BTQ的比特币量子测试网揭示了‘旧BTC’的风险

要点

• 比特币的量子风险主要集中在公开密钥暴露和签名安全上。

• BTQ的测试网在类比特币环境中探索后量子签名。

• 后量子签名显著增加了交易大小和区块空间需求。

• “旧BTC风险”集中在传统输出类型和地址重复使用模式上。

BTQ Technologies表示，它已于2026年1月12日推出比特币量子测试网，这是一个类比特币网络，旨在测试后量子签名，而不触及比特币主网治理。

其理念是，BTQ将用ML-DSA替换比特币当前的签名方案。ML-DSA是模块格签名标准，由美国国家标准与技术研究院(NIST)制定为联邦信息处理标准(FIPS) 204，用于后量子安全假设。

值得记住的是，在大多数比特币量子威胁模型中，关键前提是公开密钥的暴露。如果某个公钥已经在链上可见，理论上未来足够强大的量子计算机可能尝试离线恢复对应的私钥。

你知道吗？ BTQ Technologies是一家专注于后量子密码学和区块链安全的研究型公司。其比特币量子测试网旨在研究量子抗性签名在类比特币系统中的行为。

量子变化主要体现在何处？

大多数关于比特币量子风险的讨论集中在数字签名上，而非比特币供应量或量子计算机能够“随机猜出钱包”的想法。

具体关注点是，具备密码学相关能力的量子计算机(CRQC)可以运行Shor算法，高效解决离散对数问题，从而从已知公钥导出私钥，这将破坏椭圆曲线数字签名算法(ECDSA)和Schnorr签名。

Chaincode Labs认为这是比特币主要的量子威胁模型，因为它可能通过生成有效签名实现未经授权的支出。

风险可分为两类：

• 长期暴露：某些旧脚本类型或地址重复使用导致公钥已经在链上可见。

• 短期暴露：交易广播时公钥被揭示，等待确认的短时间窗口内存在风险。

当然，目前没有量子计算机对比特币构成即时威胁，与挖矿相关的影响应被视为单独问题，而非与签名破解等同。

你知道吗？ Shor算法已存在于数学理论中，但需要大型、容错的量子计算机运行。如果这样的机器被制造出来，它们可以从已暴露的公钥中导出私钥。

BTQ做了什么及其意义

BTQ的比特币量子测试网本质上是基于比特币核心(Bitcoin Core)的分叉，将比特币最重要的原语之一——签名——替换掉。

BTQ在公告中表示，测试网将ECDSA替换为ML-DSA，即NIST标准FIPS 204下的模块格签名方案，用于后量子数字签名。

这一改变带来了一系列工程上的权衡：

• ML-DSA签名大约比ECDSA大38-72倍，因此测试网将区块大小上限提升至64MiB，以容纳额外的交易数据。

• 公司将网络视为全生命周期的试验场，支持钱包创建、交易签名和验证、挖矿，以及基本基础设施如区块浏览器和矿池。

简言之，测试网的实际价值在于将后量子比特币变成性能与协调实验。.

“旧BTC风险”集中在哪

在后量子背景下讨论“旧BTC风险”时，通常指的是已经在链上暴露的公钥。

未来能够运行Shor算法的CRQC理论上可以利用这些公钥导出私钥，从而生成有效支出。

三种输出类型特别容易受到长期攻击，因为它们在锁定脚本(ScriptPubKey)中直接放置了椭圆曲线公钥：

• Pay-to-Public-Key(P2PK)

• Pay-to-Multi-Signature(P2MS)

• Pay-to-Taproot(P2TR)

分布情况不均：

• P2PK占现有未花费交易输出(UTXO)的极小份额，约0.025%，但锁定了约8.68%或1,720,747 BTC的大量价值，多为沉睡的中本聪时代硬币。

• P2MS约占UTXO的1.037%，但仅锁定约57 BTC。

• P2TR按数量算常见，占UTXO约32.5%，但价值较小，约0.74%或146,715 BTC。其风险与Taproot的key-path设计相关，链上可见经过调整的公钥。

地址重复使用也可能将原本的“支出时暴露”转变为长期暴露，因为一旦公钥出现在链上，它将保持可见。

BTQ自己的信息使用“公钥暴露”框架，认为潜在受影响的币池很大，引用6.26百万BTC暴露在链上，这也是公司认为现在在类比特币环境中测试后量子签名值得做的原因。

比特币接下来可能的应对

短期内，最具体的工作是可观测性和准备。

如前所述，签名威胁模型由公钥暴露驱动。这也是为什么讨论通常集中在比特币现有钱包和脚本实践如何提前暴露公钥(如某些旧脚本类型)或默认降低暴露(如避免地址重复使用的常见钱包行为)。

因此，“旧BTC风险”主要是历史输出类型和重复使用模式的属性，而非所有币瞬间均面临同等风险。

第二个更实际的限制是容量。即使社会上达成共识迁移到后量子签名，也仍是区块空间和协调问题。

学术估计表明，时间线对假设非常敏感：若所有交易都迁移，时间线会大幅压缩；而更现实的区块空间分配则可能将过渡延长至多年，还未考虑治理和采用问题。

BTQ的测试网正属于这一类：它让工程师观察后量子签名的运行成本，包括更大数据量和不同限制，而无需声称比特币即将被破解。

你知道吗？ 目前量子计算机的最大限制是噪声或错误。今天的量子比特(qubit)经常出错，因此需要容错纠错。也就是说，需要大量物理量子比特产生少量可靠“逻辑量子比特”，才能进行破解现实世界密码所需的长计算。

比特币层面的可能缓解方案

在协议层面，量子准备通常被讨论为渐进路径。

后量子签名方案通常比椭圆曲线签名大得多，这对交易大小、带宽和验证成本有连锁影响；BTQ实验ML-DSA正体现了这些权衡。

因此，一些比特币提案首先关注减少现有脚本设计中的结构性暴露，而不立即锁定特定后量子签名算法。

例如，比特币改进提案(BIP) 360提出了一种新的输出类型——Pay-to-Tapscript-Hash(P2TSH)。P2TSH几乎与Taproot相同，但去掉了依赖椭圆曲线签名的key-path支出，提供一个仅依赖tapscript的路径，以规避量子易受攻击的key-path。

类似的想法在比特币开发者邮件列表上流传，属于更广泛的“仅哈希”或“脚本支出”(script-spend) Taproot系列，经常被称为Pay-to-Quantum-Resistant-Hash(P2QRH)式构造。这些提案旨在重用Taproot结构，同时跳过量子脆弱的key-path支出。

重要的是，这些仍未定论。主要观点是，比特币的应对可能是一个渐进的协调问题，需要在保守性、兼容性和交易格式变更成本之间平衡。

BTQ测试网的启示

BTQ的比特币量子测试网虽未解决量子辩论，但提出了两个不可忽视的观点：

1. 大多数可信威胁模型关注公钥已暴露的地方，这也是“旧币”模式反复出现的原因。

2. 后量子比特币是一个工程与协调问题。BTQ的设计选择（如采用ML-DSA、提高区块上限以容纳更大签名）体现了这些权衡。

最终，测试网是用于测量成本与约束的沙箱实验，不应被视为比特币即将被破解的证据。