690万枚比特币恐被破解，2029年“量子末日”倒计时，银行卡、社交账号也面临风险

一场关于密码安全的警报正在加密世界和科技领域拉响。

2026年3月底，谷歌量子人工智能（Quantum AI）团队发布的一份白皮书揭示，一台足够强大的量子计算机，理论上破解比特币底层加密所需的资源，仅为此前估计的二十分之一，破解所需时间甚至可以缩短至约9分钟。

目前约有690万枚比特币（约占总供应量的三分之一）因公钥已被永久暴露在区块链上而面临直接风险。

此前，谷歌已将“量子末日（Q-Day）”的应急准备截止期限大幅提前到2029年。

所谓“量子末日”，是指量子计算机能够破解公钥密码算法的时刻。届时，银行卡、社交媒体账号等几乎所有日常使用的密码都将面临风险，我们赖以信任的密码基础也将被动摇。

谷歌重磅研究：量子计算9分钟可攻破比特币

谷歌量子人工智能团队报告 图片来源：谷歌官网

谷歌量子人工智能团队于2026年3月30日发布的题为《保护椭圆曲线加密货币免受量子漏洞影响：资源估算与缓解措施》的报告指出，一台50万比特的量子计算机就可以破解比特币所依赖的椭圆曲线加密算法（ECC），所需的计算资源仅为此前预计的二十分之一。

谷歌报告中提供了一个具体的攻击场景：当一笔比特币交易被广播到网络、在“内存池”中等待确认时，攻击者可以利用量子计算机发起攻击。比特币的平均交易确认时间约为10分钟，而谷歌研究发现，在特定条件下，量子计算机从公钥推导出私钥的攻击过程仅需约9分钟。在这场与交易确认时间的竞赛中，攻击者将有大约41%的几率抢在交易被正式记录前窃取私钥，并“截胡”这笔资金。

大多数加密货币，包括比特币和以太坊，都采用椭圆曲线加密作为其基础密码学算法。该算法下，穷举所有可能密钥所需的时间，远远超过宇宙的寿命。

但量子计算机破解比特币，并不是逐一尝试密钥，而是同时探索所有可能，并通过干涉筛选出正确答案。

北京量子信息科学研究院副院长、清华大学教授龙桂鲁在接受《每日经济新闻》记者（以下简称每经记者）采访时表示，量子计算机和经典计算机的根本区别在于，量子计算具有某种“超并行性”。

比如说，经典计算机里，3个比特有8种可能状态，从000到111，但它每次只能表示一种状态；而量子计算机中，3个量子比特可以同时表示这8种状态。因此，计算一次，就相当于同时对8种状态都进行了计算。如果是4个比特，就是16种状态。随着比特数增加，这种计算能力是指数级增长的。

谷歌报告还揭示了另一个更直接且紧迫的威胁。研究指出，目前约有690万枚比特币（约占当时总供应量的三分之一）存放在公钥已经永久暴露在区块链上的钱包中，其中包括属于比特币创始人中本聪的110万枚比特币。

对于这部分资产，一旦足够强大的量子计算机问世，攻击者将无需进行9分钟的“竞速”，而是可以随时、从容地破解这些已暴露的公钥并窃取资金。

业界争议：“量子末日”迫在眉睫还是尚需十年

谷歌的研究报告发布后，加密货币交易所Coinbase首席执行官Brian Armstrong在数小时内便做出了回应，表示将“亲自投入时间”来增强比特币的抗量子攻击能力，并说这个问题“必须尽快解决”。 

量子技术公司BTQ Technologies总裁兼创新主管Chris Tam称，如果量子计算的威胁成为现实，它可能对比特币和其他主要数字资产构成“最大威胁”。“如果投资者知道他们今天持有的代币明天就会被盗，或者未经许可就能被转移到他们的账户之外，那么加密货币的价值显然会受到不利影响。”

早在2026年1月，知名投行杰富瑞（Jefferies）的全球股票策略主管Christopher Wood就做出了一个大胆决定：他将其“贪婪与恐惧”（Greed & Fear）模型投资组合中10%的比特币配置移除，并明确将量子计算视为对比特币的潜在风险。他转而将这部分资金配置为5%的实物黄金和5%的金矿股。

