币圈一直有个终极都市传说:中本聪那几个装了上百万枚比特币的创世钱包,到底会不会有一天被人给端了?过去十几年,大家的共识是:只要中本聪本人不打破长达十几年的沉寂,又或者他没把私钥不小心留给后人,这些币就是绝对安全的。因为保护它们的底层密码学(ECDLP-256)极其坚固,哪怕是用传说中的量子计算机去暴力破解,估计也得等上个几十年。但就在最近,谷歌量子AI团队(Google Quantum AI)扔出了一份核弹级的白皮书,直接把整个加密世界的安全感按在地上摩擦。01. 不到50万个量子比特与致命的9分钟谷歌的研究员们没有搞什么虚头巴脑的理论预测,而是直接甩出了硬数据:别等几十年了,想要砸开比特币和以太坊的底层密码锁,根本不需要什么动辄上千万量子比特的科幻级量子计算机。仅仅需要不到50万个物理量子比特,就能搞定。这比行业之前最悲观的预期,还整整缩减了20倍。更让人后背发凉的是他们算出的“作案时间”——大约9分钟。在币圈待过的人都知道,9分钟意味着什么。比特币网络平均每10分钟才出一个块。也就是说,当你发起一笔转账,交易还在内存池(Mempool)里排队等矿工打包的时候,一台高速运转的超导量子计算机完全可以利用这9分钟的“时间差”,瞬间反推出你的私钥。然后,黑客只需要用更高的手续费发起一笔伪造交易,就能在矿工打包前直接把你的币“截胡”——这在报告里被称为“On-Spend(支付中)攻击”。也就是说,你发个朋友圈的功夫,钱在半路就被人劫走了。图|量子攻击速度与网络波动的竞赛。展示了使用超导量子比特CRQC进行“支付中(on-spend)”量子攻击(约需9分钟推导出私钥)在比特币(平均出块时间10分钟)、莱特币(2.5分钟)、Zcash(75秒)和狗狗币(1分钟)上的成功概率。此图假设目标交易需要一个数字签名(例如P2WPKH),并且公钥几乎立即被传送给攻击者;一旦被破解(大约在第9分钟),攻击者可以通过向矿工提供更高的手续费成功插入“伪造”交易,从而取代原始交易(这些假设对攻击者非常有利)。但研究同时也假设网络拥堵为零,这有利于合法的加密货币发送者。在实际操作中,攻击者可以通过向内存池(mempool)发送大量高额手续费的交易来人为制造拥堵。(来源:谷歌)02. 两大加密货币的裸奔状态如果你觉得“我不转账就不怕截胡”,那格局还是小了。谷歌在报告里详细盘点了另一种更狠的“偷家”姿势:针对长期趴在账上的静态资产发起的“At-Rest(静态)攻击”。首当其冲的就是比特币的远古巨鲸们。像中本聪时代的 P2PK 格式地址,公钥是完全“裸奔”在区块链上的,目前有超过170万枚比特币处于这种任人宰割的状态。再加上那些图省事、反复重复使用同一个地址的用户,加起来大概有将近700万枚比特币正暴露在量子攻击的射程内。图|按协议类型划分的比特币供应量随时间的演变。各协议中受量子威胁的资产余额以阴影区域显示。P2PK、P2TR和P2MS被视为100%存在漏洞。对于其余的脚本类型,如果(地址曾出现在输入中)且(目前在未花费输出中持有余额),则因密钥重用而被视为存在漏洞。在P2SH和P2WSH的情况下,研究做了一个简化的假设,即如果有人攻破了脚本,最终就等同于能够窃取比特币(在极少数情况下可能并非如此)。在撰写研究时,所有协议中约有690万枚比特币容易受到攻击。(来源:谷歌)以太坊这边的情况更是一言难尽。因为以太坊采用的是“账户模型”,你只要发起过一次交易,公钥就永久公开了。谷歌一算,仅仅是以太坊排名前1000的富豪地址里,就有2050万枚以太币(ETH)随时可以被攻破。不仅如此,以太坊上还跑着无数的智能合约、跨链桥和稳定币,这些合约大多由几个“管理员密钥”控制。