比特幣量子安全啟動實作階段：BIP-360 推出 P2MR 新輸出型別、移除塔普魯特金鑰路徑花費

比特幣(Bitcoin)社群對「*量子安全*」的討論，正從概念層面走向實際「*程式碼*」與「*協議規格*」。為了降低未來被「*量子電腦*」破解私鑰的風險，新定義輸出型別的「*比特幣改進提案*」BIP-360 最新草案，已正式合併進比特幣官方 BIP 儲存庫。這份提案的核心，是在延續「*塔普魯特(Taproot)*」優點的前提下，移除在量子威脅模型中被視為最薄弱環節的「*金鑰路徑花費(key-path spend)*」。

研究導向平台「安杜羅(Anduro)」目前在 Marathon Digital Holdings(馬拉松數位控股, MARA) 旗下孵化。安杜羅透過 X（原推特）說明，此次更新引入一種名為「*支付至默克爾根(Pay-to-Merkle-Root, P2MR)*」的全新輸出型別，「將移除塔普魯特中被視為量子脆弱點的金鑰路徑花費，但保留 *Tapscript* 與腳本樹(script tree) 的相容性」。換句話說，*P2MR* 提供與塔普魯特相近的功能，但主動切除對量子攻擊較為敏感的那條金鑰路徑。

根據 BIP-360 文檔，該提案被歸類為「*共識層（軟分叉, soft fork）*」變更。技術上，P2MR 被定義為新一代「*隔離見證(SegWit) v2*」輸出型別。現行的「*支付至塔普魯特(Pay-to-Taproot, P2TR)*」是對「調整後(tweaked) 公鑰」進行承諾，而 P2MR 則改為直接對「*腳本樹的默克爾根*」承諾，完全不再依賴公開金鑰。實務差異非常明確：P2MR 輸出只能透過「*腳本路徑(script-path) 花費*」，原本塔普魯特提供的「金鑰路徑花費」在此設計中將被完全移除。

提案摘要將目標描述為：「在*變更範圍最小化*的前提下，為希望獲得額外防護的使用者提供一個可選方案。」文件寫道：「本文件透過軟分叉機制，提出一種新輸出型別 *P2MR(Pay-to-Merkle-Root)*。除移除金鑰路徑花費外，P2MR 與 P2TR(支付至塔普魯特) 在功能上高度相似。」也就是說，提案試圖保留原有塔普魯特腳本樹的靈活性，同時去除長期暴露風險較高的金鑰路徑，以縮小整體「*量子攻擊面*」。

BIP-360 對其要防禦的「*威脅模型*」也給出更具體的定義。文中指出，P2MR 主要針對「*具密碼學意義的量子電腦(CRQC)*」發動的「*長期暴露(long exposure) 攻擊*」提供防護，這類攻擊專門鎖定在鏈上長時間暴露的公開金鑰。同時，文件也預留空間，考慮未來可能出現的新型「*密碼分析技術*」足以破解比特幣目前採用的「*橢圓曲線密碼學(ECC)*」。即便量子運算尚未全面商用，提案希望先提供一個結構上「*可選擇加入(opt-in)*」的風險緩解工具。

為了釐清範圍，文件進一步將威脅分為「*長期暴露(long exposure)*」與「*短期暴露(short exposure)*」兩類。長期暴露攻擊，指的是針對像地址這樣，公開金鑰長時間顯示在區塊鏈上的情境；短期暴露攻擊，則是假設攻擊者在交易被打包進區塊前，於「*記憶池(mempool)*」短時間看到公開金鑰，就能在區塊確認前完成私鑰破解的極端場景。BIP-360 明確表示：「P2MR 僅對長期暴露攻擊提供抵抗力。」換言之，即便導入 P2MR，比特幣仍無法一次解決所有可能的「*量子威脅*」。

文件進一步寫道：「*P2MR 輸出僅對暴露時間長於交易被打包進區塊所需時間的金鑰，提供抗長期暴露攻擊的保護*。」隨後補充：「若要防禦能在短暫記憶池暴露期間，即自公開金鑰導出私鑰的高階量子攻擊（*短期暴露攻擊*），比特幣可能需要引入『*後量子(Post-Quantum) 簽名*』。」BIP-360 作者指出，這部分尚需額外研究，未來將以獨立提案方式提出。評論：這也顯示此次 BIP-360 更像是「量子風險管理」的*第一階段工程*，而非最終解答。

