Google Quantum AI:破解比特币加密所需量子资源比想象中少 20 倍
> 来源: Google Quantum AI 白皮书
> 博客: research.google
> 报道: CoinDesk / BeInCrypto
> 作者: Ryan Babbush, Craig Gidney, Hartmut Neven 等(Google Quantum AI)+ Justin Drake(以太坊基金会)+ Dan Boneh(Stanford)
> 日期: 2026-03-30(今天刚发)
> 研究时间: 2026-03-31
🎯 一句话版本
Google Quantum AI 今天发了一篇重磅白皮书——破解比特币/以太坊用的椭圆曲线加密只需要不到 50 万个物理量子比特(此前认为要数百万),执行时间约 9 分钟,而比特币出块约 10 分钟——攻击者有 41% 概率在交易确认前偷走你的币。
💣 核心发现
破解成本大幅下降
Google 团队编译了两个量子电路来实现 Shor 算法破解 secp256k1(比特币、以太坊使用的椭圆曲线):
| 方案 | 逻辑量子比特 | Toffoli 门 | 物理量子比特 |
|---|---|---|---|
| 低比特方案 | ≲ 1,200 | ≲ 90M | < 500,000 |
| 低门数方案 | ≲ 1,450 | ≲ 70M | < 500,000 |
对比此前估算:
| 研究 | 物理量子比特 | Toffoli 门 |
|---|---|---|
| Chevignard et al. (2026) | — | > 100B(太慢) |
| Litinski (2023) | 更多 | 50-200M |
| **Google (本文)** | **< 500,000** | **70-90M** |
比此前主流估算减少约 20 倍。
9 分钟破解密钥
在超导量子计算机上(10µs 反应时间,符合 Google 旗舰处理器参数):
| 场景 | 耗时 |
|---|---|
| 从零开始 | 18-23 分钟 |
| 预计算优化("primed") | **~9 分钟** |
比特币平均出块时间 ~10 分钟。
→ 攻击者在你的交易被确认前有 ~41% 概率 算出你的私钥并盗走资金。
→ 以太坊出块更快(~12 秒),这种"在途攻击"更难成功。
🔓 三种攻击类型
1. On-Spend 攻击(在途劫持)
你发起交易 → 公钥暴露在 mempool
↓ 攻击者的量子计算机
~9 分钟算出私钥 → 伪造交易盗走资金
↓ 与你的原始交易竞争确认
成功率 ~41%(BTC 10 分钟出块)
需要快速量子计算机(超导、光子、硅自旋)。
2. At-Rest 攻击(静态资产盗窃)
攻击链上已暴露公钥的"休眠"资产——不需要快,可以慢慢算。
脆弱资产规模:
| 类型 | BTC 数量 | 说明 |
|---|---|---|
| P2PK(公钥直接暴露) | ~1.7M BTC | 中本聪时代的早期输出 |
| 各类暴露(地址复用等) | ~6.9M BTC | **总供应的 ~1/3** |
CoinShares 此前乐观估计仅 10,200 BTC 集中到足以影响市场——Google 的数字高了 680 倍。
3. On-Setup 攻击(一次性后门)
破解协议的可信设置参数(如以太坊的 KZG trusted setup),获得永久的经典后门。只需一次量子计算。
⚠️ Taproot 让问题更糟
比特币 2021 年的 Taproot 升级(P2TR)本意是提升隐私和效率,但把公钥默认暴露在链上——移除了旧地址格式(P2PKH)对公钥的隐藏保护。
这是一个安全回退:Taproot 扩大了量子攻击面。
论文建议用 BIP-360 / P2MR 替代 Taproot 的 key-path 花费方式。
🛡️ 以太坊的额外风险
以太坊比比特币面临更多量子威胁向量:
| 风险 | 说明 |
|---|---|
| BLS 签名 | PoS 质押/共识使用的签名方案 |
| KZG 可信设置 | 数据可用性层的多项式承诺 |
| 智能合约管理员密钥 | DeFi 协议的后门 |
| 多签/桥接/Rollup | 跨链资产的安全 |
| 隐私协议 | ECDH、Pedersen 承诺 |
论文的联合作者包括 Justin Drake(以太坊基金会)——说明以太坊团队深度参与了这项研究。
🔬 负责任披露的创新
Google 面临一个两难:如何证明"我们能破解"又不给攻击者蓝图?
