反對允許量子計算機攻擊比特幣

訪客 8個月前 (03-21) 閱讀數(shù) 239 #區(qū)塊鏈

文章標(biāo)簽前沿文章

原文作者：Lopp 編譯：LlamaC

正文

量子計算爭論正在升溫。這場爭論有許多具有爭議的方面，包括量子計算機是否真的會成為一個實際的威脅。如果你想要對技術(shù)問題有一個高層次的概述，可以查看我 2024 年的演講：

Safeguarding Satoshi’s Stash - Jameson Lopp | Future of Bitcoin 2024

https://youtu.be/MTUzpR_mxAg

在這篇文章中，我不會涉及我們應(yīng)該對量子計算機有多擔(dān)心這個無法回答的問題。我認(rèn)為這遠非危機，但考慮到改變比特幣的難度，值得開始認(rèn)真討論。今天，我想重點關(guān)注一個與實施量子安全簽名方案時需要做出的決定相關(guān)的哲學(xué)難題。

多種情景

由于本文將大量引用博弈論，并且存在許多可能改變博弈性質(zhì)的變量，我認(rèn)為有必要預(yù)先闡明可能出現(xiàn)的情況。

量子計算永遠不會實現(xiàn)，永遠不會成為威脅，因此本文討論的一切都是無關(guān)緊要的。

量子計算威脅突然出現(xiàn)，而比特幣協(xié)議中沒有量子安全簽名。在這種情況下，以下幾點可能變得無關(guān)緊要，因為比特幣將從根本上被破壞，而升級協(xié)議、錢包軟件并遷移用戶資金以恢復(fù)對網(wǎng)絡(luò)的信心將需要太長時間。

量子計算的進展足夠緩慢，使我們能夠就如何升級比特幣達成共識，并且在攻擊者出現(xiàn)時，后量子安全性已經(jīng)得到最低限度的采用。

量子計算的進展足夠緩慢，使我們能夠就如何升級比特幣達成共識，并且在攻擊者出現(xiàn)時，后量子安全性已被廣泛采用。

就本文而言，我設(shè)想處于情況 3 或 4。

凍結(jié)還是不凍結(jié)？

我開始看到更多人就量子抗性升級應(yīng)如何處理用戶資金遷移這一最具爭議的方面發(fā)表意見。是應(yīng)該讓量子易受攻擊的資金暴露在任何擁有足夠強大量子計算機的人面前任其掠奪，還是應(yīng)該將其永久鎖定？

一些引用：

來源：https://x.com/paoloardoino/status/1888259298641191049

"我不明白為什么要沒收舊幣。更好的選擇是讓那些擁有量子計算機的人釋放舊幣。雖然這可能會對比特幣價格產(chǎn)生通脹影響，但用一個說法來說，這種通脹是暫時的。那些時間偏好低的人應(yīng)該支持將丟失的幣重新投入流通。"

- 獵人野獸

最后，我看到的第一個支持鎖定易受攻擊的 UTXO 的觀點：

當(dāng)然它們必須被沒收。如果（這是個很大的假設(shè)）破解密碼學(xué)的量子計算機成為一個可信的威脅，比特幣生態(tài)系統(tǒng)別無選擇，只能通過軟分叉來移除從易受量子計算機攻擊的簽名方案（包括 ECDSA 和 BIP340）中支出的能力。否則，數(shù)百萬比特幣將面臨被盜的風(fēng)險；在這種情況下，我無法想象這種貨幣如何能保持任何價值。這影響到每個人；即使是那些已經(jīng)謹(jǐn)慎地將他們的幣轉(zhuǎn)移到后量子密碼學(xué)保護方案中的人也不例外。

- Pieter Wuille

我認(rèn)為"沒收"并不是最準(zhǔn)確的用詞，因為這些資金并非被扣押和重新分配。相反，我們實際討論的內(nèi)容更適合描述為"銷毀"——將資金置于所有人都無法觸及的地方。