然而，并非所有人都认为“量子末日”已迫在眉睫。

方舟投资（Ark Invest）在谷歌报告发布前几周（2026年3月12日）发布的一份报告中就指出，当今的量子计算机在算力上远未达到构成威胁的门槛，并且任何有意义的突破都可能首先影响到更广泛的互联网安全领域，而不仅仅是比特币。

“目前讨论的重点，主要仍然是理论上可行、工程上门槛极高、现实中尚不可操作。”信和汇联研究员、英国肯特大学商学院副教授田堃在接受每经记者采访时表示。他指出，业内普遍不认为“现在立刻崩盘”，关键瓶颈在于现实世界还缺少能够稳定执行这类复杂攻击的大规模、可容错的量子计算机。

田堃解释道，理论上秀尔算法（谷歌论文所提及的算法）可以破解椭圆曲线，但工程上要实现，必须同时满足高质量的物理量子比特、足够多的逻辑量子比特、长期有效的量子纠错、极低的噪声水平和稳定的门操作等一系列严苛条件。

谷歌论文也强调，目前最大的量子处理器仅拥有约1000个量子比特，距离估算的50万个物理量子比特门槛相去甚远。

从银行卡到社交账号：2029年现有密码体系恐遇全面危机

龙桂鲁 图片来源：清华大学官网

尽管实现攻击的硬件条件尚不具备，但对于“量子威胁何时会成为现实”这一问题，一个关键的时间节点正在浮现：2029年。

龙桂鲁认为，具备破解密码能力的量子计算机在2029年出现“是很有可能的”。因为除了谷歌的方法之外，清华大学等联合团队在2022年就提出了量子经典融合算法，并且该算法仅需几百量子比特就能达到其他算法几万量子比特的效果。

龙桂鲁向每经记者进一步强调，由于这类能力对国家安全、国防等领域至关重要，即便未来真正成熟了，各个国家也“未必会公开宣布出来”。

他同时指出，一旦量子计算技术真正成熟，势必会对现有的非对称公开密码体系造成冲击，这其中就包括所有日常使用的社交媒体账号、银行卡密码等。

应对措施：密码升级与抗量子方案

量子计算带来的威胁，正驱动全球范围内的密码升级。

在龙桂鲁看来，目前应对量子攻击主要有两条路径。其一是设计能够抵御量子计算机攻击的新型经典密码算法，即后量子密码（PQC）。

在此领域，美国国家标准与技术研究院（NIST）走在了前列。据龙桂鲁介绍，NIST已于2025年8月发布了首批三项PQC标准并开始推广使用。苹果公司已在iMessage中采用抗量子加密方案，美国国家安全系统（NSS）也已启动向PQC的迁移。

他同时提到，中国也于2026年初开始公开征集后量子密码方案，加速推进相关标准的制定。

其二是量子通信技术。比如说潘建伟院士团队的量子密钥分发技术和龙桂鲁教授团队的量子直接通信技术。这类方案的安全性是建立在量子独特的物理规律上的。用量子态传信息时，如果有人窃听，就会破坏量子态，这样窃听者实际上拿不到有效信息。

此外，比特币社区已开始测试名为BIP-360的抗量子解决方案。截至2026年3月，已有技术公司在比特币测试网络上成功部署了BIP-360的实现，并吸引了超过50个“矿工”参与。美国最大的加密货币交易所Coinbase于2026年1月成立了“量子计算与区块链独立顾问委员会”。

对于当前局面，田堃向每经记者总结道：“量子计算对虚拟货币已经不再是遥远的科幻隐患，而是需要按‘中期现实风险’来管理的长期技术迁移问题。”他认为，风险虽然还未立刻落地，但系统性的迁移必须提前数年甚至一个十年展开。未来的区块链技术发展，将围绕算法迁移、协议灵活性和治理协调三大路径演进，逐步将系统从“量子脆弱”升级为“量子可迁移、量子可升级”的状态。

本文来自微信公众号“每经头条”，作者：岳楚鹏 郑雨航，36氪经授权发布。