量子计算离破解比特币还有多远？NVIDIA Ising 引发的新一轮安全焦虑

4月14日，英伟达发布了全球首个开源量子AI模型系列——NVIDIA Ising。消息出来的时候，很多人的第一反应是：这和比特币有关系吗？量子计算会把比特币干掉吗？

答案既不是"没关系"，也不是"马上完蛋"。而是一个更复杂、更值得认真理解的故事。

Ising到底做了什么

先搞清楚这个模型本身。

量子计算机的核心单元叫量子比特（qubit）。和普通计算机的0和1不同，量子比特可以同时处于0和1的叠加态，这让量子计算机在特定问题上的运算能力呈指数级提升。但量子比特极度脆弱，温度、电磁波、振动，任何细微干扰都会让它"退相干"，产生计算错误。这是量子计算机走向实用化最大的拦路虎。

NVIDIA Ising用AI解决了这两个工程难题：

Ising Calibration（校准）：量子比特需要持续校准以对抗环境干扰，传统方式要花几天时间，Ising把这个过程压缩到几小时，靠的是一个视觉-语言模型，能实时读取量子处理器的测量数据并自动调整参数。

Ising Decoding（纠错）：量子比特出错是必然的，关键是能不能在计算过程中实时识别并纠正错误。Ising采用3D卷积神经网络，纠错速度比传统方案快2.5倍，精度提升3倍。模型完全开源，放在GitHub和HuggingFace上，康奈尔、芝加哥、加州大学圣地亚哥分校等顶级机构已经在用。

英伟达做这件事的时间节点也很耐人寻味——4月14日是"世界量子日"，不是巧合。

谷歌的那篇论文把一切拉进了现实

要理解Ising为什么让加密圈紧张，得先说说3月底发生的一件事。

谷歌量子AI团队在3月31日发布了一篇研究论文，直接震动了整个比特币社区。论文的核心结论是：破解比特币的椭圆曲线加密（ECDSA），所需的量子比特数量从2023年估计的900万，大幅压缩到了不到50万，运行时间从几天缩短到9分钟以内。

这相当于把"量子威胁时间线"提前了将近20倍。

谷歌的另一个发现更让人不安：比特币在2021年升级的Taproot特性，本意是提升隐私和效率，但在量子攻击场景下反而让公钥更容易暴露，增加了被攻击的风险。

比特币的加密体系，到底哪里脆弱

要回答这个问题，需要理解比特币用了两套不同的加密：

SHA-256（挖矿和区块哈希用）：对量子计算机基本免疫。量子算法（Grover算法）最多让挖矿速度翻倍，相当于给矿机提速，不会破坏网络安全。

ECDSA椭圆曲线数字签名（保护私钥用）：这里才是真正的风险。每次比特币交易都会暴露公钥，而量子计算机的Shor算法可以从公钥反推私钥。一旦能做到这一点，攻击者理论上可以伪造任何已暴露公钥的地址的签名，把里面的比特币转走。

研究人员统计，目前全网有约690万枚比特币处于量子脆弱状态，原因是这些地址的公钥已经在链上暴露（包括早期P2PK格式的地址）。其中最著名的就是中本聪的约110万枚比特币，全部存在从未花费过的早期地址里，公钥完全可见，价值约760亿美元。

比特币社区怎么反应的

谷歌的论文出来之后，比特币社区出现了几个主要声音：

Hashcash发明人、比特币早期核心贡献者Adam Back说，开发者应该现在就启动迁移计划，给用户留出大约10年时间将钱包迁移到抗量子格式，他的态度是"威胁是真实的，但不是明天的问题"。

BIP 360提案的支持者在推动一个新的钱包标准，允许用户自愿迁移到量子安全地址。这个提案目前在社区内讨论激烈，但比特币的升级治理极其缓慢，从提案到全网激活历史上平均需要数年。

闪电网络CTO Olaoluwa Osuntokun已经做出了一个原型工具，可以在网络启动量子紧急防御时帮助普通钱包完成迁移。

Galaxy Research和Bernstein的报告则一致认为：比特币有3-5年的窗口期，威胁是真实的，但距离"存亡危机"还很远。

社区内还有一个更棘手的争论——中本聪的那110万枚比特币怎么办？如果量子计算机有朝一日真的能破解，这些币会被人盗走，直接引发市场恐慌。有人提议提前"冻结"这些地址，但这触碰了比特币"任何人的资产不可被剥夺"这条核心原则，争议极大，目前没有共识。