根據(jù)軼事，我與大多數(shù)人討論處理量子計算攻擊場景的具體細節(jié)時，他們似乎都認(rèn)為易受量子攻擊的加密貨幣將簡單地被擁有量子計算機的人"挖掘"。

來源：https://x.com/bradmillscan/status/1888607280817442844

我假設(shè)這是因為不凍結(jié)用戶資金是比特幣不可侵犯的屬性之一。然而，如果量子計算對比特幣的橢圓曲線密碼學(xué)構(gòu)成威脅，比特幣的一個不可侵犯屬性將以某種方式被違反。

基本屬性面臨風(fēng)險

5 年前，我嘗試全面歸類比特幣所有賦予其價值的基本屬性。

比特幣的主要特征有哪些？

在比特幣領(lǐng)域，提出協(xié)議變更時存在許多不成文的規(guī)則。這些規(guī)則有的涉及理念，有的涉及技術(shù)，還有一些則兼具兩方面特征。

https://nakamoto.com/what-are-the-key-properties-of-bitcoin/?ref=blog.lopp.net

關(guān)于這個問題所涉及的特定屬性似乎是：

抗審查性 - 任何人都不應(yīng)該有權(quán)力阻止他人使用其比特幣或與網(wǎng)絡(luò)進行交互。

前向兼容性 - 改變規(guī)則使某些有效交易變?yōu)闊o效可能會削弱對協(xié)議的信心。

保守性原則 - 不應(yīng)期望用戶對系統(tǒng)問題做出高度響應(yīng)。

由于上述原則，我們形成了一個強大的模因（感謝 Andreas Antonopoulos），內(nèi)容如下：

不是你的密鑰，就不是你的幣。

我認(rèn)為這一原則的推論是：

你的密鑰，你的幣。

一個具有量子能力的實體打破了這一基本原理的推論。我們用與極大隨機數(shù)相關(guān)的數(shù)學(xué)概率來保護我們的比特幣。你的資金之所以安全，是因為真正隨機的大數(shù)字不應(yīng)該被世界上任何其他人猜到或發(fā)現(xiàn)。

這就是"vires in numeris"（數(shù)字中的力量）這一格言背后的原理。在一個存在量子能力對手的世界里，對于許多類型的密碼學(xué)來說，包括比特幣中使用的橢圓曲線數(shù)字簽名，這一原理將失效。

誰處于風(fēng)險中？

長期以來一直有一種說法，認(rèn)為中本聰?shù)谋忍貛藕推渌麃碜灾斜韭敃r代使用 P2PK 鎖定腳本直接在區(qū)塊鏈上暴露公鑰的比特幣將會被量子"礦工"搶先獲取。但不幸的是，情況并非如此簡單。如果我擁有一臺強大的量子計算機，我會瞄準(zhǔn)哪些比特幣呢？我會查看比特幣富豪榜，尋找那些由于重復(fù)使用已經(jīng)花費過的地址而暴露了公鑰的錢包。我在下面標(biāo)出了這些錢包：

請注意，其中一些錢包，如 Bitfinex / Kraken / Tether，會稍微難以破解，因為它們是多重簽名錢包。因此，量子攻擊者需要對 Kraken 反向工程 2 個密鑰，或?qū)?Bitfinex / Tether 反向工程 3 個密鑰才能花費資金。但許多錢包仍是單一簽名的。

關(guān)鍵在于，至少在撰寫本文時，不僅僅是那些真正古老的丟失比特幣面臨量子計算對手的風(fēng)險。如果我們添加一個量子安全的簽名方案，考慮到這些錢包的激勵因素，你應(yīng)該預(yù)期它們會成為最先升級的錢包之一。

倫理困境：如何衡量危害

哪個決定會導(dǎo)致最大的傷害？

通過使量子易受攻擊的資金無法花費，我們可能會傷害一些沒有注意并忽視將資金遷移到量子安全鎖定腳本的比特幣用戶。這違反了先前提到的"保守主義"原則。另一方面，我們防止了這些資金以及更多丟失的資金落入少數(shù)獲得量子計算機早期訪問權(quán)限的特權(quán)人士手中。

