不再担心比特币量子威胁——为什么谷歌无法窃取你的比特币，而坏人却落后了几十年

量子计算的现状以及如何威胁比特币

量子计算在过去 18 个月中取得了实质性进展，但该领域仍处于从嘈杂硬件到早期容错的过渡过程中。

关键的转变是从原始物理量子位计数转向逻辑量子位、门保真度、运行时间和纠错。这种转变对比特币来说很重要，因为风险估计是由逻辑量子位和容错操作驱动的，而不是总体硬件总数。

量子计算进展的实际状况如何？

在三个方面取得了明显的进展：低于阈值的错误校正、小型逻辑量子位演示以及具有更低噪声的更深电路。

2024 年末，谷歌的 Willow 芯片展示了低于阈值的纠错能力，其中错误率随着编码系统规模的扩大而下降。 IBM 表示，其当前系统可以运行具有超过 5,000 个两个量子位门的某些电路，并发布了到 2029 年实现 200 个逻辑量子位容错系统的路线图。

Quantinuum 报告了 98 个物理量子位中的 48 个纠错逻辑量子位和 64 个错误检测逻辑量子位，以及 Helios 上的 50 个错误检测逻辑量子位，其性能优于收支平衡。微软和原子计算公司报告了 24 个纠缠逻辑量子位以及在中性原子硬件上使用 28 个逻辑量子位进行的计算。

该行业仍然缺乏大型容错机器。这就是 DARPA 量子基准计划存在的原因之一。

它的目标是到 2033 年计算价值超过其成本的量子计算机，该机构仍在验证竞争架构，而不是证明任何团队已经达到了这一点。

量子计算机今天能做什么？

今天的系统可以可靠地完成四件事。他们可以超越经典的暴力方法来运行基准问题，包括谷歌的随机电路采样和最近关于量子回声的工作。

他们可以在物理和化学领域执行有限的专业模拟，通常在与经典高性能计算的混合工作流程中。他们可以在小规模上演示逻辑量子位和容错子程序。它们还充当纠错、解码和控制系统的测试台。

他们今天不能做的是对比特币重要的部分。

没有任何公共系统具备对 secp256k1 进行加密相关攻击所需的逻辑量子比特数、容错门预算或持续运行时间。 Google 的 Willow 包含 105 个物理量子位。

逻辑量子位的主要公开演示仍然是数十个，而不是数千个。谷歌研究人员和合著者最近的一项估计表明，与比特币相关的攻击需要 1,200 到 1,450 个逻辑量子位和数千万个 Toffoli 门，这在当前机器和加密相关系统之间留下了巨大差距。

要创建能够在某种程度上破解比特币的量子计算机，需要什么？

关键阈值是一台与加密相关的量子计算机，能够针对 secp256k1 上的椭圆曲线离散对数问题运行 Shor 算法。

根据 2026 年 3 月的 Google 论文，原则上，少于 1,200 个逻辑量子位和 9000 万个 Toffoli 门，或者少于 1,450 个逻辑量子位和 7000 万个 Toffoli 门，就可以解决 ECDLP-256。

在具有 10-3 物理错误率和平面连接的超导假设下，作者估计这种攻击可以在几分钟内用少于 500,000 个物理量子位执行。

这就提出了工程问题。前进的道路不仅仅是从大约 100 个物理量子位到 500,000 个线性攀升。更艰巨的挑战是构建大量稳定的逻辑量子位，维持数千万次容错操作，实现快速循环时间，并将所有这些与实时解码、低温或光子互连、经典控制和可制造模块集成。

同一篇论文认为，超导和光子平台等快速时钟系统比离子陷阱和中性原子等较慢时钟系统与消耗攻击更相关，因为运行时间在内存池窗口内可能是决定性的。

对于比特币来说，“某种程度的破解”并不意味着一步破坏网络。早期的风险是从暴露的公钥中恢复私钥或在公钥可见时攻击支出。

谷歌在其关于加密货币漏洞的研究披露中表示，依赖 ECDLP-256 的区块链需要一条后量子迁移路径，并指出了近期的缓解措施，例如避免暴露或重复使用易受攻击的钱包地址。

谷歌最近对 2029 年的预测真的现实吗？

这个问题需要区分一下。用谷歌自己的话说，2029 年是后量子迁移目标，而不是比特币破解机器的确定日期。

2026 年 3 月 25 日，谷歌表示正在制定时间表