你的比特币安全吗? 量子计算、P2PKH、与 Grover 算法
2026 年 5 月,川普签下 20 亿美元的量子产业意向书。加密圈起了波澜——一种联想悄悄传开:政府要造一台能撬开比特币的机器,目标是那些躺在链上、十五年都没醒过的"沉睡币"。
🎯 量子末日的真正靶子是 椭圆曲线签名(ECDSA)— Shor 算法能从公钥直接反推私钥。
🛡️ 但 哈希函数 对 Grover 算法 只剩"平方根级加速"—— 这才是抗量子的真正护城河。
🔐 P2PKH 把公钥藏在哈希后 — 但在你"花钱"的那一刻,公钥就暴露了。
川普签下了一张支票
2026 年 5 月 21 日,美国商务部发出新闻通稿:政府将与 9 家量子计算公司签署 "意向书 (Letters of Intent)",依据 芯片与科学法案提供约 20.13 亿美元的联邦激励,扶持美国本土的量子产业。
资金分配的口径在主流媒体里大致是这样:IBM 约 10 亿、GlobalFoundries 约 3.75 亿;D-Wave、Rigetti、Quantinuum、Infleqtion 各约 1 亿;澳大利亚初创 Diraq 拿 3800 万。作为交换,美国政府将取得这些公司的少数股权。
为什么这次特别引人关注?因为政府不再只是发补贴,而是"以钱换股"——纳税人的钱进去,政府变成这些科技公司的股东。这种模式过去只出现在 2008 年金融危机救市,现在却用来扶持量子计算这种远期技术。
官方阐述的战略理由清楚直白:国防应用、先进材料、生物医药研发、金融建模、能源系统,以及——在先进计算领域抗衡中国。NIST(美国国家标准技术研究院)发布的官方通稿里,"比特币"这三个字没有出现过一次。
这本应是一则普通的产业新闻。但消息传到加密圈那一刻,画风变了。
政府要撬开旧钱包?
推特上的KOL开始连夜发推:联邦政府给 IBM 投了 10 亿做量子,目标在哪?答案不言自明——那 110 万枚一动不动的"中本聪币"。逻辑链条简单得诱人:量子计算 → 攻破 ECDSA → 撬开旧钱包 → 一笔横财。
这种叙事在圈子里发酵了整整一周。理由听起来全合理:
- 动机充足:政府债台高筑,比特币又是"无主"资产,不抢白不抢;
- 技术成立:量子计算确实是已知能威胁 ECDSA 签名的唯一手段;
- 时机配对:政府入股的几家公司里 IBM 拿 10 亿,恰好是量子硬件最强的玩家。
关于"特朗普政府的真实意图"的猜测,从加密圈蔓延到普通媒体的评论区。问题来了——这件事是真的吗?
我希望这份长读能帮你把它彻底想清楚。但要回答这个问题,我们得分三步走:
- 核实那件事本身:投资是真的,但"意图"是不是?
- 把技术看清楚:量子计算到底能不能撬开比特币?什么时候能?
- 看清谁真的有风险:你的币、中本聪的币、复用过的地址——哪个该担心?
在所有的推演展开之前,我想先把这份报告的三句话结论放在这里。如果你只有一分钟,看完这一页就够了:
真正抗量子的
不是签名算法,是哈希函数
- "抗量子"的技术点是哈希函数(SHA-256 与 RIPEMD-160),不是签名算法。量子计算机用 Shor 算法能攻破比特币的椭圆曲线签名(ECDSA),但对哈希函数只有 Grover 算法带来的"平方根级"小幅加速,实际攻不破。P2PKH 之所以更安全,正是因为它把公钥藏在了哈希后面。
- 有风险的不是"某个年份之前的钱包",而是"公钥已经暴露在链上的钱包"。这跟年份没有硬性关系。早期 P2PK 币天生暴露公钥;任何年份的、被"花过钱"的复用地址同样暴露。
- "川普政府投资量子是为了攻击比特币"是没有证据的推测。20 亿美元产业拨款确有其事,但官方理由是国防、材料、生物医药、对抗中国,与攻击比特币无关。下文会用四条反驳证明这件事不成立。
这三句话每一句都需要拆开。我们从最容易被误解的那件事开始——川普政府的真实动机。
动机是假的
先把已经能确认的部分摆清楚。然后我会给你四条反驳,说明"为攻击比特币而投资量子"这个推论,在事实和逻辑上都不成立。
2026 年 5 月 21 日,美国商务部宣布与 9 家公司签署意向书,依据 《芯片与科学法案》提供约 20.13 亿美元联邦激励,扶持量子产业;作为交换,政府取得这些公司的少数股权。官方阐述的理由:国防、材料、生物医药、金融建模、能源系统,以及在先进计算领域抗衡中国。
"这笔投资的目的(或隐藏目的)是为了用量子计算机攻击长期休眠的比特币钱包"——目前没有任何官方文件、声明或可靠报道支持这一动机归因。它属于网络上的猜测/阴谋论性质的解读。
