比特币（BTC）的量子升级路径：BIP-360 的变革及其局限

作者：Dilip Kumar Patairya专职撰稿人

由Rahul Nambiampurath审阅编辑

比特币（BTC）的量子升级路径：BIP-360 的变革及其局限 17分钟前BIP-360如何重塑比特币的量子防御策略、它改进了哪些方面以及为何未能实现全面的后量子安全。 教学        

要点总结 BIP-360 首次将抗量子攻击正式纳入比特币发展路线图。这标志着一次稳健、渐进的推进，而非一次剧烈的密码学变革。

量子风险主要威胁的是暴露的公钥，并非比特币的 SHA-256 哈希，因此公钥暴露成为开发者力图削减的核心弱点。

BIP-360 推出 Pay-to-Merkle-Root（P2MR）方案，取消了 Taproot 的密钥路径支出选项，强制所有支出通过脚本路径，以最大限度降低椭圆曲线暴露。

智能合约的灵活性仍得以保留，因为 P2MR 依然通过 Tapscript Merkle 树支持多签、时间锁以及复杂托管结构。

比特币的设计初衷就是应对敌对的经济、政治和技术环境。截至 2026 年 3 月 10 日，其开发者正准备迎接一项新兴威胁：量子计算。 比特币改进提案 360（BIP-360）近期发布，首次将抗量子攻击能力正式纳入比特币长期技术路线图。尽管一些媒体标题将其描述为重大转折，实际上这一举措远比外界报道更为稳健和渐进。 本文将深入探讨 BIP-360 如何通过引入 Pay-to-Merkle-Root（P2MR），以取消 Taproot 密钥路径支出方式，降低比特币量子暴露，并分析该提案在哪些方面实现了改进、带来了哪些权衡，以及为何比特币尚未彻底实现后量子安全。 量子计算为何构成比特币风险 比特币的安全性依赖于密码学，主要包括椭圆曲线数字签名算法（ECDSA）和 Taproot 引入的 Schnorr 签名机制。普通计算机几乎不可能通过公钥反推出私钥；但一台运行 Shor 算法的强大量子计算机能够破解椭圆曲线离散对数问题，进而暴露公钥。 关键区别体现在： 量子攻击对公钥密码学的威胁最大，并非针对哈希算法。

比特币的 SHA-256 对量子攻击依然具有一定抗性。Grover 算法只带来二次加速，并非指数性突破。

实际风险在于公钥在区块链上被暴露时。

因此，社区普遍将公钥暴露视为量子风险的首要攻击面。

2026年比特币的脆弱点 比特币网络内不同类型的地址，面临的未来量子威胁等级并不相同： 重用地址：支出时会在链上公开公钥，使其面临未来密钥相关量子计算机（CRQC）的威胁。

传统“付至公钥”（P2PK）输出：早期比特币交易在输出中直接嵌入了公钥。

Taproot 密钥路径支出：Taproot（2021年）提供路径二选一：精简的密钥路径（支出时暴露修饰过的公钥），或者脚本路径（通过 Merkle 证明展示脚本）。密钥路径是量子攻击下的主要理论弱点。

BIP-360就直指这个密钥路径暴露的风险。

BIP-360 带来了什么：P2MR BIP-360 增加了一种新输出类型 Pay-to-Merkle-Root（P2MR），在结构上高度模拟 Taproot，但有一个关键变动——彻底去除了密钥路径支出方式。 P2MR 不再像 Taproot 那样绑定内部公钥，而是只承诺一个脚本树的 Merkle 根。实际支出时： 公开脚本叶子

提供 Merkle 证明以证明该脚本属于承诺的根

完全不存在基于公钥的直接支出路径。 取消密钥路径支出的含义在于： 不再有用于直接签名验证的公钥暴露。

所有支出路径都依赖哈希承诺机制。

长远看椭圆曲线公钥暴露急剧下降。

哈希方案相比椭圆曲线假设，对量子攻击弹性更强。这极大收窄了攻击面。 BIP-360 保留了什么 常见误解认为，删去密钥路径支出会削弱智能合约或脚本能力。实际上并非如此。P2MR 仍全面支持： 多重签名设置

