Q-Day与比特币：花旗警告25%的BTC供应已暴露于量子风险

根据花旗银行（Citi）5月16日发布的报告，比特币总供应量中已有25%的公钥在链上公开暴露，涉及约450万至670万枚BTC，估计风险敞口达3500亿至5000亿美元。量子计算的进展速度已超出此前所有预测模型，Q-Day（量子计算机能够破解现行加密体系的时间节点）最早可能在2034年到来。

来源：花旗研究院 “Quantum Threat: The Trillion-Dollar Security Race” · 2026年5月16日更新 · Project Eleven

暴露机制：并非所有比特币风险相同

问题的根源在于比特币处理地址的方式。在比特币网络最早期，Pay-to-Public-Key（P2PK）类型的地址会将公钥永久明文写入链上。任何曾从P2PK地址发送过交易的用户，其公钥都已对全网公开。根据Project Eleven的估算，约有690万枚BTC属于这一类别，其中很可能包括部分归属于中本聪（Satoshi Nakamoto）的钱包。

一台足够强大的量子计算机，借助肖尔算法（Shor's algorithm），可以从公钥反向推算出对应的私钥，从而在钱包持有人毫不知情的情况下转移资金。即便是较新的P2PKH地址，在发起一笔交易的瞬间也会短暂暴露公钥：在区块确认窗口期内，理论上量子计算机可以抢在确认完成前伪造另一笔交易。花旗银行在该报告中将这一场景描述为“在企业和银行安全治理层面已具有实际意义”。

对于将BTC存放在硬件钱包中的普通零售用户而言。当前的直接风险较低。但对于那些长期闲置的P2PK地址中的资金，风险是结构性的。对于在香港持牌交易所（如OSL或HashKey）持有比特币的用户。了解自身资产的地址类型同样至关重要。

量子计算真的能攻击比特币吗？

坦率的答案是：目前不能，但十年后存在可能。花旗银行的报告估计，到2034年出现具备密码破解能力的量子计算机（CRQC，Cryptographically Relevant Quantum Computer）的概率为34%。以太坊联合创始人Vitalik Buterin此前估计2030年前的概率为20%，但花旗的研究人员认为该估计已经过于乐观。谷歌（Google）、IBM以及中国军方相关量子计算项目的最新进展均显示，时间表正在提前。

最迫在眉睫的威胁并非直接攻击钱包，而是花旗报告中所称的“今日收集，明日解密”（harvest now, decrypt later）策略。国家级行为者可以在今天大规模存储加密数据、交易记录和通信内容，等到量子算力成熟后再行解密。对于长期保管敏感金融数据的银行和机构而言，这一风险已经存在。根据花旗研究院（Citi Institute）的估算，全球银行体系对这一风险的总体敞口高达3万亿美元。

对于在香港金融管理局（HKMA）监管框架下运营的金融机构和持牌交易所，量子安全已开始进入合规讨论范畴。数字资产托管服务商需要评估其密钥管理基础设施是否具备后量子迁移路径。

BIP-360、BIP-361与比特币治理难题

实际上，花旗银行指出，比特币比以太坊面临更大量子风险敞口，原因在于其治理机制。比特币协议的变更需要矿工、开发者和节点之间达成高度广泛的共识，进程本就缓慢。目前正在讨论中的BIP-360（QuBit）和BIP-361，是拟将后量子签名方案引入比特币协议的提案，但截至目前两者均未获得足以触发软分叉的采用率。以太坊相比之下已相继完成了“The Merge”和Dencun等重大升级。

Ripple于2026年3月宣布了一项四阶段计划，目标是在2028年前将XRPL升级为抗量子体系，Project Eleven担任技术合作伙伴。美国国家安全局（NSA）则于2025年5月发布了商业国家安全算法套件2.0（CNSA 2.0），为关键系统提供后量子推荐算法清单。

G7网络专家组要求各欧洲国家的高风险系统在2030年前完成迁移。比特币不受任何国家或机构管辖，其升级进程完全取决于社区共识。而这个社区在历史上的惯常选择是：宁可走得慢，也要走得稳。

最值得关注的时间节点是2030年，而非2034年。G7对高风险系统设定的迁移截止日期是前者。在欧洲及香港持有比特币或将其用于抵押品的金融机构，届时需要向监管机构证明已具备有效的后量子迁移方案。若BIP-360在未来24至36个月内无法获得足够共识，比特币协议升级速度与潜在对手技术进步速度之间的差距将持续扩大。

真正的风险不是Q-Day明天到来，而是Q-Day到来时比特币尚未准备好。从香港到新加坡，持有比特币的零售用户和机构投资者现在就应关注BIP-360的社区讨论进展，以及所使用的交易所或托管服务商是否已启动后量子密钥管理升级路线图。