三成比特币面临量子风险，它们来自哪里？

撰文：Rafael Schultze-Kraft

编译：Chopper，Foresight News

近期行业研究聚焦比特币一项新型安全隐患：当前持仓状态下，哪些比特币目前面临量子风险？判定核心标准为转出代币的公钥是否已在链上公开。据统计，全网已有 604 万枚比特币存在量子风险，占总发行量 30.2%；剩余 1399 万枚比特币（占比 69.8%）持仓阶段未泄露公钥，暂无相关风险。这些数据与近期的一些研究结论基本一致。

我们将这种风险分为两类。第一类是结构性风险：脚本类型本身就泄露了公钥的输出。第二类是操作性风险：某些加密货币最初可能受到保护，但由于地址重用、部分支出或托管行为等原因，公钥已被泄露，比特币仍留存该地址内。

Quantum Safety 提供的存在量子风险的比特币供应量分布图

结构性风险比特币有 192 万枚，占总发行量 9.6%；存在操作性风险的比特币有 412 万枚，占总发行量 20.6% 其中仅交易所托管的相关比特币就达 163 万枚，足以说明钱包规范使用与资产托管方式对降低公钥泄露风险至关重要。

本文不作立场判定，既不预判实用型量子攻击何时会落地，也不评判任何托管机构的安全性与偿付能力。仅从数据维度量化全网公钥泄露现状，区分永久高风险资产，以及可通过优化钱包管理、托管规则降低风险的资产。

通俗理解公钥泄露风险

比特币资产由私钥掌控，公钥用于网络校验私钥签名合法性。在传统加密体系下，仅凭公开公钥无法逆向破解私钥，资产足够安全。

而量子计算机威胁核心在于：具备高性能的密码学实用量子计算机，可利用 Shor 算法，通过已知公钥反向推导出对应私钥。由此，相关的链上问题就变得简单了：

如果公钥已公开，则该加密货币已暴露。攻击者无需等待所有者转移加密货币，因为公钥已经可用。如果公钥在链上不可见，则根据此特定静态存储模型，该加密货币当前不会暴露。

本文重点关注持仓状态下的资产风险，即代币静置未动、但关联公钥已泄露的存量资产。区别于转账时暴露：后者仅在广播、确认交易时才公开公钥，属于交易结算层面的时效风险；前者是可精准统计的存量风险资产。文中所指「安全资产」，仅代表持仓阶段未泄露公钥，并非适配所有未来量子攻击模式的绝对抗量子资产。

Quantum Safety 提供的量子安全的比特币供应量分布图

结构性暴露：天生自带安全隐患

这类资产风险由地址脚本格式决定，与用户是否规范使用钱包无关，注定会在链上暴露公钥。涵盖中本聪时代早期 P2PK 地址、传统多重签名 P2MS 地址，以及当前主流的 Taproot 地址。这类地址诞生年代、使用场景各不相同，但共性一致：默认在链上公示公钥或等效公钥信息。只要代币未被花费，它就可能成为攻击目标。

我们目前将 192 万枚比特币（占已发行总量的 9.6%）归类为结构性风险类别。这部分比特币又可分为三个不同的部分：

比特币的结构性风险分布

中本聪及早期区块代币：属于永久性结构性风险资产，若资产丢失、持有人沉寂，几乎无法迁移至安全地址，除非全网达成共识启动协议层面整改，否则将永久暴露在量子风险中。

Taproot 地址：该脚本本身具备隐私性强、转账高效、智能合约灵活等优势，并非设计缺陷。但从公钥泄露维度来看，Taproot 地址会直接公示密钥，存在持仓量子风险。

业内提出的 BIP-360 协议 P2MR 方案，可在保留 Taproot 功能的同时剔除高风险密钥路径，缓解此类隐患，但无法自动迁移存量 Taproot 资产，也并非彻底的抗量子终极方案。

简言之，192 万枚结构性风险资产中，一部分难以完成资产迁移，另一部分可依托新协议、新标准逐步优化避险。

操作行为暴露：使用习惯引发安全漏洞

这类地址本身具备隐私防护能力，初始不会泄露公钥。只因用户不当操作，转账过程中公钥被公开，剩余留存资产随之失去防护。

这就是地址重用问题。2PKH、P2SH、P2WPKH 和 P2WSH 等输出类型可以在代币处于静止状态时，通过哈希值隐藏公钥。然而，一旦公钥在消费过程中被泄露，与该公钥关联的任何余额或未来余额都将失去这种保护。

操作行为暴露是当前比特币量子风险的主要来源，总量 412 万枚，规模是结构性风险资产的 2.1 倍。这也印证如今绝大多数比特币量子风险，并非早期脚本设计遗留问题，而是用户密钥管理、地址使用不规范导致。

在操作性风险资产里，交易所托管比特币占比极高，共计 166 万枚，占据全部操作性风险比特币余额的 40%。数据显示交易所资产风险差异极大：标记的交易所持有的比特币中，约有一半属于易受攻击的比特币，而非交易所持有的比特币中，这一比例不到 30%。

操作性风险比特币供应量分布

各大主流机构资产暴露情况差异显著。一些托管机构的风险相对较低，而另一些托管机构则在公钥已知的地址中持有更大比例的余额。

• 低风险：Coinbase 仅 5% 托管资产存在公钥泄露；各国主权国库（美国、英国、萨尔瓦多）量子风险暴露比例均为 0%
• 中等风险：富达、CashApp 约 2%，灰度约 50%
• 高风险：币安 85%、Bitfinex 100%、Robinhood、WisdomTree 托管资产全部存在公钥暴露风险

提示：该数据仅体现链上资产托管留存痕迹，不构成机构风险评级、偿付能力评判依据。

从长期趋势来看，各国政府常年保持 99% 以上安全持仓比例；而交易所因资金流转频繁、钱包架构复杂，安全资产占比从 2018 年的 55% 下滑至如今 45%。但这类风险完全可以改善，只需坚持不重复使用地址、及时划转找零资产等基础规范，就能快速降低暴露规模。

按实体类型划分的操作性安全比特币供应量分布

总结

比特币的量子风险可分为不同类别，每个类别的影响各不相同。

• 结构性风险：早期遗留代币迁移难度极大，新版 P2MR 等协议可逐步优化现代 Taproot 地址风险；
• 操作性风险：规模更大、可控性更强，其中交易所海量存量资产，具备大规模避险迁移条件。

由此可见，比特币量子安全布局，不止依赖底层网络协议升级；市面上大量存量风险资产，仅凭当下日常运营调整就能有效降低风险。对交易所、专业托管机构而言，规范地址使用、优化储备资产布局、减少密钥复用、制定资产迁移方案，都不是远期空想，而是当下就能落地、切实缩减量子风险的实用手段。