Google 量子電腦研究示警：比特幣(BTC)橢圓曲線加密安全門檻下修 20 倍、Mempool 攻擊成功率恐達 41%

比特幣(BTC)的「安全結構」正面臨「量子電腦」帶來的現實威脅。近期 Google 旗下「Quantum AI」研究團隊發表最新成果，將過去僅停留在理論層面的攻擊模型，具體化為可量化的時間與資源門檻，讓市場對「量子威脅」的警戒明顯升溫。

根據該研究，報告指出現行比特幣所採用的「橢圓曲線加密(ECC)」在足夠成熟的「量子電腦」面前，將不再具備同等安全性。比特幣每一個錢包都依賴一組「私鑰」與「公鑰」組合運作：

私鑰是極難被破解的隨機大數字，公鑰則是透過特定數學運算，由私鑰推導而來。這個過程可視為一種「單向函數」，核心特點在於：由公鑰「反推」私鑰，在傳統電腦上幾乎做不到。

技術上，這種關係可寫成「K = k × G」：

k 為私鑰，K 為公鑰，G 為預先定義的基準點。現有計算能力下，嘗試從 K 推回 k，所需時間被估算為遠超「宇宙年齡」的等級，這也是支撐比特幣(BTC)安全性的「底層機制」。

「量子電腦」則可能改寫這套遊戲規則。關鍵在於 1994 年提出的「*Shor 演算法*(Shor’s Algorithm)」。這套演算法能在「量子電腦」上高效處理「離散對數問題」，將原本在傳統電腦上幾乎無法完成的計算，壓縮到「實際可執行」的時間範圍內。

Shor 演算法充分利用量子計算的三大特性：「*疊加*」、「*糾纏*」、「*干涉*」。透過同時探索大量可能解，並利用量子干涉將正確答案放大、錯誤結果相互抵消，最終快速收斂至私鑰。若這套流程在真實世界可行，就等同於撕開比特幣錢包的「核心防線」。

目前這類攻擊尚未發生的主要原因，在於「硬體限制」。穩定、可控制、誤差率足夠低的「量子位元(量子比特，qubit)」仍非常難以大量取得。過去學界與產業界普遍預估，若要對比特幣這類「橢圓曲線加密」發動攻擊，至少需要數百萬顆「物理量子位元」，門檻極高。

然而，今年 4 月初，Google「Quantum AI」團隊發表的一項研究，將這個門檻大幅下修。根據該成果，包含以太坊基金會研究員 Justin Drake（저스틴 드레이크）與史丹佛大學學者 Dan Boneh 等專家共同參與分析後認為：

若採用為比特幣橢圓曲線特別優化的「量子電路設計」，可能在「不到 50 萬顆物理量子位元」的情況下就能執行有效攻擊，與先前估計相比，門檻大約降低「20 倍」左右。

研究團隊設計出一套針對比特幣使用的「橢圓曲線」量身打造的量子電路，粗略需求為約「1,200 至 1,450 顆邏輯量子位元」，並搭配數千萬級別的「*Toffoli Gate*」運算。由於量子計算在實作上必須引入大量「誤差校正」機制，實際所需的「物理量子位元」數量，會是邏輯量子位元的多倍擴張，最終需求落在數十萬等級。

其中，最引發市場討論的是「攻擊所需時間」。Google 團隊發現，攻擊流程中有「相當比例」的計算可事先完成，也就是說，攻擊者可以在目標尚未出現前，就先將一半以上的量子計算準備好，一旦目標公鑰在網路上出現，只要執行最後一段計算即可完成破解。

根據該模型推算，這個「收尾階段」約可壓縮到「9 分鐘」左右。而比特幣(BTC)區塊的理論平均出塊時間為「10 分鐘」。兩者時間差距極小，意味著在部分情境下，攻擊者理論上有機會在交易被區塊鏈「最終確認」之前，先行推算出私鑰並奪取資金。

這種攻擊模式常被稱為「*Mempool 攻擊*」。當使用者發起交易時，公鑰會隨著交易資訊在網路節點間廣播，並暫時停留在「未確認交易池(Mempool)」中。如果量子攻擊者能在這段短暫延遲期間內完成私鑰推導，就有機會在合法交易被鏈上確認前，構造惡意交易搶走資產。相關模型估算，這類攻擊在理想條件下成功率可能來到約「41%」。

不過，真正讓安全社群憂心的，反而是「已經曝光公鑰」的比特幣資產。估計目前約有「690 萬枚比特幣」的公鑰是已經在鏈上公開的，約占「整體供給量的三分之一」。這類資產對量子攻擊而言風險更高，因為攻擊者不再受到「10 分鐘區塊時間」的限制，可以「離線、無時間壓力」地進行破解。

再加上 2021 年比特幣啟用的「Taproot 升級」之後，新型地址在設計上更容易讓公鑰結構在鏈上顯露；而舊格式地址一旦產生交易，也會暴露公鑰。長期來看，「只要曾經發生過轉帳的比特幣」，在「量子電腦」成為實用技術後，理論上都會成為「潛在攻擊目標」。

評論

當前的比特幣(BTC)安全性仍然非常高，「量子電腦」可用來大規模攻擊公鑰加密的條件，距離實際落地仍有明顯技術差距。從誤差率控制到量子糾錯，再到量子硬體規模與穩定性，現階段都還在「研發與實驗」階段。然而，本次 Google「Quantum AI」研究顯示，「所需資源門檻」正持續被往下修正，過去被視為「理論上的遠未可及」，如今開始有了「中長期可規劃」的輪廓。

對比特幣(BTC)及整體區塊鏈而言，「量子抗性(抗量子加密)」勢必會成為未來數年內的重要議題，包括：

* 是否與何時引入「抗量子簽名方案」

* 如何為已暴露公鑰的既有資產提供遷移路徑

* 區塊鏈共識與地址格式如何平滑過渡至「後量子」架構

綜合而言，當前比特幣(BTC)尚未出現立即性風險，但「量子電腦」的進展，已足以迫使產業在協議設計與安全標準上進入「預備期」。如何在不破壞現有生態運作的前提下，逐步導入「抗量子」機制，將決定未來十年公鏈體系能否在新一輪運算革命下維持其「可信中立」與「資產安全」的核心價值。