正因採取「*分階段量子防護*」的視角，P2MR 對「*Tapscript 相容性*」格外重視。提案刻意將 P2MR 定位成「*未來擴充用的腳本樹輸出型別*」。若未來比特幣要在協議層級加入「後量子簽名相關 opcode」，以 Tapscript 為基礎的 P2MR 架構，預期會比既有舊式腳本提供更順暢的升級路徑。換句話說，*P2MR 不只是防禦工具，也被設計成未來安全升級的踏腳石*。

安杜羅方面也再次強調，這是一項透過「*軟分叉*」實現的改動，不會衝擊現有塔普魯特輸出。P2MR 並非修改既有以「bc1p」開頭的塔普魯特 UTXO，而是新增一種全新輸出型別。按提案內容，未來 P2MR 地址在「*bech32m 編碼*」下將以「*bc1z*」開頭。對使用者而言，這讓塔普魯特資產與 P2MR 資產能一目了然地區分；對錢包與服務商而言，也能選擇性逐步支援，採取漸進式導入策略。

這項設計並非沒有代價。塔普魯特的一大優勢，是藉由金鑰路徑花費提供「*最精簡的見證(witness)*」資料。根據 BIP-360 估算，P2MR 的「*最小見證大小*」將比塔普魯特金鑰路徑見證多出約 37 位元組(Byte)。不過，若與同條件的「*腳本路徑花費*」相比，P2MR 由於可在控制區塊(control block) 中省略「內部公鑰(internal public key)」，反而有機會縮減尺寸。整體來看，P2MR 是在放棄「金鑰路徑」這條最省空間路線的同時，盡量優化「*腳本路徑*」效率的折衷方案。

在「*隱私*」層面，P2MR 也帶來結構性變化。塔普魯特的一項重要優點，是當使用者採用金鑰路徑花費時，外界無法從鏈上看出其是否使用了腳本樹。而在 P2MR 下，所有花費都必須透過腳本路徑進行，這代表「*該輸出源自腳本樹*」這一事實，必然會在鏈上暴露。對於希望最大限度減少「*交易中繼資料(metadata)*」外洩的使用者而言，這是一項實質劣勢。評論：未來社群勢必得在「量子安全」與「隱私／效率」之間，重新定義可接受的平衡點。

安杜羅表示，此次更新也等於回應外界過去對比特幣開發圈「*不夠重視量子威脅*」的批評。同時，為了讓一般使用者與投資人也能理解 BIP 文檔內容，本次版本新加入共同作者 Isabel Foxen Duke（伊莎貝爾·福克森·杜克），協助以較平易近人的方式詮釋技術細節。這反映出開發社群有意將「*量子風險*」從內部技術討論，拉到更廣泛的市場與公眾視野。

目前，BIP-360 仍處於「*草案(Draft)*」階段。不過，該提案已被合併進比特幣官方 BIP 儲存庫，本身就是一個具程序意義的「*里程碑*」。這意味著，量子安全的討論已從郵件列表與論壇上的抽象辯論，進一步具體化為「*實際共識變更*」選項。接下來，錢包、函式庫及驗證節點軟體開發者，將能就具體程式碼逐行審視，評估其「*風險、成本與實作可行性*」。

未來討論焦點，很可能會集中在：「*像 P2MR 這樣的 opt-in 選項，是否足以應對量子風險？*」市場需判斷，單純在協議中增設若干「*可選防護工具*」，是否就足以讓比特幣的安全設計在長期內保持前瞻性，抑或最終仍需面對「*引入後量子簽名*」與「*大規模資產遷移*」的艱鉅現實。特別是，若數百萬枚比特幣(BTC) 需要在新舊體系間遷移，所牽涉的「*營運風險與治理爭議*」，恐怕將遠超過純技術層面，也會是市場高度關注的重點。

撰稿時，比特幣(BTC) 報價約 66,558 美元（約新臺幣 9,606 萬元）附近震盪。即便與短期價格走勢無直接關聯，像 BIP-360 這類針對「*量子安全*」的協議提案，象徵比特幣為維持「*數位黃金*」敘事，正啟動新一輪「*長期技術升級*」討論。儘管各方對量子電腦真正商用的時間表看法分歧，比特幣網路內部的共識，正逐步從「*恐懼*」轉向「*預先準備（Prepared, not scared）*」，這一態度轉變本身，或將成為未來數年加密貨幣安全架構演進的關鍵基調之一。