crypto·en it fr es

谷歌：比特币 Taproot 提升量子盗窃风险

1h ago|7 分钟标准

Fazen Markets Research

AI-Enhanced Analysis

BitcoinTaprootQuantum ComputingGoogle ResearchBlockchain Security

要点

1Taproot 于 2021 年 11 月 14 日根据 BIP341 在比特币网络上激活，旨在通过 Schnorr 签名和默克尔化替代脚本树（MAST）提升隐私性与智能合约灵活性。该升级因能减少复杂脚本的链上占用并支持签名聚合，已被开发者和许多钱包广泛采用。谷歌研究人员现在指出，这些特性中的某些方面——尤其是在多分支脚本求值过程中公开公钥的做法——可能在窄时窗内使私钥被重构或遭到其他形式利用，前提是攻击者能用量子资源加速密码分析（Coindesk，2026 年 3 月 31 日）。.
2谷歌的研究由 Coindesk 于 2026 年 3 月 31 日报道，聚焦于一类 Taproot 启用的脚本：这些脚本在不同脚本分支求值阶段会暴露公钥点，从而可能为攻击者提供一个有时间限制的密码分析目标（Coindesk，2026 年 3 月 31 日）。报告并未声称比特币的 base-58 或其他地址格式今日已被直接攻破；相反，它识别出特定的脚本模式和钱包行为，这些模式与早期签名方案相比扩大了攻击面。举例而言，Schnorr 聚合与在脚本分支中公开中间公钥点的组合，理论上可能让观察到内存池（mempool）的攻击者获得部分信息，从而降低密钥恢复任务的复杂度。.
3托管服务、交易所与受监管基金面临最直接的运营后果，因为它们以规模化方式处理签名工作流，且常采用 Taproot 所支持的智能合约模式。若一种在广泛使用的托管流程中存在的结构性弱点被发现，可能导致集中性暴露：在 mempool 传播期间执行的盗窃行为，原则上可能对具备先进量子能力的资源充足攻击者有利可图。.

Partner

Trade Bitcoin, Ethereum & 40+ Cryptocurrencies

Regulated Broker Low Spreads

Trade Crypto Now Free Demo Account

CFDs are complex instruments and come with a high risk of losing money rapidly due to leverage. You should consider whether you understand how CFDs work and whether you can afford to take the high risk of losing your money.

导语

在谷歌研究团队于 2026 年 3 月 31 日发布的研究结果后，比特币的 Taproot 升级再度受到审视；该研究表明一种实用的量子攻击向量可能比先前认知更可行（Coindesk，2026 年 3 月 31 日）。论文强调了与 Taproot 的脚本及 Schnorr 签名机制相关的脆弱性：在特定执行流程中，可能在交易进行时暴露出密钥材料，从而为装备了足以能力的量子设备的对手创造窃取窗口。该结论挑战了业界常引用的“量子对比特币的威胁还在几十年之后”的假设，并已促使托管方、交易所及大额持有者立即重新评估技术风险模型。尽管该研究未展示野外存在的即时被利用案例，但它将时间线辩论从纯粹的推测转向工程学层面：到底需要怎样的量子能力与交易模式才会导致现实世界中的盗窃。因此，机构参与者应将该发现视为加速应急规划的催化剂，而非即时的市场冲击事件。

背景

Taproot 于 2021 年 11 月 14 日根据 BIP341 在比特币网络上激活，旨在通过 Schnorr 签名和默克尔化替代脚本树（MAST）提升隐私性与智能合约灵活性。该升级因能减少复杂脚本的链上占用并支持签名聚合，已被开发者和许多钱包广泛采用。谷歌研究人员现在指出，这些特性中的某些方面——尤其是在多分支脚本求值过程中公开公钥的做法——可能在窄时窗内使私钥被重构或遭到其他形式利用，前提是攻击者能用量子资源加速密码分析（Coindesk，2026 年 3 月 31 日）。

