2029 年比特币量子证明？斯坦福大学密码学家警告不要仓促过渡

斯坦福大学密码学家 Dan Boneh 表示，比特币现在应该为量子风险做好准备，但警告说，仓促的后量子迁移可能会导致比威胁本身更严重的失败。

在 Isabel Foxen Duke 强调了对斯坦福大学密码学家 Dan Boneh 的一次新采访后，比特币的后量子过渡争论正在升级。Dan Boneh 认为，近期更大的危险可能是有缺陷的迁移，而不是网络上迫在眉睫的量子攻击。

Boneh 在采访中表示，“不要惊慌，但也不要忽视”，他将量子风险视为一个严重的长期工程问题，而不是比特币 (BTC) 的直接世界末日事件。

斯坦福大学密码学家 @danboneh 谈到比特币潜在的 PQ 转变时表示：“在我看来，仓促过渡到后量子更有可能导致灾难性的错误……而不是我们受到量子计算机攻击的可能性。”

- 伊莎贝尔·福克斯·杜克⚡️ (@isabelfoxenduke) 2026 年 5 月 25 日

他最尖锐的言论是在 X 上放大的一句话：“如果你试图积极地转向后量子架构，比如到 2029 年，我认为这对区块链来说将是一个错误，”他补充道，“在我看来，仓促过渡到后量子架构更有可能导致灾难性的错误，而不是我们受到量子计算机的攻击。”

为什么比特币现在讨论量子？

直接触发因素是由 Boneh 合着的 Google Quantum AI 3 月 30 日发布的白皮书，其中表示 Shor 针对 secp256k1 上 256 位椭圆曲线离散对数问题的算法可以在“≤1200 个逻辑量子位和≤9000 万个 Toffoli 门”或“≤1450 个逻辑量子位和≤7000 万个 Toffoli 门”的情况下运行。

该论文补充说，关于超导架构

10−3 的物理错误率和平面连接，这些电路“可以使用不到 50 万个物理量子位在几分钟内执行”。

Boneh 告诉 Foxen Duke，谷歌的估计很重要，但他仍然认为 2035 年之前出现与密码相关的量子计算机是可能的，但在目前的资金水平下不太可能。他表示，到本世纪末，任何事情都“看起来非常激进”，尽管如果将该领域视为国家优先事项，也并非不可能。

这种紧张局势已经蔓延到比特币治理中。 BIP 361 题为“后量子迁移和遗留签名日落”，表示截至 2026 年 3 月 1 日，超过 34% 的比特币已经在链上公开了公钥，这使得这些 UTXO 理论上很容易受到足够强大的量子攻击者的攻击。

Boneh 实际上提出了什么？

博内并不主张自满。他表示，比特币“将生存”量子风险，并称其不能“疯狂”，因为核心路径已经众所周知：将用户转向后量子地址和签名，然后随着时间的推移逐步淘汰易受攻击的遗留路径。

但他也批评了压缩的迁移窗口。在采访中，他表示像 BIP 361 这样的提案需要更完整的设计工作和更多的时间，同时指出过时的过渡思维更合理。

争论的范围比时间表更广泛。 Boneh 认为，比特币应该大力考虑将现有椭圆曲线加密技术与后量子方案相结合的混合签名，而不是强制进行二进制跳跃。他还表示，与纯粹基于哈希的设计相比，他更喜欢基于格的签名，因为它们为阈值签名和进一步的加密创新保留了更多空间。

这一论点存在于更广泛的行业推动之中。在另一份 crypto.news 报道中，Coinbase 顾问同样警告称，威胁不会立即发生，但准备工作不能等待。在 crypto.news 的报道中，当前的共识仍然是，即使估计的资源阈值正在下降，但目前没有任何机器可以破解比特币。