為什么量子計算機會威脅到你的比特幣？

那是我第一次聽說比特幣，場景一點都不浪漫。時間是2010年代初，我正在讀大學，周圍一些數學系同學偶爾會在課間聊起這種新鮮玩意，還有新聞報道說有人用它在地下黑市——比如臭名昭著的“絲路”——上做交易。比特幣的歌聲對某些同齡人來說就像海妖在召喚，但我的耳朵里塞滿了純物理的東西：斯萊特行列式、拉曼散射、庫珀對。我那時一心想成為一個浪漫化的、老派的理論物理學家，“挖礦”這種事聽起來跟我完全不沾邊。

可是最近我意識到，自己可能太天真了。比特幣以及它的安全問題，忽然成了我作為物理記者的工作日常——而且還牽涉到了我的個人儲蓄。這一切的轉折點，發生在幾個月前。

那天早晨，我在紐約皇后區的公寓里吃著早餐，隨手翻看新上線的預印本論文。Google的研究團隊聯合以太坊基金會（一個支持同名加密貨幣的非營利組織）以及幾所大學，共同發表了一篇57頁的長文，主題是：量子計算機對各類加密貨幣的安全性構成了什么樣的威脅。我盯著屏幕上的內容，連手里的面包都忘了咬。大概一個半小時后，等我趕到《新科學家》雜志位于曼哈頓的辦公室時，我已經清楚地知道——接下來至少一整天，我的人生都要被這件事占滿了。

緊接著，第二波沖擊來了。一家名為Oratomic的量子計算初創公司，幾乎在同一時間將另一篇論文掛上了網。它沒有僅僅附和“量子計算機對加密貨幣存在威脅”這個判斷，而是用一種更激進的推算，把威脅到來的時間線又往前猛拽了一把。兩篇論文的核心指標是同一個東西：要破解當前一種使用極為廣泛的加密形式，一臺量子設備究竟需要多少個量子比特（也就是量子計算機的基本構建單元）。Google團隊給出的數字是50萬個量子比特。而Oratomic的研究人員則認為，只需要1萬個就足夠了。

這個數字有多嚇人呢？目前已經存在的最大量子比特陣列，已經達到了6100個量子比特。也就是說，Oratomic預測的那個臨界點，距離我們其實已經非常近了。雖然這6100個量子比特至今還沒有真正被用來完成過一次計算任務，但你會越來越清晰地感覺到，我們正在逼近一場密碼學危機——人們叫它“Q-Day”。在那一天，量子計算機將讓目前保護著我們日常數字通信和交易的大多數加密手段，徹底失效。

正因如此，Google已經在不斷呼吁所有人，在2029年之前完成向“后量子密碼學”的遷移。這種新的加密方式如果能普及，或許就能擋住Q-Day的到來。那么問題來了：量子計算機真的會這么快就變成反派嗎？我試著給所有能想到的人打電話，拼命想搞清楚量子計算機對整體加密體系的威脅到底有多大——我的關注點其實比加密貨幣更寬泛一些。但無論我找誰聊，研究人員們總會把話題繞回到比特幣身上。

比特幣所使用的那套加密機制，建立在一個名為“橢圓曲線數字簽名算法”的東西之上。說白了，它的安全根基就是：用經典計算機來破解這種加密，從數學上講幾乎是不可能的，因為需要耗費的時間會超過宇宙的年齡。但這道對經典計算機來說堅不可摧的墻，在量子計算機面前，卻脆弱得像一層紙。量子計算機擅長的那類運算——尤其是在處理分解大數和求解離散對數這些問題上——恰好就能精準砸開比特幣安全外殼中最薄弱的那一環。

你可能會想，那我們趕緊把加密方式換掉不就行了？事情遠沒有那么簡單。比特幣的去中心化特性，既是它最引以為傲的優點，也是它最致命的風險所在。要升級加密協議，需要網絡上絕大多數節點達成共識。這個過程既緩慢又充滿爭議，過去比特幣社區為了“區塊大小該不該擴容”這種問題都能爭吵多年。而Q-Day的倒計時，可能不等人。