四条反驳,让阴谋论站不住
① 能力差距太大。 20 亿美元、目前这一批机器,距离"攻破 secp256k1 所需的上百万物理量子比特"还差几个数量级。即便有此意图,也是 5–10 年后才谈得上的事,跟一笔产业补贴的时间尺度完全对不上。
② 真要攻击不会公开张扬。 一个政府若真打算秘密攻击比特币,绝不会用《芯片法案》公开拨款、公开持股、开新闻发布会。这等于提前通知全世界——而比特币持有者完全可以在那之前把币转移到抗量子地址。秘密武器从来不会自己挂在橱窗里。
③ 动机上自相矛盾。 美国政府自身持有大量比特币(包括执法没收的、以及"战略比特币储备"相关持仓)。攻破比特币会让该资产瞬间崩盘,等于砸自己的资产,也会重创美国大量持币的企业和选民——这在政治上是自杀。
④ 有更朴素的解释。 这笔投资完全吻合川普政府更大的产业政策版图——半导体、钢铁、核能、稀土等"战略科技与供应链"项目政府入股的一贯做法。量子只是这张拼图里的又一块,主线是对华科技竞争,不需要"攻击比特币"这种假设来解释。
投资是真的,攻击比特币的动机是假设的。把政府推动量子计算理解为"地缘科技竞争 + 多领域应用布局"即可。量子计算确实会在未来对比特币构成真实的技术威胁——但这个威胁来自技术本身的成熟,而不是某一届政府的某一笔补贴的"密谋"。两件事都值得关注,但不应混为一谈。
到底能不能撬开比特币?
阴谋论破除之后,真正的技术问题反而浮出水面:量子计算机即便不是为了"专门攻击",未来它强到一定程度,能不能从公钥反推出私钥,把你的币转走?
要答这个问题,得先理解一件不那么直观的事——比特币的安全不是建立在"一把锁"上,而是两把锁,它们分别用了完全不同的密码学,量子计算机对它们的威胁天差地别。
比特币里的"地址"≈ 挂在大堂里的箱号,公钥则是从你那把私钥派生出的"开箱权凭证",签名时拿出来。私钥从不上链——但公钥有可能上链,这是整个抗量子讨论的核心。
比特币的安全靠两类完全不同的数学难题撑起来——一类是 椭圆曲线签名,一类是 哈希函数:
椭圆曲线签名
证明"我拥有这把私钥"。基于 椭圆曲线离散对数难题。
量子可破:Shor 算法专门克制。
哈希函数
把公钥压成"指纹"——SHA-256 + RIPEMD-160。
量子基本无效:Grover 只给"平方根级"加速。
这两把锁里——量子计算机能撬开第一把,撬不开第二把。而 P2PKH 这种地址格式(也就是你用钱包看到的、以 1 开头的那串字符)把公钥藏在了第二把锁后面。这就是"P2PKH 抗量子"这个说法的真实含义。
下一页,我们把这两把锁拆开来看。
Shor 和 Grover
在量子计算的工具箱里,对比特币真正相关的算法只有两个——Shor 算法和 Grover 算法。一个是"碾压式"的攻破,一个只是"加速式"的搜索。它们的差别就是整个抗量子故事的命门。
Shor:专门克制 ECDSA
Shor 算法 1994 年由 MIT 数学家 Peter Shor 提出,它能高效求解两类数学问题:整数分解(把一个大数拆成两个质数相乘)和离散对数(已知 Q = d·G,反推 d)。
RSA 靠前者,ECDSA 靠后者——所以两者在足够大的量子计算机面前都会倒下。对比特币而言,后果是:只要攻击者拿到你的公钥,就能算出你的私钥,然后像你本人一样把币转走。
2025 年的真实水平:Google Willow 芯片 105 个物理量子比特,IBM 在做 120 量子比特的纠缠实验。和需求之间差着好几个数量级。所以——今天没有任何量子计算机能动比特币分毫。
Grover:对哈希只有"开根号"加速
Grover 算法(1996)能把"在 N 个可能值里盲搜"的代价从 N 降到 √N。听起来很猛,但放到比特币的哈希上:
仍是天文数字,不可行
实践中仍被视为安全
更要害的是:Grover 的加速是"平方根级"的,只要把哈希位数加倍就能彻底抵消;而 Shor 对 ECDSA 是"指数级到多项式级"的碾压。一个是量变,一个是质变——两者根本不是一个级别的威胁。
"量子计算机攻不破的技术点",就是哈希函数——SHA-256 和 RIPEMD-160。这就是 Grover 算法听上去吓人、但实际上无所谓的原因。
注意这句话——"至少有 10%"。这不是确定的时间表,是带概率的风险判断。但即便是 10% 的概率,对躺在链上的几百万枚比特币而言,已经是足够严肃的事了。
公钥的"明面"与"指纹"
现在轮到那个让你困惑的细节——P2PK 和 P2PKH到底差在哪里?为什么所有人都说"升级到 P2PKH 就安全"?
