Hi 我們是 Bitbaby Research，近期因為 Google 發表的研究報告，讓量子電腦是否會對加密貨幣造成威脅這個話題又一次浮出水面，儘管正反兩方都有支持的觀點，但有一件事幾乎所有人都認同：量子電腦正在不斷進步。

TL;DR

破解時間大幅縮短： 2026 年最新論文證實，量子電腦理論上可在 9 分鐘內破解比特幣私鑰，所需資源比預期少 20 倍。
170 萬顆 BTC 正在裸奔：包含中本聰在內的大量早期錢包，公鑰已完全暴露在鏈上，成為未來駭客眼中最肥的提款機。
「冷錢包」防不了交易瞬間：最危險的攻擊（On-Spend Attack）發生在你按下發送的幾分鐘空窗期內，只要動用資金就會暴露弱點。
以太坊應對快，比特幣卡在治理： ETH 已有明確的抗量子升級路線圖（EIP-8141）；BTC 雖有防禦提案（如 BIP 360），但距離實裝遙遙無期。
重點不是會不會被破解，而是跑得夠不夠快：加密貨幣底層有能力解決量子威脅，真正的生死戰在於「誰的防禦升級速度能贏過量子發展」。

支持派：威脅比你想的更近

Bitbaby

Google 給了一個數字：9 分鐘

2026 年 3 月底，一篇論文讓整個圈子安靜了幾天。資料來源 arXiv:2603.28846。他們重新估算破解比特幣和以太坊橢圓曲線加密到底需要多少量子資源。結論只有兩個數字，但都讓人坐不住。第一個：所需的實體量子位元從過去預估的數百萬個，降到了 50 萬以下，縮水約 20 倍。第二個：一台夠強的量子電腦，理論上可以在約 9 分鐘內從公鑰反推出比特幣私鑰。

你以為不重複使用地址就安全了，但問題根本不在那裡

很多人聽過這個建議：不要重複使用同一個地址，公鑰就不會暴露，資產就安全。這個邏輯只對了一半，問題出在你發出交易的那幾分鐘。

當你發起一筆轉帳，交易會先進入記憶體池（Mempool）等待打包，通常需要幾分鐘。在這段時間裡，你的公鑰完整暴露在網路上。論文把這個攻擊方式叫做 On-Spend Attack（交易發起時攻擊）。未來夠強的量子電腦有能力在這個空窗期內從公鑰反推出私鑰，搶先廣播一筆偽造交易以更高的手續費插隊，把你的資金劫走。按下發送，然後錢就不見了。

這時候很多人會想說，那我把幣全放冷錢包不就好了？冷錢包平常不連網，確實能保護你。但只要你需要動用資金，就必須發出交易，公鑰就會暴露。冷錢包保護的是你不動的時候，保護不了你在交易那一刻的缺口。這個攻擊針對的不是你的儲存方式，是你的使用行為本身。

中本聰的比特幣，跟你的持倉直接相關

根據 CoinDesk 2026 年 4 月的報導，目前約 170 萬顆比特幣的公鑰已直接暴露在鏈上，包含 Satoshi 估計持有的約 100 萬顆，以及大量早期使用 P2PK 格式的礦工持倉。（來源：CoinDesk，2026 年 4 月 4 日）這些帳戶的主人可能已不在了，可能遺失了私鑰，根本沒辦法主動把資金搬到安全地址。

試想看這個場景：如果某個量子駭客或國家級組織哪天一次性把這 170 萬顆幣全部轉走，市場會發生什麼事？不只是價格崩，而是整個市場對比特幣「不可竄改」這個核心信仰一起垮掉。你持有的每一顆幣，都會直接感受到那個衝擊。

論文點名了一個具體威脅來源：北韓這類國家級駭客組織。如果某個國家率先取得攻擊能力，第一個打的目標幾乎可以確定不是你的個人錢包，而是這批最大、最沒有防禦的休眠資產。（來源：arXiv:2603.28846，2026 年 3 月）

針對這批資產，開發者 Hunter Beast 提出了「Hourglass V2」提案，建議限制這類地址每個區塊只能花費 1 顆比特幣，目的是防止量子攻擊發生時整批資金被瞬間傾倒砸崩市場。但這個提案在社群內爭議極大，因為它等於限制了特定地址的動用權利。（來源：CoinDesk，2026 年 4 月 4 日）

