量子风险已成为比特币讨论中反复出现的压力点,常被塑造成生存威胁。这类主张通常遵循熟悉的轨迹:量子计算发展迅猛,密码学体系脆弱,而比特币的适应速度远远不够。
Marty Bent并不认同这种说法。在12月14日的节目中,Bent承认量子计算确实构成风险——不仅对比特币,对任何基于现代密码学的系统都是如此——但同时反驳了比特币开发者忽视该问题的观点。
“简短回答是:是的,这确实是个风险,”Bent表示,“但这不仅是比特币的风险。任何依赖密码学保障安全的系统都面临这个风险。”
开发者如何让比特币具备量子抗性
他指出,容易被忽视的是已经在进行的工作。Bent提到正在进行的开发者讨论,以及最近Blockstream的Jonas Nick和Mikhail Kutunov发表的一篇研究论文,该论文专门针对比特币研究了基于哈希的后量子签名方案。
“我做这个视频就是为了反驳那种说法,”Bent在提到“比特币行动不够快”的指控时表示,“因为如果你过去一年关注比特币开发讨论,很明显量子风险正被认真对待,相关对话已经启动。”
Nick在12月9日的X平台发文中总结了论文内容,称其分析的是针对比特币限制条件优化的后量子方案,而非通用密码学基准测试。Bent将这项工作视为研究从抽象关切转向具体设计领域的信号。
基于哈希的签名概念简单,且仅依赖哈希函数——这是比特币早已信任的原始构件。
虽然NIST已标准化SLH-DSA(SPHINCS+),但我们研究更适合比特币特定需求的替代方案。
— ncklr (@n1ckler) 2025年12月9日
Nick通过X平台写道:“基于哈希的签名概念简单,且仅依赖哈希函数——这是比特币早已信任的原始构件。虽然NIST已标准化SLH-DSA(SPHINCS+),但我们研究更适合比特币特定需求的替代方案。我们详细探讨了不同优化和参数选择如何影响大小和性能。签名大小可缩减至约3-4KB,与基于格的签名方案(ML-DSA)相当。”
Bent强调,挑战不在于缺乏候选方案,而在于比特币是一个全球分布式系统,拥有近17年运营历史,协议层变更伴随重大权衡。
“比特币是全球分布式点对点系统,依赖极难修改的共识协议规则,”Bent说,“而且你确实不希望频繁更改它们。”
这一现实使得向抗量子签名的过渡复杂化。现有地址类型、HD钱包、多签设置和阈值方案都需要考虑。除兼容性外,还存在性能问题。
“在比特币中处理此问题的最大障碍之一是许多抗量子方案非常密集地消耗数据,”Bent表示,“是的,可实施的方案很多。但它们需要权衡——尤其是验证和带宽方面的权衡。”
更大的签名会减缓区块传播,提高全节点运行成本,直接影响去中心化。Blockstream的论文重点探讨了这种矛盾,研究能否将签名大小优化至几千字节同时控制验证成本。
“他们相当有信心通过研究找到具有良好平衡度的签名方案,”Bent说,“在获得量子抗性的同时,仍便于人们下载全节点和验证交易,而不需要大量带宽和数据存储。”
Bent谨慎地未将这项研究表述为最终解决方案,而是称其为基础工作——提前规划问题领域,以防量子技术发展超预期时网络措手不及。
“这绝不是‘嘿,我们解决了问题’,”他说,“但我们正认真对待该问题,开展研究并开始寻找方法,以应对可能在中长期显现的量子风险。”
他还指出,尽管互联网大多依赖在真正后量子场景中面临类似压力的密码学假设,但BTC往往在量子讨论中被单独挑出。
“如果量子计算机真的出现,比特币不是唯一受影响的对象,”Bent说,“你在网上接触的几乎所有东西都在某些环节依赖密码学安全。”
所有人都在恐慌量子计算会摧毁比特币。
但他们忽略了刚刚发布的内容。
@martybent 为您解读。 pic.twitter.com/uyRIjpGuNY
— TFTC (@TFTC21) 2025年12月14日
目前,Bent的结论是审慎的:量子风险存在,量子计算进展真实,但“开发者忽视问题”的说法与技术圈的实际情况不符。
“非常聪明的开发者——更重要的是密码学家——正在研究这个问题,”他说,“如果你知道去哪关注,很明显人们正在为此做准备。”问题尚未解决,但未被忽视,只是在默默推进。
截至发稿时,BTC交易价格为89,854美元。
