量子计算机真的能破解比特币吗？

一位名叫罗伯特史蒂文斯的自由记者在20天后写了一篇“标题党”的文章如何在旧电脑上发现比特币，引发了中国货币圈对量子计算的焦虑。

原文[1]是“标题党”：量子计算机可能在2022年破解比特币。译文[2]也是“标题党”：谷歌CEO回应：量子计算来了，主流公链易受攻击。

不要着急。真相往往在原文中。

2

快速浏览原文，中文翻译的标题明显断章取义。谷歌 CEO Sundar Pichai 年初在达沃斯论坛上发表演讲，但他所说的是量子计算可能在 5 年内取得突破，并且（一旦突破）将终结现有的加密技术。根本没有提到公链。

知道谷歌去年号称实现“量子霸权”并被伊万卡夸赞的朋友应该知道，皮查伊再次在达沃斯宣传谷歌的量子计算技术。

那些出卖炒股秘诀的人，获得了学习炒股秘诀的人所支付的学费。网友戏称它为“智商税”。如果你真的知道别人不知道的炒股秘诀，又不急于赚大钱，谁会不遗余力地教别人炒股呢？

谷歌的量子计算技术足以摧毁全球无数银行和金融系统的“大杀手”。皮查伊即将拥有它，但他没有偷偷在家里玩，而是跑出去公开出售。这类似于卖股票的秘诀。.

3

至于原标题，那是彻头彻尾的谎言。只要仔细阅读这篇文章，看看这个“2022”到底来自哪里：美国国家标准与技术研究院 (NIST) 正在举办一场竞赛，以创建能够抵抗量子计算的密码算法。然后文章引用了另一位小伙伴的猜测，NIST 估计要到 2022 年才能裁判比赛。

所以文章得出结论：在那之前，比特币持有者将生活在量子不确定的状态中。这完全无视皮查伊刚才引用的评论，称量子计算技术（从实际应用来看）至少还有 5 到 10 年的时间。因此，2022年之前，没有“量子不确定性”，只有“确定性”，即这两年内绝对不可能有一台实用的量子计算机。

从2022年开始，一个反量子算法将赢得比赛，推测2022年量子计算机将破解比特币。原文作者显然是一头雾水，胡说八道。

即使 2 年内没有符合 NIST 标准要求的抗量子算法，也不一定意味着届时量子计算就可以破解比特币。主要取决于量子计算的发展。即使按照皮查伊的乐观估计，也需要5年或10年的时间，这意味着人们有5年或10年的时间来研究量子计算对抗技术和算法。2022年，天不会塌。

有时，只需要一点逻辑常识。

4

比特币存储在比特币地址中，由私钥控制。拥有私钥的人可以使用“椭圆曲线电子签名”算法（ECDSA）来花费地址中的比特币。所谓量子计算技术可以破解比特币如何在旧电脑上发现比特币，最薄弱的地方在ECDSA算法，但也需要量子计算机来运行实用级的Shor算法。

从谷歌去年倡导的量子霸权，到能够跑出实用级的Shor算法，这距离大概就像一个摆地摊的小贩到中国首富马爸爸的距离。

即便谷歌的“量子霸权”从地摊成功升级为岳父，它首先能突破的，是全球无数的银行和金融体系，而不是比特币。

早在 11 年前，比特币发明之初，中本聪就已经预料到了这一举动。比特币极早期版本直接使用ECDSA公钥将比特币存储在链上，在比特币的古区块中也可以看到历史遗迹。但很快中本聪做了强化保护，在 ECDSA 中增加了一层哈希算法（SHA-256 安全哈希算法）。SHA-256 哈希的结果是我们今天所熟悉和常见的。比特币地址。

SHA-256 具有良好的量子计算机抗性。已知的量子计算算法无法完全破解。即便是实用的量子计算机，它的进步也相当于比特币挖矿算力从CPU提升到ASIC矿机，甚至无法“破解”比特币挖矿。

相反，当这一天到来时，比特币矿工之间的“军备竞赛”只会加速量子矿机在比特币挖矿行业的快速普及和大规模部署。挖矿升级为GPU挖矿，再从GPU挖矿升级为今天的ASIC挖矿。这种挖矿技术的升级，将大大提升整个比特币网络的算力。全网算力的大幅提升，只会让比特币更安全、更难攻击、更有价值。

比特币挖矿在算法上消耗大量电力和计算能力来攻击 SHA-256 算法 24x7——当然难度要低得多。比特币系统的左右之争，正是中本聪的巧妙设计。试想一下，这样一个自由开放、与时俱进、不断升级、自我完善的比特币系统，不能被自己打破或打败。还有谁能突破并击败比特币系统？

量子计算机真的很实用，比特币的价值不会归零，而是会随着量子矿机的采用而上升到更高的水平。

5

现有版本的比特币代码已经充分考虑和应对了当今可预见的人类计算能力的最大极限。但中本聪进一步思考：也许在更遥远和未知的未来，有一种计算技术比量子计算机更强大，足以破解 SHA-256 哈希算法——尽管这种算法比人类更容易被蛮力破解死亡的可能性甚至更低。

因此，在2010年6月14日的论坛讨论[3]中，比特币的发明者中本聪对密码算法被破解的问题进行了进一步的前瞻性分析，并指出了应对之道。以下是他的原话：

SHA-256 非常强大。这不像从 MD5 到 SHA1 的渐进式进展。除非出现某种大规模的突破性攻击技术，否则它可以持续数十年。

如果 SHA-256 完全破解，我认为我们可以达成某种共识，锁定问题之前的“诚实”区块链，并从那个位置开始采用新的哈希函数。

如果散列中断逐渐发生，我们将逐步过渡到新的散列函数。（比特币）软件可以编写为使用从某个块号开始的新哈希函数。每个人都需要在那个时间点升级。（比特币）软件可以存储所有旧块的新哈希，这确保了篡改旧块——即使旧哈希相同——也不会被接受。