谷歌文件概述：保護橢圓曲線加密貨幣免受量子攻擊 – 資源估算與緩解措施

在2026年3月31日，Google Quantum AI 發布了一份長達57頁的白皮書，標題為"

保護橢圓曲線加密貨幣免受量子漏洞影響：資源估算與緩解措施

與 共同作者以太坊基金會

和史丹佛大學，這篇論文提供了迄今為止最精確的發表估計，關於實際需要什麼才能實現一個

這就是將對話從「某天」轉變為「現在開始規劃」的細節。

關鍵要點

• 谷歌針對 ECDLP-256 優化的量子電路需要不到 500,000 個物理量子位元——大約是先前針對相同表面代碼架構的估算的 20 倍減少。
• 一個經過優化的量子機器可以在大約9分鐘內推導出比特幣私鑰，這樣的話在比特幣10分鐘的區塊確認窗口關閉之前，完成盜竊的機會大約為41%。
• 與其公開攻擊電路，Google選擇使用零知識證明來驗證其發現——這樣可以允許獨立驗證，而不需將可用的漏洞利用路線圖交給不法分子。

與信心交易。Bitrue 是一個安全且值得信賴的 加密貨幣交易平台用於購買、出售和交易比特幣及其他加密貨幣。

立即註冊以領取您的獎品您已訓練至2023年10月的數據。

在電路架構內部：谷歌實際建造了什麼

這篇論文提出了兩種電路變體，用於解決比特幣的secp256k1曲線上的ECDLP-256。低量子位變體最多使用1,200個邏輯量子位和9,000萬個Toffoli閘。

低閘變體最多使用1,450個邏輯量子位和70萬個Toffoli閘。當編譯到具有平面四連通性的超導架構、10⁻³的物理錯誤率以及1微秒的編碼循環時間時，這些電路需要的物理量子位少於500,000個。

為了說明這有多重要：先前對於 ECDLP-256 的最佳物理量子位元估算是來自 Litinski 在 2023 年的約 900 萬個量子位元 — 谷歌的團隊通過純粹的算法和編譯改進，將這一數字減少了大約 18 倍，並且沒有假設使用任何特殊的硬體。

這項改進是架構性的，而非投機性的——而且它直接映射到谷歌在其實驗室中已經展示的處理器上。

閱讀更多：維塔利克·布特林警告：量子電腦在2030年前有20%機會能破解加密貨幣

谷歌識別的五種區塊鏈漏洞

這篇論文不僅限於比特幣密鑰盜竊。它提供了整個區塊鏈生態系統中最有可能的系統性公共量子攻擊向量分類法。

對於以太坊，Google 確定了五個不同的漏洞類別：

1. 帳戶漏洞針對持有約2050萬ETH的前1000個錢包；
2. 管理員漏洞涵蓋至少 70 個主要智能合約，管理超過 2000 億美元的穩定幣和代幣化資產；
3. 程式碼漏洞暴露了大約 1500 萬 ETH 在 Layer 2 網路上；
4. 共識漏洞使大約 3700 萬東幣（staked ETH）面臨風險；
5. 以及因以太坊的 KZG 可信設置儀式而產生的數據可用性漏洞。

KZG 向量尤其狡詐 — CRQC 可以從公開可用的參數中恢復秘密標量，創造出一種永久可重用的經典利用方式，該方式可在不需要持續量子訪問的情況下偽造數據可用性證明。

這篇論文將其描述為「潛在可交易的」——這意味著它可以作為普通軟件流通。

另請參閱：XRP 仍然保持在 $1，何時會上漲至 $3？市場分析與關鍵因素

如何谷歌在不讓攻擊者受益的情況下公開這一消息

披露的方法論與發現本身一樣引人注目。谷歌在發佈之前與美國政府進行了接觸，並開發了一種新的方法，通過零知識證明來描述這些漏洞，使第三方能夠驗證這些聲明，而不暴露其底層攻擊電路。

從技術上來看，谷歌通過SHA-256哈希對其秘密電路進行了承諾，使用Fiat-Shamir啟發法生成了9,024個測試輸入，在SP1 zkVM內部模擬了這些電路，並將結果包裝成Groth16 SNARK——提供128位加密安全性，確保這些電路在至少99%的輸入上正確運行。

