2026 年 4 月 15 日,由比特币核心开发者 Jameson Lopp 与五位合作者共同起草的比特币改进提案 BIP-361 正式以草案形式发布至官方 GitHub 仓库。该提案全称为“后量子迁移与旧式签名废止”,主张通过一个为期三至五年的渐进式时间表,强制推动全网比特币持有者将资产从量子脆弱地址迁移至抗量子地址——逾期未迁移者,其资产将在协议层面被永久冻结,无法再进行任何链上转移。
BIP-361 的技术基础继承自同年 2 月正式注册的 BIP-360,后者引入了名为 Pay-to-Merkle-Root 的量子抗性输出类型,旨在保护此后新发行的比特币免受量子攻击。然而,BIP-360 仅能覆盖未来资产,对当前已暴露公钥的大量遗留资产无能为力——这正是 BIP-361 试图解决的存量问题。提案一经公布,立即在比特币社区引发激烈反弹。批评者用“专制”“掠夺性”等词语形容该方案,认为其违背了比特币作为抗审查、去中心化货币系统的核心哲学。
一日之后,2026 年 4 月 16 日,Blockstream 首席执行官 Adam Back 在巴黎区块链周发表公开讲话,明确反对 BIP-361 的强制冻结路径,转而倡导一项可选式的量子抗性升级方案。Back 强调:“提前做好准备远比危机中仓促应对更为安全”,同时指出比特币社区具备对关键漏洞作出快速协调响应的能力。
至此,比特币量子安全议题正式从长期的技术讨论,演变为一场关于网络治理哲学、资产主权与安全边界的公开路线之争。BIP-361 的支持者与反对者之间的分歧,并非简单的技术优劣之辩,而是两种对比特币未来发展方向的根本性认知差异。
倒计时加速:量子威胁从科幻走向倒计时
量子威胁的加速压缩
比特币的安全模型建立在椭圆曲线数字签名算法——即 ECDSA——的计算不可行性之上。在经典计算范式下,暴力推导私钥所需时间远超宇宙年龄,使得这一假设在数十年间从未被真正挑战。然而,Shor 算法的存在从数学层面彻底颠覆了这一前提:它能够将离散对数问题的求解复杂度从指数级压缩至多项式级,使得量子计算机一旦达到足够规模,破解 ECDSA 将不再是理论假设,而是工程可实现的目标。
过去一年间,量子威胁的时间表被持续且显著地压缩。2024 年底,Google 推出 Willow 量子芯片,拥有 105 个物理量子比特。虽然这一规模距离直接威胁比特币加密仍有巨大差距——据估算,破解比特币加密需要约 1,300 万个量子比特才能在 24 小时内完成解密——但 Willow 在量子纠错领域实现的指数级错误率降低,为后续快速迭代奠定了基础。
真正的转折点发生在 2026 年 3 月底。Google 量子人工智能团队发布的技术白皮书显示,一台足够强大的量子计算机,理论上破解比特币底层加密所需资源仅为此前学术界预估的二十分之一,整个破解过程最快可在约九分钟内完成。白皮书进一步将所需物理量子比特数量压缩至不到 50 万个,约为此前估计的二十分之一。Google 据此将量子安全迁移的建议截止日期明确提前至 2029 年。
同期,加州理工学院的研究团队在中性原子量子计算架构上取得了平行突破。研究表明,Shor 算法可在 10,000 至 22,000 个量子比特规模下运行至密码学相关水平,所需物理量子比特已从数百万级大幅下降。Oratomic 的研究进一步验证了跨平台量子威胁的聚合效应。
技术准备与社区响应
在量子威胁时间表加速压缩的背景下,比特币生态的技术准备也在同步推进:
2026 年 2 月,BIP-360 正式注册,引入了量子抗性输出类型 Pay-to-Merkle-Root,为后量子比特币网络建立了技术储备。
2026 年 3 月,BTQ Technologies 在比特币量子测试网上成功部署了 BIP-360 的首个可运行实现,测试网已运行超过 50 个矿工节点,累计处理超过 100,000 个区块。
2026 年 4 月 14 日,Google 量子人工智能团队的白皮书经媒体广泛报道后引发行业震动,将“量子末日”从科幻叙事推向了可规划的战略日程。
