#GoogleQuantumAICryptoRisk

Google Quantum AI 剛剛發布了一份白皮書，悄然壓縮了加密史上最具影響力的時間線之一，而大多數人尚未完全理解這意味著什麼。

核心發現是：破解比特幣和以太坊都依賴的橢圓曲線加密，可能需要大約 50 萬個物理量子比特，使用高速超導系統——而非先前模型假設的數百萬個。這是執行經過優化的 Shor 演算法效率的 20 倍提升，該量子方法專為摧毀 ECDSA 簽名背後的數學而設計。來自 Oratomic 的配套論文則指出，中性原子量子電腦可能只需 26,000 個物理量子比特，通過權衡速度與規模，每個密鑰約需 10 天左右。這兩個數字目前仍然難以實現。關鍵詞是「今天」。

攻擊面並非均勻分布。它集中在一類特定地址：遺留的 P2PKH 錢包，這些錢包的公鑰已在鏈上通過先前的支出暴露。約有 30% 到 35% 的比特幣流通供應位於此類地址中，包括 Satoshi 時代的幣、長期休眠的錢包，以及早期礦工從未更換過密鑰的地址。Google 預估約有 170 萬個休眠的 BTC 和 690 萬 BTC 可能處於潛在暴露位置。在以太坊方面，數字更為驚人——超過 $100 億美元的 ETH 被標記為有風險，前 1000 個錢包和至少 70 個主要智能合約被認為脆弱，包括支撐主要穩定幣的合約。

這是大多數討論所忽略的非對稱性。一個具備量子能力的攻擊者不需要破解每個錢包，他們只需破解正確的錢包。他們可以在公鑰被廣播到記憶池的瞬間提前搶先交易，並在區塊確認前推導出私鑰。Google 的論文指出，在先進的量子情境下，這種「支出時」攻擊可以在 10 分鐘內完成。這個時間窗口比平均比特幣區塊時間還要短。

比特幣在這方面的暴露是結構性且治理複雜的。該協議使用帶有 secp256k1 曲線的 ECDSA——正是 Google 所指出需要緊急遷移的加密類別。然而，比特幣沒有協調的後量子轉型路線圖，也沒有專門的資金結構來推動這一轉變，更沒有明確的時間表。賦予比特幣合法性的去中心化治理模型，也使得整個協議範圍內的密碼學遷移變得極為緩慢。引入後量子簽名（如 FALCON 或 SPHINCS+）的軟分叉將需要數年的開發者共識、測試和激活。同時，休眠地址無法自行遷移。強制密鑰輪換要麼依賴不存在的鏈上治理機制，要麼實質上使舊地址格式無法支出——這涉及沒收和治理問題，社群歷來難以解決。

以太坊處於較佳的結構位置，儘管仍非免疫。以太坊基金會已花費八年時間建立一個涵蓋協議每一層的後量子路線圖。團隊已經在運行每週的測試網，測試後量子簽名方案。以太坊能通過硬分叉協調升級，為其提供了比比特幣目前缺乏的具體路徑。這種治理上的不對稱是真實存在的，且隨著時間縮短，將變得更加重要。

誠實的概率框架：以太坊研究員兼論文合著者 Justin Drake 預估，到 2032 年，具有密碼學相關性的量子電腦概率為 10%。Capriole 投資公司的 Charles Edwards 預估 Q-Day（量子日）在 2032 年的概率為 85%。這些預估之間的差距傳達了一個重要訊息——沒有人真正知道，且不確定性並未隨著量子比特數的提升而快速縮小。Google 自身已設定 2029 年為其遷移自身認證基礎設施到後量子密碼的內部截止日期。這是一個值得認真對待的信號。當建造世界上最強大量子電腦的組織決定在三年內完成自己的遷移時，行業其他部分應將此視為一個前瞻性數據點，而非遙遠的理論問題。

這不是：迫在眉睫的威脅、恐慌性拋售的理由，或證明加密已經崩潰。當前最先進的量子系統——包括 Google 自己的 Willow 晶片——運行在 100 到 1,000 個噪聲多、易錯的物理量子比特之間。當前硬體與所需的 50 萬個穩定、經過錯誤校正的量子比特之間仍有巨大差距。比特幣的工作量證明機制和 SHA-256 雜湊在短期內被認為是抗量子攻擊的；Grover 演算法理論上可以將挖礦難度降低一半，但這可以通過加倍密鑰長度來管理，且遠不如簽名問題緊迫。

這是：對遷移議題緊迫性的壓縮事件。時間窗口從未是無限的。現在模型顯示，它比上一代預估的時間更短。任何持有加密貨幣的人可以採取的實際措施很簡單——轉向 Taproot 或 Bech32 地址，停止重複使用地址，並避免讓暴露的公鑰長時間閒置在遺留格式中。這些都是低摩擦的行動，無論治理辯論如何解決，都能爭取時間。

更深層的問題是，比特幣社群是否能在 Google 自身行為暗示的時間範圍內，實現其所需的協調密碼學遷移。技術方案已存在，但治理方案尚未成熟。