首頁

BIP-360解讀：比特幣首次邁向量子防禦，但為何只是「第一步」？

閱讀本文需 16 分鐘

本文闡述 BIP-360 如何重塑比特幣的量子防禦策略，分析其改進之處，並探討其為何尚未實現全面的後量子安全。

原文标题：比特币的量子升级路径：BIP-360 的变化及其内容

原文来源：Cointelegraph

原文编译：AididiaoJP，Foresight News

核心要点

· BIP-360 首次将量子抗性正式纳入比特币的升级路径，标志着一次谨慎、渐进式的技术发展，而非一次性的密码体系转变。

· 量子风险主要威胁已暴露的公钥，而非比特币所采用的 SHA-256 哈希算法。因此，减少公钥暴露成为开发者重点关注的核心安全问题。

· BIP-360 引入了支付到默克尔根（P2MR）脚本，通过移除 Taproot 升级中的密钥路径花费功能，强制所有 UTXO 的花费都必须经由脚本路径，从而最大程度地减少椭圆曲线公钥的暴露风险。

· P2MR 保留了智能合约的灵活性，仍通过 Tapscript Merkleized Abstract Syntax Tree (MAST) 支持多重签名、时间锁定和复杂的托管结构。

比特币的设计理念使其能够抵御严峻的经济、政治和技术挑战。截至2026年3月10日，其开发团队正在应对一项新兴的技术威胁：量子计算。

最近提出的比特币改进建议书360号（BIP-360）首次将量子抗性正式纳入比特币的长期升级路径中。尽管部分媒体报道倾向于将其描述为一次重大变革，但实际情况更为谨慎和渐进。

本文将深入探讨BIP-360如何通过引入支付到默克尔根（P2MR）脚本，移除Taproot的密钥路径花费功能，从而降低比特币的量子风险敞口。本文旨在阐明该提案的改进之处、引入的权衡因素，以及它为何尚未能使比特币实现完全的后量子安全。

量子计算对比特币的威胁来源

比特币的安全性建立在加密基础之上，主要包括椭圆曲线数字签名算法（ECDSA）以及通过Taproot升级引入的Schnorr签名。传统计算机无法在合理时间内从公钥逆向推导出私钥。然而，一台拥有足够强大能力的量子计算机如果运行Shor算法，则有可能破解椭圆曲线离散对数问题，进而威胁私钥安全。

關鍵區別如下：

· 量子攻擊主要威脅公鑰密碼系統，而非雜湊函數。比特幣採用的 SHA-256 算法在量子計算面前相對穩健。格羅佛算法僅能提供二次方的加速效果，而非指數級加速。

· 真正的風險在於公鑰在區塊鏈上被公開的時刻。

基於此，社區普遍將公鑰暴露視為最主要的量子風險來源。

2026 年比特幣的潛在脆弱點

比特幣網路中的各類地址類型，面臨的未來量子威脅程度不盡相同：

· 重複使用的地址：當資金從該地址被花費時，其公鑰便在鏈上公開，一旦未來出現密碼學相關量子計算機（CRQC），該公鑰將面臨風險。

· 遺留的支付到公鑰（P2PK）輸出：早期的比特幣交易直接將公鑰寫入交易輸出中。

· Taproot 金鑰路徑花費：Taproot 升級（2021 年）提供了兩種花費路徑：一種是簡潔的金鑰路徑（花費時會暴露一個經過調整的公鑰），另一種是腳本路徑（通過默克爾證明暴露具體腳本）。其中，金鑰路徑是量子攻擊下最主要理薄弱點。

BIP-360 正是直接針對金鑰路徑暴露問題而設計。

BIP-360 的核心內容：引入 P2MR

BIP-360 提案新增了一種名為支付到默克爾根（P2MR）的輸出類型。該類型在結構上借鑒了 Taproot，但做出了一項關鍵性改動：徹底移除了金鑰路徑花費選項。

與 Taproot 承諾一個內部公鑰不同，P2MR 僅承諾腳本樹的默克爾根。花費 P2MR 輸出的流程為：

揭示腳本樹中的一個葉子腳本。

提供一個默克爾證明，以證實該葉子腳本隸屬於被承諾的默克爾根。

整個過程中，不存在任何基於公鑰的花費路徑。

移除密鑰路徑花費帶來的直接影響包括：

· 避免因直接進行簽名驗證而暴露公鑰。

· 所有花費路徑均依賴於抗量子性更強的基於雜湊的承諾。

· 長期存在於鏈上的橢圓曲線公鑰數量將顯著減少。

· 相較於依賴橢圓曲線假設的方案，基於雜湊的方法在抵禦量子攻擊方面具有顯著優勢，從而大幅縮減了潛在的攻擊面。

BIP-360 所保留的功能

一個常見的誤解是，放棄密鑰路徑花費會削弱比特幣的智能合約或腳本功能。事實上，P2MR 完全支持以下功能：

· 多簽配置

· 時間鎖

· 條件支付

· 資產繼承方案

· 高級托管安排

BIP-360 通過 Tapscript 默克爾樹來實現上述所有功能。該方案在保留完整腳本能力的同時，捨棄了便捷但存在潛在風險的直接簽名路徑。

背景知識：中本聰曾在早期論壇討論中簡要提及量子計算，並認為若其成為現實，比特幣可以遷移至更強的簽名方案。這表明，為未來的升級預留靈活性，是其初始設計思想的一部分。

BIP-360 的實踐影響

BIP-360 雖看似一項純技術改進，但其影響將廣泛觸及錢包、交易平台和托管服務等層面。若提案被採納，它將逐步重塑新的比特幣輸出的創建、花費和保管方式，尤其對重視長期抗量子性的用戶產生深遠影響。

· 錢包支持：錢包應用可能會提供可選的 P2MR 地址（可能以「bc1z」開頭），作為「量子加固」選項，供用戶接收新幣或存儲長期持有資產。

· 交易費用：由於採用腳本路徑會引入更多見證數據，P2MR 交易相較於 Taproot 密鑰路徑花費會稍大，可能導致交易費用稍有增加。這體現了在安全性與交易緊湊性之間做出的權衡。

· 生態協同：全面部署 P2MR 需要錢包、交易平台、托管機構和硬體錢包等各方進行相應更新。相關規劃與協調工作需提前數年啟動。

背景知識：各國政府已開始關注「先收集，後解密」的風險，即當下大量收集並存儲加密數據，以待未來量子計算機問世後進行破解。這種策略與對比特幣已暴露公鑰的潛在擔憂如出一轍。

BIP-360 的明確界限

儘管 BIP-360 增強了比特幣對未來量子威脅的防禦能力，但它並非一次徹底的密碼學體系重構。理解其局限性同樣至關重要：

· 現有資產不自動升級：所有舊的未花費交易輸出（UTXO）在用戶主動將資金轉移至 P2MR 輸出之前，其脆弱性依然存在。因此，遷移過程完全取決於用戶的個體行為。

· 不引入新型後量子簽名：BIP-360 並未採用基於格的簽名方案（如 Dilithium 或 ML-DSA）或基於雜湊的簽名方案（如 SPHINCS+）來替代現有的 ECDSA 或 Schnorr 簽名。它僅移除了 Taproot 密鑰路徑帶來的公鑰暴露模式。要在基礎層全面過渡到後量子簽名，將需要一次規模大得多的協議變更。

· 不能提供絕對的量子免疫：即使未來突然出現可實際運行的 CRQC，抵禦其衝擊仍需礦工、節點、交易平台和托管機構之間進行大規模、高強度的協同應對。長期未動的「休眠幣」可能引發複雜的治理難題，並給網絡帶來巨大壓力。