币圈一直有个终极都市传说：中本聪那几个装了上百万枚比特币的创世钱包，到底会不会有一天被人给端了？

过去十几年，大家的共识是：只要中本聪本人不打破长达十几年的沉寂，又或者他没把私钥不小心留给后人，这些币就是绝对安全的。因为保护它们的底层密码学（ECDLP-256）极其坚固，哪怕是用传说中的量子计算机去暴力破解，估计也得等上个几十年。

但就在最近，谷歌量子AI团队（Google Quantum AI）扔出了一份核弹级的白皮书，直接把整个加密世界的安全感按在地上摩擦。

01. 不到50万个量子比特与致命的9分钟

谷歌的研究员们没有搞什么虚头巴脑的理论预测，而是直接甩出了硬数据：别等几十年了，想要砸开比特币和以太坊的底层密码锁，根本不需要什么动辄上千万量子比特的科幻级量子计算机。仅仅需要不到50万个物理量子比特，就能搞定。

这比行业之前最悲观的预期，还整整缩减了20倍。

更让人后背发凉的是他们算出的“作案时间”——大约9分钟。

在币圈待过的人都知道，9分钟意味着什么。

比特币网络平均每10分钟才出一个块。也就是说，当你发起一笔转账，交易还在内存池（Mempool）里排队等矿工打包的时候，一台高速运转的超导量子计算机完全可以利用这9分钟的“时间差”，瞬间反推出你的私钥。

然后，黑客只需要用更高的手续费发起一笔伪造交易，就能在矿工打包前直接把你的币“截胡”——这在报告里被称为“On-Spend（支付中）攻击”。

也就是说，你发个朋友圈的功夫，钱在半路就被人劫走了。

图｜量子攻击速度与网络波动的竞赛。展示了使用超导量子比特CRQC进行“支付中（on-spend）”量子攻击（约需9分钟推导出私钥）在比特币（平均出块时间10分钟）、莱特币（2.5分钟）、Zcash（75秒）和狗狗币（1分钟）上的成功概率。此图假设目标交易需要一个数字签名（例如P2WPKH），并且公钥几乎立即被传送给攻击者；一旦被破解（大约在第9分钟），攻击者可以通过向矿工提供更高的手续费成功插入“伪造”交易，从而取代原始交易（这些假设对攻击者非常有利）。但研究同时也假设网络拥堵为零，这有利于合法的加密货币发送者。在实际操作中，攻击者可以通过向内存池（mempool）发送大量高额手续费的交易来人为制造拥堵。（来源：谷歌）

02. 两大加密货币的裸奔状态

如果你觉得“我不转账就不怕截胡”，那格局还是小了。

谷歌在报告里详细盘点了另一种更狠的“偷家”姿势：针对长期趴在账上的静态资产发起的“At-Rest（静态）攻击”。

首当其冲的就是比特币的远古巨鲸们。

像中本聪时代的 P2PK 格式地址，公钥是完全“裸奔”在区块链上的，目前有超过170万枚比特币处于这种任人宰割的状态。

再加上那些图省事、反复重复使用同一个地址的用户，加起来大概有将近700万枚比特币正暴露在量子攻击的射程内。

图｜按协议类型划分的比特币供应量随时间的演变。各协议中受量子威胁的资产余额以阴影区域显示。P2PK、P2TR和P2MS被视为100%存在漏洞。对于其余的脚本类型，如果（地址曾出现在输入中）且（目前在未花费输出中持有余额），则因密钥重用而被视为存在漏洞。在P2SH和P2WSH的情况下，研究做了一个简化的假设，即如果有人攻破了脚本，最终就等同于能够窃取比特币（在极少数情况下可能并非如此）。在撰写研究时，所有协议中约有690万枚比特币容易受到攻击。（来源：谷歌）

