比特币与量子计算:存在性威胁
核心问题
如果明天出现密码学相关量子计算机(CRQC),比特币的签名将被破解。比特币需要修改代码和所有人的钱包(至少一次软分叉+大量用户转移代币)才能在CRQC存在下保持安全。
不确定性核心:
- A = CRQC在某时间出现的概率
- B = 比特币在该时间前成功升级的概率
你应预期比特币无法工作的概率 = A × B
风险计算
- Google量子时间线:2029年转向PQC
- Craig Gidney(Google量子论文合著者):2030年10%概率存在CRQC (A=0.1)
- 比特币升级历史:Taproot软分叉用3年10个月从提案到激活
- 钱包支持:又花了数月甚至数年才被广泛采用
- 作者估计:2029年前成功部署某种PQ方案的概率约50% (B=0.5)
2030年比特币无法工作的概率 = 0.1 × 0.5 = 5%
作为投资者的思考
如果相信以上估计,比特币无法工作的概率是0%价格的底线。这应该与以下不确定性叠加:
- 密钥可能被窃取(自己的或交易所的)
- 以太坊可能取代比特币"数字黄金"叙事
- 网络分割和双花攻击
- 2140年后区块奖励归零的经济安全问题
作为用户的思考
一些密码学家已表示不再愿意从事非后量子密码学工作。很难说服人们参与一个可能在几年内完全被破解的项目。
技术挑战
- 签名方案选择:PQ签名更大、验证更慢,可能影响TPS、区块空间、节点成本
- 共识决策困难:如何处理未升级的UTXO?选择不当可能违反比特币核心原则
- 时间窗口:太早可能选到非最优密码原语,太晚可能被破解
- 生态协调:钱包、交易所、托管商都需要升级,然后用户必须真正移动代币
- Satoshi的硬币:P2PK代币无法移动,永远脆弱
与中心化系统的对比
"银行软件、军事通信、互联网也需要升级。我高度相信它们会成功升级——我愿把B_{HTTPS}设为接近1。不幸的是,我对比特币成功升级的信心较低,因为升级一个像蜂蜜獾一样分散参与者的去中心化系统更具挑战性。"
常见反驳与回应
- "量子计算机摧毁比特币是FUD"→确实有很多不实说法,但也有真相。需要过滤两边
- "CRQC可能永远不会存在"→是的,但"可能"一词分量很重。Google研究者认为2030年10%概率
- "他们连21都分解不了,为什么现在要行动?"→直觉在量子计算领域不适用。问"什么时候用Shor算法分解35"就像问1943年的曼哈顿计划物理学家"什么时候制造小型核爆炸"
- "CRQC也会破坏银行业、军事通信、互联网!"→是的,但那些会成功升级。比特币是去中心化的,更难
- "Google想摧毁比特币"→"Google想摧毁比特币"和"Google论文技术上正确"可以同时为真
核心洞见
"即使相信A=0,如果你在乎比特币中期价格,最好让B=0。投资者可能会倾听专家意见并将风险定价——所以要么说服专家他们错了,要么说服所有其他投资者不要听专家的,否则就加入让B=0的努力。"