通過讓量子易受攻擊的資金可供支出，原本資金可能被凍結(jié)的同一群用戶很可能會看到這些資金被盜。而許多早期采用者丟失了密鑰，最終會看到他們無法觸及的資金被具備量子能力的對手竊取。

試想一下，例如詹姆斯·豪厄爾斯（James Howells）的情況，他不小心扔掉了一個硬盤，里面存有 8,000 個 BTC，目前價值超過 6 億美元。他花了十年時間試圖從他知道埋藏地點的垃圾填埋場中找回硬盤，但無法獲得挖掘許可。我猜想，如果有選擇的話，他寧愿這些資金被永久凍結(jié)，也不愿落入他人之手——我知道我也會這么想。

允許量子計算機訪問丟失的資金并不會使這些用戶的處境比以前更糟，但是這將對目前持有比特幣的所有人產(chǎn)生負面影響。

如果大量比特幣落入新的持有者手中，預(yù)計會出現(xiàn)重大的經(jīng)濟動蕩，這是明智的判斷。由于量子計算機將有巨額的前期成本，可以預(yù)期那些開發(fā)者會希望收回投資。我們從經(jīng)驗中也知道，當(dāng)某人突然擁有 9 位數(shù)以上的高流動性資產(chǎn)時，他們往往會通過出售來分散投資到其他領(lǐng)域。

允許量子計算機恢復(fù)比特幣無異于財富再分配。我們將允許比特幣從那些對量子計算機一無所知的人重新分配給那些在獲取量子計算機的技術(shù)競賽中勝出的人。很難看出這種情況有什么積極的一面。

量子恢復(fù)對任何人有好處嗎？

量子恢復(fù)真的對任何人有幫助嗎？我至今還沒有遇到過任何論點認(rèn)為它在任何方面是凈正面的。它肯定不會為網(wǎng)絡(luò)增加任何安全性。如果說有什么影響的話，它通過允許那些沒有賺取資金的人認(rèn)領(lǐng)資金，極大地降低了網(wǎng)絡(luò)的安全性。

但是等等，你可能會想，量子"礦工"難道不是通過投入建造量子計算機的所有工作和資源來賺取他們的幣嗎？我想，這就像小偷通過投入資源監(jiān)視目標(biāo)并學(xué)習(xí)闖入建筑物所需的技能來賺取贓物一樣。當(dāng)我說"賺取"時，我指的是通過富有成效的互利交易。

舉例來說：

投資者通過與其他貨幣進行交易來賺取 BTC。

商家通過交易商品和服務(wù)來賺取比特幣。

礦工通過交易熱力學(xué)安全來賺取 BTC。

量子礦工不交易任何東西，他們是吸食系統(tǒng)的吸血鬼。

沒有理由相信允許量子對手恢復(fù)易受攻擊的比特幣會對除了贏得建造第一批此類計算機的技術(shù)軍備競賽的少數(shù)幾個組織以外的任何人有利。這些組織可能是國家或幾個最大的科技公司。

Jameson Lopp 在 X 上發(fā)布了一條推文，指出微軟、谷歌和亞馬遜正在大力投資量子計算硬件的研發(fā)。他提到，盡管這些科技巨頭的投入，仍有人認(rèn)為量子計算領(lǐng)域可能不會取得實際成果，將其視為一場騙局。

https://x.com/lopp/status/1895103700005462400

人們當(dāng)然可以希望擁有量子優(yōu)勢的組織是善意的，并以"白帽子"的方式行事，將丟失的比特幣歸還給其所有者，但這種想法過于樂觀，依賴于此是愚蠢的。這種情況造成了一個無法解決的倫理困境，即只恢復(fù)丟失的比特幣而不是當(dāng)前擁有的比特幣。無法精確區(qū)分這兩者；任何人都可以聲稱自己丟失了比特幣，但如果他們丟失了密鑰，那么證明他們曾經(jīng)擁有密鑰就變得相當(dāng)困難。我想象，任何這樣的白帽子恢復(fù)努力都必須依賴于來自可信第三方（如交易所）的證明。

