BTQ的比特幣量子測試網揭示了‘舊BTC’的風險

要點

• 比特幣的量子風險主要集中在公開金鑰暴露和簽章安全上。

• BTQ的測試網在類比特幣環境中探索後量子簽章。

• 後量子簽章顯著增加了交易大小和區塊空間需求。

• “舊BTC風險”集中在傳統輸出類型和地址重複使用模式上。

BTQ Technologies表示，它已於2026年1月12日推出比特幣量子測試網，這是一個類比特幣網路，旨在測試後量子簽章，而不觸及比特幣主網治理。

其理念是，BTQ將用ML-DSA替換比特幣目前的簽章方案。ML-DSA是模組格簽章標準，由美國國家標準與技術研究院(NIST)制定為聯邦資訊處理標準(FIPS) 204，用於後量子安全假設。

值得記住的是，在大多數比特幣量子威脅模型中，關鍵前提是公開金鑰的暴露。如果某個公開金鑰已在鏈上可見，理論上未來足夠強大的量子電腦可能嘗試離線回推對應的私鑰。

你知道嗎？ BTQ Technologies是一家專注於後量子密碼學和區塊鏈安全的研究型公司。其比特幣量子測試網旨在研究量子抗性簽章在類比特幣系統中的行為。

量子變化主要體現在哪裡？

大多數關於比特幣量子風險的討論集中在數位簽章上，而非比特幣供應量或量子電腦能夠“隨機猜出錢包”的想法。

具體關注點是，具備密碼學相關能力的量子電腦(CRQC)可以運行Shor演算法，有效率地解決離散對數問題，從而從已知公開金鑰導出私鑰，這將破壞橢圓曲線數位簽章演算法(ECDSA)和Schnorr簽章。

Chaincode Labs認為這是比特幣主要的量子威脅模型，因為它可能透過生成有效簽章來實現未經授權的支出。

風險可分為兩類：

• 長期暴露：某些舊腳本類型或地址重複使用導致公開金鑰已經在鏈上可見。

• 短期暴露：交易廣播時公開金鑰被揭示，等待確認的短時間窗口內存在風險。

當然，目前還沒有量子電腦對比特幣構成即時威脅，與挖礦相關的影響應被視為單獨問題，而非與簽章破解等同。

你知道嗎？ Shor演算法已存在於數學理論中，但需要大型、容錯的量子電腦運行。如果這樣的機器被製造出來，它們可以從已暴露的公開金鑰中導出私鑰。

BTQ做了什麼及其意義

BTQ的比特幣量子測試網本質上是基於比特幣核心(Bitcoin Core)的分岔，將比特幣最重要的原語之一——簽章——替換掉。

BTQ在公告中表示，測試網將ECDSA替換成ML-DSA，也就是NIST標準FIPS 204下的模組格簽章方案，應用於後量子數位簽章。

這一改變帶來了一系列工程上的取捨：

• ML-DSA簽章大約比ECDSA大38-72倍，因此測試網將區塊大小上限提升至64MiB，以容納額外的交易資料。

• 公司將網路視為全生命週期的實驗場，支援錢包建立、交易簽章與驗證、挖礦，以及基本基礎設施如區塊瀏覽器和礦池。

簡言之，測試網的實際價值在於將後量子比特幣變成效能與協調實驗。

“舊BTC風險”集中在哪

在後量子背景下討論“舊BTC風險”時，通常指的是已經在鏈上暴露的公開金鑰。

未來能夠運行Shor演算法的CRQC理論上可以利用這些公開金鑰導出私鑰，從而生成有效支出。

三種輸出類型特別容易受到長期攻擊，因為它們在鎖定腳本(ScriptPubKey)中直接放置了橢圓曲線公開金鑰：

• Pay-to-Public-Key(P2PK)

• Pay-to-Multi-Signature(P2MS)

• Pay-to-Taproot(P2TR)

