Taproot 和 BIP-360：比特幣量子防禦的演進

當 Taproot 更新於 2021 年實施時，代表了比特幣交易隱私性與彈性的一大進步。然而，少有人注意到這同一創新也引入了一個針對未來量子威脅的新攻擊面。如今，隨著近期提出的 BIP-360，Bitcoin 的開發者正悄然修補這一漏洞，邁向後量子時代的關鍵一步。本文將探討這一轉變的過程以及為何主動規劃至關重要。

從 Taproot 到更高量子保護需求

Taproot 更新為比特幣交易提供了兩條不同的支出路徑。第一條允許使用公鑰（鍵路徑）來花費資金，提供一個優雅且緊湊的解決方案。第二條則需通過 Merkle 證明揭示特定的腳本（腳本路徑），較為複雜但也較不直接。這種彈性帶來革命性，但在考慮量子風險時，也產生了緊張點。

根本問題在於比特幣所依賴的加密技術運作方式。比特幣協議主要依靠兩個機制：ECDSA 簽名算法（以及後來由 Taproot 引入的 Schnorr 簽名）和 SHA-256 雜湊函數。儘管加密界已認知數十年，理論上的量子電腦將威脅公鑰加密，但具體實現這一威脅的距離仍遙遠。

了解真正的量子威脅

真正的弱點不在比特幣的 SHA-256 雜湊算法。Grover 算法對雜湊函數提供的是平方加速，而非指數級。真正的風險集中在公開的橢圓曲線公鑰上，尤其是在區塊鏈中被曝光時。

比特幣地址有多種類型，風險也不同。重複使用的地址在花費時會暴露其公鑰。較早的 P2PK 輸出，直接在交易中寫入公鑰，則永久暴露。更重要的是，Taproot 的鍵路徑——雖然比前述方案更私密——仍在花費時暴露一個調整過的公鑰。

具有足夠能力的量子電腦（CRQC）理論上能運行 Shor 算法，解決橢圓曲線離散對數問題，從而破解相關私鑰。

P2MR 解決方案：徹底移除鍵路徑

BIP-360 提出一種新型輸出類型，稱為 Pay-to-Merkle-Root（P2MR），結構上借鑑 Taproot，但有一個關鍵差異。與提供兩條支出路徑的 Taproot 不同，P2MR 完全取消了基於公鑰的路徑。

使用 P2MR 時，承諾僅基於一個腳本樹的 Merkle 根。花費時，使用者需揭示特定的腳本葉，並提供 Merkle 證明，證明該腳本屬於已承諾的根。在整個過程中，沒有任何橢圓曲線公鑰被暴露。

這個看似簡單的改變具有深遠意義。區塊鏈上永久暴露的公鑰數量將大幅減少。基於雜湊的驗證方法——支撐 P2MR 的核心——本身對抗量子攻擊的抵抗力較橢圓曲線方案更高。攻擊面大幅縮小。

在不犧牲安全的前提下保留合約彈性

一個常見誤解是，放棄 Taproot 的鍵路徑會削弱比特幣的智能合約能力。事實上，P2MR 完全支持開發者和高階用戶所需的所有功能：

• 多重簽名（multisig）以保障機構資產
• 時間鎖（time locks）用於條件釋放
• 遺產與財產規劃方案
• 複雜且共享的托管結構
• 根據不同情境的條件支付

BIP-360 透過 Merkle Tapscript 树實現這些彈性。選擇基於雜湊的結構作為主體，同時在葉子中支持複雜腳本，能在不暴露公鑰的情況下，保持功能完整。

這一設計體現了中本聰奠定的比特幣核心理念——預留彈性以應對未來技術挑戰。中本曾在早期討論中提到，若量子電腦成真，比特幣可以轉向更堅固的簽名方案。

實施路徑：分階段軟分叉

若比特幣社群達成共識，BIP-360 可透過協調的分階段軟分叉實現。與硬分叉不同，軟分叉保持向後兼容，允許逐步過渡：

第一階段： 啟用新型 P2MR 輸出。

第二階段： 錢包、交易所與托管機構逐步支持，提供 P2MR 地址作為“量子保護”選項。

第三階段： 用戶在數年內逐步轉移資產，無需急迫。

這種階段性策略類似於 SegWit（2017）與 Taproot（2021）的成功經驗，從選擇性功能逐步推廣到廣泛採用。

對比特幣生態的實際影響

雖然 BIP-360 主要是技術提案，但其影響將在多層面展現。全面實施需協調錢包開發者、交易所、托管服務與硬體錢包製造商，這是一場長期規劃。

錢包將開始提供 P2MR 地址（可能以“bc1z”開頭）作為用戶保護新資產或長期存儲的選項。同時，P2MR 交易因包含額外的 witness 資料（來自腳本路徑）而略大，交易費用會有輕微上升——這對於高階用戶來說，安全成本是可以接受的。