抗量子加密算法是什么，为什么它能解决问题

说到这里，必须解释一下"后量子密码学"到底是什么，否则这个话题讲不完整。

现有的公钥加密（RSA、ECDSA）之所以安全，是因为它们依赖数学上的"困难问题"：分解大整数（RSA）或求椭圆曲线离散对数（ECDSA）。这两个问题对经典计算机来说极难，但Shor量子算法可以高效解决，所以量子计算机一旦足够强大，这两套体系就垮了。

抗量子加密算法的思路是换一批量子计算机同样无法高效解决的数学难题。2024年8月，美国国家标准技术研究院（NIST）正式发布了三个后量子密码学标准：

ML-KEM（原名CRYSTALS-Kyber）：基于"格问题"（Learning With Errors，LWE），用于密钥交换和加密。格问题的核心是在高维空间里找最短向量，目前没有任何已知的量子算法能高效解决它。性能很好，密钥材料不到1.5KB，延迟低，适合TLS握手和移动设备。

ML-DSA（原名CRYSTALS-Dilithium）：同样基于格问题，用于数字签名，可以替代现有比特币里的ECDSA。签名大小2-5KB，验证速度快。

SPHINCS+：基于哈希函数，原理更简单，安全性更保守，签名较大但可靠性极高，适合对安全性要求最高的场景。

对比特币来说，如果未来升级引入ML-DSA替换ECDSA，量子攻击从公钥反推私钥的路就被堵死了。但这需要全网软件升级和用户迁移，完整走完这个流程预计需要7年——2.5年开发和审查，半年激活，4年生态迁移。

传统金融才是真正的震中

说回最重要的一个问题：量子威胁对比特币更大，还是对传统金融更大？

答案几乎是确定的：传统金融的风险远大于比特币。

2026年1月，花旗银行（Citi Institute）发布了一份题为《量子威胁：万亿美元安全竞赛已经开始》的报告。结论令人震惊：一旦量子计算机可以破解现有加密，对美国联邦电汇系统（Fedwire）的一次量子攻击，可能让2万亿至3.3万亿美元的美国GDP陷入风险，并触发长达六个月的流动性危机和经济衰退。

原因是传统金融系统的加密体系比比特币老得多、迁移难度大得多：

全球银行、支付系统、政府通信广泛依赖RSA和ECC加密，这两套体系都是量子计算机的直接攻击目标。HTTPS、TLS、SWIFT报文、数字证书、电子护照、网上银行登录——这一切全部建立在RSA/ECC之上。

更危险的是"先收割后解密"（Harvest Now, Decrypt Later）攻击。敌对势力现在就可以大规模抓取加密的金融通信数据存储起来，等量子计算机足够强大之后再解密。这意味着今天传输的国家机密、银行通信、商业谈判，未来都可能被读取。比特币没有这个问题，因为链上数据本来就是公开的，加密的只是私钥，而私钥不在链上传输。

谷歌已经在2024年把自身系统的迁移截止日期定在了2029年。美国联邦机构被要求2030年前完成高风险系统迁移，2035年前全面完成。欧盟要求成员国在2026年底前制定国家后量子迁移战略。

相比之下，比特币的迁移虽然复杂，但有一个传统金融没有的优势：它是自愿迁移的去中心化系统，用户可以主动把资产迁移到安全地址，不需要等待某个机构统一决策。当然，中本聪那100多万枚比特币是个例外。

回到Ising：为什么现在发布很关键

英伟达Ising本身不是攻击工具，它是帮量子计算机变得更稳定、更实用的基础设施。但它代表的信号是：量子计算机正在从实验室走向工程化，这个速度比大多数人预期的要快。

如果Ising和类似的工具让量子计算机的纠错能力在未来两三年内大幅提升，那"Q-Day"（量子计算机足以破解现有加密的那一天）的时间表就会继续压缩。

今天我们讨论的，是一场已经开始倒计时的比赛：量子计算机的进化速度，vs 全球金融系统和区块链网络的加密升级速度。谁跑得更快，决定了未来的安全边界在哪里。

比特币有时间，但窗口不是无限的。传统金融更没有时间。