9 分钟破解比特币？Google 量子白皮书的技术边界与行业误读

本文核心判断

• Google 白皮书显著推进了量子风险的工程化评估，但并未证明 CRQC 已接近现实落地
• 资源估算的下降 ≠ 现实攻击能力已到位，中间仍存在大量未跨越的工程挑战
• 行业需要建立的不只是”采用后量子算法”的能力，而是”应对密码学持续变化”的能力
• 2030–2035 是倒推迁移准备的关键参照窗口，而不是量子攻击到来的精确时点

引言

2026 年 3 月 30 日，Google Quantum AI 联合以太坊基金会和斯坦福大学的研究者发布了一篇重磅白皮书 ^[1]。这篇长达 57 页的论文系统性地分析了量子计算对加密货币的威胁，并给出了迄今为止最为激进的资源估算：破解比特币和以太坊所依赖的 256 位椭圆曲线密码学，仅需不到 50 万个物理量子比特——这比此前的最佳估算缩减了近 20 倍。

与此同时，论文将量子攻击的讨论从比特币扩展到整个加密货币生态，进一步指出，以太坊的智能合约、质押共识以及数据可用性采样等机制中，同样存在潜在的量子攻击面。这意味着，这篇白皮书讨论的已不再只是“比特币私钥是否会被量子破解”这一单点问题，而是在推动整个行业重新审视：现有区块链系统面对量子能力演进时，哪些安全假设可能需要被重新评估。

这篇白皮书在区块链行业引发了明显的震动。“量子计算或可在数分钟内破解比特币”的说法迅速扩散，也让许多从业者开始重新审视既有的安全假设。它之所以引发如此强烈的反应，也不只是因为资源估算进一步下降，更因为它第一次把“链上交易窗口攻击是否可能”与“区块链系统是否来得及完成迁移”放到了同一个讨论平面上。问题开始不再只是学术上的“能不能破解”，而是工程和治理上的“是否还有足够时间准备”。

但在这些情绪背后，一个更值得追问的问题是：Google 实际上证明了什么？又没有证明什么？这项工作在多大程度上改变了我们对量子风险的理解？

值得注意的是，这篇白皮书讨论的影响范围并不局限于比特币式的密钥暴露问题，而是延伸到了更广义的加密货币系统攻击面。不过，本文更关注的仍然是这篇工作对整体量子风险判断所带来的变化，而不是逐项展开不同链上机制的具体影响。

Google 这次到底做了什么？

ECDLP：区块链安全的基本假设

当前主流加密货币的安全性，建立在椭圆曲线离散对数问题（ECDLP）之上 ^[2]。以比特币和以太坊使用的 secp256k1 曲线为例 ^[3]，其核心假设是：在经典计算条件下，给定公钥（椭圆曲线上的点），无法在可行时间内推导出对应的私钥。

这一假设在过去数十年中被广泛接受，并构成了整个区块链系统的基础安全前提。然而，Shor 算法 ^[4] 指出，在理想的量子计算模型下，ECDLP 可以被高效求解，从而在理论上动摇这一安全基础。

资源估算：破解需要多少量子计算能力

Google 这次工作的核心，并不是提出新的攻击方式，而是重新回答一个长期存在的问题： 如果未来真的能够造出足够大、足够稳定、能够运行这类量子算法的量子计算机，破解 ECDLP 需要多大的计算资源？

论文构造并优化了针对 secp256k1 的量子电路，并给出了两种不同优化方向的实现路径：一种尽可能降低逻辑量子比特数量，另一种尽可能减少非 Clifford 门（如 Toffoli 门）的数量。在一组明确的硬件与纠错假设下，这些电路可以在少于 50 万个物理量子比特的规模上执行。

与此前的主流估算 ^[5][6] 相比，这一结果在“时空体积”（spacetime volume）这一综合指标上有明显改进。更重要的是，它将原本偏理论化的讨论，转化为一组可以对比、可以跟踪的工程参数。

“9 分钟”：这个数字是怎么来的

在资源估算之外，论文还进一步给出了攻击时间的一个直观量级。

在假设量子门操作时间约为微秒级、并考虑一定执行开销的情况下，完整运行相关量子电路大致需要十几分钟。考虑到量子算法的部分计算可以在公钥出现之前预先完成，真正与目标公钥相关的计算可以压缩到约一半时间，从而得到“约 9 分钟”的估算。