社群應認知的限制

儘管進展顯著，但比特幣社群必須保持現實預期。BIP-360 並非完整的量子抗性解決方案，理解其限制同樣重要。

第一，BIP-360 不會自動更新現有資產。所有未花費輸出（UTXOs），包括重複使用的地址、歷史 P2PK 輸出與 Taproot 資金，將保持原有設定，直到用戶主動轉移到 P2MR 輸出。遷移完全依賴用戶行為。長期未動的資產可能帶來治理挑戰。

第二，BIP-360 不引入全新簽名方案。未採用 Dilithium、ML-DSA 或 SPHINCS+ 等基於格的簽名方案來取代 ECDSA 和 Schnorr。它只是策略性地減少公鑰暴露，避免 Taproot 鍵路徑帶來的風險。全面過渡到後量子簽名，需更大範圍的協議變革。

第三，沒有任何方案能提供絕對的量子免疫。即使 CRQCs 迅速出現，抵抗其影響仍需大規模協調，包括礦工、節點、交易所與機構。這是社群必須務實接受的現實。

為何提前規劃至關重要

比特幣開發者強調一個關鍵點：量子計算的技術發展路徑充滿不確定性。有分析認為實用應用仍需數十年，但也有跡象顯示加速趨勢。IBM 計劃在 2020 年代末實現容錯量子電腦，Google 在量子晶片上的創新，微軟在拓撲量子計算的研究，以及美國政府規劃在 2030-2035 年間轉換加密系統，都暗示進展正逐步加快。

遷移關鍵基礎設施是一個長期過程。若等到威脅逼近才行動，比特幣可能陷入被動，無法有效協調。提前規劃不僅是謹慎，更是必要。

此外，政府已認識到“收集後解密”的策略。高敏感數據——包括比特幣公鑰信息——正被收集存儲，等待量子電腦出現時解密。比特幣的不可變公開帳本，使其在這方面尤為脆弱。

社群討論：緊迫性與取捨

BIP-360 在比特幣社群中引發熱烈討論，涉及實務與哲學層面：

• 對於採用 P2MR 後交易費略升，長期持有者是否能接受這個成本？
• 機構用戶是否應率先遷移，樹立範例？
• 如何妥善管理“沉睡”的比特幣，避免永遠無法動用？
• 錢包應如何向用戶傳達“量子安全”的概念，提供有用資訊而非恐慌？

這些議題仍在演進中。雖然 BIP-360 已大幅推動相關討論，但尚未解決所有問題。社群正處於一個複雜的交匯點，技術安全、實務採用與經濟現實交織。

用戶今日可採取的行動

目前，量子威脅尚未迫在眉睫，用戶無需恐慌。但採取謹慎措施，能提供未來保障：

• 避免重複使用地址：此原則常被低估，能大幅降低公鑰暴露風險。單次使用的地址直到花費前，不會揭示公鑰，且最好永不重用。
• 保持錢包軟體更新：新版通常包含安全修正與新型交易支持。
• 關注協議更新：追蹤比特幣發展，留意何時支援 P2MR 地址。
• 評估個人風險暴露：持有大量比特幣的用戶，應低調評估量子風險，並制定應對方案。

BIP-360：邁向後量子時代的第一步

BIP-360 標誌著在協議層面降低比特幣暴露於量子風險的具體且協調的第一步。它重新定義未來新產生的輸出，最小化公鑰的意外披露，並為長期遷移奠定基礎。

它不會自動更新現有比特幣，也不會用全新簽名系統取代現有方案，更不提供絕對的量子免疫。這些事實揭示一個核心：真正抵抗量子攻擊的安全性，需持續努力、協調推進，並在整個生態系中逐步實現。這不是單一 BIP 或協議更新能完成的。

比特幣走向後量子未來的道路，是對技術謹慎、社群協作與提前準備的承諾。有了 Taproot 的基礎與 BIP-360 的前瞻，網絡正採取必要行動，趁時間尚未耗盡。