谷歌量子突破：比特币加密门槛骤降20倍，50万量子比特即可破解技术威胁升级谷歌最新研究显示，破解比特币ECDSA加密的量子比特需求从1000万骤降至50万，效率提升20倍，使原需数十年的安全窗

区块艺术2026-04-01 来源：区块艺术

内容提要：两篇量子计算论文显示，破解比特币私钥所需量子比特从百万级降至万级，9分钟内可劫持交易，约690万枚暴露公钥的BTC面临风险。谷歌优化Shor算法，Oratomic压缩纠错开销，中性原子路线距1万量子比特仅差约20倍，而约280万枚BTC因丢失或身份不明无法迁移，社区对冻结争议未决。

社交媒体上，一张被反复转发的图片显示：量子计算机破解比特币私钥所需的物理量子比特，从百万级跳水到了万级。谷歌 Quantum AI 的研究员警告，量子攻击可以在9 分钟内劫持一笔正在广播的比特币交易，约 41% 的概率抢在确认之前完成。约 690 万枚已暴露公钥的比特币，此刻正静静躺在链上，等着算力追上理论。

触发这场恐慌的，是前一天几乎同时发表的两篇论文。一篇来自谷歌 Quantum AI 团队，另一篇来自中性原子量子计算公司 Oratomic。单独看，每篇都是各自领域的重要进展。放在一起看，它们砍的是量子计算栈的不同层，效果直接相乘。

以太坊核心研究员 Justin Drake 在推文中称这是「量子计算和密码学具有里程碑意义的一天」。他参与了谷歌团队的论文，该论文改进了 Shor 算法，密码学界最著名的量子攻击算法，专门用于破解 RSA 和椭圆曲线加密。比特币和以太坊使用的 secp256k1 签名算法，正属于椭圆曲线加密的范畴。

为什么两篇论文放在一起才真正吓人？因为破解一个椭圆曲线签名所需的总物理量子比特=逻辑量子比特数（算法层面需要多少「干净」的计算单元）×每个逻辑比特所需的物理比特数（纠错层面需要多少「冗余」硬件来维持一个干净单元）。谷歌的论文压缩了前者，Oratomic 的论文压缩了后者。分子和分母同时缩小，乘积跳水。

据 EUROCRYPT 2026 收录的论文，破解 256 位椭圆曲线所需的逻辑量子比特从 2017 年的 2,330 个（据 Roetteler 等人基准论文）降到 2020 年的 2,124 个（据 Haner 等人改进），再到 2026 年 3 月的 1,098 个。九年间，算法层面的需求缩减了超过一半。谷歌团队的论文更进一步，针对比特币和以太坊使用的 secp256k1 曲线做了专门优化，将所需逻辑比特压到约 1,000 个，电路深度仅约 1 亿个 Toffoli 门（据 CryptoBriefing 引用 Justin Drake 描述），在超导平台上意味着约 1,000 秒的 Shor 算法运行时间。

与此同时，据推文引用的 Oratomic 论文数据，中性原子方案将每个逻辑比特所需的物理比特从传统表面码的约 400 个压缩到约 10 个。这个突破的原理与谷歌完全不同。谷歌优化的是算法本身的效率，Oratomic 优化的是底层硬件的纠错开销。两项改进可以叠加。

两个数字相乘：2017 年的估计是约 700 万个物理量子比特，2026 年 3 月的中性原子路线估计是约 1 万个。总需求从百万级跌入万级，降幅超过两个数量级。

这个乘法效果催生了两条截然不同的攻击路线。

谷歌量子突破：比特币加密门槛骤降20倍，50万量子比特即可破解技术威胁升级谷歌最新研究显示，破解比特币ECDSA加密的量子比特需求从1000万骤降至50万，效率提升20倍，使原需数十年的安全窗口压缩至几年内。攻击方案优化：通过改进Shor算法与纠错技术，仅需50万物理量子比特即可在9分钟内推导私钥，威胁早期P2PK地址

据推文整理的论文推算，超导路线（谷歌研究方向）需要约 50 万个物理量子比特，运行约 9 分钟即可破解一个私钥，快到足以劫持实时交易。中性原子路线（Oratomic 研究方向）只需约 1 万个物理量子比特，但运行时间拉长到约 10 天。这不是问题，因为它的攻击目标是公钥已暴露的休眠钱包，不赶时间。

差距怎么理解？谷歌目前最强的 Willow 处理器有 105 个超导量子比特（据 Google Quantum AI 规格书），距离 50 万的门槛还差约 4,762 倍。但中性原子领域的容错计算系统已达约 500 个量子比特，距离 1 万的门槛只差约 20 倍。如果看物理阵列规模而非容错能力，实验室已捕获超过 6,100 个原子，差距进一步缩窄到不足 2 倍。

20 倍和 4,762 倍，是两个完全不同量级的距离。中性原子路线比多数人想象中更近。

而比特币这边的处境，远没有准备好迎接这个变化。

据 Ark Invest 和 Unchained 联合报告，约 700 万枚比特币（约占总供应量 33%）暴露在量子风险下，价值约 4,400 至 4,800 亿美元。这些脆弱地址分三类。约 170 万枚位于早期 P2PK 地址，公钥直接暴露在链上，且大部分已丢失，无人能操作迁移。约 110 万枚归属中本聪，分布在约 2.2 万个地址中，持有者身份未知。剩余约 420 万枚在地址复用或 P2TR 地址中，公钥同样已暴露，但持有者理论上可以主动迁移到安全地址。

换句话说，约 280 万枚比特币（占脆弱总量的 40%）无论如何都救不了。它们的私钥要么丢了，要么持有者永远不会出现。这不是一个技术能解决的问题，而是一个治理问题，社区是否要冻结这些注定暴露的地址。据 CoinDesk 2 月报道，围绕是否冻结中本聪的 110 万枚持仓，比特币社区已经产生了激烈争论，目前没有达成任何共识。

即使是理论上可迁移的 420 万枚，迁移也不是自动发生的。持有者需要主动将资产从旧地址转移到使用新签名方案的地址，而历史经验表明，大量持有者不会在截止日前采取行动。

相关话题