要点总结:
- Starkware 首席产品官 Avihu Levy 于 2026 年 4 月 9 日发布了 QSB,在无需任何协议更改的情况下实现抗量子比特币交易。
- Levy 的方案每笔交易的 GPU 计算成本为 75 至 150 美元,可实现约 118 位的抗量子攻击原像抵抗能力。
- QSB 是已知首个仅使用比特币现有的传统脚本规则,就能保护实时比特币交易免受 Shor 算法攻击的方案。
Starkware 高管如何在不触及协议的情况下为比特币构建量子抵抗能力
Starkware 首席产品官兼 BIP-360 共同作者 Avihu Levy 于 2026 年 4 月 9 日发布了完整的研究论文和开源实现。该方案称为量子安全比特币(Quantum Safe Bitcoin),简称 QSB。它不需要软分叉、社区协调或新操作码。它完全在比特币现有的 201 个操作码和 10,000 字节的传统脚本约束内运行。
QSB 解决的威胁是具体的。比特币的主要签名方案——基于 secp256k1 椭圆曲线的 ECDSA,在足够强大的量子计算机上可被 Shor 算法完全破解。拥有该能力的攻击者可以从任何暴露的公钥中恢复私钥、伪造签名并转移资金。P2PK 输出、传统地址和 Taproot 密钥支付路径在公钥出现在链上的那一刻都面临风险。
图片来源: X。Levy 的方案在交易层面切断了这种依赖关系。QSB 不依赖椭圆曲线的难度,而是基于 RIPEMD-160 的原像抵抗能力构建安全性,这是一种哈希函数,量子计算机只能使用 Grover 算法进行攻击,该算法提供的是二次加速而非完全破解。160 位哈希针对量子攻击者保留了约 80 位的原像抵抗能力,留下了足够的安全边际。
该构造修改了由 Robin Linus 开发的早期方案 Binohash,并修复了使 Binohash 无法抵御量子攻击的两个问题。第一个是依赖于寻找小型椭圆曲线 r 值的签名大小工作量证明(PoW)谜题,这是 Shor 算法可以轻易破解的。第二个是未解决的签名哈希标志漏洞,可能允许攻击者在不同交易中重复使用有效的谜题签名。
替换签名大小谜题
QSB 用 Levy 所称的哈希到签名谜题替换了签名大小谜题。支出者迭代交易参数,直到交易衍生公钥的 RIPEMD-160 哈希产生有效的 DER 编码 ECDSA 签名。该事件发生的概率约为七十万亿分之一。由于谜题使用硬编码的 SIGHASH_ALL 标志,签名哈希漏洞作为副作用被消除。
然后支出者使用 HORS 风格的 Lamport 签名结构运行两轮摘要,选择虚拟签名子集,通过称为 FindAndDelete 的传统脚本机制改变交易的签名哈希。每个子集产生不同的哈希输出。产生有效 DER 编码签名的子集成为该轮的摘要。在见证中揭示相应的原像即完成抗量子支出。
Levy 称为配置 A 的推荐配置,符合 201 个操作码限制,并实现约 118 位原像抵抗能力和 78 位碰撞抵抗能力。针对此配置运行 Grover 算法的量子攻击者在第二次原像攻击中面临约 2 的 69 次方的工作量。Shor 算法完全没有优势,因为已经没有椭圆曲线假设可供破解。
按当前现货价格,链外计算每笔交易的云 GPU 时间成本为 75 至 150 美元。这项工作是高度并行的,在早期测试中通过多个 GPU 在数小时内完成。GPU 集群仅处理公开计算,包括密钥恢复和哈希。私有 HORS 原像永远不会离开支出者的安全设备。
确实存在实际限制。QSB 交易在共识上有效但非标准,超出了默认中继政策。它们需要直接提交到接受非标准交易的矿池,例如通过 Marathon 的 Slipstream 服务。该方案尚未覆盖闪电网络通道。完整的链上组装和广播在开源实现中仍在进行中。Levy 将该方案描述为最后的手段,而非标准比特币使用的通用替代品。
Starkware 联合创始人 Eli Ben-Sasson 公开支持这项工作,表示比特币可以立即实现抗量子。他说:
Levy 在 X 上分享了论文和存储库,并感谢 Robin Linus 在 Binohash 上的基础工作以及塑造最终成本-安全权衡的关键修正。社区对白皮书非常满意,因为它在社交媒体上广泛分享。Taproot Wizard 的 Eric Wall 在 X 上写道:
完整论文、GPU 加速 CUDA 代码、Python 管道和完整的比特币脚本可在 Levy 的 GitHub 存储库中获取。这一消息紧随最近旨在保护比特币钱包免受量子风险的原型之后。该特定原型由 Lightning Labs 首席技术官 Olaoluwa Osuntokun 创建。
这对日常比特币持有者意味着什么
对于日常比特币(BTC)持有者来说,实际要点很简单。目前还不存在能够破解比特币密码学的量子计算机,大多数研究人员认为这种威胁至少还有三年到十年的时间。但时钟从公钥出现在链上的那一刻开始计时,这在用户每次从地址支出时都会发生。
从未进行过传出交易的钱包中的比特币风险较小。停放在重复使用或已支出地址的比特币则是另一回事。当量子计算达到临界点时,这些暴露的公钥将成为目标。在窗口关闭之前转移资金比之后转移更重要。
QSB 尚未内置于任何消费者钱包中。用户今天无法打开标准钱包并切换抗量子设置。Levy 提供的是密码学证明,证明这条路径存在,是从比特币内部已有的规则构建的,成本大约相当于 GPU 计算的机票价格。
剩余的工作是工程、采用和时间。对于持有 BTC 的人来说,行动项目很简单:关注钱包提供商的后量子支持,避免重复使用地址,并在主流软件提供该选项时将资金转移到抗量子地址。保护比特币的工具正在构建中。
来源: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