比特币的每一笔钱都被一段叫锁定脚本(scriptPubKey)的小程序锁住,花钱时要提供解锁脚本。两种格式的差别,全在于公钥在什么时候出现在链上。
P2PK:公钥直接写在链上
锁定脚本里直接放着完整的公钥。也就是说,从这笔钱被创建的那一刻起,公钥就永久公开地躺在区块链上——任何人都能抄走。一旦未来量子计算机准备好了,公钥即私钥的预兆。
P2PKH:链上只放公钥的"指纹"
锁定脚本里放的不是公钥,而是 HASH160——RIPEMD160(SHA256(公钥)) 这两层哈希。收款时,链上只能看到这个哈希。只有当你花钱时,解锁脚本才第一次把真正的公钥亮出来——因为节点需要验证签名。
P2PKH 的"安全"不是因为它用了更强的签名算法——它用的签名算法和 P2PK 完全一样,都是 secp256k1 上的 ECDSA。它的优势纯粹来自一个时序差:在你花钱之前,世界只知道你公钥的哈希,不知道公钥本身。量子计算机要破解的对象是公钥,看不到公钥就无从下手。这层保护会在你花钱的瞬间消失。
没有"2010 年的那次升级"
流行说法把 P2PK 到 P2PKH 描述成"2010 年的一次升级"。这种说法让人误以为存在一个干净的时间分界点——2010 年之前的币危险、2010 年之后的币安全。真实情况要更柔和,也更重要。
比特币从第一天起就支持两种付款方式
中本聪在 2009 年 1 月发布的 Bitcoin v0.1 里,转账其实有两条路径:
- 付给一个 IP 地址——客户端联网拿到对方的公钥,直接生成 P2PK 输出("付给公钥")。
- 付给一个比特币地址——也就是以
1开头的那串字符,生成 P2PKH 输出("付给公钥的哈希")。
也就是说:P2PKH 并不是 2010 年才"新增"的。比特币地址从 v0.1 就存在。早期之所以满眼都是 P2PK,是因为两件当时很常见的事都走 P2PK——"付给 IP 地址",以及挖矿奖励(coinbase 输出)。中本聪自己挖出的区块、2009–2010 年绝大多数矿工的出块奖励,都是 P2PK 输出。著名的"第一笔比特币转账"(2009 年 1 月 12 日,中本聪转给 Hal Finney 的 10 BTC)也是 P2PK。
换句话说,你今天担心的这个问题,设计者在 2010 年就已经预埋了缓冲。
真正发生的是"默认行为的迁移"
2010 到 2012 年间,比特币软件生态发生了几件事,但没有一件是硬分叉或协议强制变更:
"P2PK → P2PKH" 是一次软件层面的默认习惯迁移,跨度大致 2010–2012 年,没有硬分叉、没有强制截止日。旧的 P2PK 币至今原样躺在链上、依然可以正常花费。所以——不存在一个"干净的 2010 年分界线"。
而是"公钥露过面没有"
用户最常问的版本是:"攻击范围到底是 2010 年以前,还是 2013 年以前?" 我想直接告诉你——这个问法用错了坐标轴。问题不在于你不知道答案,而在于这个问法本身就答不准。
一笔币是否面临量子风险,只取决于一件事——它的公钥有没有在区块链上公开露过面。露过 = 有风险;没露过 = 暂时安全。年份只是间接相关,不是判据。
把已暴露的、未暴露的,列在一张表里
| 类别 | 公钥 | 大致年代 | 说明 |
|---|---|---|---|
| 早期 P2PK 币 挖矿奖励 / IP 转账 |
已暴露 | 主要 2009–2011 | 脚本里直接写着公钥。中本聪持有的约 110 万 BTC 大多属于此类,从未移动过。 |
| 花过钱的 P2PKH 复用地址 |
已暴露 | 任何年份 | 从该地址花过一次钱,公钥就进了链上,永久可查。地址复用越多,暴露越久。 |
| 未花过钱的 P2PKH / P2WPKH | 未暴露 | 任何年份 | 链上只有哈希。是相对安全的一类。 |
| P2TR (Taproot) | 已暴露 | 2021 至今 | 特例:Taproot 输出本身就是一个公钥,即使没花过钱公钥也可见。 |
所以"2010 还是 2013" 的答案是——两个都不对