这一数字之所以引发广泛关注，是因为它接近比特币约 10 分钟的平均出块时间。这意味着，在某些假设下，攻击者理论上可能在交易确认之前完成私钥恢复。

需要强调的是，这一时间估算依赖于一整套理想化前提，其意义更多在于提供一个量级参考，而不是现实攻击能力的直接体现。

零知识证明：为什么不公开电路

论文的另一个重要特点，是在不公开具体量子电路的前提下，引入了一种“可验证披露”的方式 ^[7]。

研究团队将电路通过哈希进行承诺，并在一个公开的验证程序中，对电路在一组随机输入上的行为进行检查，同时验证其资源上界。整个验证过程被封装为一个零知识证明，使得任何第三方都可以在不接触电路细节的情况下，确认相关声明的正确性。

这一做法在“保护攻击细节”与“提高结论可信度”之间取得了一种平衡，也使得资源估算不再只是研究者的陈述，而具备了密码学意义上的可验证性。

这件事该怎么理解？

在进一步理解这些结果之前，有一个概念值得先明确。

论文中多次提到 CRQC（Cryptographically Relevant Quantum Computer）。这个术语直译为“密码学相关的量子计算机”，但它并不是对量子计算机的泛称，而是指那些已经具备现实密码分析能力的量子计算系统。换句话说，真正值得区块链行业关注的，并不是量子计算是否持续进步，而是它何时发展到足以在现实条件下破解 ECDLP 这样的密码问题。

从这个角度看，Google 这篇工作的意义，不只是展示量子计算的进展本身，而是在更具体地回答一个问题：一台能够对现实密码系统构成威胁的量子计算机，究竟需要具备怎样的资源规模、执行能力和时间特性。

进一步来说，这一问题可以从三个维度来理解：量子计算系统的执行特性、技术演进可能带来的不同路径，以及这些能力最终对应的攻击方式。

快时钟和慢时钟：量子计算机并不只有一种

论文提出的一个重要视角，是区分不同类型的量子计算架构。

一些平台（如超导量子比特 ^[13]）具有较快的基本操作速度，纠错周期较短，可以在较短时间内执行深电路；而另一些平台（如离子阱 ^[14] 或中性原子 ^[15]）操作速度较慢，但在其他方面可能具有优势。

这种差异意味着，“量子计算能力”并不是一个单一指标。同样规模的量子系统，在不同架构下，对密码学问题的实际攻击能力可能存在数量级上的差别。

这种执行特性的不同，直接影响的是 CRQC 形成的方式和时间结构：有些系统更接近在短时间窗口内完成计算，而另一些系统则更适合长时间运行。

两种可能的演进路径

基于上述架构差异，可以进一步考虑量子计算能力的演进路径。

一种情况是，具备较快执行能力的量子系统率先达到容错水平，此时针对链上交易的实时攻击（例如在交易确认前恢复私钥）将成为主要风险。另一种情况是，较慢但更稳定的系统先取得突破，此时攻击更可能集中在长期暴露的公钥上，例如历史地址或重复使用的密钥。

这两种路径并不互斥，但它们对应的风险时间结构和防御重点存在明显差异。

从这个角度看，CRQC 的出现并不一定对应一个明确的时间点，而更可能表现为不同能力逐步具备的过程。

三种攻击方式

在上述框架下，可以将量子攻击大致分为三类。

第一类是“交易中攻击”（on-spend attack），即在交易进入内存池后、被写入区块前的时间窗口内恢复私钥。第二类是“静态攻击”（at-rest attack），针对已经长期暴露在链上的公钥，攻击者可以拥有更充裕的计算时间。第三类是“设置攻击”（on-setup attack），针对某些依赖公共参数的协议，通过一次性量子计算获取可重复利用的后门。

这三类攻击的共同点在于，它们都依赖同一个基础能力——在可接受时间内求解 ECDLP，但对时间窗口和系统结构的依赖各不相同。

从结果上看，这三类攻击只是同一件事情的不同表现形式：当量子计算能力达到 CRQC 所代表的水平之后，对不同系统条件和时间约束的具体影响。

离真正的量子攻击还有多远？

这篇白皮书没有证明什么

需要强调的是，这篇白皮书虽然显著推进了量子风险的工程化评估，但它并没有证明 CRQC 已经接近现实落地，也没有证明现有区块链体系会在短期内面临真实可行的量子攻击。