反對派：Q-Day 是一再跳票的故事

量子電腦分析

要公平地說：反對派也有很強的依據，而且歷史站在他們這邊。

「量子電腦快要破解比特幣」這個敘事不是今年才有的。2015 年有人說快了，2018 年有人說快了，2022 年 IBM 發表 127 量子位元晶片時又一批人說快了。到現在，沒有任何一台量子電腦具備攻擊實際加密系統的能力。

Blockstream CEO Adam Back 認為量子電腦在有用的規模上威脅加密貨幣仍然「數十年之遙」。（來源：coinalertnews.com，2026 年 4 月 2 日）
真正能破解加密的量子電腦，需要的不只是量子位元數量夠多，還需要極低的錯誤率。目前最先進的量子電腦錯誤率仍然遠高於執行密碼攻擊所需的門檻，這個落差目前還很大。
根據 Metaculus 預測平台的群體預測，中位數估算量子電腦能威脅現有加密的時間點落在 2040 年，不是 2028 或 2030。（來源：Metaculus, Quantum Computing Timeline，2024 年）
Vitalik 自己說的也比媒體標題保守很多，他給出的是 20% 的機率，不是「一定會發生」。（來源：Vitalik Buterin, X，2025 年）
比特幣挖礦用的 SHA-256 雜湊算法，量子電腦對它的威脅也遠小於對簽名算法的威脅。換句話說，比特幣的挖礦機制本身是相對安全的，不用擔心有人用量子電腦壟斷挖礦。（來源：arXiv:2603.28846，2026 年 3 月）

整個產業已經在動了，比你想的更快

2024 年底，NIST（美國國家標準暨技術研究院）已正式發布後量子加密標準。從歐盟的基礎設施防護目標，到美國政府淘汰舊加密算法的期限，全球合規與換軌的時程已經全面啟動。網路巨頭更是早已開始行動。根據 Cloudflare 的估算，目前全球公共網站的 TLS 連線中，已有高達約 50% 採用了後量子加密技術。

比特幣其實有在動，只是慢

比特幣針對量子的升級方案

目前社群有幾個具體提案在推進：

BIP 360 是最受關注的，邏輯很簡單：量子電腦要破解你的私鑰，前提是看得到你的公鑰。那如果把公鑰從鏈上整個拿掉呢？BIP 360 就是幹這件事，讓地址不再直接暴露公鑰，量子電腦沒有目標就無從攻擊。Lightning Network 和多簽錢包等功能完全不受影響。BTQ Technologies 在 2026 年 3 月已在測試網跑出第一個可運作的實作。（來源：bip360.org；BTQ Technologies / The Quantum Insider，2026 年 3 月 19 日）
SPHINCS+ 是換掉比特幣簽名算法本身的方向，用一套量子電腦打不穿的新算法取而代之。問題是這套算法產生的簽名檔案超過 8KB，是現行的 40 倍，每筆交易都會變得更肥，對比特幣的整體效能壓力很大。目前開發者還在研究怎麼把它瘦身。（來源：CoinDesk，2026 年 4 月 4 日）
Tadge Dryja 的 Commit/Reveal 方案針對的是前面說的 On-Spend Attack。作法是把一筆交易拆成兩個步驟：第一步先送出一個「我要交易」的承諾但不透露細節，第二步才揭露完整內容。這樣在 Mempool 等待的那幾分鐘，量子電腦就算看到了也拿不到足夠的資訊來攻擊。（來源：CoinDesk，2026 年 4 月 4 日）

三個提案都有人在推，方向也都對。但比特幣的治理文化讓任何重大升級都跑得極慢。Chaincode Labs 在 2025 年 5 月直接說，這些升級仍在「早期探索階段」，距離真正上主網還有很長的路。（來源：BTQ Technologies / The Quantum Insider，2026 年 3 月）

以太坊的應對更快也更完整

2026 年 2 月 27 日，Vitalik Buterin 在 X 上公布以太坊的抗量子路線圖，以太坊基金會同步宣布成立專責後量子研究團隊。（來源：Vitalik Buterin, X，2026 年 2 月 27 日）