方案:零知识证明
Google: "我们有一个量子电路能正确计算椭圆曲线点加法"
↓ SP1 zkVM
ZK Proof: 在 9,000 个随机输入上验证正确性
↓
第三方: 可验证资源估算的真实性,但看不到电路细节
电路通过 SHA-256 承诺,随机数用 SHAKE256 XOF,证明在 SP1 zkVM 中执行。ZK 产物和代码发布在 Zenodo。
这是量子密码分析领域的首次负责任披露实践。
⏰ 时间线
Google 没有预测量子计算机何时能达到 50 万量子比特——但他们已经宣布了 2029 年迁移时间线,意味着内部评估认为威胁窗口比外界想象的近。
两种场景:
| 场景 | 先成熟的技术 | 影响 |
|---|---|---|
| 快时钟先到 | 超导/光子/硅自旋 | On-spend + At-rest 同时可行 |
| 慢时钟先到 | 离子阱/中性原子 | At-rest 先可行,On-spend 还需等 |
论文强调:不要等日历信号再行动。资源估算一直在下降。
❓ 现在能破解吗?
现在还不能。 差距仍然很大:
| 指标 | 论文要求 | 当前最强(Google Willow, 2024) |
|---|---|---|
| 物理量子比特 | ~500,000 | **105** |
| 逻辑量子比特 | 1,200-1,450 | 尚未实现通用逻辑量子比特 |
| 纠错能力 | 需持续数百万次运算无错 | 刚刚演示"低于阈值"纠错 |
差了大约 5000 倍的量子比特数量。
但论文的意义不在于"今天能破",而是:
1. 此前说"需要数百万量子比特" → 现在降到 50 万,门槛低了 20 倍
2. 资源估算一直在下降 — 2012 年估算需要 10 亿物理量子比特,现在 50 万。继续优化下去谁知道呢
3. Google 自己定了 2029 迁移截止线 — 他们比任何人都清楚自己的量子硬件路线图,内部可能评估威胁窗口在 2030 年代
4. 105 → 500,000 不是线性外推 — 量子比特数量增长一直是指数级的,但纠错质量同步提升才是真正的难点
今天安全,但留给迁移的时间窗口可能比之前想的短。Google 说"别等了",他们说这话是有底气的。
💡 与我们的关联
1. 这是今天最大的 crypto 新闻
Google Quantum AI + Stanford + 以太坊基金会联合发布,CoinDesk 等主流媒体已在报道。对 BTC/ETH 持有者是直接警告。
2. 对我们之前的 EF Mandate 研究的补充
我们之前研究了以太坊基金会的 EF Mandate——Justin Drake 是 EF 研究员,也是本文联合作者。说明 EF 正在积极应对量子威胁,这是 EF Mandate 中"确保以太坊协议安全"的具体行动。
3. 投资含义
- 短期:可能引发 FUD 但不是即时威胁
- 中期:PQC 迁移将成为区块链社区的核心议题
- 长期:不迁移 PQC 的链 = 定时炸弹
- Taproot 是一个安全回退——比特币社区需要正视
4. Dan Boneh 的参与
Dan Boneh 是斯坦福密码学教授,教科书级人物。他的参与给这篇论文加了一层学术权威性——这不是噱头论文。
5. 量子 + ZK 的交叉
用 ZK 证明来做量子攻击能力的负责任披露——这是一个新范式。未来量子密码分析研究都应该跟进这种做法。
📊 评分
| 维度 | 评分(/10) |
|---|---|
| 技术深度 | 10.0 — 完整的量子电路资源估算 + ZK 验证,密码学最高水平 |
| 影响力 | 10.0 — 直接关系数万亿美元加密资产的安全 |
| 创新性 | 9.5 — 20 倍资源降低 + ZK 负责任披露首创 |
| 实用性 | 8.5 — 威胁尚未实现但迁移建议具体可行 |
| 与我们的相关度 | 8.0 — crypto 持有者必读,与 EF 研究关联 |
| **综合** | **9.5** |
报告由深度研究助手自动生成 | 2026-03-31