a16z 研究稱 Bitcoin Quantum「末日」恐懼被誇大

一份新的 a16z 加密貨幣研究報告指出，關於量子電腦會立即摧毀比特幣的末日敘事與現實嚴重不符，區塊鏈的真正風險在於漫長、混亂的遷移過程，而非突然的「Q日」崩潰。這篇文章已經在 X 平台上引發了投資者的強烈反駁，他們表示威脅比 a16z 所暗示的更接近且更難應對。

比特幣不會被量子計算摧毀：a16z

在題為「量子計算與區塊鏈：將緊迫性與實際威脅相匹配」的文章中，a16z 研究合夥人兼喬治城大學計算機科學教授 Justin Thaler 一開始就定下基調，寫道「密碼學相關量子電腦的時間表經常被誇大——導致呼籲緊急、全面過渡到後量子密碼學。」他認為這種炒作扭曲了成本效益分析，並分散了團隊對更迫切風險（如實施錯誤）的注意力。

Thaler 將「密碼學相關量子電腦」(CRQC) 定義為一種完全糾錯的機器，能夠以足夠規模運行 Shor 算法，在大約一個月的運行時間內破解 RSA-2048 或橢圓曲線方案（如 secp256k1）。在他的評估中，2020 年代出現 CRQC 是「極不可能的」，公開的里程碑也不能證明這樣的系統在 2030 年前可能出現。

他強調，在離子阱、超導和中性原子平台中，沒有設備接近密碼分析所需的數十萬到數百萬物理量子比特，以及所需的錯誤率和電路深度。

相反，a16z 的文章在加密和簽名之間劃出了明確界限。Thaler 認為，對於需要保密數十年的數據，現在收集-稍後解密 (HNDL) 攻擊已經使後量子加密變得緊迫，這就是為什麼大型提供商正在 TLS 和消息傳遞中推出混合後量子密鑰建立。

但他堅持認為，包括保護比特幣和以太坊在內的簽名面臨不同的計算：它們不保護可以被追溯解密的隱藏數據，一旦 CRQC 存在，攻擊者只能向前偽造簽名。

基於此，該論文聲稱「大多數非隱私鏈」在協議層面不會暴露於 HNDL 式量子風險中，因為它們的賬本已經是公開的；相關攻擊是偽造簽名以竊取資金，而非解密鏈上數據。

比特幣特有的難題

Thaler 仍然指出比特幣由於治理緩慢、吞吐量有限以及大量已暴露、可能被遺棄的幣（其公鑰已在鏈上）而存在「特殊難題」，但他將嚴重攻擊的時間窗口框定為至少十年，而非幾年。

「比特幣變化緩慢。如果社區無法就適當的解決方案達成一致，任何有爭議的問題都可能觸發破壞性的硬分叉，」Thaler 寫道，並補充「另一個擔憂是比特幣轉向後量子簽名不能是被動遷移：擁有者必須主動遷移他們的幣。」

此外，Thaler 指出「比特幣特有的最後一個問題」是其低交易吞吐量。「即使遷移計劃最終確定，以比特幣目前的交易速率，將所有量子易受攻擊的資金遷移到後量子安全地址將需要數月時間，」Thaler 說。

他對匆忙採用基礎層後量子簽名方案同樣持懷疑態度。基於哈希的簽名保守但極其龐大，通常有幾千字節，而基於格的方案如 NIST 的 ML-DSA 和 Falcon 雖然緊湊但複雜，並且在實際實施中已經產生了多個側通道和故障注入漏洞。Thaler 警告說，如果區塊鏈在標題壓力下過早跳入不成熟的後量子原語，就有可能削弱其安全性。

最強烈的反對來自 Castle Island Ventures 聯合創始人 Nic Carter 和 Project 11 首席執行官 Alex Pruden。Carter 在 X 上總結了他的觀點，稱 a16z 的工作「嚴重低估了威脅的性質，並高估了我們準備的時間」，並引導關注者閱讀 Pruden 的長篇帖子。

Pruden 首先強調對 Thaler 和 a16z 團隊的尊重，但補充道，「我不同意量子計算對區塊鏈不是緊急問題的論點。威脅比他所描述的更接近，進展更快，修復更難，也比大多數人意識到的更困難。」

他認為，最近的技術成果，而非營銷，應該成為討論的基礎。引用現在支持超過 6,000 個物理量子比特的中性原子系統，Pruden 指出「我們現在有一個非退火系統，在中性原子架構中擁有超過 6000 個物理量子比特，」直接反駁了只有不可擴展的退火架構達到這種規模的任何暗示。他指出，像加州理工學院的 6,100 量子比特光鑷陣列這樣的工作表明，大型、相干、室溫中性原子平台已經成為現實。

關於錯誤糾正，Pruden 寫道「表面碼錯誤糾正去年已經實驗性地被證明，將其從研究問題轉變為工程問題，」並指出色碼和 LDPC 碼的快速進展。

他強調了 Google 更新的「追蹤量子因子分解成本」估計，顯示一台擁有約一百萬個嘈雜物理量子比特、運行大約一週的量子電腦原則上可以破解 RSA-2048——比 Google 自己 2019 年估計的兩千萬量子比特減少了二十倍。「運行 Shor 算法的 CRQC 資源估計在六個月內下降了兩個數量級，」他指出，並總結道，「說這種進步軌跡可能在 2030 年前帶來量子電腦並非誇大其詞。」

當 Thaler 強調 HNDL 是一個加密問題時，Pruden 將區塊鏈重新定義為獨特吸引人的量子目標。他強調「數字簽名中使用的公鑰與加密消息一樣容易被收集，」但在區塊鏈中，這些密鑰直接與可見價值相關聯。他指出「這些公鑰是分佈式的，並直接與價值相關聯（僅中本聰的 BTC 就價值 1500 億美元），」一旦量子對手可以偽造簽名，「如果你能偽造簽名，無論原始 UTXO/帳戶是何時創建的，你都可以竊取資產。」

對 Pruden 來說，這種經濟現實意味著「經濟激勵簡單明確地指向區塊鏈作為第一個密碼學相關的量子用例，」即使其他部門也面臨 HNDL 風險。他補充說「區塊鏈的遷移速度將遠慢於中心化系統。銀行可以升級其技術棧。區塊鏈必須達成全球共識，吸收 PQ 簽名的性能權衡，並協調數百萬用戶遷移他們的密鑰。」

引用以太坊從工作量證明到權益證明的多年轉變，他寫道，「最接近的事情是 ETH 1.0 到 2.0 的過渡，這花了數年時間，而且即使那樣複雜，PQ 遷移更加困難。任何認為這只是替換幾行簽名代碼的人顯然從未發布、部署或維護過生產區塊鏈。」

Pruden 同意 Thaler 的觀點，即恐慌是危險的，但翻轉了結論：「我同意匆忙是危險的。但這正是為什麼工作必須現在開始。最可能的失敗模式是行業等待太久，然後一個重大的 QC 里程碑觸發恐慌。」他最後表示，他不同意「量子計算進展緩慢」、「區塊鏈比暴露於 HNDL 風險的系統更不脆弱」或「行業在需要採取行動前還有數年的寬限期」的觀點，認為「這三個假設都與現實不符。」

截至發稿時，比特幣價格為 91,616 美元。