深度｜9 分钟破解比特币？Google 量子白皮书的技术边界与行业误读

文 | Max He @ Safeheron Lab

本文核心判断

• Google 白皮书显著推进了量子风险的工程化评估，但并未证明 CRQC 已接近现实落地。
• 资源估算的下降并不等于现实攻击能力已到位，中间仍存在大量未跨越的工程挑战。
• 行业需要建立的不只是「采用后量子算法」的能力，而是「应对密码学持续变化」的能力。
• 2030–2035 年是倒推迁移准备的关键参照窗口，而不是量子攻击到来的精确时点。

2026 年 3 月 30 日，Google Quantum AI 联合以太坊基金会和斯坦福大学的研究者发布了一篇重磅白皮书。这篇长达 57 页的论文系统性地分析了量子计算对加密货币的威胁，并给出了迄今为止最为激进的资源估算：破解比特币和以太坊所依赖的 256 位椭圆曲线密码学，仅需不到 50 万个物理量子比特 ——这比此前的最佳估算缩减了近 20 倍。

与此同时，论文将量子攻击的讨论从比特币扩展到整个加密货币生态，进一步指出，以太坊的智能合约、质押共识以及数据可用性采样等机制中，同样存在潜在的量子攻击面。这意味着，这篇白皮书讨论的已不再只是「比特币私钥是否会被量子破解」这一单点问题，而是在推动整个行业重新审视：现有区块链系统面对量子能力演进时，哪些安全假设可能需要被重新评估。

这篇白皮书在区块链行业引发了明显的震动。「量子计算或可在数分钟内破解比特币」的说法迅速扩散，也让许多从业者开始重新审视既有的安全假设。问题开始不再只是学术上的「能不能破解」，而是工程和治理上的“是否还有足够时间准备”。

但在这些情绪背后，一个更值得追问的问题是：Google 实际上证明了什么？又没有证明什么？这项工作在多大程度上改变了我们对量子风险的理解？

1. Google 这次到底做了什么？

1.1 ECDLP：区块链安全的基本假设

当前主流加密货币的安全性建立在椭圆曲线离散对数问题（ECDLP）之上。以比特币和以太坊使用的 secp256k1 曲线为例，其核心假设是：在经典计算条件下，给定公钥（椭圆曲线上的点），无法在可行时间内推导出对应的私钥。这一假设构成了整个区块链系统的基础安全前提。然而，Shor 算法指出，在理想的量子计算模型下，ECDLP 可以被高效求解。

1.2 资源估算：破解需要多少量子计算能力

Google 这次工作的核心是重新回答：如果未来造出足够大、足够稳定的量子计算机，破解 ECDLP 需要多大的计算资源？

论文构造并优化了针对 secp256k1 的量子电路，并给出了两种路径：一种降低逻辑量子比特数量，另一种减少非 Clifford 门（如 Toffoli 门）的数量。在明确的硬件与纠错假设下，这些电路可以在少于 50 万个物理量子比特的规模上执行。与此前的主流估算相比，这一结果在「时空体积」指标上有明显改进，将理论讨论转化为了一组可对比的工程参数。

1.3 「9 分钟」：这个数字是怎么来的

在假设量子门操作时间约为微秒级的情况下，完整运行相关量子电路大致需要十几分钟。考虑到量子算法的部分计算可以预先完成，真正与目标公钥相关的计算可以压缩到约一半时间，从而得到「约 9 分钟」的估算。

这一数字之所以引发关注，是因为它接近比特币约 10 分钟的平均出块时间。这意味着攻击者理论上可能在交易确认之前完成私钥恢复。需要强调的是，这一时间估算依赖于理想化前提，更多是量级参考。

1.4 零知识证明：可验证的披露方式

研究团队引入了一种「可验证披露」的方式：将电路通过哈希进行承诺，并在公开验证程序中对电路行为进行检查，同时验证其资源上界。整个过程封装为一个零知识证明，使得第三方可以在不接触电路细节的情况下，确认相关声明的正确性。

2. 如何深度理解 CRQC 与量子风险？

论文中多次提到 CRQC (Cryptographically Relevant Quantum Computer），即「密码学相关的量子计算机」。这特指那些已经具备现实密码分析能力的量子计算系统。

2.1 快时钟与慢时钟架构

论文区分了不同类型的量子计算架构。超导量子比特等平台具有较快的基本操作速度，可以在较短时间内执行深电路；而离子阱或中性原子平台操作速度较慢，但在其他方面可能具有优势。这意味着同样规模的量子系统，在不同架构下对密码学问题的实际攻击能力可能存在数量级差别。

2.2 演进路径的两种可能性

• 路径一： 较快执行能力的系统率先达到容错水平，针对链上交易的实时攻击（如交易确认前恢复私钥）将成为主要风险。
• 路径二： 较慢但更稳定的系统先取得突破，攻击将集中在长期暴露的公钥上（如历史地址或重复使用的密钥）。

