Google 的「Quantum AI」團隊於 2026 年 3 月 30 日發布研究指出,破解比特幣與以太坊的橢圓曲線密碼學,可能只需要少於 500,000 個實體量子位元(physical qubits),以及約 1,200 至 1,450 個高品質的邏輯量子位元,顯著低於先前估計的數百萬規模。
論文警告,實時量子攻擊可能在約九分鐘內劫持比特幣交易,並且可能有約 41% 的時間勝過「確認(confirmation)」,同時也指出,比特幣的 Taproot 升級會讓公鑰預設可見,已將易受攻擊錢包的範圍擴大到估計 6.9 million bitcoin。
Google 研究人員彙整了兩個量子電路,用於實作 Shor 演算法,針對 256-bit 橢圓曲線離散對數問題(ECDLP-256),該問題構成比特幣、以太坊以及許多其他區塊鏈網路的密碼學基礎。第一個電路使用少於 1,200 個邏輯量子位元與 90 million Toffoli gates,而第二個電路使用少於 1,450 個邏輯量子位元與 70 million Toffoli gates。
研究人員估計,這些電路可在一台少於 500,000 個實體量子位元的超導量子位元密碼學相關量子電腦(CRQC)上於幾分鐘內執行,前提是硬體能力符合部分與 Google 旗艦量子處理器相一致的能力。該發現代表,在解決 ECDLP-256 時,所需實體量子位元數量相較於先前估計約減少 20 倍,並延續了將量子演算法編譯到可容錯電路(fault-tolerant circuits)過程中逐步優化的趨勢。
Google 先前曾將 2029 年視為「有用量子系統」的潛在里程碑,而更新後的資源估算顯示,目前技術與可行攻擊之間的落差,可能小於先前假設。自 2016 年以來,該公司一直領導向「後量子密碼學(post-quantum cryptography)」遷移的努力。
研究概述了兩種可能的攻擊方式,針對傳輸中的(in-flight)比特幣交易。當比特幣交易被廣播時,送方的公鑰會在交易被確認之前短暫顯露。若有足夠快速的量子電腦,便可從該公鑰計算對應的私鑰,並在原交易結算前重新導向資金。
在 Google 的模型下,量子系統可先將計算的一部分預先準備好,然後在交易出現在網路上後於約九分鐘內完成攻擊。比特幣交易通常需要約 10 分鐘才能確認,使得攻擊者在原始轉帳於完成前成功重新導向資金的機率約為 41%。
由於以太坊的區塊時間更快,可能使其較不暴露於此特定風險,因為留給攻擊的時間更少。然而,兩個網路依賴相同的橢圓曲線密碼學基礎,且都需要進行後量子遷移,才能持續抵禦未來的量子威脅。
論文估計,約 6.9 million bitcoin(約佔總供應量的三分之一)已經存放在某些情況下公鑰以某種方式被揭露過的錢包中。這包括來自網路早期約 1.7 million bitcoin、受到位址重複使用影響的資金,以及使用 2021 年推出的 Taproot address 格式持有的 bitcoin。
Taproot 是比特幣在 2021 年的升級,設計目的是提升隱私與效率,並使公鑰預設在區塊鏈上可見,移除了舊式位址格式中使用的一層保護。Google 的研究人員表示,這項設計選擇可能會擴大未來量子攻擊的脆弱錢包數量,因為已暴露的公鑰消除了攻擊者必須破解用於保護傳統位址(legacy addresses)的雜湊函數(hash function)的需求。
這些發現與 CoinShares 近期的估算形成對比:CoinShares 曾主張,只有約 10,200 bitcoin 集中到足以在被竊後顯著移動市場。Google 的分析則顯示,處於風險之中的 bitcoin 規模要大得多。
Google 開發了一種新方法,用於在不提供給惡意行為者「路線圖(roadmap)」的情況下披露量子脆弱性研究。團隊並未公開如何破解密碼系統的逐步細節,而是使用零知識證明(zero-knowledge proof)來證明其研究發現是正確的,同時不暴露底層方法。這使第三方能夠驗證結果,同時降低研究可能被濫用的風險。
該公司在制定這種披露方式的過程中與美國政府展開合作,並敦促其他研究團隊採取類似做法。Google 指出,由於加密貨幣的價值同時來自數位安全與公眾信心,因此在區塊鏈技術中披露安全漏洞會變得更為複雜,而且不科學的資源估算本身也可能透過恐懼、不確定性與懷疑(fear, uncertainty, and doubt)而形成一種攻擊。
該研究係與史丹佛區塊鏈研究所(Stanford Institute for Blockchain Research)、以太坊基金會(the Ethereum Foundation)以及 Coinbase 合作進行,作為更廣泛產業努力的一部分,目標是轉向後量子密碼學。
Google 的論文為加密貨幣社群提供建議,以在量子攻擊成為可行之前提升安全性與穩定性。主要建議是將區塊鏈遷移到後量子密碼學,這種密碼學能抵抗量子攻擊,並且代表一條已被充分理解的路徑,用於後量子區塊鏈安全。
其他建議包括:避免揭露或重複使用脆弱的錢包位址、加速採用不會在資金花費之前揭露公鑰的位址格式,以及考慮政策選項以處理可能變得脆弱的已被拋棄(abandoned)的加密貨幣。
研究人員指出,儘管存在可行的後量子解決方案,但要在去中心化網路中落地仍需時間,因而使採取行動的緊迫性日益提高。Google 對「有用量子系統」的 2029 年時程代表的是一個遷移目標,而非迫在眉睫的威脅;但更新後的資源估算顯示,規劃視野(planning horizon)可能比先前理解的更短。
要破解比特幣的密碼學,需要多少 qubits?
Google 研究人員估計,要破解比特幣與以太坊所使用的橢圓曲線密碼學,將需要少於 500,000 個實體量子位元(physical qubits),以及約 1,200 至 1,450 個高品質的邏輯量子位元。這代表相較於先前估計(落在數百萬的區間)減少了 20 倍。
比特幣的 Taproot 升級如何影響量子脆弱性?
Taproot 是比特幣的 2021 年升級,它使公鑰預設在區塊鏈上可見,移除了舊式位址格式所使用的一層保護。Google 估計,這已將脆弱錢包的範圍擴大到約 6.9 million bitcoin,其中包括約 1.7 million bitcoin 來自網路早期。
針對比特幣的即時量子攻擊會如何運作?
攻擊者可以鎖定傳輸中的交易,並使用廣播期間所揭露的公鑰,使用足夠快速的量子電腦計算對應的私鑰。根據 Google 的模型,攻擊可在約九分鐘內完成,並且可能有約 41% 的時間勝過 10 分鐘的確認窗口。