即使第一個實現(xiàn)量子優(yōu)勢的參與者是善意的，我們也必須假設(shè)這項技術(shù)可能落入對手之手，因此必須從對抗性角度考慮潛在的最壞情況結(jié)果。例如，想象一下，如果朝鮮繼續(xù)從黑客入侵加密貨幣交易所中獲取數(shù)十億美元，并決定將部分收益投資于建造量子計算機，以獲得有史以來最大的回報...

允許量子恢復(fù)的缺點

讓我們?nèi)嫠伎家幌略试S或阻止量子對手扣押資金的利弊。

歷史先例

以往的協(xié)議漏洞并未被視為"公平游戲"，而是被當(dāng)作需要修復(fù)的失誤。對量子盜竊采取不同態(tài)度的做法可能會重寫比特幣的歷史，將其描述為一個自由放任的系統(tǒng)，而非一個致力于保護用戶的系統(tǒng)。

財產(chǎn)權(quán)侵犯

允許量子對手控制資金破壞了加密貨幣的基本原則 - 如果你保管好自己的密鑰,只有你才能訪問你的資金。比特幣建立在私鑰保護個人資產(chǎn)的理念之上,未經(jīng)授權(quán)的訪問(即使通過先進技術(shù))是盜竊,而不是合法轉(zhuǎn)賬。

比特幣信任的侵蝕

如果量子攻擊者能夠利用易受攻擊的地址，人們對比特幣作為安全價值存儲的信心將會崩潰。用戶和投資者依賴于加密完整性，而廣泛的盜竊可能會導(dǎo)致人們遠離比特幣，從而破壞其生態(tài)系統(tǒng)的穩(wěn)定。

這實際上是對聲稱銷毀易受攻擊資金違反財產(chǎn)權(quán)的反駁。雖然有些人肯定會將其視為違反財產(chǎn)權(quán)，但其他人會認(rèn)為對阻止量子盜竊的漠不關(guān)心同樣令人擔(dān)憂。

不公平優(yōu)勢

量子攻擊者可能擁有稀有且昂貴的技術(shù)，這將使他們相對于缺乏此類工具的普通用戶具有不公平的優(yōu)勢。這造成了一個不公平的系統(tǒng)，只有技術(shù)精英才能利用他人，這與比特幣去中心化權(quán)力的理念相矛盾。

比特幣的設(shè)計旨在為保護個人財富創(chuàng)造一種不對稱優(yōu)勢。它本應(yīng)使攻擊者破解保護個人比特幣的熵和加密技術(shù)變得昂貴到不切實際的程度。但現(xiàn)在我們發(fā)現(xiàn)自己正在討論一種情況，即這種不對稱優(yōu)勢被破壞，反而有利于某一特定類別的攻擊者。

經(jīng)濟中斷

從易受攻擊的地址進行大規(guī)模盜竊可能會導(dǎo)致比特幣價格崩潰，因為通過量子技術(shù)恢復(fù)的資金被拋售到交易所。這將損害所有持有者，而不僅僅是那些直接被攻擊的人，從而導(dǎo)致市場出現(xiàn)更廣泛的金融混亂。

道德責(zé)任

允許通過量子計算進行盜竊會樹立一個先例，即技術(shù)優(yōu)勢可以為不道德行為辯護。這實質(zhì)上采取了一種"代碼即法律"的立場，我們拒絕承認(rèn)代碼和法律都可以被修改以適應(yīng)先前未預(yù)見的情況。