论文真正做的，是在一组明确假设下进一步压缩了破解 secp256k1 所需的资源估算，并将原本偏抽象的风险讨论，推进到了一个更适合工程评估的位置。它证明的是：相关问题比过去理解的更具体，也更值得持续跟踪；但它并没有证明，支撑这些攻击所需的大规模容错量子系统已经近在眼前。

资源需求在下降，但工程距离仍然明显

更进一步说，从“量子算法在理论上可以破解 ECDLP”，到“现实世界中真的出现足以威胁密码系统的量子计算能力”，中间并不只是简单的工程放大问题。真正决定量子攻击能否落地的，不只是纸面上的资源估算数字，还包括容错架构、误差校正、实时解码、控制系统，以及长时间稳定执行深电路所需的整体系统能力。

这些条件中的一部分，确实属于工程实现问题；但它们并不能被简单理解为“只要继续投入，迟早一定会自然解决”。量子纠错与容错计算在理论上给出了可扩展路径，但现实世界是否能够把这些条件真正整合成一台可持续运行、足以威胁现实密码系统的 CRQC，仍然存在明显不确定性。

从这个角度看，Google 这篇白皮书更准确的意义，不是宣告量子攻击已经迫近，而是让行业第一次能够以更具体的工程参数来讨论这一风险，同时也提醒我们：不应把资源估算的下降，直接等同于现实攻击能力已经到位。

这不是一个适合精确预测年份的问题

也正因为如此，量子攻击的到来并不适合被理解为一个可以精确预测的时间点。对于区块链行业来说，真正重要的并不是“哪一年一定会出现 CRQC”，而是相关能力是否正在朝着一个越来越值得警惕的方向演进。

一方面，关键突破可能在短时间内显著改变资源需求；另一方面，看似接近的技术路线，也可能长期停留在某些基础瓶颈之前。这意味着，我们很难通过“今年多少量子比特、明年多少量子比特”这样的线性外推，去判断现实攻击能力会在何时出现。

因此，对这一问题更稳妥的理解，不是试图押注某一个精确年份，而是承认它具有较强的不确定性，同时把注意力放在那些真正会改变风险判断的底层信号上。

最值得警惕的，是预警信号可能并不明显

这也意味着，社区不应期待通过某一次“公开演示量子攻击”来获得清晰的预警信号。

很多人习惯于把公开演示视为技术成熟的标志，似乎只要还没有看到现实世界中的演示，就说明距离真正威胁还很远。但在量子密码分析这个问题上，这种直觉未必成立。等到某些标志性演示真的出现时，相关能力可能已经在更底层的技术环节上积累了相当长一段时间，防御窗口也可能已经明显收窄。

对区块链行业而言，这恰恰是它最难处理的一点：真正重要的变化，未必会以一种清晰、渐进、对外可见的方式展开。

我们该如何判断量子进展？

不要只看量子比特数量

如果说第 3 章回答的是“现在大概处在什么位置”，那么接下来的问题就是：未来应该看什么，才能更准确地判断量子进展。

最容易被传播、也最容易被误解的指标，是量子比特数量。它足够直观，也足够醒目，但对密码分析能力来说，它远远不是唯一、甚至也不是最关键的指标。单纯增加物理量子比特数量，并不自动意味着系统已经接近现实攻击能力。

真正更值得关注的，是这些量子比特是否能够在容错条件下被有效组织起来，是否能够稳定支撑深电路执行，以及它们是否与算法和控制系统形成了闭环。对行业来说，“有多少量子比特”最多只能说明规模变化，而不能单独说明现实威胁的接近程度。

真正值得关注的是三类信号

如果要对量子进展形成一个相对可操作的判断框架，可以重点关注三类信号。

第一类是硬件信号。这里真正重要的，不只是物理量子比特数量，而是是否开始出现稳定的逻辑量子比特，误差校正是否进入可扩展阶段，以及系统是否能够在纠错条件下持续运行。

第二类是算法信号。Google 这次白皮书本身就是一个典型例子。对于区块链行业而言，更值得关注的，不是某个单一数字本身，而是这类资源估算是否在持续下降：逻辑量子比特数量是否下降、关键门操作数量是否下降、整体时空体积是否继续收敛。

