端算力的市场行情计算，整个计算过程可在几小时内完成，且可跨多张GPU 同步执行。

然而，QSB 仍存在现实限制。由于交易超出比特币预设的中继政策限制，必须直接提交给接受非标准交易的矿池，例如透过Marathon 提供的Slipstream 服务，同时方案目前也尚未支援闪电网路。

Levy 本人也定位QSB 为「最后手段」，而非一般比特币交易的替代方案。

回顾现有抗量子方案，均需修改比特币原始协议

现有抗量子比特币方案几乎全部都需要协议层的变更。 BIP-360 提议引入新型量子抗性地址格式，但需要通过软分叉，并须获得比特币社群的广泛共识；SPHINCS+ 等基于杂凑的签名方案同样需要协议升级，且在效率与脚本大小方面面临更大挑战。

QSB 作为目前首个完全在现有比特币规则框架内运行、无需任何共识变更即可实现抗量子保护的方案，任何愿意承担相应GPU 运算成本的用户，今日即可使用，无需等待社群达成共识。

抗量子方案浮现，比特币持有者静待佳音

就目前而言，尚无任何量子电脑具备破解比特币加密的实际能力，外界预期真正的威胁仍在3 至10 年后。然而，对于有在使用且公钥曝光的比特币地址，一旦量子电脑达到攻击门槛，便会成为首批目标，初步估计约有690 万枚左右。

QSB 目前尚未整合进任何消费级钱包，一般用户还无法透过现有软体直接启用量子安全设定。但Levy 此举证明，这个方案在今天的比特币上确实存在且可行，后续剩下的是工程实作、钱包整合与时间。

对持有比特币的用户而言，当前最务实的建议是：避免重复使用地址、密切关注钱包开发商的抗量子支援进度，并在主流软体提供量子安全迁移选项时，尽早将资产移转至受保护的地址。

本文链接地址：https://www.wwsww.cn/btbzixun/38132.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。