燒毀硬幣確實可以被視為一種盜竊形式，因此我認(rèn)為有必要區(qū)分正在討論的兩種不同的盜竊：

自我增強且可能具有惡意

危害預(yù)防與不一定惡意

這兩種選擇都缺乏被燒毀或轉(zhuǎn)移硬幣的一方的同意，因此我認(rèn)為簡單地認(rèn)為盜竊是不道德的這一論點變得站不住腳，重要的是要深入研究每種選擇的細節(jié)。

激勵驅(qū)動安全

根據(jù)我十年從事比特幣安全工作的經(jīng)驗，我可以告訴你——普通用戶是懶惰的，也是拖延癥患者。如果給比特幣用戶一個"最后期限"，他們知道在此之后易受攻擊的資金將被銷毀，這種壓力會加速后量子密碼學(xué)的采用，從而長期增強比特幣的安全性。允許易受攻擊的用戶無限期推遲升級將導(dǎo)致更多的落后者，當(dāng)量子技術(shù)可用時，網(wǎng)絡(luò)將面臨更大的風(fēng)險。

鋼鐵論證

顯然這是一個復(fù)雜且有爭議的話題，因此值得仔細思考反對的論點。

保護產(chǎn)權(quán)

允許量子計算機獲取易受攻擊的比特幣可能被包裝成一種硬通貨敘事。

但我認(rèn)為產(chǎn)權(quán)敘事的另一面是，銷毀易受攻擊的幣可以防止這些財產(chǎn)落入不應(yīng)得到的人手中。如果整個比特幣生態(tài)系統(tǒng)只是袖手旁觀，任由量子對手索取本應(yīng)屬于其他用戶的資金，這真的能算是在"保護產(chǎn)權(quán)"方面的"勝利"嗎？在我看來，這更像是一種冷漠。

因此，我認(rèn)為"保護產(chǎn)權(quán)"這一論點是不成立的。

量子計算機不會攻擊比特幣

有很多人對于是否能夠建造出足夠強大的量子計算機持懷疑態(tài)度，因此認(rèn)為我們不應(yīng)該為一個不存在的威脅做準(zhǔn)備。另一些人則認(rèn)為，即使這樣的計算機被造出來，量子攻擊者也不會攻擊比特幣，因為他們不想通過這種方式暴露自己的實力，而是會選擇攻擊其他基礎(chǔ)設(shè)施。

量化攻擊其他基礎(chǔ)設(shè)施的價值有多大是相當(dāng)困難的。這也確實取決于某個實體何時獲得量子優(yōu)勢，以及到那時世界上大多數(shù)系統(tǒng)是否已經(jīng)升級。雖然你可以認(rèn)為某些獲得量子能力的實體可能不會攻擊比特幣，但這只會延緩不可避免的結(jié)果——最終會有人獲得這種能力并決定用它來進行這樣的攻擊。

量子攻擊者只會竊取小額

有人認(rèn)為，即使量子攻擊者針對比特幣，他們也只會攻擊舊的、可能已經(jīng)丟失的 P2PK 輸出，以避免引起懷疑和造成市場恐慌。

我對此并不十分確定；為什么要一次只獲取 50 BTC，而不是用同樣的努力獲取 250,000 BTC 呢？這是一個典型的"零日漏洞"博弈理論，攻擊者知道他們只有有限的時間，因為其他人可能會發(fā)現(xiàn)這個漏洞并從中獲益或修復(fù)它。以最近的 ByBit 攻擊為例——這是有史以來價值最高的加密貨幣黑客攻擊。Lazarus Group 已經(jīng)入侵了 Safe 錢包的前端 JavaScript 應(yīng)用，他們本可以簡單地讓它重新分配所有人與錢包交互時的 Safe 錢包所有權(quán)。但他們選擇只針對 ByBit 價值 15 億美元的錢包，因為他們想最大化他們可提取的價值。如果 Lazarus 開始從每個錢包中竊取，他們很快就會被發(fā)現(xiàn)，而且 Safe 網(wǎng)絡(luò)應(yīng)用可能會在任何價值十億美元的錢包執(zhí)行惡意代碼之前就被修復(fù)。