我還注意到一個更隱蔽的問題：即使我們的錢包和交易網絡在未來幾年完成了升級，那些已經被記錄在區塊鏈上的歷史交易數據也無法再被“追回保護”。如果有一天，某個擁有足夠多量子比特的設備被惡意使用，攻擊者可以破解那些早期、尚未被轉移過比特幣的地址里的私鑰。中本聰本人早期挖出的大量比特幣，一直靜靜地躺在原始地址里，從未動過。這些地址使用的是最原始的加密格式，一旦私鑰被量子計算機算出來，那些比特幣就可能在頃刻之間被洗劫一空。對整個市場的沖擊，恐怕不會是輕微震蕩那么簡單。

關于“量子威脅到底什么時候落地”，我讀到的這兩篇關鍵論文其實給出了不同的想象。Google那篇強調50萬個量子比特的門檻時，可能考慮到的是更實際的容錯量子計算機架構。要制造出能穩定操控50萬個邏輯量子比特的設備，還需要克服巨大的工程挑戰：錯誤率、量子退相干、極低溫環境……每一項都夠科學家和工程師們忙活好一陣子。從這個角度看，我們或許還有十年甚至更長的窗口期。

但Oratomic的那篇論文思路不太一樣。他們可能采用了一種更為激進的算法假設，或者考慮了某些特定噪聲條件下量子計算也能完成有效攻擊的場景，于是得出了“1萬個物理量子比特就足夠”的結論。如果他們的推斷更貼近現實，那么Q-Day離我們就是“近在咫尺”而非“遙不可及”了——畢竟，6100量子比特的機器已經躺在了實驗室里。雖然這臺機器還沒真正跑過完整的計算任務，但它就像一尊沉默的炮臺，炮口已經指向了我們習以為常的數字生活。

這些討論讓我聯想起自己當初對“挖礦”這件事的漠視。那時我以為物理學和加密貨幣是兩個平行宇宙，一個高懸于理論殿堂，一個翻滾于投機泥潭。可現在我發現，兩者在最根本的層面是糾纏在一起的。密碼學的數學基礎，量子信息科學的進展，去中心化網絡的治理邏輯，它們共享著同一片河床。如果說區塊鏈是流過我眼前的河水，那么量子計算就是上游正在融化的冰川——無論你想不想看見它，它都已經在改變水文了。

Google敦促大家在2029年前完成向PQC的遷移，這個時間節點本身也很有意思。因為它不是一個隨便提出的口號，而是綜合了技術演進速度和攻擊者可能采取的策略之后得出的謹慎估算。以太坊基金會參與合著那篇論文，說明加密世界的核心建設者們其實并沒有在掩耳盜鈴。他們內部可能比我們更早感受到了那股從遠方涌來的寒意，只是遷移一個龐大而分散的網絡，遠不像給手機系統更新一個補丁那樣簡單。

那么，我的退休儲蓄怎么辦？我身邊越來越多的人開始把一部分資產配置到比特幣或者其他加密貨幣里，他們相信這是一種對抗傳統金融系統波動的數字黃金。但如果這個數字金庫的地基——也就是加密算法——本身有可能在不太久的將來被撬開，那么它的“避風港”屬性就得打個問號。我不是在說比特幣明天就會崩潰，也不是在斷言Q-Day一定會在五年內降臨。我只是開始意識到，就像當年我在大學課堂上錯過比特幣的喧囂一樣，今天也有很多人可能正在錯過量子計算對這場游戲的潛在重塑。

一個讓我略微心安的細節是：后量子密碼學本身也在發展，一些新的加密方案已經在被測試和標準化。研究人員并不是攤開雙手表示束手無策，相反，他們正在和時間賽跑。問題在于，這場賽跑的兩條賽道——量子比特的數量增長和后量子密碼的部署速度——究竟哪一條會先沖過終點線，目前還沒有人能給出答案。

或許，若干年后再回頭看，我們今天經歷的這一切，不過是又一個“技術進步的陣痛期”。但在陣痛真正被撫平之前，那些靜靜躺在區塊鏈深處、從未被移動過的遠古地址，就像一枚枚被遺落在舊保險柜里的定時裝置，它們的倒計時無聲無息，卻真實存在。而我，作為一個曾經埋頭于庫珀對和拉曼散射、如今卻不得不開始研究橢圓曲線和哈希函數的人，只希望那個倒計時的最后幾秒，不要在某個我們毫無準備的早晨，突然歸零。