这就是量子计算机在 9 分钟内“破解”比特币的实际含义

谷歌的量子人工智能团队本周早些时候表示，未来的量子计算机可以在大约九分钟内从公钥推导出比特币私钥。这个数字在社交媒体上引起轩然大波，震惊了市场。

但是，它在实践中到底意味着什么呢？

让我们从比特币交易的工作原理开始。当您发送比特币时，您的钱包会使用私钥（证明您拥有比特币的秘密数字）对交易进行签名。

该签名还揭示了您的公钥（一个可共享的地址），该地址会广播到网络并位于称为内存池的等待区域中，直到矿工将其包含在块中。平均而言，确认需要大约 10 分钟。

您的私钥和公钥通过一个称为椭圆曲线离散对数问题的数学问题联系起来。经典计算机无法在任何有用的时间范围内逆转该数学，而运行肖尔算法的足够强大的未来量子计算机可以。

这就是九分钟部分的用武之地。谷歌的论文发现，量子计算机可以通过预先计算不依赖于任何特定公钥的攻击部分来提前“准备好”。

一旦您的公钥出现在内存池中，机器只需要大约九分钟即可完成工作并导出您的私钥。比特币的平均确认时间为10分钟。这使得攻击者有大约 41% 的机会获取您的密钥并在原始交易确认之前转移您的资金。

可以将其想象为小偷花费数小时构建通用安全破解机器（预计算）。该机器适用于任何保险箱，但每次出现新的保险箱时，它只需要进行一些最终调整 - 最后一步大约需要九分钟。

这就是内存池攻击。这令人震惊，但需要一台尚不存在的量子计算机。谷歌的论文估计，这样一台机器需要的物理量子位少于 500,000 个。当今最大的量子处理器约有 1,000 个。

更大、更直接的担忧是 690 万枚比特币，大约占总供应量的三分之一，它们已经存放在钱包中，而公钥已被永久暴露。

这包括网络第一年的早期比特币地址，这些地址使用一种称为“支付到公钥”的格式，默认情况下，公钥在区块链上可见。它还包括任何重复使用地址的钱包，因为从地址支出会泄露所有剩余资金的公钥。

这些硬币不需要九分钟的比赛。拥有足够强大的量子计算机的攻击者可以轻松破解它们，通过暴露的密钥一一破解，没有任何时间压力。

正如 CoinDesk 周二早些时候报道的那样，比特币 2021 年的 Taproot 升级让情况变得更糟。 Taproot 改变了地址的工作方式，使公钥默认在链上可见，无意中扩大了容易受到未来量子攻击的钱包池。

比特币网络本身将继续运行。挖矿使用一种称为 SHA-256 的不同算法，量子计算机无法通过当前方法显着加速该算法。区块仍然会被生产。

账本仍然存在。但如果私钥可以从公钥中衍生出来，那么使比特币有价值的所有权保证就会崩溃。任何拥有暴露密钥的人都面临被盗的风险，机构对网络安全模型的信任也随之崩溃。

解决办法是后量子密码学，它用量子计算机无法破解的算法取代了脆弱的数学。以太坊花了八年的时间来实现这一迁移。比特币甚至还没有开始。