我認(rèn)為"只竊取小額"這一論點對于先前描述的情況#2 最為有力，即量子攻擊者在量子安全加密技術(shù)在整個比特幣生態(tài)系統(tǒng)中部署之前就出現(xiàn)了。因為如果比特幣的加密技術(shù)被破解變得明顯，而且沒有安全的地方供易受攻擊的用戶遷移，唯一合乎邏輯的選擇就是每個人盡快清算他們的比特幣。因此，我認(rèn)為這一論點對于我們有遷移路徑可用的情況并不那么適用。

2100 萬枚比特幣應(yīng)該在流通中

一些人認(rèn)為，"流通/可支配"供應(yīng)量盡可能接近 2100 萬是很重要的，而且認(rèn)為大部分供應(yīng)量不流通在某種程度上是不可取的。

雖然"2100 萬枚比特幣"這一屬性是一個強大的模因敘事，但我認(rèn)為從未有人期望它們?nèi)慷紩魍āＨ藗円恢倍济靼自S多比特幣會丟失，而這實際上是擁有比特幣的博弈論的一部分！

請記住，21M 這個數(shù)字本身并不是一個特別重要的細節(jié) - 它甚至沒有在白皮書中提及。重要的是供應(yīng)量是已知的，并且不會發(fā)生變化

自主權(quán)和個人責(zé)任

比特幣的設(shè)計賦予個人控制自己財富的能力，不受中央化干預(yù)。這種自由伴隨著保護個人私鑰的責(zé)任。如果量子計算能夠破解過時的加密技術(shù)，那么過錯在于那些沒有將資金轉(zhuǎn)移到量子安全鎖定腳本的用戶。期望網(wǎng)絡(luò)保護用戶免受自身疏忽的影響，這違背了你而非第三方對你的資產(chǎn)負責(zé)的原則。

我認(rèn)為這個觀點總體上是公平的，即"社區(qū)"在幫助你方面不欠你任何東西。然而，我認(rèn)為我們確實需要考慮量子安全比特幣用戶與量子脆弱比特幣用戶之間的激勵和博弈理論。稍后我會詳細討論這一點。

代碼即法律

比特幣運行在其協(xié)議中嵌入的透明、不可更改的規(guī)則之上。如果一個量子攻擊者利用先進技術(shù)從公鑰推導(dǎo)出私鑰，他們并不是在"黑客入侵"系統(tǒng) - 他們只是在遵循當(dāng)前代碼中數(shù)學(xué)上允許的操作。修改協(xié)議以阻止這種行為會引入主觀的人為干預(yù)，這與區(qū)塊鏈客觀、確定性的本質(zhì)相沖突。

雖然我傾向于同意代碼即法律的觀點，但法律的整個要點之一是它們可以被修改以提高其減少傷害的效力。過分依賴這一觀點似乎更像是一種支持僵化的立場，認(rèn)為最好什么都不做，任由傷害發(fā)生，而不是采取行動阻止早已預(yù)見的攻擊。

技術(shù)演進是一種特性，而非缺陷

眾所周知，密碼學(xué)隨著時間的推移往往會變?nèi)酰罱K會被破解。量子計算只是這一進程中的下一步。未能適應(yīng)的用戶（例如，在可用時未采用抗量子錢包）就像那些忽視多重簽名或硬件錢包等技術(shù)進步的用戶一樣。允許量子盜竊能激勵創(chuàng)新并保持比特幣生態(tài)系統(tǒng)的活力，懲罰自滿同時獎勵警惕。

市場信號驅(qū)動安全

如果量子攻擊者開始竊取資金，這會向市場發(fā)出明確信號：升級你的安全措施，否則將失去一切。這種壓力加速了后量子密碼學(xué)的采用，并從長遠來看增強了比特幣的實力。過度保護易受攻擊的用戶會延緩這種必要的演變，當(dāng)量子技術(shù)變得廣泛可用時，可能會使網(wǎng)絡(luò)面臨更大的風(fēng)險。盜竊是一個殘酷但有效的老師。

