原文作者：@Cointelegraph

原文編譯：AididiaoJP，Foresight News

本文闡述 BIP-360 如何重塑比特幣的量子防禦策略，分析其改進之處，並探討其為何尚未實現全面的後量子安全。

核心要點

• BIP-360 首次將抗量子性正式納入比特幣的發展路線圖，標誌著一次審慎的、漸進式的技術演進，而非一次劇烈的密碼學體系變革。
• 量子風險主要威脅到已暴露的公鑰，而非比特幣採用的 SHA-256 雜湊演算法。因此，減少公鑰暴露成為開發者著力解決的核心安全問題。
• BIP-360 引入了支付到默克爾根（P2MR）的腳本，透過移除 Taproot 升級中的金鑰路徑花費選項，強制所有 UTXO 的花費都必須經由腳本路徑，從而最大限度地降低橢圓曲線公鑰的暴露風險。
• P2MR 保留了智慧合約的靈活性，依然透過 Tapscript 默克爾樹支援多簽、時間鎖和複雜的託管結構。

比特幣的設計哲學使其能夠抵禦嚴峻的經濟、政治和技術挑戰。截至 2026 年 3 月 10 日，其開發者團隊正著手應對一項新興的技術威脅：量子計算。

近期發布的比特幣改進提案 360（BIP-360），首次正式將抗量子性列入了比特幣的長期技術路線圖。儘管部分媒體報導傾向於將其描述為一次重大變革，但實際情況更為審慎和循序漸進。

本文將深入探討 BIP-360 如何透過引入支付到默克爾根（P2MR）腳本，移除 Taproot 的金鑰路徑花費功能，從而降低比特幣的量子風險敞口。本文旨在闡明該提案的改進之處、引入的權衡因素，以及它為何尚未能使比特幣實現完全的後量子安全。

量子計算對比特幣的威脅來源

比特幣的安全性建立在密碼學基礎之上，主要包括橢圓曲線數位簽章演算法（ECDSA）以及透過 Taproot 升級引入的 Schnorr 簽章。傳統電腦無法在可行時間內從公鑰逆向推導出私鑰。然而一台具備足夠能力的量子電腦若執行肖爾演算法，則有可能破解橢圓曲線離散對數問題，進而危及私鑰安全。

關鍵區別如下：

• 量子攻擊主要威脅公鑰密碼體系，而非雜湊函數。 比特幣採用的 SHA-256 演算法在量子計算面前相對穩健。格羅弗演算法僅能提供二次方的加速效果，而非指數級加速。
• 真正的風險在於公鑰在區塊鏈上被公開的時刻。

基於此，社群普遍將公鑰暴露視為最主要的量子風險來源。

2026 年比特幣的潛在脆弱點

比特幣網路中的各類地址類型，面臨的未來量子威脅程度不盡相同：

• 重複使用的地址：當資金從該地址被花費時，其公鑰便在鏈上公開，一旦未來出現密碼學相關量子電腦（CRQC），該公鑰將面臨風險。
• 遺留的支付到公鑰（P2PK）輸出：早期的比特幣交易直接將公鑰寫入交易輸出中。
• Taproot 金鑰路徑花費：Taproot 升級（2021 年）提供了兩種花費路徑：一種是簡潔的金鑰路徑（花費時會暴露一個經過調整的公鑰），另一種是腳本路徑（透過默克爾證明暴露具體腳本）。其中，金鑰路徑是量子攻擊下最主要理論薄弱點。

BIP-360 正是直接針對金鑰路徑暴露問題而設計。

BIP-360 的核心內容：引入 P2MR

BIP-360 提案新增了一種名為支付到默克爾根（P2MR）的輸出類型。該類型在結構上借鑒了 Taproot，但做出了一項關鍵性改動：徹底移除了金鑰路徑花費選項。

與 Taproot 承諾一個內部公鑰不同，P2MR 僅承諾腳本樹的默克爾根。花費 P2MR 輸出的流程為：

揭示腳本樹中的一個葉子腳本。

提供一個默克爾證明，以證實該葉子腳本隸屬於被承諾的默克爾根。

整個過程中，不存在任何基於公鑰的花費路徑。

移除金鑰路徑花費帶來的直接影響包括：

• 避免因直接進行簽章驗證而暴露公鑰。
• 所有花費路徑均依賴於抗量子性更強的基於雜湊的承諾。
• 長期存在於鏈上的橢圓曲線公鑰數量將顯著減少。
• 相較於依賴橢圓曲線假設的方案，基於雜湊的方法在抵禦量子攻擊方面具有顯著優勢，從而大幅縮減了潛在的攻擊面。

BIP-360 所保留的功能

一個常見的誤解是，放棄金鑰路徑花費會削弱比特幣的智慧合約或腳本功能。事實上，P2MR 完全支援以下功能：

• 多簽配置
• 時間鎖
• 條件支付
• 資產繼承方案
• 高級託管安排

BIP-360 透過 Tapscript 默克爾樹來實現上述所有功能。該方案在保留完整腳本能力的同時，捨棄了便捷但存在潛在風險的直接簽章路徑。

背景知識：中本聰曾在早期論壇討論中簡要提及量子計算，並認為若其成為現實，比特幣可以遷移至更強的簽章方案。這表明，為未來的升級預留靈活性，是其初始設計思想的一部分。