2026 年 4 月 15 日,Jameson Lopp 与五位合作者正式提交 BIP-361 草案,试图解决 BIP-360 未能覆盖的存量资产安全问题。
2026 年 4 月 16 日,Adam Back 在巴黎区块链周公开反对 BIP-361,提出可选升级路线;同日,BitMEX Research 发布替代方案“金丝雀基金”提案,建议仅在量子攻击被实际证明发生时才触发冻结机制。
涉及资产规模
根据多方研究估算,当前全网比特币供应量中,约 34% 的资产其公钥已在链上暴露,面临量子攻击的直接威胁。具体而言:
早期 P2PK 地址中约存储着 170 万枚 BTC,包括被广泛认为属于中本聪的约 100 万至 110 万枚比特币,这部分资产的公钥永久公开于区块链上,是风险暴露程度最高的类别。
Jameson Lopp 进一步指出,约 560 万枚 BTC 已超过十年未移动,可能已永久丢失。若未来量子计算突破导致旧地址私钥被破解,这部分资产可能被重新转移,从而引发市场剧烈波动甚至系统性信心危机。
解剖风险:多少比特币暴露在量子火力之下
风险暴露的地址分类与量化
理解 BIP-361 所涉资产规模与结构,需要先厘清比特币地址格式的技术差异及其量子风险暴露程度。不同类型的地址在公钥暴露方式与保护机制上存在根本性差异,直接决定了其量子脆弱性等级。
| 地址类型 | 主要特征 | 公钥暴露方式 | 量子风险等级 | 预估涉及 BTC 量 |
|---|---|---|---|---|
| P2PK | 2009-2010 年早期格式 | 公钥永久记录于链上 | 最高——可被“先收集后解密”攻击 | 约 170 万枚 |
| P2PKH | 以“1”开头,哈希保护 | 仅在花费时短暂暴露 | 中等——需在 10 分钟内完成破解 | 数百万枚级别 |
| P2SH/P2WPKH | 以“3”或“bc1”开头,现代格式 | 仅在花费时短暂暴露 | 较低——与 P2PKH 类似 | 大量 |
| P2TR/P2MR | Taproot 及抗量子新格式 | 有限暴露或抗量子设计 | 最低——专门为后量子时代设计 | 极少 |
BIP-361 的三阶段迁移机制
BIP-361 提出了一套明确的渐进式迁移路线图,将量子安全升级转化为对每个持有者的“私人激励”——持有者若不主动升级,将在资产使用上承受越来越大的摩擦与限制,直至最终被网络完全拒绝。提案将迁移过程划分为三个递进阶段:
阶段 A:启动三年后,网络将禁止任何人向旧式量子脆弱地址发送新的比特币。持有者仍可从这些地址中花费资产,但无法接收任何新转入的资金。这一阶段的设计意图是堵住“增量风险”,防止新资金持续流入安全薄弱的地址类型。
阶段 B:启动五年后,旧式签名——即 ECDSA 与 Schnorr 签名——将在共识层面被完全废止。网络将拒绝任何从量子脆弱钱包中花费比特币的尝试。此时,未迁移资产实质上被冻结,无法再进行任何链上转移。
阶段 C:属于仍在研究中的救援机制。被冻结钱包的持有者可能通过零知识证明来证明其对私钥的掌控权,若验证成功,被冻结的资产将可恢复使用。该机制旨在为那些因长期未关注市场动态而错过迁移窗口的持有者提供最后的补救通道。
Google 与 Caltech 研究的关键数据
2026 年 3 月 30 日发布的 Google 量子人工智能白皮书,其核心结论具有颠覆性:破解比特币所使用的 256 位椭圆曲线离散对数问题,仅需约 1,200 个逻辑量子比特和不到 50 万个物理量子比特,整个破解过程可在数分钟内完成。
此前,行业主流估计认为破解比特币加密需要数百万甚至数千万个物理量子比特,时间跨度在十年以上。Google 白皮书将这一门槛降低了约二十倍,并明确指出:当一笔比特币交易广播至网络后,会在内存池中等待区块确认,平均等待时间约为十分钟。在此窗口期内,若攻击者拥有适配的量子计算设备,便可利用公开的交易公钥,在约九分钟内逆向推导出对应私钥,成功截取资金的概率约为 41%。
加州理工学院的研究则在中性原子架构上证明了 Shor 算法可在 10,000 至 22,000 个量子比特规模下运行至密码学相关水平。两条独立的技术路径——超导量子比特与中性原子量子比特——同时指向了更低门槛的破解可能,意味着量子威胁并非依赖于单一技术路线的“奇迹式”突破。
