比特币量子风险辩论，Gurbacs称恐惧为FUD

关于比特币量子风险的激烈辩论已经爆发，行业领军人物就时间表、威胁和开发者应对速度等问题产生了分歧。

为什么Gabor Gurbacs说比特币不存在量子风险

在周末，Pointsville创始人兼Tether战略顾问Gabor Gurbacs在X平台上表示，对比特币即将面临"量子末日"的担忧纯属"FUD"（恐惧、不确定性和怀疑）。

据他所说，比特币的密码学已经足够坚韧和灵活，能够抵抗量子技术的进步并在需要时进行适应。

"关于比特币量子风险存在很多FUD，"Gurbacs写道。"事实是比特币的安全性建立在基于哈希的工作量证明上，这种机制对量子计算具有抵抗力。

量子计算不会破坏比特币。"此外，他强调市场叙事已经超前于硬件和算法的实际状态。

比特币的设计如何应对量子计算？

Gurbacs强调了比特币基于哈希的共识机制与其签名方案之间的区别。由SHA-256保护的共识层已经能够抵抗量子攻击，因为Grover算法只提供二次方加速。他表示，这种改进并不会从根本上破坏工作量证明或攻击网络的经济成本。

Gurbacs承认，主要弱点在于比特币的ECDSA签名，如果能够有效运行Shor算法的大规模量子计算机被建造出来，这些签名可能会变得脆弱。然而，他认为比特币的架构和用户实践已经减轻了大部分理论上的风险，并为未来的升级留出了空间。

地址和后量子签名扮演什么角色？

根据Gurbacs的说法，比特币中的主要量子攻击目标是暴露的ECDSA公钥。通过不重复使用地址，这种风险在今天已经降低，因为大多数密钥在被花费之前都隐藏在链上。此外，他指出比特币的模块化结构允许签名层随时间升级。

他提到了NIST新标准化的FIPS-205，该标准规范了无状态基于哈希的数字签名算法（SLH-DSA）。"共识层是基于哈希的，对量子有抵抗力，而签名层是模块化的，这意味着像SLH-DSA/SPHINCS+这样的后量子方案可以集成进来，而不会破坏货币完整性或供应规则，"他说。

为什么安全专家挑战Gurbacs的观点？

Gurbacs的自信很快遭到了加密安全专家的反驳，包括Messari联合创始人Dan McArdle和Project Eleven的Graeme Moore。两人都认为他低估了向更强大密码学全网迁移的复杂性和时间表。不过，他们同意矿工和工作量证明目前没有立即风险。

McArdle强调了比特币仍然面临的三个结构性问题：已经暴露公钥的传统P2PK输出、内存池狙击的可能性，以及后量子签名的大尺寸。最后一点可能会迫使进行有争议的区块大小增加，重新引发社区内部旧有的治理和扩展之争。

什么是内存池量子攻击，为什么它很重要？

McArdle将内存池狙击描述为一种风险，即足够强大的量子对手可能在交易通过网络传播时窃取资金。在这个短暂的窗口期，公钥可能是可见的，但尚未在链上确认。然而，他承认与今天的原型相比，必要的硬件需要异常快速和稳定。

"考虑到这一切，"McArdle说，"现在就认真对待量子稳健性是最好的。这不是一个可以推迟到威胁迫在眉睫时才处理的问题。"在他看来，在破解成为可能之前很久就构建和测试迁移路径是必要的风险管理。

量子风险对比特币来说是"真实但遥远"的吗？

Gurbacs反驳称这些担忧"真实但遥远"。他认为剩余的P2PK输出"小而分散"，减少了系统性风险。此外，他表示用于内存池攻击的量子计算机需要"难以置信的快速和稳定——而我们离此还很远"。他认为，这种能力差距为开发者赢得了宝贵的时间。

他补充说，比特币可以在"任何现实威胁出现之前"吸收更大的签名方案甚至区块大小升级。"我同意我们应该认真对待量子强化，"Gurbacs写道。"我只是不相信我们接近突破点——而且骗子往往滥用量子叙事。现在更大的风险是人们恐慌，而不是关注实际时间表。"

比特币开发者面临哪些开放性治理问题？

Moore反驳说，自满而非恐慌才是更大的威胁。引用Project Eleven的研究，他表示即使在理想条件下，向后量子签名的协调迁移也可能需要六个月或更长时间。此外，他警告说"我们可能在几年内就会有一台CRQC（密码学相关量子计算机）"，这增加了提前准备治理和技术框架的压力。

他质疑比特币社区是否能够现实地采用NIST批准的标准，如SLH-DSA或ML-DSA。中本聪在选择secp256k1时有意避开了NIST曲线，部分原因是不信任集中化的标准制定。这段历史可能会使采用未来NIST支持的算法的任何决定变得复杂。

在量子升级中，丢失或未迁移的币会怎样？

Moore还提出了一个有争议的问题，即在过渡期间未迁移或"丢失"的币会发生什么，包括归属于中本聪的早期持有。"你支持冻结中本聪的币吗？"他问Gurbacs。"为什么支持或不支持？"这个问题强调了签名技术变更如何与敏感的经济和伦理辩论交织在一起。

Gurbacs回应说，治理选择应该平等地适用于所有未迁移的密钥，并拒绝任何"特殊规则"。"我们会先看到较弱的密码系统崩溃，"他说。"这为选择方案、实施和测试，以及在'糟糕'时刻到来之前允许逐步选择加入轮换提供了数年的警告时间。"

其他密码系统会在比特币之前失败吗？

虽然Moore坚持认为"我们已经处于'糟糕'时刻"，但Gurbacs不同意。他认为，如果存在能够破解secp256k1所需级别的真正密码学相关量子计算机(CRQC)，最早的迹象不会出现在比特币中。相反，失败首先会出现在TLS、PGP、政府PKI和较弱的椭圆曲线系统中。

"这根本没有发生，"他指出。在他看来，截至2024年，相邻系统中没有出现此类故障表明量子计算仍然远未破坏比特币的核心密码学假设，即使准备工作应该同步继续。

Adam Back如何看待比特币的量子准备？

Gurbacs的立场得到了密码朋克元老Adam Back的支持。在X上，Back写道："比特币可以添加一种新的签名类型，并在taproot/schnorr下制作一种'量子就绪'的taproot叶子替代支出方法。"在这种设计中，用户可以选择加入新方法，而不需要每个人立即承担成本。

这样，Back认为，网络可以"在不支付大型签名成本的情况下做好准备，直到它变得相关"。他指出NIST仅在2024年8月标准化了SLH-DSA，这意味着强大的标准仍在出现。此外，这一时间表表明开发者有时间在任何全面迁移之前研究权衡。

Back补充说，如果开发出密码学相关的量子计算机，"我猜测schnorr和ECDSA签名方法将被弃用（变得无法花费）。在我看来，这比2030年还要远，所以人们应该有时间在很久之前迁移并做好量子准备。"他的评论与Gurbacs的观点一致，即需要规划，但不需要恐慌。

量子计算是比特币的迫在眉睫的威胁吗？

目前，Gurbacs认为量子计算代表的是长期协调和工程挑战，而不是即将崩溃的场景。"量子恐慌是错位的，"他说。"比特币的架构是可适应的、保守的和数学上稳健的。量子不会破坏比特币。"同时，市场似乎毫不动摇：截稿时，BTC交易价格为$85,984。

总之，领先的开发者和分析师一致认为，最终将需要过渡到更强大的签名，但他们在工作紧迫性上存在明显分歧。未来几年的研究、标准化和社区辩论将决定比特币如何以及以多快的速度加强自身以应对未来的量子机器。