2.3 三种主要的攻击方式

1. 交易中攻击 (On-spend attack)： 在交易进入内存池到被写入区块的时间窗口内恢复私钥。
2. 静态攻击 (At-rest attack)： 针对长期暴露在链上的公钥，攻击者拥有充裕的计算时间。
3. 设置攻击 (On-setup attack)： 针对依赖公共参数的协议，通过一次性量子计算获取可重复利用的后门。

3. 离真正的量子攻击还有多远？

3.1 论文并未证明攻击已迫在眉睫

虽然白皮书推进了工程化评估，但它并没有证明 CRQC 已经接近现实落地。它证明的是相关问题比过去理解的更具体，但支撑这些攻击所需的大规模容错量子系统尚未出现。

3.2 资源需求下降与工程距离

从理论算法到现实攻击，中间存在容错架构、误差校正、实时解码、控制系统等一系列未解决的挑战。不能简单地将资源估算的下降等同于现实攻击能力已经到位。

3.3 不确定性与预警信号

量子攻击的到来不适合精确预测年份。关键突破可能在短时间内改变资源需求，也可能长期停留在基础瓶颈前。更重要的是，预警信号可能并不明显。等到标志性演示出现时，防御窗口可能已经明显收窄。

4. 如何科学判断量子技术进展？

4.1 摆脱「量子比特数量」误区

单纯增加物理量子比特数量并不自动意味着接近攻击能力。真正值得关注的是这些量子比特是否能在容错条件下被有效组织，并稳定支撑深电路执行。

4.2 重点关注三类底层信号

1. 硬件信号： 是否出现稳定的逻辑量子比特，误差校正是否进入可扩展阶段。
2. 算法信号： 资源估算（逻辑比特数、门操作数、时空体积）是否持续收敛。
3. 系统信号： 长时间稳定执行深电路的能力、控制系统的扩展性等系统级能力是否成熟。

4.3 公开演示的局限性

公开演示往往是结果而非最早的变化。行业应建立持续跟踪习惯，观察底层条件是否已经逐步具备，而不是等待一个戏剧性的时刻。

5. 行业应对策略与系统演进

5.1 必须现在开始准备

虽然量子计算尚未具备实际攻击能力，但密码学基础设施的升级涉及协议、生态协同、资产迁移等，时间尺度通常以年为单位。行业必须为未来的迁移预留足够的时间和空间。

5.2 核心安全架构的保留与增强

量子计算冲击的是底层密码学假设，而不是区块链作为安全系统的设计原则。密钥管理、多方计算（MPC）、硬件隔离（TEE）、权限控制等机制依然具有核心价值。需要升级的是底层组件，而需要保留的是风险隔离和治理控制的设计原则。

5.3 从算法替换走向平滑迁移能力

比起过早押注某一种具体算法，系统是否具备平滑迁移能力更为关键。这包括：

• 在不影响业务连续性的前提下引入新签名方案。
• 支持一段时间内的混合模式。
• 应对密码学持续变化的长期系统设计。

6. 结语：一次重要的技术信号

Google 这篇白皮书最重要的意义在于它让量子风险变得足够具体：可以讨论，可以评估，也必须开始准备。

目前主流观点将风险窗口前移到 2030 年前后。Google 明确其后量子迁移时间线设到 2029 年；英国 NCSC 和 G7 专家组也将 2030–2035 视为关键节点。2030–2035 是一个值得认真对待、并为迁移预留空间的关键窗口。它未必对应量子攻击真正到来的年份，却决定了行业到那时是否拥有从容应对的余地。

参考文献

[1] R. Babbush, et al., Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations, Google Quantum AI, 2026. [2] IETF, Fundamental Elliptic Curve Cryptography Algorithms (RFC 6090), 2011. [3] Secp256k1, Bitcoin Wiki. [4] P. W. Shor, Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer, SIAM Journal on Computing, 1997. [5] D. Litinski, How to compute a 256-bit elliptic curve private key with only 50 million Toffoli gates, arXiv:2306.08585, 2023. [6] C. Chevignard, et al., Reducing the number of qubits in quantum discrete logarithms on elliptic curves, Cryptology ePrint Archive, 2026. [7] ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure. [8] Google, Quantum frontiers may be closer than they appear, Google Blog, 2026. [9] UK NCSC, Timelines for migration to post-quantum cryptography, 2025. [10] G7 Cyber Expert Group, Advancing a Coordinated Roadmap for the Transition to Post-Quantum Cryptography in the Financial Sector, 2026. [11] Global Risk Institute, Quantum Threat Timeline Report 2025, 2026. [12] NIST, Post-Quantum Cryptography (FIPS 203, 204, 205), 2024. [13] Realizing practical quantum computers based on superconductors, Nature News, 2023. [14] A new ion-based quantum computer makes error correction simpler, MIT Technology Review, 2025. [15] The Best Qubits for Quantum Computing Might Just Be Atoms, Quanta Magazine, 2024.

• 本文转载自： mp.weixin.qq.com/s/fGQOq... , 如有侵权请联系管理员删除。