ARK Invest 与 Unchained 联合发布的白皮书则提出了五阶段演进框架,认为当前量子计算仍处于“第零阶段”——量子计算机存在但尚无商业价值,距离破解比特币 ECDSA 仍需跨越多个技术里程碑。该报告指出,比特币安全研究者近期将量子计算机在 2032 年前恢复私钥的概率评估约为 10%。
三派交锋:冻结、升级还是按兵不动
BIP-361 引发的争论在短短数日内形成了清晰的多方阵营,各方围绕比特币的治理哲学、安全边界与资产主权展开了深刻交锋。
宁可冻结也不让量子黑客得手
Jameson Lopp 作为提案的主要推动者,其立场在一段广为传播的表述中得到集中体现:相较于未来可能出现的量子计算攻击,他更倾向于将约 560 万枚长期沉睡的 BTC 从网络中冻结,而不是让它们落入攻击者之手。
Lopp 同时坦承,BIP-361 尚属草案阶段,并非即期可实施的成熟方案。他在社交平台上写道:“我知道大家不喜欢这个方案,我自己也不喜欢。我写出来是因为我更不喜欢另一个选择。”这一表述揭示了支持方立场的内核:BIP-361 并非理想方案,而是面对压缩中的量子威胁时间表所做的一项艰难权衡。
支持 BIP-361 的论点可以归纳为以下逻辑链:如果量子计算机提前突破,早期 P2PK 地址中的约 170 万至 560 万枚 BTC 可能被一次性破解并抛售,这将导致比特币价格剧烈崩盘,严重侵蚀网络信任基础;而主动冻结这些脆弱资产,则能将系统性风险控制在可预见范围内,使比特币得以平稳过渡至后量子时代。
强制冻结违背比特币核心原则
Adam Back 作为反对方最具代表性的人物,在巴黎区块链周提出了两条核心反对理由。第一,比特币社区具备对紧急漏洞作出快速协调响应的能力,没有必要在危机尚未实际发生时就预设一个强制冻结的时间表。第二,提前准备应当体现在抗量子技术方案的研发与部署上,而非体现在对用户资产处置权的剥夺上。Back 倡导的是一条“可选升级”路线——网络提供抗量子地址选项,用户自愿迁移,协议层不作强制干预。
社区层面的反对声音更为尖锐。加密货币意见领袖 Jimmy Song 于 2026 年 4 月 16 日公开表示,BIP-361 对他而言“完全不可接受”,但他同时表示希望看到支持者尝试将提案推向软分叉或硬分叉投票——“不是为了获取‘分叉红利’,而是我们需要看看这类事情会如何发展”。
TFTC 创始人 Marty Bent 用“荒谬”一词评价该提案。Metaplanet 的 Phil Geiger 则认为,在已有多年迁移窗口的前提下,人为干预是不必要的。部分社区成员将 BIP-361 定性为“专制”和“掠夺性”,认为它使部分未花费交易输出失效,违背了比特币网络不受审查、资产不可被任意冻结的根本哲学。
替代方案与第三方声音
BitMEX Research 于 2026 年 4 月 16 日发布了一项替代方案,试图在“盲目冻结”与“完全放任”之间寻找中间道路。该方案建议创建一个“信号金库”——使用“无意外数”生成一个任何人都不知道私钥的特殊地址。如果量子计算机真的具备了破解能力,理性的攻击者会优先尝试盗取这个公开悬赏地址中的资金。一旦该地址发生任何被动支出,即构成量子威胁真实存在的链上证据,从而自动触发对量子脆弱资产的全面冻结。
BitMEX Research 承认该方案增加了技术复杂性与执行风险,但考虑到“任何形式的冻结都极具争议”,通过这种条件触发机制来减轻冻结影响或许值得考虑。
Strategy 创始人 Michael Saylor 在此前的公开表态中认为,对比特币密码学的可信量子威胁可能还需要十年以上,任何有意义的突破都将提前被察觉,并引发全球数字系统的协调软件升级。
比特币政策研究所也在近期警告称,量子计算进展可能正在压缩网络升级的时间窗口,部分研究者预计具备密码学相关能力的量子计算机可能在 2029 年至 2035 年之间出现。
连锁反应:这场分裂将如何重塑行业版图
对网络共识机制的考验
