斯坦福大学密码学家 Dan Boneh 表示,比特币现在应该为量子风险做好准备,但警告说,仓促的后量子迁移可能会导致比威胁本身更严重的失败。
- Boneh 表示:“在我看来,仓促过渡到后量子更有可能导致灾难性错误,而不是受到量子计算机的攻击。”
- Google 2026 年 3 月的白皮书称,在某些超导假设下,破解 secp256k1 可能需要少至 1,200 个逻辑量子位和少于 500,000 个物理量子位。
- 现在的争论集中在时间安排、迁移设计以及逐步淘汰旧版比特币签名的BIP 361等提案上。
在 Isabel Foxen Duke 强调了对斯坦福大学密码学家 Dan Boneh 的一次新采访后,比特币的后量子过渡争论正在升级。Dan Boneh 认为,近期更大的危险可能是有缺陷的迁移,而不是网络上即将发生的量子攻击。
在采访中,Boneh 表示,“不要惊慌,但也不要忽视”,他将量子风险视为一个严重的长期工程问题,而不是比特币 (BTC) 的直接世界末日事件。
他最尖锐的言论是在 X 上放大的一句话:“如果你试图积极转向后量子架构,比如到 2029 年,我认为这对区块链来说将是一个错误,”并补充道,“在我看来,仓促过渡到后量子架构更有可能导致灾难性的错误,而不是我们受到量子计算机的攻击。”
为什么比特币现在讨论量子?
直接触发因素是由 Boneh 合着的 Google Quantum AI 于 3 月 30 日发布的白皮书,其中表示针对 secp256k1 上 256 位椭圆曲线离散对数问题的 Shor 算法可以使用“≤1200 个逻辑量子位和≤9000 万个 Toffoli 门”或“≤1450 个逻辑量子位和≤7000 万个 Toffoli 门。”
该论文补充说,关于超导架构 <数学 xmlns="http://www.w3.org/1998/Math/MathML"> <语义>
Boneh 告诉 Foxen Duke,谷歌的估计很重要,但他仍然认为 2035 年之前出现与密码相关的量子计算机是可能的,但在当前的资金水平下不太可能。他表示,到本世纪末,任何事情都“看起来非常激进”,但如果将该领域视为国家优先事项,也并非不可能。
这种紧张局势已经蔓延到比特币治理中。 BIP 361,题为“后量子迁移和遗留签名日落”,表示截至 2026 年 3 月 1 日,超过 34% 的比特币已在链上公开了公钥,理论上这些 UTXO 容易受到足够强大的量子攻击者的攻击。Boneh 实际上提出了什么?
Boneh 并不主张自满。他表示,比特币“将渡过”量子风险,并称其不能“疯狂”,因为核心路径已经众所周知:让用户转向后量子地址和签名,然后随着时间的推移逐步淘汰易受攻击的遗留路径。
但他也批评了压缩的迁移窗口。在采访中,他表示像 BIP 361 这样的提案需要更完整的设计工作和更多的时间,同时指出过时的过渡思维更合理。
争议的范围超出了时间范围。 Boneh 认为,比特币应该大力考虑将现有椭圆曲线加密技术与后量子方案相结合的混合签名,而不是强制进行二进制跳跃。他还表示,与纯粹基于哈希的设计相比,他更喜欢基于点阵的签名,因为它们为阈值签名和进一步的加密创新保留了更多空间。
这一论点存在于更广泛的行业推动之中。在另一份 crypto.news 报告中,Coinbase 顾问同样警告称,威胁不会立即发生,但准备工作不能等待。在 crypto.news 报道中,当前的共识仍然是,即使估计的资源阈值正在下降,目前的任何机器都无法破解比特币。