中本聪2010年回应量子电脑威胁：渐进发生比特币就有时间

币圈子(120btc.CoM)：Bitcoin Magazine今(1)日贴出一张截图，截图来源是2010年7月10日的BitcoinTalk论坛，中本聪在一篇题为「Re：Major Meltdown」的讨论串中，首度正面回应了量子电脑可能威胁比特币的问题。

就在Google Willow晶片与Microsoft拓扑量子位元相继突破之际，这段封存16年的文字有了截然不同的重量。

中本聪的原始回应：「渐进发生，我们就有时间」

当年，论坛使用者「llama」提出忧虑：若整数分解问题被解决，或量子电脑出现，数字签章遭破解后，就算社群同意回退到最后一个有效区块，也毫无意义。

中本聪的完整回复如下：

确实，如果是突然发生的话。

但如果是渐进发生的，我们仍然可以过渡到更强的演算法。当你第一次执行升级后的软件时，它会用新的、更强的签章演算法重新签署你所有的资金。透过建立一笔将资金传送给自己、附上更强签名的交易来实现。

中本聪描述的机制，正是今日比特币后量子BIP提案所讨论的核心路径：软分叉替换签章方案，加上让所有使用者主动将UTXO重新签署到新地址格式。

比特币目前采用ECDSA(椭圆曲线数字签章演算法)作为交易授权机制。问题在于，配备足够量子位元的量子电脑一旦执行Shor演算法，理论上可在多项式时间内破解ECDSA，从公钥反推私钥。

最高风险的是P2PK(Pay-to-Public-Key)格式地址，这是早期比特币最常见的格式，公钥直接暴露在链上，无需等到花费才现身。中本聪本人挖出的约100万枚比特币，多数正属于这类格式。一旦量子电脑具备足够能力，这批沉睡资产的私钥理论上可被推算出来。

相对而言，P2PKH与P2WPKH格式在未花费前只有公钥的杂凑值暴露在链上，提供一层额外保护——但一旦发起交易，公钥即时曝光，视窗期便是攻击者的机会。

中本聪2010年的乐观预设是：威胁会「渐进发生」，社群有足够时间准备。然而2025～2026年的量子进展让这个假设承受越来越大的压力。

Google的Willow量子晶片在特定基准测试上展现出超越传统超算的能力；Microsoft宣布拓扑量子位元取得突破，被视为实现容错量子运算的关键一步。尽管密码学界多数估计，能实际威胁ECDSA的量子电脑仍需数百万个逻辑量子位元，距今仍有数年至数十年不等，但「渐进」的斜率显然比10年前陡峭许多。

关键矛盾在于：比特币协议升级本身就是一个渐进且高摩擦的过程。软分叉需要矿工、节点、钱包服务商的广泛协调；使用者要主动将旧地址资金迁移到后量子地址，需要全球数千万个钱包同步升级。若量子威胁的成熟速度快过社群的准备速度，中本聪的「渐进过渡」视窗可能在无人察觉中关闭。

比特币开发者社群并非袖手旁观。Blockstream执行长Adam Back倡议采用SLH-DSA(即SPHINCS+)并整合进Taproot架构。SLH-DSA是美国国家标准技术研究院(NIST)已标准化的后量子签章方案之一，基于杂凑函式而非数学难题，理论上对量子攻击具备抵抗力。

另一候选方案是格密码学的CRYSTALS-Dilithium，签章尺寸更小，但在比特币指令码环境的相容性仍需验证。

量子科技公司BTQ更已推出Bitcoin Quantum测试网，试图在比特币遭受实际攻击前建立防护基础设施。

主要挑战除了技术选型，还包括「失联币」问题：若迁移截止日期到来，仍有大量比特币留在旧格式地址，社群是否要冻结或销毁这些币，将是一场牵涉所有权定义的政治角力。