第三类是系统信号。这往往最容易被忽视。即使硬件和算法都在进步，仍然需要看到系统级能力是否逐渐成熟，例如长时间稳定执行深电路的能力、控制系统的扩展性，以及多项关键条件是否开始同时具备。现实中的攻击能力，最终依赖的不是单一指标，而是这些条件能否汇聚成一条闭合的工程路径。

公开演示可以参考，但不能当作唯一信号

很多人会自然地期待某种“标志性时刻”：例如某个实验平台公开演示了在小规模曲线上运行相关算法，于是大家把它看作风险真正开始显现的信号。

这种信号当然有参考价值，但它不适合作为唯一的判断依据。因为从技术演进的角度看，公开演示往往只是一个结果，而不是最早的变化本身。真正更重要的，是前面提到的那些底层条件是否已经逐步具备。

对行业而言，更现实的做法不是等待一个戏剧性的时刻，而是建立持续跟踪的习惯：观察硬件有没有进入新的阶段，算法资源是否继续压缩，以及系统能力是否正在从“分散改进”走向“整体成形”。比起“什么时候看到演示”，更值得问的是：在看到演示之前，我们是否已经看懂了技术进展的方向。

行业现在该做什么？

这不是“现在的问题”，但必须现在开始准备

从工程现实来看，量子计算尚未具备对现有加密货币体系发起攻击的能力。无论是在硬件规模、误差控制，还是长时间稳定执行深电路的能力上，距离论文所假设的条件仍然存在明显差距。

但这并不意味着行业可以继续把这一问题无限期地推迟下去。与过去相比，一个重要变化在于：相关技术路径已经变得越来越清晰，资源估算也在持续收敛。对于区块链系统而言，真正需要关注的，不是某一个具体时间点，而是是否已经为未来的迁移预留了足够的时间和空间。

密码学基础设施的升级往往不是一次简单的软件替换。它涉及协议、实现、生态协同、资产迁移以及用户习惯的变化，其时间尺度通常以年为单位，而不是月或季度。从这个角度看，这不是一个“现在就会爆发”的问题，但已经是一个必须尽早进入规划的问题。

算法会变，但区块链系统设计不需要被推翻

量子计算直接冲击的，是区块链系统底层所依赖的密码学假设，例如基于椭圆曲线的签名方案，而不是区块链系统作为一类安全系统所面对的问题本身。

这意味着，很多今天已经被证明有效的安全机制，并不会因为量子计算的出现而失去价值。对于区块链和数字资产行业来说，无论是密钥管理、多方计算（MPC）、硬件隔离（TEE）、权限控制、审计机制，还是围绕账户体系、交易审批、风控与治理所建立起来的整体安全架构，解决的仍然是密钥暴露、单点失效、内部风险以及操作失误等现实问题。这些问题不会随着底层密码学原语的变化而消失。

因此，更合理的理解不是“量子时代需要把整套区块链安全体系推倒重来”，而是：需要升级的，首先是底层密码学组件；而需要保留和增强的，则是区块链系统在密钥保护、权限分层、风险隔离和治理控制方面已经形成的设计原则。 真正重要的，不只是替换某一种签名算法，而是让整个系统具备承载这类密码学迁移的能力。

从“选哪种算法”走向“能否平滑迁移”

当前后量子密码学已经进入标准化与工程落地阶段。NIST 主导的首批 PQC 标准已于 2024 年正式发布 ^[12]，但不同方案在性能、签名大小、实现复杂度以及安全假设上仍然存在明显差异，工程实践和行业采用路径也仍在持续演进之中。

在这种背景下，比起过早押注某一种具体算法，更重要的问题正在发生变化：系统是否具备平滑迁移的能力。

这种能力包括几个层面：能否在不影响业务连续性的前提下引入新的签名方案；能否支持一段时间内的混合模式；以及当标准和工程实践继续演进时，是否还能继续调整和兼容。

从长远看，区块链行业真正需要建立的，不只是“采用后量子算法”的能力，而是“应对密码学持续变化”的能力。前者是一轮迁移，后者才是长期可持续的系统设计。

结语：一次重要的技术信号

从今天的工程现实看，量子计算仍不足以对现有加密货币体系构成实际威胁。无论是硬件规模、误差控制，还是长时间稳定执行深电路所需的容错能力，距离论文所假设的条件仍有明显差距。换句话说，CRQC 并不是一项“只要时间到了就自然会落地”的技术，其实现仍取决于一系列尚未完全跨越的工程挑战。

