比特币为量子冲击做好准备——深入了解两项激进的新救援计划

多位开发者和创办人已公开讨论Bitcoin的具体后量子路径。两个不同的提案引起了加密世界的关注。

Bitcoin的网络观察者开始建立他们的黑墙

2029年被标记为量子电脑可能破解Bitcoin和Ethereum加密技术的"截止日期"，这个滴答作响的时钟促使开发者们撸起袖子开始工作。

最近Bitcoin量子恐慌或"量子FUD"(恐惧、不确定和怀疑)的激增，已从Google"末日"白皮书后引发的初期混乱，转变为与一个尚不存在的敌人的竞赛。在过去几天里，两位Bitcoin开发者提出了不同的提案，旨在保护Bitcoin免受未来量子攻击的威胁。

其中一个包含针对现有UTXO(未花费交易输出)的"Taproot终止开关 + zk证明恢复"路径。另一个是QSB(量子安全Bitcoin)，这是一个交易级别的构造，使个别支出在今天就能实现量子安全，而无需任何软分叉(与旧软件保持兼容的规则更改)。

两种方法都假设Shor式量子电脑(基于Shor算法的量子电脑)将摧毁Bitcoin当前签名(ECDSA/Schnorr)背后的数学，但它们在Bitcoin需要改变多少方面有所不同：共识规则与用户级工具。

让我们仔细研究这两个提案。

第一个解决方案来自Lightning Labs(构建闪电网络实现的主要公司)的联合创办人兼首席技术官Olaoluwa Osuntokun，以及Schnorr/Taproot的共同作者和贡献者Tim Ruffing，他也是MuSig2等多重签名方案的贡献者和Bitcoin核心椭圆曲线库的维护者。

在4月8日社交媒体X上发布的帖子中，Osuntokun重新提起了Ruffing于2025年7月发表的关于Bitcoin后量子安全的白皮书，以便为论文中提出的一个问题提出解决方案："创建一个不会泄露钱包主密钥的种子提升变体"。他称之为"zk-STARK证明"。

简单来说，Osuntokun的工具创建了一个特殊的加密证明(zk-STARK)，让你能够证明你确实拥有给定Taproot地址背后的原始钱包密钥，并且你使用了标准钱包规则从该密钥得到这个地址。zk-STARK证明的关键方面是，它在不向任何人透露密钥本身或任何私钥的情况下做到这一点。

如果将来Bitcoin进行量子防御软分叉，禁用基于密钥的正常支出，许多BIP-86 Taproot钱包可能会被卡住，无法转移币。有了这个证明，这些用户就获得了一个额外的"逃生舱口"：他们可以通过种子推导证明来证明其Taproot币的所有权，并以新的量子安全方式转移资金，即使旧的密钥支出路径已被关闭。

他在Bitcoin开发邮件列表上讨论了背后的所有技术细节。

该解决方案已获得认可，并在加密社区中普遍受到好评。

第二个且更具争议性的解决方案来自Avihu Mordechai Levy，他是StarkWare的加密工程师，专注于零知识证明和STARK。他昨天发表的白皮书展示了如何使用Lamport式一次性签名加上"哈希到签名"工作量证明谜题，在不对Bitcoin基础协议进行任何更改的情况下，让个别Bitcoin交易在今天就实现量子安全。

QSB用基于RIPEMD-160的谜题取代了旧的签名大小PoW(量子攻击可以通过找到微小的ECDSA r值完全破解)，它只依赖于哈希原像抗性，这仅被Grover算法(量子技术)削弱，而非摧毁。

再次用简单的语言来说，QSB所做的是抛弃旧的"使签名变小"工作量证明技巧，因为强大的量子电脑可以通过利用椭圆曲线数学来作弊。相反，QSB使用基于RIPEMD-160哈希函数构建的新谜题。破解这样的哈希极其困难，即使使用量子电脑也是如此。

QSB符合旧版脚本限制，并提供约118位的后量子原像安全性。然而，每笔交易需要数百美元的链外GPU工作，并且需要通过私人中继服务挖掘的非标准裸脚本。这就是为什么许多人称QSB为"最后手段"，甚至是"巨鲸级创可贴"。

社区不再争论量子是否会破解ECDSA/Schnorr，而是如何进行有序迁移。让我们记住，Bitcoin的创造者中本聪本人在2010年就保证，逐步过渡到后量子、更强大的技术对Bitcoin来说是可能的。

基于Taproot的恢复试图以最小的价值破坏来保护整个UTXO集，而一些知名人士仍然认为，未迁移的币应该简单地过期，而不是以奇怪的方式"拯救"，以保护Bitcoin的货币故事。

封面图片来自Perplexity。BTCUSD图表来自Tradingview。