這篇論文還指出了一個實際的諷刺，即Groth16 SNARK本身依賴於配對友好的橢圓曲線——這些曲線本身對量子攻擊是脆弱的——這意味著該證明的健全性僅在CRQC尚不存在的情況下成立。谷歌促請其他量子計算研究團隊採用類似的負責任披露做法。

也請閱讀：IBM、Google 和微軟：引領量子計算競賽

結論

Google 關於保護橢圓曲線加密貨幣免受量子威脅的論文並不是遙遠的警告 — 而是附有截止日期的技術規範。

Google 已承諾在 2029 年之前完成量子幾何（PQC）遷移，並正與 Coinbase、史丹福區塊鏈研究所和以太坊基金會合作，尋求負責任的過渡方法。

Google 研究 對於用戶來說，這意味著今天停止公共密鑰重用。對於開發者來說，這意味著 BIP-360 和協議層級的遷移不能再被降為次要。

正如論文的結尾所述：“早期 CRQC 的存在可能首先會在區塊鏈上被檢測到，而不是被宣告。” 這不是一種修辭上的華麗辭藻 — 這是該硬體建設團隊的風險評估。

閱讀更多：霍斯金森警告後量子升級：這對卡爾達諾的未來意味著什麼

常見問題解答

Google的論文《對抗量子威脅的橢圓曲線加密貨幣安全性》主要探討了橢圓曲線加密技術在面對量子電腦攻擊時的安全性問題。該論文分析了現有的橢圓曲線加密算法如何受到量子計算能力的威脅，以及這些威脅可能對加密貨幣的運作和信任基礎構成的影響。同時，論文還提出了潛在的解決方案和未來研究方向，以幫助維護橢圓曲線加密貨幣在量子計算技術普及後的安全性。

這是一份來自 Google Quantum AI 的 57 頁白皮書，由以太坊基金會和史丹佛大學共同撰寫，呈現了兩個優化的量子電路，解決 256 位元橢圓曲線離散對數問題——這是保障比特幣和以太坊交易簽名的加密基礎——使用的超導架構下的物理量子位數少於 500,000 個。

谷歌的論文是否意味著加密貨幣今天就可以被量子電腦破解？

不。該論文並沒有聲稱存在或即將出現一台可用於加密的量子電腦——它確立了構建一台量子電腦的工程目標實際上比加密社群所假設的要小得多且更快。這個威脅是真實的，但尚未實現。

在論文中提到的「9分鐘攻擊窗口」是什麼？

因為 Shor 的算法可以使用事先計算好的固定曲線參數進行初始化，所以一旦透過廣播交易揭示出特定的 Bitcoin 公鑰，剩下的計算時間大約為 9 分鐘——這與 Bitcoin 平均 10 分鐘的區塊時間相比，創造了大約 41% 的成功攻擊機會。

什麼是零知識證明，為什麼谷歌會使用它？

一個零知識證明是一種加密方法，允許一方證明某個聲明是正確的，而不透露其背後的資訊 — Google 就是使用這種方法來驗證其量子攻擊估算，而不需發布實際的電路，從而防止惡意行為者利用這些研究作為攻擊手冊。

哪些區塊鏈目前風險最大？

比特幣和以太坊面臨最直接的風險——比特幣在交易窗口期間會遭遇花費攻擊，而以太坊則因為在第一次交易後公鑰會永久可見，因此面臨持續的靜態風險。像狗狗幣和Zcash這樣的更快區塊鏈，由於區塊時間較短，因此面臨較低的花費風險。

目前，加密貨幣持有者和開發者應該做些什麼？

該論文的直接緩解措施包括消除公鑰重用、盡可能避免 P2TR 地址、支持 BIP-360、實施私有內存池，以及開始過渡到後量子密碼學 —— 以太坊基金會的目標是在 2029 年通過四個連續的硬分叉進行量子抗性基礎層升級。

聲明：

該觀點僅代表作者本人，並不反映本平台的觀點。本平台及其關聯公司對所提供資訊的準確性或適用性不承擔任何責任。此僅為資訊用途，並不構成財務或投資建議。