BIP-360 的實踐影響

BIP-360 雖看似一項純技術改進，但其影響將廣泛觸及錢包、交易所和託管服務等層面。若提案被採納，它將逐步重塑新的比特幣輸出的創建、花費和保管方式，尤其對重視長期抗量子性的用戶產生深遠影響。

• 錢包支援：錢包應用可能會提供可選的 P2MR 地址（可能以 「bc1z」 開頭），作為「量子加固」選項，供用戶接收新幣或儲存長期持有資產。
• 交易費用：由於採用腳本路徑會引入更多見證數據，P2MR 交易相較於 Taproot 金鑰路徑花費會略大，可能導致交易費用稍有增加。這體現了在安全性與交易緊湊性之間做出的權衡。
• 生態協同：全面部署 P2MR 需要錢包、交易所、託管機構和硬體錢包等各方進行相應更新。相關規劃與協調工作需提前數年啟動。

背景知識：各國政府已開始關注「先收集，後解密」的風險，即當下大量收集並儲存加密數據，以待未來量子電腦問世後進行破解。這種策略與對比特幣已暴露公鑰的潛在擔憂如出一轍。

BIP-360 的明確界限

儘管 BIP-360 增強了比特幣對未來量子威脅的防禦能力，但它並非一次徹底的密碼學體系重構。理解其局限性同樣至關重要：

• 現有資產不自動升級：所有舊的未花費交易輸出（UTXO）在用戶主動將資金轉移至 P2MR 輸出之前，其脆弱性依然存在。因此，遷移過程完全取決於用戶的個體行為。
• 不引入新型後量子簽章：BIP-360 並未採用基於格的簽章方案（如 Dilithium 或 ML-DSA）或基於雜湊的簽章方案（如 SPHINCS+）來替代現有的 ECDSA 或 Schnorr 簽章。它僅移除了 Taproot 金鑰路徑帶來的公鑰暴露模式。要在基礎層全面過渡到後量子簽章，將需要一次規模大得多的協議變更。
• 不能提供絕對的量子免疫：即使未來突然出現可實際執行的 CRQC，抵禦其衝擊仍需礦工、節點、交易所和託管機構之間進行大規模、高強度的協同應對。長期未動的「休眠幣」可能引發複雜的治理難題，並給網路帶來巨大壓力。

開發者前瞻性佈局的動因

量子計算的技術發展路徑充滿不確定性。部分觀點認為其實用化仍需數十年，而另一些則指出，IBM 在 2020 年代末的容錯量子電腦目標、谷歌在量子晶片上的突破、微軟在拓撲量子計算上的研究，以及美國政府設定的 2030-2035 年密碼系統過渡期限，都預示著相關進展正在加速。

關鍵基礎設施的遷移需要漫長的時間週期。比特幣的開發者們強調，必須從 BIP 設計、軟體實現、基礎設施適配到用戶採納等各個環節進行系統性規劃。如果等到量子威脅迫在眉睫再行動，將可能因時間不足而陷入被動。

若社群達成廣泛共識，BIP-360 可能透過分階段的軟分叉方式推進：

• 啟動 P2MR 新型輸出類型。
• 錢包、交易所和託管機構逐步增加對其的支援。
• 用戶在數年內漸進式地將資產遷移至新地址。

這一過程與當年隔離見證（SegWit）和 Taproot 升級所經歷的從可選到廣泛應用的路徑類似。

圍繞 BIP-360 的廣泛討論

關於實施 BIP-360 的緊迫性及其潛在成本，社群內仍存在持續的討論。核心議題包括：

• 為長期持有者帶來的輕微費用增加是否可以被接受？
• 機構用戶是否應率先進行資產遷移，發揮示範效應？
• 對於那些永遠不會被移動的「沉睡」比特幣，應如何妥善處理？
• 錢包應用應如何向用戶準確傳達「量子安全」概念，既不引發不必要的恐慌，又能提供有效資訊？

這些討論仍在持續進行中。BIP-360 的提出極大地推動了相關議題的深入探討，但遠未為所有問題畫上句號。

背景知識：量子電腦可能破解當前密碼學的理論構想，可追溯至 1994 年數學家彼得·肖爾提出肖爾演算法之時，這遠早於比特幣的出現。因此，比特幣對未來量子威脅的規劃，本質上是對這一已有三十餘年歷史的理論突破的回應。

用戶當前可採取的應對措施

目前，量子威脅並非迫在眉睫，用戶無需過度擔憂。但採取一些審慎的措施是有益的：

• 堅持地址不重複使用原則。
• 始終使用最新版本的錢包軟體。
• 關注比特幣協議升級的相關動態。
• 留意錢包應用何時開始支援 P2MR 地址類型。
• 持有大量比特幣的用戶，應 quietly 評估自身風險敞口，並考慮制定相應的 contingency 計劃。

BIP-360：邁向抗量子時代的第一步

BIP-360 標誌著比特幣在協議層面減少量子風險敞口方面邁出了第一個具體步驟。它重新定義了新輸出的創建方式，最大限度地減少了公鑰的意外洩露，並為未來的長期遷移規劃奠定了基礎。

它不會自動升級現有的比特幣，保留了當前的簽章體系，並凸顯了一個事實：實現真正的抗量子安全，需要一個謹慎協調、覆蓋全生態的持續努力。這有賴於長期的工程實踐和分階段的社群採納，而非單個 BIP 提案所能一蹴而就。