量子计算机都不需要去挨个偷散户的钱,只要花不到15个小时破解掉一个高权重管理员的密钥,就能直接增发高达两千亿美元的稳定币,或者瞬间抽干跨链桥的流动性。这已经不是偷钱了,这是直接掀桌子,让整个 DeFi(去中心化金融)生态瞬间清零。图|排名前1000的以太坊账户(按ETH余额划分)的账户漏洞。该图展示了按价值排名的前1000个以太坊账户的ETH余额。图中橙色表示已发起过交易的账户,因此极易受到“静态(at-rest)”攻击;灰色账户则表示尚未发起过交易(相对安全)。仅在此列表中,受漏洞威胁的账户资产总和就约为2050万枚ETH。(来源:谷歌)03. 我有钥匙,但绝不给你看面对这么大的雷,谷歌的处境极其尴尬。安全圈有个老规矩:发现漏洞得公开。但问题是,这次的漏洞是整个数字经济的底层基石,没法像修电脑Bug一样打个补丁就完事。如果谷歌把破解的详细量子电路图全发出来,那等于是给全世界的黑产乃至敌对国家发了一本《手把手教你掏空比特币》的说明书。但如果什么都不说,大家又会觉得你在吹牛,加密市场甚至会因为没有实锤的流言而陷入疯狂的恐慌。为了不引发连环大爆仓,谷歌玩了一手极其高级的技术平衡术——零知识证明(Zero-Knowledge Proof)。简单来说,谷歌把这套能砸开金库的公式放进了一个密码学黑盒子里,全世界任何第三方都可以通过一套名叫 SP1 zkVM 的前沿程序去验证这个结果。验证结果显示:是的,谷歌确实掌握了这把钥匙,数据全是真的。但是,谷歌绝不向任何人展示这把钥匙的底层电路到底长什么样。这就好比谷歌开了一场发布会,当着所有人的面把世界上最复杂的魔方在1秒内复原了,然后把手往兜里一插:“我证明了我能做到,但我绝不告诉你我是怎么拧的。”可以说,如同谷歌官方发文,这是一种极其克制、又极具压迫感的“负责任的披露”。04. 一场必须赢的赛跑那么,加密世界就只能原地等死吗?当然不是。解药其实大家心里都清楚:全面迁移到“抗量子密码学”。目前,像 Algorand 等一些公链已经开始在真实网络中测试并部署抗量子签名了。但最大的麻烦在于那些“拔剑四顾心茫然”的沉睡资产。比如中本聪大概率已经丢失了私钥,那上百万枚比特币永远无法主动迁移到安全的抗量子地址里。等量子计算机真正上线的那天,这些无主巨款谁先破解就是谁的。为了防止这些钱落入黑产手里,谷歌在白皮书里跟各国政府和开发者社区支起了招:要么社区达成共识,赶在量子危机爆发前直接通过协议硬分叉把这些沉睡的币“烧掉”;要么搞个合规的“数字打捞(Digital Salvage)”侧链(Bad Sidechain),像打捞海底沉船一样,让有能力的人在政府监管下把这些钱捞出来,纳入正规经济的税收体系。看完谷歌的这篇白皮书,最大的感受不是科幻,而是一种极其真切的紧迫感。过去,量子威胁像是悬在头顶的剑,知道它在,但总觉得线还很粗。现在,谷歌不仅量出了这根线的粗细,还精准预言了它断裂的倒计时——他们正联合行业巨头,把带头应对这场危机的节点定在了2029年。看来,留给整个加密世界“换锁”的时间,真的,不多了。引用:[1]https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/[2]https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf-End-联系与爆料: Qtumist_info@163.com延 伸 阅 读谷歌发出警告:量子计算时代即将来临谷歌:硬件狂飙二十年后,应用端难题开始暴露谷歌新版本Chrome将提供后量子加密算法保护强2.41亿倍!谷歌释放最新70Q超导量子计算系统谷歌加码中性原子、2029后量子密码迁移倒计时声明:此文出于传递更多信息。若有错误或侵权,请联系