中央化的黑名單權(quán)力

銷毀易受攻擊的資金需要集中決策 - 通過軟分叉使某些交易無效。這為未來的干預(yù)設(shè)立了危險的先例，侵蝕了比特幣的去中心化。如果量子盜竊被阻止，接下來會是什么 - 逆轉(zhuǎn)交易所被黑事件？即使這意味著一些人會遭受損失，系統(tǒng)也必須保持中立。

我認(rèn)為如果提案僅僅是燒毀特定地址的資金，這可能會成為一個潛在的滑坡。相反，我預(yù)期一個中立的提案應(yīng)該燒毀所有存儲在已知量子易受攻擊的鎖定腳本類型中的資金。這樣，我們就可以從代碼中消除任何主觀性。

競爭中的公平性

量子攻擊者并非在作弊；他們只是在利用公開可用的物理學(xué)和數(shù)學(xué)知識。任何擁有資源和遠見的人都可以構(gòu)建或獲取量子技術(shù)，就像 2009 年任何人都可以用 CPU 挖掘比特幣一樣。早期采用者承擔(dān)風(fēng)險并獲得回報；量子創(chuàng)新者也在做同樣的事情。稱之為"不公平"忽視了這樣一個事實：比特幣從未承諾結(jié)果平等——它只承諾在其規(guī)則內(nèi)機會平等。

我認(rèn)為這個論點是一種誤導(dǎo)，因為我們討論的不是 CPU。這更類似于討論 ASIC，只不過每個 ASIC 的成本高達數(shù)百萬甚至數(shù)十億美元。這超出了除最富有的組織之外所有人的能力范圍。

經(jīng)濟韌性

比特幣此前已經(jīng)經(jīng)歷過多次盜竊事件（如 MTGOX、Bitfinex、FTX 等），并且變得更加強大。市場能夠吸收量子損失，未受影響的用戶繼續(xù)持有，新進入者則以較低價格買入。對經(jīng)濟崩潰的恐懼高估了其影響 - 網(wǎng)絡(luò)的反脆弱性在這些挑戰(zhàn)中得以蓬勃發(fā)展。

這是一個很大的灰色地帶，因為我們不知道量子計算機何時會投入使用，也不知道這些計算機能以多快的速度竊取比特幣。例如，如果第一代足夠強大的量子計算機竊取的數(shù)量少于當(dāng)前的區(qū)塊獎勵，那么當(dāng)然它對經(jīng)濟的影響將是微乎其微的。但是，如果它們每天竊取數(shù)千個比特幣并將其重新投入流通，那么很可能會對市場產(chǎn)生明顯的影響，因為市場需要吸收這些新的供應(yīng)。

這就是具體情況真正重要的地方。如果量子攻擊者出現(xiàn)在比特幣協(xié)議升級以支持抗量子密碼學(xué)之后，那么我們應(yīng)該預(yù)期最有價值的活躍錢包已經(jīng)升級，而最誘人的目標(biāo)將是地址 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr 中的 31,000 個比特幣，該地址自 2010 年以來一直處于休眠狀態(tài)。總的來說，我預(yù)計重新進入流通供應(yīng)的比特幣數(shù)量會與挖礦排放曲線相似：當(dāng)最有價值的地址被清空時，數(shù)量會開始非常高，然后隨著量子計算機逐步瞄準(zhǔn)擁有越來越少比特幣的地址，數(shù)量會逐漸下降。

為什么經(jīng)濟影響是一個值得考慮的因素？礦工和企業(yè)普遍如此。更多的幣被清算會壓低價格，這將對礦工收入產(chǎn)生負面影響。同樣，我在這個行業(yè)工作了十年，可以證實較低的價格會導(dǎo)致整個行業(yè)的企業(yè)需求減少。因此，銷毀量子易受攻擊的比特幣對整個行業(yè)都有好處。