但与此同时，这个问题也已经不再适合被视为遥远未来的抽象讨论。Google 在 2026 年 3 月明确将自身的后量子迁移时间线设到 2029 年 ^[8]；英国 NCSC 则给出了 2028、2031、2035 三个迁移关键节点 ^[9]；G7 Cyber Expert Group 面向金融体系的路线图虽然不设监管性 deadline，但也将 2035 视为整体迁移的参考目标，并建议关键系统尽量在 2030～2032 之间优先完成迁移 ^[10]。

同时，也需要避免过度解读。就目前主流公开资料来看，即便较为激进的公开判断，更多也是将风险窗口前移到 2030 年前后，而不是形成“CRQC 会在 2030 年前明确落地”的一致结论。Global Risk Institute 2025 年专家调查显示，未来 10 年内 出现 CRQC 属于”quite possible（28%–49%）”，未来 15 年内 才进入“likely（51%–70%）”区间 ^[11]。

因此，Google 这篇白皮书最重要的意义，并不在于宣告量子攻击已经到来，而在于它让这个问题第一次变得足够具体：可以讨论，可以评估，也必须开始准备。对区块链和数字资产行业来说，2030～2035 是一个值得认真对待、并为迁移预留空间的关键窗口。它未必对应量子攻击真正到来的具体年份，却很可能决定行业到那时是否仍然拥有从容应对的余地。

参考文献

[1] R. Babbush, A. Zalcman, C. Gidney, M. Broughton, T. Khattar, H. Neven, T. Bergamaschi, J. Drake, and D. Boneh, Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations, Google Quantum AI, 2026.

[2] IETF, Fundamental Elliptic Curve Cryptography Algorithms (RFC 6090), 2011.

[3] Secp256k1, Bitcoin Wiki.

[4] P. W. Shor, Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer, SIAM Journal on Computing, vol. 26, pp. 1484–1509, 1997.

[5] D. Litinski, How to compute a 256-bit elliptic curve private key with only 50 million Toffoli gates, arXiv:2306.08585, 2023.

[6] C. Chevignard, P.-A. Fouque, and A. Schrottenloher, Reducing the number of qubits in quantum discrete logarithms on elliptic curves, Cryptology ePrint Archive, Paper 2026/280, 2026.

[7] ISO/IEC, ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure, International Organization for Standardization, 2018.

[8] Google, Quantum frontiers may be closer than they appear, Google Blog, 2026-03-25.

[9] UK NCSC, Timelines for migration to post-quantum cryptography, National Cyber Security Centre, 2025-03-20.

[10] G7 Cyber Expert Group, Advancing a Coordinated Roadmap for the Transition to Post-Quantum Cryptography in the Financial Sector, G7 Cyber Expert Group, 2026-01.

[11] Global Risk Institute, Quantum Threat Timeline Report 2025, Global Risk Institute, 2026-03-09.

[12] NIST, Post-Quantum Cryptography, NIST Computer Security Resource Center. 首批标准包括 FIPS 203 (ML-KEM)、FIPS 204 (ML-DSA) 和 FIPS 205 (SLH-DSA)，2024 年 8 月发布。

[13] Realizing practical quantum computers based on superconductors, Nature News, 2023.

[14] A new ion-based quantum computer makes error correction simpler, MIT Technology Review, 2025.

[15] The Best Qubits for Quantum Computing Might Just Be Atoms, Quanta Magazine, 2024.

关于 Safeheron

Safeheron 长期深耕 MPC 与 TEE 技术在机构级数字资产托管中的应用。我们认为，后量子迁移的关键，不只是替换某一种具体算法，而是让系统具备应对密码学持续演进的能力。

基于这一判断，我们将持续跟踪量子计算底层技术进展，并围绕签名方案的可替换性、密钥管理的协议兼容性以及系统级迁移路径，开展研究与工程准备。