这个二选一里藏着一个错误前提:它假设"风险有一个干净的年份截止线"。真实图景是:
- 2009–2011 年的 P2PK 币:确实高度暴露,这部分和"早年"高度重合,所以"2010 年前危险"抓到了一半。
- 2011 年之后、乃至 2020 年代的复用 P2PKH 地址:同样暴露。一个 2018 年创建、花过钱的地址,和一个 2010 年的 P2PK 币,在量子攻击者眼里是同一类目标。所以"2013 年前"这个上限也是站不住的——风险根本没有上限年份。
- 反过来:一个 2009 年创建、却从未花过钱的 P2PKH 地址,反而是安全的。
不要问"哪一年之前的钱包危险",要问"这个地址的公钥露过面没有"。前者你永远答不准,后者任何人打开区块浏览器查一下该地址有没有"转出"记录就能确定。
110 万 BTC 的悬念
现在我们终于可以谈那笔最受关注的钱——中本聪的 110 万枚比特币。它们是整个量子叙事的真正主角,也是阴谋论的"价值锚"。
他在比特币早期(2009–2010)参与挖矿。链上分析师 Sergio Demian Lerner 通过区块奖励的"nonce 模式"识别出一批共享同一台矿机的早期区块——这批区块的奖励地址被合称"中本聪的币",估算 约 110 万枚 BTC,按 2025 年价格约 1100 亿美元。
关键事实:这 110 万 BTC 从未移动过。如果中本聪还活着且持有私钥,理论上他可以随时动用;如果他已离世或丢失私钥,这批币将永远沉睡。
2025 年的多份链上分析给出的量级是:约 665 万枚 BTC 的公钥已永久暴露。其中约 190 万枚在早期 P2PK 地址里、约 400 多万枚在被复用过的地址里(其余为零散估算差异)。这接近流通量的三分之一。
最受关注的就是中本聪名下那批一动不动的早期 P2PK 币——它们正是"长期沉睡钱包"这一说法的主角。一旦 Q-Day 真的到来,第一批被"挖坟"的就是这批币。这也是为什么社区在抗量子讨论里反复纠结一个问题:要不要给这些"主人很可能已经丢了私钥"的币设个期限?
关于"该不该冻结暴露的旧币"的讨论是 2026 年比特币社区最棘手的问题之一。一方认为"不动就是不动"——这些币的所有权依然属于其原主,强行冻结违背了比特币最根本的无许可原则;另一方认为"如果不冻结,Q-Day 当天它们会被攻击者抢走、价格会瞬间崩盘、影响全体持币者——这才是更大的违反"。这场辩论现在没有共识,预计 5–10 年内不会结束。
这话对了一半,错了一半
坊间流传一句话:"钱包只要登录过、升级到 P2PKH 就安全。" 这句话里有正确的内核,但表述方式会把人带偏,值得专门拆开讲。
"登录"不是区块链上的概念
区块链不知道你有没有打开钱包 App、有没有输密码。它只记录一件事:有没有一笔"从这个地址转出"的交易被广播并确认过。所以"登录过"这个词需要翻译成准确的技术语言——它真正想说的,多半是"这个地址被动用过 / 被整理过"。
正确的内核是这个
真正能提升抗量子性的操作是这样的:
- 你把暴露公钥的旧币(P2PK,或复用过的旧 P2PKH)全部转出,转到一个全新的、从未收过也从未花过钱的 P2PKH 或 P2WPKH 地址。
- 转账这一刻,旧地址的公钥确实会暴露——但没关系,因为你已经把币清空搬走了,攻击者就算破解旧地址也已是空号。
- 新地址此刻在链上只有一个哈希,公钥重新被藏起来。在你下次花钱之前,它对量子攻击是相对安全的。
这就是"升级到 P2PKH 就安全"想表达的真相。它不是"登录"带来的安全,而是"主动把币搬进一个干净的、哈希保护的新地址"带来的安全。
这层安全不是永久的。新地址只是"暂时"安全——等你将来要花这笔钱时,公钥又会暴露。如果那时量子计算机已经足够快,会出现一种"短暂暴露攻击":你的花费交易进入mempool、还没被打包确认的那几分钟里,攻击者抢先用 Shor 算出私钥、构造一笔手续费更高的交易把币截走。
所以 P2PKH 真正保护的是"长期不动的沉睡币"。对于需要频繁动用的币,根本解法只能是后面要说的"换成抗量子签名算法"。