以太坊这边的情况更是一言难尽。因为以太坊采用的是“账户模型”，你只要发起过一次交易，公钥就永久公开了。

谷歌一算，仅仅是以太坊排名前1000的富豪地址里，就有2050万枚以太币（ETH）随时可以被攻破。

不仅如此，以太坊上还跑着无数的智能合约、跨链桥和稳定币，这些合约大多由几个“管理员密钥”控制。量子计算机都不需要去挨个偷散户的钱，只要花不到15个小时破解掉一个高权重管理员的密钥，就能直接增发高达两千亿美元的稳定币，或者瞬间抽干跨链桥的流动性。

这已经不是偷钱了，这是直接掀桌子，让整个 DeFi（去中心化金融）生态瞬间清零。

图｜排名前1000的以太坊账户（按ETH余额划分）的账户漏洞。该图展示了按价值排名的前1000个以太坊账户的ETH余额。图中橙色表示已发起过交易的账户，因此极易受到“静态（at-rest）”攻击；灰色账户则表示尚未发起过交易（相对安全）。仅在此列表中，受漏洞威胁的账户资产总和就约为2050万枚ETH。（来源：谷歌）

03. 我有钥匙，但绝不给你看

面对这么大的雷，谷歌的处境极其尴尬。

安全圈有个老规矩：发现漏洞得公开。但问题是，这次的漏洞是整个数字经济的底层基石，没法像修电脑Bug一样打个补丁就完事。

如果谷歌把破解的详细量子电路图全发出来，那等于是给全世界的黑产乃至敌对国家发了一本《手把手教你掏空比特币》的说明书。

但如果什么都不说，大家又会觉得你在吹牛，加密市场甚至会因为没有实锤的流言而陷入疯狂的恐慌。

为了不引发连环大爆仓，谷歌玩了一手极其高级的技术平衡术——零知识证明（Zero-Knowledge Proof）。

简单来说，谷歌把这套能砸开金库的公式放进了一个密码学黑盒子里，全世界任何第三方都可以通过一套名叫 SP1 zkVM 的前沿程序去验证这个结果。

验证结果显示：是的，谷歌确实掌握了这把钥匙，数据全是真的。但是，谷歌绝不向任何人展示这把钥匙的底层电路到底长什么样。

这就好比谷歌开了一场发布会，当着所有人的面把世界上最复杂的魔方在1秒内复原了，然后把手往兜里一插：“我证明了我能做到，但我绝不告诉你我是怎么拧的。”

可以说，如同谷歌官方发文，这是一种极其克制、又极具压迫感的“负责任的披露”。

04. 一场必须赢的赛跑

那么，加密世界就只能原地等死吗？

当然不是。解药其实大家心里都清楚：全面迁移到“抗量子密码学”。目前，像 Algorand 等一些公链已经开始在真实网络中测试并部署抗量子签名了。

但最大的麻烦在于那些“拔剑四顾心茫然”的沉睡资产。

比如中本聪大概率已经丢失了私钥，那上百万枚比特币永远无法主动迁移到安全的抗量子地址里。等量子计算机真正上线的那天，这些无主巨款谁先破解就是谁的。

为了防止这些钱落入黑产手里，谷歌在白皮书里跟各国政府和开发者社区支起了招：要么社区达成共识，赶在量子危机爆发前直接通过协议硬分叉把这些沉睡的币“烧掉”；要么搞个合规的“数字打捞（Digital Salvage）”侧链（Bad Sidechain），像打捞海底沉船一样，让有能力的人在政府监管下把这些钱捞出来，纳入正规经济的税收体系。

看完谷歌的这篇白皮书，最大的感受不是科幻，而是一种极其真切的紧迫感。

过去，量子威胁像是悬在头顶的剑，知道它在，但总觉得线还很粗。现在，谷歌不仅量出了这根线的粗细，还精准预言了它断裂的倒计时——他们正联合行业巨头，把带头应对这场危机的节点定在了2029年。

看来，留给整个加密世界“换锁”的时间，真的，不多了。

引用：

[1]https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/

[2]https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf

-End-