从历史上看，比特币安全评估侧重于指出：Shor 算法要有效对抗广泛使用的椭圆曲线密码学，需要具备容错（fault-tolerant）的量子计算机，其资源估计通常在数千到数百万逻辑量子比特之间，这使得实际攻击在多年份乃至数十年内难以实现。学术文献经常将破译比特币级别常用椭圆曲线所需的逻辑量子比特数估计在 10^5–10^7 范围（取决于量子差错更正），这些数字支撑了此前行业的相对从容。谷歌的贡献并非改变底层的量子资源算术，而是识别出协议层面的交互：这些交互或可通过在交易执行期间暴露签名材料来降低有效门槛，从而产生可被利用的时间窗口。

商业层面的影响尤为明显，因为比特币仍是机构最广泛持有的加密资产。公开报告持仓的公司——包括在资产负债表上披露大量比特币的上市公司——现在面临一系列新的运营问题，例如密钥托管的持有期限、多方计算（MPC）密钥刷新频率，以及是否需要协议层面的缓解措施。鉴于量子硬件路线图的不透明性，将理论风险转为可操作的风险管理需要基于情景的规划，并与量子能力的可测量里程碑挂钩。

数据深度解析

谷歌的研究由 Coindesk 于 2026 年 3 月 31 日报道，聚焦于一类 Taproot 启用的脚本：这些脚本在不同脚本分支求值阶段会暴露公钥点，从而可能为攻击者提供一个有时间限制的密码分析目标（Coindesk，2026 年 3 月 31 日）。报告并未声称比特币的 base-58 或其他地址格式今日已被直接攻破；相反，它识别出特定的脚本模式和钱包行为，这些模式与早期签名方案相比扩大了攻击面。举例而言，Schnorr 聚合与在脚本分支中公开中间公钥点的组合，理论上可能让观察到内存池（mempool）的攻击者获得部分信息，从而降低密钥恢复任务的复杂度。

量化实际所需工作量的变化具有挑战性。关于基于 Shor 算法的密钥恢复，保守的学术估计仍在 10^5 到 10^7 逻辑量子比特数量级，并在考虑差错更正与相干时间后对应更大的物理量子比特数（学术估计，多项来源）。即便如此，谷歌的说明重构了问题：如果协议语义会短暂地暴露密钥，那么攻击所需的量子运算可能更少，或可在多笔交易之间摊薄资源成本。这与经典模型不同——经典模型假定攻击者需破解离链存储的静态密钥——也正是托管方重新评估签名处理工作流的原因。

为便于以可观测数据锚定讨论，Taproot 于 2021 年 11 月 14 日激活（Bitcoin Core/BIP341）。谷歌的报告于 2026 年 3 月 31 日公布（Coindesk）。行业遥测数据（如钱包升级率与 UTXO 集中 Taproot 输出的百分比）将具有重要意义；托管方可以在内部衡量这些指标并根据特定脚本类型对暴露面进行分级处置。对于关注量子硬件进展的市场参与者，有两个具体信号值得关注： (1) 主要量子服务商关于容错逻辑量子比特里程碑的公开宣布；(2) 将设备能力从噪声中等规模（NISQ）演示推进到差错更正运行的基准测试结果。

行业影响

托管服务、交易所与受监管基金面临最直接的运营后果，因为它们以规模化方式处理签名工作流，且常采用 Taproot 所支持的智能合约模式。若一种在广泛使用的托管流程中存在的结构性弱点被发现，可能导致集中性暴露：在 mempool 传播期间执行的盗窃行为，原则上可能对具备先进量子能力的资源充足攻击者有利可图。

（文章未示例化现场已被利用的实际案件，但强调了应对策略的紧迫性。）

机构应考虑将下列措施纳入优先级评估：场景化量子威胁建模、缩短关键暴露窗口、提高多方计算（MPC）或阈值签名的刷新频率、引入更保守的签名策略以避免在交易流程中暴露中间公钥点，以及密切监控量子硬件的可验证里程碑。监管合规团队与托管运营部门之间需开展更紧密的沟通，以便在发现更明确的量子能力证据时迅速采取技术或政策层面的缓解措施。

总体而言，谷歌的研究将量子风险的讨论从抽象的远期威胁拉回到可工程化的现实问题：关键在于识别哪些协议语义和交易模式会创造短暂但可被利用的密钥暴露窗口，并据此调整托管与签名实践。