BIP-361 引发的争论,其本质是比特币治理机制在面对前所未有的外部威胁时的一次压力测试。比特币作为去中心化网络,其升级决策需要开发者、矿工、节点运营者、用户和资本持有者等多个利益相关方的复杂协调。以往,比特币的升级辩论主要集中在扩容、隐私、智能合约等功能扩展领域——这些议题的紧迫性通常以年甚至十年为单位来衡量。而量子威胁将决策时间表压缩至一个相对紧迫的窗口:Google 建议的 2029 年截止日期距今不足三年。
这一压缩后的时间表对比特币的“慢治理”模式构成了前所未有的挑战。如果社区无法在有限时间内就量子安全升级路径达成共识,比特币将面临两种截然不同的风险情境:因过度干预而损害去中心化核心价值,或因应对不足而在量子攻击发生时遭遇系统性信任崩塌。
对市场与持有者行为的潜在影响
BIP-361 引发的讨论本身已开始影响市场参与者的行为模式。早期 P2PK 地址的持有者——尤其是那些被长期视为“中本聪资产”的约 110 万枚 BTC——正面临一个日益紧迫的抉择窗口:主动迁移至抗量子地址以规避未来可能的冻结风险,或选择观望并承担不确定性。
对交易所和托管服务商而言,量子安全迁移已从远期规划转变为近期运营考量。Google 白皮书发布后,领先的交易所和托管机构正在加速评估其冷热钱包架构中的量子脆弱性暴露程度,并开始规划向抗量子地址格式的渐进迁移路线。
从更广泛的行业视角看,BIP-361 之争正在催化整个加密行业对后量子密码学迁移的重视。不仅比特币,以太坊、Solana 等主流公链同样面临相似的量子威胁,而比特币作为市值最大的加密资产,其应对路径的选择将为整个行业树立先例。
对后量子密码学研发的加速效应
BIP-361 之争的一个积极副作用是显著加速了后量子密码学在比特币生态中的研发与测试进程。BIP-360 从理论提案到测试网部署仅用了一个月时间,这一速度在比特币生态中极为罕见。BTQ Technologies 在比特币量子测试网上部署的 BIP-360 实现,已为抗量子地址格式的工程可行性提供了初步验证。
与此同时,格基密码学、哈希签名等后量子密码学方向的研究投入正在明显增加。如果 BIP-361 引发的争议能够推动社区在更短周期内达成对量子安全升级的共识框架,那么这场争论本身就将成为比特币网络韧性的重要证明。
结语
BIP-361 之争的深层意义,远不止于一份技术提案的存废。它揭示了比特币网络在十五年的演化过程中从未真正面对过的一类挑战:当外部威胁的演进速度超越了内部治理的决策速度,去中心化系统如何在“安全”与“自由”这两个核心价值之间做出取舍。
Jameson Lopp 代表了一种“预防性干预”的思维——承认去中心化治理的缓慢属性,因而主张在危机尚处可控阶段时采取主动行动。Adam Back 则代表了一种“信任网络弹性”的思维——相信比特币社区在面对真实危机时的协调能力,因此拒绝在危机未发生时预设一个可能损害核心价值的强制方案。
两方的分歧并非对错之辨,而是对比特币未来韧性来源的不同判断。Lopp 担忧的是,如果不提前行动,量子黑客可能成为比特币的“终极掠夺者”;Back 担忧的是,如果提前行动的方式是协议层强制冻结,比特币可能失去其区别于传统金融系统的最本质属性。
无论 BIP-361 最终能否获得社区共识,这场辩论本身已产生了不可逆的积极影响:它将量子安全从学术论文和远期预测中拉入了比特币社区的主流议程,迫使每一个参与者——开发者、矿工、交易所、机构持有者和普通用户——正视一个此前被选择性忽略的问题。后量子密码学的研发正在加速,抗量子地址格式正在从概念走向测试网验证,交易所和托管商正在重新审视其资产架构的安全性假设。这些变化的发生,很大程度上归功于 BIP-361 所引发的这场“必要的分裂”。
对于比特币持有者而言,当前最重要的事情或许不是急于在 Lopp 与 Back 之间选边站队,而是理解这场争论所揭示的核心信息:量子计算不再是科幻小说中的遥远威胁,它正在以超出多数人预期的速度向现实逼近。如果你持有比特币——尤其是存储在较旧地址格式中的比特币——密切关注量子安全升级的进展、了解抗量子地址的迁移方法,将是未来数年内每一位负责任的持有者无法回避的课题。