时间锁

条件支付

继承方案

高级托管配置

BIP-360 通过 Tapscript Merkle 树实现上述全部功能。虽然流程仍保持完整脚本能力，但便捷但易受攻击的密钥直接签名路径已被移除。 你知道吗？中本聪曾在早期论坛讨论中提及量子计算，指出如果量子计算变得实用，比特币可迁移至更强的签名方案。这证明链上协议升级灵活性始终是其设计理念的一部分。 BIP-360 的现实影响 BIP-360 虽看似纯技术优化，实际会在钱包、交易所和托管层面带来切实变化。若落地实施，将逐步重塑新比特币输出的生成、支出和安全方式，尤其惠及重视长期抗量子能力的用户。 钱包可引入自愿选择的 P2MR 地址（开头可能为“bc1z”），作为新币和长期持有的“抗量子”地址。

由于采用脚本路径，交易数据体积会略有增加（见证数据更多），手续费相较 Taproot 密钥路径支出或略有上涨，安全性与紧凑性的取舍。

全面推广需钱包、交易所、托管机构及硬件钱包更新，相关筹划需提前数年启动。

你知道吗？部分国家政府已在准备“先采集、后解密”策略，即提前存储加密数据，等待未来量子解密。这种策略与对比特币公钥暴露的担忧如出一辙。 BIP-360 明确未涉足哪些领域 BIP-360 虽提升了比特币面对未来量子威胁的防御能力，但并非彻底的加密系统革新。认清其局限性与了解其亮点同样重要： 未自动升级现有币：历史未花费交易输出（UTXO）依然脆弱，需用户主动迁移至 P2MR 输出，是否迁移取决于用户行为。

未引入全新后量子签名：BIP-360 不会用基于格（如 Dilithium 或 ML-DSA）或基于哈希（如 SPHINCS+）的签名替换 ECDSA 或 Schnorr，只是消除 Taproot 密钥路径暴露。彻底转向后量子签名需规模更大的协议变动。

未实现完全量子免疫：若突现密钥相关量子计算突破，依然需矿工、节点、交易所和托管机构大范围协调。长时间未动的币或引发治理难题，网络压力随之上升。

开发者为何现在行动 量子技术的发展时间尚不确定。有人认为尚需几十年，也有人关注 IBM 2020 年代末期的容错目标、谷歌芯片进展、微软拓扑研究以及美国政府计划于 2030-2035 年间的相关转型时间表。 关键基础设施迁移至少需数年。比特币开发者强调需在 BIP 设计、软件、基础设施和用户采纳等层面提前规划。若等量子进展明朗再行动，基础设施升级或陷于被动。 一旦共识形成，未来可分阶段软分叉： 1.激活 P2MR 输出类型 2.钱包、交易所和托管机构完成支持 3.用户逐步迁移，持续数年 这与当年 SegWit、Taproot 的可选转变并逐步普及过程如出一辙。 围绕 BIP-360 的广泛讨论 市场仍在就紧急性与成本进行辩论，相关讨论包括： 长期持有者能否接受手续费小幅上升？

机构是否应率先迁移？

如何处理永远不动的币？

钱包该如何标记“量子安全”，既要提醒又不致引发恐慌？

关于这些问题的探讨仍在持续。BIP-360 推动相关讨论深入，但并未定论。 你知道吗？量子计算机威胁加密安全的设想可追溯至1994年，彼时数学家彼得·秀尔（Peter Shor）提出 Shor 算法。这远早于比特币问世。比特币对未来量子威胁的准备，实则回应了三十年前的理论突破。 用户当前可采取的措施 现在尚无必要恐慌，量子威胁暂未迫在眉睫。可考虑的防范措施包括： 避免地址重复使用

坚持使用最新版本的钱包软件

关注相关协议升级动态

关注钱包对 P2MR 的支持进展

持有大量资产者应低调评估风险敞口并考虑应急预案。 BIP-360：迈向抗量子攻击的第一步 BIP-360 是比特币在协议层面首次实质性减少量子暴露的举措。该提案重新定义新输出的生成方式，减少公钥泄露，为长期迁移预留规划基础。 这一方案不会自动变更现存币，不涉及签名算法替换，强调需全生态合作与有序推进。真正的抗量子能力将依赖持续工程投入与分阶段采纳，而非某一项 BIP 一蹴而就。 相关推荐：一对法国夫妇被冒充警察的犯罪分子抢走了价值100万美元的比特币（BTC）

Cointelegraph 始终保持完全的编辑独立性。Features 和 Magazine 内容的选题、委托及发布不受广告商、合作伙伴或任何商业关系的影响。 #比特币 #Security #Cryptography #Quantum Computing #How to