核心提案 EIP-8141 讓以太坊帳戶可以在未來切換簽名算法，等於提前幫每個錢包裝了一個逃生門。驗證者簽名計劃從 BLS 轉向基於雜湊的簽名，零知識證明部分透過「validation frames」把大量簽名壓縮成單一合併證明上鏈，在保持安全性的同時把成本壓下來。

不過要特別說一點：以太坊的帳戶設計讓它在某個面向比比特幣更脆弱。只要你的帳戶發出過任何一筆交易，公鑰就永久暴露在鏈上，量子電腦有的是時間慢慢算。這是以太坊帳戶模型特有的問題，也是 EIP-8141 最急著解決的事。（來源：Tangem Blog，2026 年 4 月）

我們的想法：兩邊都在爭錯誤的問題

支持派和反對派一直在爭「Q-Day 什麼時候到」，但這個問題本身就是個陷阱。

真正的風險不是一條時間線而是：你的資產需要保密多久、協議完成遷移需要多久、量子威脅什麼時候真正具體化。

全球風險研究所量子威脅時間軸報告講得很清楚：當遷移時間加上資產保密需求超過威脅到來的時間，暴露窗口就已經打開了，不管 Q-Day 是 2032 還是 2048。（來源：Global Risk Institute, Quantum Threat Timeline Report，2024 年）

還有一個幾乎沒人提的威脅叫「Harvest Now, Decrypt Later（現在收割，未來解密）」。對手現在就可以把你的鏈上歷史資料存著，等量子電腦夠強再回來解密。你今天做的每一筆交易，都可以被未來的攻擊者回溯。

長期看，加密貨幣這個架構有能力解決量子威脅。密碼學本來就是一個貓鼠遊戲，每次有新威脅就有新算法出來接住，後量子密碼學不是假設，是已經被 NIST 標準化的現實。

但這裡有一個核心不對稱：以太坊有明確的升級路徑，有執行中的提案，有專責研究團隊。比特幣有多個提案，但全部卡在治理這一關，而且 170 萬顆已暴露公鑰的幣永遠是一顆未爆彈。

這並非是比特幣的末日，而是提醒我們：在需要主動防禦的技術威脅前，「誰能最快完成升級與遷移」才是決定資產存亡的唯一標準。起跑槍已經響了，只是大多數人還沒意識到這場比賽早就開始了。

你現在可以做的三件事

光是知道威脅存在沒有用，以下是馬上可以執行的動作。

第一件事：檢查你的比特幣地址有沒有公鑰暴露

到 mempool.space，輸入你的比特幣地址，看這個地址是否曾經發出過交易。只要有發出過，公鑰就已經在鏈上了。另外特別注意：如果你的地址開頭是「1」（舊版 P2PKH 格式），或是很早期的地址，風險更高。建議把資產搬到以「bc1q」或「bc1p」開頭的原生 SegWit 或 Taproot 地址，這類格式在未來過渡到後量子算法時會更順。以太坊的部分到 etherscan.io 查詢你的地址，確認是否曾發出過交易，有的話公鑰已永久暴露。

第二件事：用這個簡單排序重新看你的持倉風險

風險最高：長期未動、公鑰已暴露在鏈上的比特幣舊地址，尤其是 P2PK 格式的早期地址。
風險中等：以太坊帳戶，曾發出過交易的帳戶公鑰已永久暴露，但以太坊有明確升級路線圖可以期待。
相對安全：從未發出過交易的全新地址、已部署後量子加密的傳統金融資產，以及比特幣的挖礦側（SHA-256 不受 Shor's Algorithm 威脅）。

第三件事：追蹤這兩個進展，這是判斷時間線最直接的指標

比特幣的部分，關注 bip360.org 的更新，以及 Bitcoin/BIPs 的 GitHub repository。BIP 360 什麼時候從草案進入測試網、什麼時候有礦工和節點開始支援，是最關鍵的信號。以太坊的部分，到 eips.ethereum.org 搜尋 EIP-8141 查看最新狀態，以及追蹤以太坊基金會的官方 X 帳號 @ethereum。這個提案什麼時候進入測試網，是判斷以太坊抗量子時間線最直接的依據。

在這種環境下究竟該用什麼工具？消息不等人，市場更不等人。Bitbaby 免 KYC、超低合約手續費，資訊出來當下就能動。知道得早沒有用，動得快才算數。點擊連結註冊有全網最高30%手續費折扣