分佈情況不均：

• P2PK占現有未花費交易輸出(UTXO)的極小份額，約0.025%，但鎖定了約8.68%或1,720,747枚比特幣的大量價值，多為休眠的中本聰時代幣。

• P2MS約占UTXO的1.037%，但僅鎖定約57枚比特幣。

• P2TR按數量算常見，占UTXO約32.5%，但價值較小，約0.74%或146,715枚比特幣。其風險與Taproot的key-path設計有關，鏈上可見經過調整的公開金鑰。

地址重複使用也可能將原本的“支出時暴露”轉變為長期暴露，因為一旦公開金鑰出現在鏈上，它將持續可見。

BTQ自己的資訊使用“公開金鑰暴露”框架，認為潛在受影響的幣池很大，引用6.26百萬枚比特幣暴露在鏈上，這也是公司認為現在在類比特幣環境中測試後量子簽章值得做的原因。

比特幣接下來可能的因應

短期內，最具體的工作是可觀測性與準備。

如前所述，簽章威脅模型由公開金鑰暴露驅動。這也是為什麼討論通常集中在比特幣現有錢包和腳本實務如何提前暴露公開金鑰(如某些舊腳本類型)或預設降低暴露(如避免地址重複使用的常見錢包行為)。

因此，“舊BTC風險”主要是歷史輸出類型和重複使用模式的特性，而非所有幣瞬間均面臨同等風險。

第二個更實際的限制是容量。即使社會上達成共識遷移到後量子簽章，也仍是區塊空間與協調問題。

學術估計指出，時間表對假設非常敏感：若所有交易都遷移，進程會大幅壓縮；而更實際的區塊空間分配則可能將過渡延長至數年，還未考慮治理與採納問題。

BTQ的測試網正是屬於這類：它讓工程師觀察後量子簽章的運作成本，包括更大資料量和不同限制，而無需聲稱比特幣即將被破解。

你知道嗎？ 目前量子電腦的最大限制是雜訊或錯誤。今天的量子比特(qubit)常常出錯，因此需要容錯糾錯。也就是說，需要大量實體量子比特產生少量可靠“邏輯量子比特”，才能進行破解現實世界密碼所需的長時間運算。

比特幣層面的可能緩解方案

在協議層面，量子準備通常被討論為漸進路徑。

後量子簽章方案通常比橢圓曲線簽章大得多，這對交易大小、頻寬和驗證成本都有連鎖影響；BTQ實驗ML-DSA正體現了這些取捨。

因此，一些比特幣提案首先聚焦於減少現有腳本設計中的結構性暴露，而不是立即鎖定特定後量子簽章演算法。

例如，比特幣改良提案(BIP) 360提出了一種新的輸出類型——Pay-to-Tapscript-Hash(P2TSH)。P2TSH幾乎與Taproot相同，但去除了依賴橢圓曲線簽章的key-path支出，提供一個僅依賴tapscript的路徑，以避開量子容易受攻擊的key-path。

類似構想在比特幣開發者郵件列表上流傳，屬於更廣泛的“僅雜湊”或“腳本支出”(script-spend) Taproot系列，經常被稱為Pay-to-Quantum-Resistant-Hash(P2QRH)式構造。這些提案旨在重用Taproot結構，同時跳過量子脆弱的key-path支出。

重要的是，這些仍無明確結論。主要觀點是，比特幣的因應可能是個漸進的協調問題，需要在保守性、相容性與交易格式變動成本之間取得平衡。

BTQ測試網的啟示

BTQ的比特幣量子測試網雖未解決量子辯論，但提出了兩個不可忽視的觀點：

1. 大多數可信威脅模型專注於公開金鑰已暴露的地方，這也是“舊幣”模式反覆出現的原因。

2. 後量子比特幣是一個工程與協調問題。BTQ的設計選擇（如採用ML-DSA、提高區塊上限以容納更大簽章）體現了這些取捨。

最終，測試網是用來衡量成本與侷限的沙盒實驗，不應被視為比特幣即將被破解的證據。

相關推薦：報告：Revolut將匯款業務和在秘魯獲得新銀行執照作為目標