Michael Saylor表示量子技術將會「強化」Bitcoin，但他忽略了已經有170萬枚Bitcoin處於風險之中

Michael Saylor於12月16日發表了他一貫大膽的觀點，談及Bitcoin與量子飛躍：

「The Bitcoin Quantum Leap：量子計算不會擊垮Bitcoin——它會讓Bitcoin更堅固。網絡升級，活躍的幣遷移，遺失的幣保持凍結。安全性提升。供應下降。Bitcoin變得更強大。」

這一說法體現了對Bitcoin後量子時代的樂觀預期。然而，技術層面的記錄揭示了一個更為複雜的現實：物理、治理與時機將決定這一轉型是強化網絡還是引發危機。

量子不會擊垮Bitcoin（如果遷移及時發生）

Saylor的核心論點建立在方向性真理的概念上。Bitcoin的主要量子漏洞存在於其數位簽名，而非proof-of-work。

該網絡使用secp256k1上的ECDSA與Schnorr。當一台容錯量子電腦達到約2,000至4,000個邏輯量子位時，Shor's algorithm就能從公開金鑰推導出私鑰。

目前的設備運作能力遠低於這一門檻，使得具加密學意義的量子電腦至少還有十年才會出現。

NIST已經完成了Bitcoin所需的防禦工具。該機構發布了兩項後量子數位簽名標準，分別是ML-DSA（Dilithium）和SLH-DSA（SPHINCS+），作為FIPS 204與205，FN-DSA（Falcon）則正推進為FIPS 206。

這些方案能抵禦量子攻擊，並可透過新型output類型或混合簽名整合進Bitcoin。Bitcoin Optech追蹤了針對後量子簽名聚合及基於Taproot結構的即時提案，性能實驗顯示SLH-DSA可在類Bitcoin工作負載下運作。

Saylor的論述忽略了成本。根據Journal of British Blockchain Association的研究，現實中的遷移實際上是防禦降級：雖然針對量子威脅的安全性提升，但區塊容量可能減少約一半。

節點成本上升，因為現有的後量子簽名更大且驗證成本更高。每個簽名佔用更多區塊空間，導致交易費用上升。

最困難的是治理。Bitcoin沒有中央權威來強制升級。一次後量子soft fork需要開發者、礦工、交易所及大戶等壓倒性共識，且必須在具加密學意義的量子電腦出現前完成。

A16z近期的分析強調，協調與時機帶來的風險大於密碼學本身。

暴露的幣成為目標，而非凍結資產

Saylor所稱的「活躍的幣遷移，遺失的幣保持凍結」過於簡化了鏈上的現實。漏洞完全取決於地址類型以及公開金鑰是否已經可見。

早期的pay-to-public-key outputs將原始公開金鑰直接上鏈，永久暴露。

標準的P2PKH與SegWit P2WPKH地址在幣被花費前，將公開金鑰隱藏在雜湊後，花費時公開金鑰才會暴露，從而可被量子攻擊竊取。

Taproot P2TR outputs從一開始就在output中編碼公開金鑰，使這些UTXO在移動前就已暴露。

分析估算，約有25%的Bitcoin已經處於公開金鑰暴露的outputs中。Deloitte的拆解與近期聚焦Bitcoin的研究均得出這一數字，涵蓋大量早期P2PK餘額、託管活動及現代Taproot使用。

鏈上研究顯示，約有170萬BTC處於「Satoshi時代」的P2PK outputs中，還有數十萬枚處於公開金鑰暴露的Taproot outputs中。

部分「遺失」的幣並非凍結，而是無主，可能成為首位擁有強大機器攻擊者的獎勵。

從未公開過公開金鑰的幣（單次使用的P2PKH或P2WPKH）則受雜湊地址保護，對於這類地址，Grover's algorithm僅提供平方根級加速，參數調整可彌補這一點。

最易受攻擊的供應部分，正是那些鎖定於已暴露公開金鑰的休眠幣。

供應效應不確定，非自動發生

Saylor所稱「安全性提升，供應下降」可明確分為機制與推測。

後量子簽名如ML-DSA與SLH-DSA，旨在對抗大型容錯量子電腦，現已納入官方標準。

針對Bitcoin的遷移構想包括同時要求傳統與後量子簽名的混合outputs，以及減少鏈膨脹的簽名聚合提案。

但供應動態並非自動發生，且存在三種競爭情境。

第一種是「因遺棄而供應收縮」，即處於易受攻擊outputs中的幣，若其擁有者從未升級，則被視為遺失或明確列入黑名單。第二種是「因盜竊而供應扭曲」，即量子攻擊者掏空暴露錢包。

剩下的情境是「物理實現前的恐慌」，即對量子能力即將到來的預期引發拋售或鏈分裂，儘管實際機器尚未出現。

這些都無法保證流通供應的淨減少會帶來明確的利多。它們同樣可能導致混亂的重新定價、爭議性分叉，以及對舊錢包的一次性攻擊浪潮。

供應是否「下降」取決於政策選擇、採用率及攻擊者能力。
基於SHA-256的proof-of-work相對穩健，因為Grover's algorithm僅提供二次方加速。

更微妙的風險在於mempool，當一筆花費自雜湊金鑰地址的交易等待被打包時，會公開其公開金鑰。

近期分析描述了一種假設性的「sign-and-steal」攻擊，量子攻擊者監控mempool，迅速恢復私鑰，並以更高手續費競爭衝突交易。

數學實際上怎麼說

物理與標準路線圖一致認為，量子不會在一夜之間自動擊垮Bitcoin。

存在一個窗口，可能長達十年以上，供有計劃地進行後量子遷移。然而，這一遷移成本高昂且政治上困難，且現今供應中已有不可忽視的部分處於量子暴露outputs中。

Saylor方向上是對的，Bitcoin可以變得更堅固。網絡可以採用後量子簽名，升級易受攻擊的outputs，並以更強的密碼學保障出現。

然而，「遺失的幣保持凍結」與「供應下降」的說法假設了一個治理協作、持有者逐步遷移、攻擊者從未利用延遲的理想轉型。

Bitcoin確實有可能變得更強大，擁有升級的簽名與部分實際銷毀的供應，但前提是開發者與大戶能及早行動，協調治理，並在不引發恐慌或大規模盜竊的情況下管理轉型。

Bitcoin能否變得更強大，與其說取決於量子能力的時間表，不如說取決於網絡能否在物理趕上之前，執行一場混亂、昂貴且政治上充滿爭議的升級。Saylor的信心，其實是對協調能力的賭注，而非密碼學本身。

本文最早發表於CryptoSlate，標題為Michael Saylor稱量子將「強化」Bitcoin，但他忽略了已經處於風險中的170萬枚幣。