比特币漏洞曝光：量子计算威胁可在 10 分钟内耗尽钱包

本系列的第 1 部分解释了量子计算机的实际含义。不仅仅是普通计算机的更快版本，而且是一种完全不同的机器，它利用了仅适用于原子和粒子尺度的奇怪物理规则。

但了解量子计算机的工作原理并不能告诉你坏人如何利用它来窃取比特币。这需要了解它实际上在攻击什么，比特币的安全性是如何构建的，以及弱点到底在哪里。

本文从比特币的加密开始，一直到破解它所需的九分钟窗口，正如谷歌最近的量子计算论文所指出的那样。

单向地图

比特币使用一种称为椭圆曲线密码学的系统来证明谁拥有什么。每个钱包都有两把钥匙。私钥，是一个秘密数字，二进制长度为256位，大致和这句话一样长。通过对称为“secp256k1”的特定曲线执行数学运算，可以从私钥导出公钥。

将其视为一张单向地图。从曲线上大家都同意的已知位置开始，称为生成点 G（如下图所示）。按照曲线数学定义的模式采取私人步数。步骤数就是您的私钥。曲线上的终点就是您的公钥（图表中的 K 点）。任何人都可以验证您是否到达了该特定位置。没有人能知道你走了多少步才到达那里。

从技术上讲，这可以写为 K = k × G，其中 k 是您的私钥，K 是您的公钥。 “乘法”不是常规的乘法，而是一种几何运算，即沿着曲线重复将一个点添加到自身上。结果落在一个看似随机的点上，只有你的特定数字 k 才会产生。

关键的特性是，对于经典计算机来说，前进很容易，而后退实际上是不可能的。如果您知道 k 和 G，计算 K 需要几毫秒。如果您知道 K 和 G 并且想要计算出 k，那么您正在解决数学家所说的椭圆曲线离散对数问题。

据估计，最著名的 256 位曲线经典算法所需的时间比宇宙的年龄还要长。

这一单向活板门就是整个安全模型。您的私钥证明您拥有您的代币。您的公钥可以安全地共享，因为没有经典计算机可以逆转数学。当您发送比特币时，您的钱包会使用私钥创建数字签名，这是一种数学证明，证明您知道秘密数字而不泄露它。

Shor 的算法打开了双向之门

1994 年，一位名叫 Peter Shor 的数学家发现了一种打破活板门的量子算法。

Shor 算法有效地解决了离散对数问题。经典计算机需要比宇宙更长的时间进行数学运算，肖尔的算法在数学家所谓的多项式时间内进行处理，这意味着随着数字变大，难度会缓慢增长，而不是爆炸式增长。

关于它如何工作的直觉可以追溯到本系列第 1 部分中的三个量子属性。

该算法需要在给定您的公钥 K 和生成点 G 的情况下找到您的私钥 k。它将其转换为查找函数周期的问题。想象一个以数字作为输入并返回椭圆曲线上的点的函数。

当你输入连续的数字 1、2、3、4 时，输出最终会在一个循环中重复。该周期的长度称为周期，一旦您知道函数重复的频率，离散对数问题的数学问题就可以一步解开。私钥几乎立刻就掉了。

找到函数的这个周期正是量子计算机的构建目的。该算法将其输入寄存器置于叠加状态（或者，在量子力学中，一个粒子同时存在于多个位置），同时表示所有可能的值。它立即将该功能应用于所有这些。

然后，它应用一种称为傅立叶变换的量子运算，从而消除错误答案的数量，同时增强正确答案的数量。

当您测量结果时，会出现周期。从这个时期开始，普通数学可以恢复 k。这是你的私钥，也是你的代币。

该攻击使用了第一部分中的所有三个量子技巧。叠加同时评估每个可能输入的函数。纠缠连接输入和输出，因此结果保持相关性。 “干扰”会过滤噪音，直到只剩下答案。

为什么比特币今天仍然有效

Shor 的算法已为人所知 30 多年。比特币仍然存在的原因是运行它需要一台具有足够多稳定量子位的量子计算机来保持整个计算的一致性。

建造这台机器一直是遥不可及的，但问题始终是多大才算“足够大”。

之前的估计