把整张评判表摆给你看
| 说法 | 评判 |
|---|---|
| "登录"让钱包变安全 | 不准确,区块链没有登录概念 |
| 把币归集到全新未用过的 P2PKH/P2WPKH 地址 → 沉睡时相对安全 | 正确,这是说法的真实内核 |
| 这种安全是永久的 | 错误,下次花费时公钥会再次暴露 |
| 抗量子签名是终极解 | 正确,但还需要 5–10 年才能成熟 |
与抗量子的明天
先收割,后解密(Harvest Now, Decrypt Later)
这是当前最现实的隐忧。区块链是完全公开的,攻击者今天就可以把整条比特币区块链下载存档,把所有已暴露的公钥都收集起来,静静等待未来量子计算机成熟,再回过头来解密。
也就是说,对那些公钥已暴露的币而言,"风险敞口已经存在了",只是兑现的时点还没到。这也是为什么把暴露的旧币尽早归集到干净地址是有意义的——你是在和这个"收割时间表"赛跑。
这就是为什么 NIST 2024 年发布抗量子密码标准(ML-DSA、SLH-DSA、ML-KEM)时把"立刻迁移"作为头号建议——而不是"等量子成熟了再说"。
协议层的应对:BIP-360
比特币社区已在推进抗量子方案,核心是 BIP-360:
- 提出一种新的输出类型 P2MR (Pay-to-Merkle-Root),并已合入官方 BIP 仓库;2026 年 3 月已有团队(BTQ Technologies)在"比特币量子测试网"上做了首次部署测试。
- 它本身不是终点:BIP-360 是一个地基,为后续通过软分叉引入真正的抗量子签名算法做准备——候选算法包括 NIST 已标准化的 ML-DSA (Dilithium) 和 SLH-DSA (SPHINCS+)。
- 现实进度:仍处早期探索阶段。BIP-360 共同作者估计,比特币要完成向后量子密码的迁移可能需要 5–10 年甚至 7 年以上。
社区还在激烈讨论一个棘手问题——对那些"主人很可能已经丢失私钥、永远不会主动迁移"的暴露旧币(典型就是中本聪的币),要不要、以及如何处理(例如设定期限后冻结)。
这涉及重大的伦理和共识争议——比特币最根本的"无许可"原则 vs 全体持币者面对 Q-Day 时的"集体安全"。尚无定论。
低成本动作清单
如果你是普通持币者,听完这份长读,剩下唯一的问题是——那我现在该做什么? 我把它分成"现在就能做"和"长期观望"两类。
低成本、立竿见影
· 不要复用地址——每收一次款用一个新地址,花完即弃
· 检查自己有没有币躺在 P2PK 或反复用过的老地址里
· 若有暴露的旧币,考虑择机归集到全新 P2PKH / P2WPKH 地址
· 用支持"找零到新地址"的现代钱包
观望、不必恐慌
· 关注 BIP-360 与后续抗量子软分叉的进展
· 今天没有任何量子计算机能威胁比特币
· 主流预估的窗口是 5–10 年
· 警惕借"量子威胁"营销的项目和"代你迁移资产"的骗局
+ 关注 BIP-360 进度
+ 不被"量子末日"营销忽悠
你能做的全部事
写在最后:川普到底有什么含义?
让我们回到那张支票。川普政府的 20 亿美元,本质上是一张产业政策的牌——对手是中国,目标是先进计算的话语权。比特币只是在同一棵技术树下的一个潜在副作用,不是被瞄准的靶子。
但这件事还是带给了我们一个礼物——它逼着加密圈所有人重新认真审视一遍量子威胁。在一片"涨跌"和"meme"的喧嚣里,能让人停下来读完这样一份长读、把 ECDSA 和 SHA-256 的区别想清楚,本身就是有价值的。
威胁比特币的不是川普,而是时间。
免责声明。本文基于截至 2026 年 5 月的公开资料与技术共识撰写。量子计算的进展、Q-Day 的时间窗口、BIP-360 的落地进度都存在高度不确定性,文中"5–10 年""10% 概率"等均为业内估算,非确定结论。关于美国政府量子投资动机的分析为基于公开信息的推断,不代表任何机构立场。本文为技术与信息梳理,不构成投资、财务或法律建议。