不干預(yù)的實用性與中立性

沒有可靠的方法來區(qū)分"盜竊"和合法的"白帽"密鑰恢復(fù)。如果有人丟失了私鑰，而量子計算機恢復(fù)了它，這是偷竊還是取回？監(jiān)管量子行為需要對意圖做出侵入性假設(shè)，而這是 Bitcoin 的無信任設(shè)計所無法容納的。讓事態(tài)自然發(fā)展可以避免這種混亂。

哲學(xué)純粹性

比特幣拒絕救助。這是一個冷酷無情的系統(tǒng)，結(jié)果反映的是準(zhǔn)備和技能，而不是感性。如果量子計算顛覆了這個游戲，那正是重點所在 - 比特幣并不意味著要在保姆國家的意義上安全或公平；它意味著要自由。因量子攻擊而損失資金的用戶是自由的犧牲品和他們自身無知的受害者，而不是不公正的受害者。

比特幣的 DAO 時刻

這種情況與 2016 年以太坊智能合約中的 The DAO 黑客事件有一些相似之處，該事件導(dǎo)致了一次分叉，以阻止攻擊者并將資金返還給原始所有者。博弈論方面的相似性在于，這是一種已知威脅存在但攻擊者在實際執(zhí)行盜竊之前有一段時間的情況。因此，有時間通過改變協(xié)議來緩解攻擊。

這也在社區(qū)中造成了關(guān)于"代碼即法律"真正含義的分裂，導(dǎo)致了以太坊經(jīng)典（Ethereum Classic）的誕生，后者決定允許攻擊者保留對被盜資金的控制權(quán)。

如果有足夠多的礦工拒絕軟分叉并繼續(xù)包含交易，那么燒毀易受攻擊的比特幣的軟分叉肯定可能導(dǎo)致硬分叉。

激勵很重要

我們可以無休止地進行哲學(xué)討論，但對于現(xiàn)有的比特幣持有者來說，在這個決定上他們實際的激勵是什么？

"丟失的幣只會讓其他人的幣略微增值。可以將其視為對所有人的饋贈。" - 中本聰

如果為真，則推論為：

"量子恢復(fù)的幣只會讓其他人的幣貶值。可以將其視為對所有人的一種盜竊。" - Jameson Lopp

因此，假設(shè)我們達到了量子抗性簽名在比特幣協(xié)議中得到支持的階段，那么讓易受攻擊的幣仍然可以花費的動機是什么？

這對那些幣的實際擁有者來說并不好。它會打消擁有者升級的積極性，直到可能為時已晚。

這對于那些更加謹(jǐn)慎/負責(zé)任的比特幣持有者來說并不好，他們已經(jīng)用量子技術(shù)保護了自己的儲備。允許流通供應(yīng)量膨脹無疑會降低所有比特幣持有者的購買力。

分叉博弈論

從博弈論的角度來看，我認(rèn)為這是在激勵用戶升級他們的錢包。如果你不同意銷毀易受攻擊的幣，你只需要將資金轉(zhuǎn)移到量子安全簽名方案中即可。關(guān)鍵是，我認(rèn)為不會有經(jīng)濟多數(shù)（甚至連微小的少數(shù)）用戶會反對這樣的軟分叉。當(dāng)你可以簡單地將幣轉(zhuǎn)移到新地址時，為什么要耗費大量資源來對抗分叉呢？

請記住，阻止某些類別的鎖定腳本的支出是對規(guī)則的收緊——這是一種軟分叉。因此，僅僅通過大多數(shù)算力就可以有意義地制定和執(zhí)行。如果礦工普遍認(rèn)為銷毀易受攻擊的幣符合他們的最佳利益，其他用戶會否足夠關(guān)心而付出努力運行抵制軟分叉的新節(jié)點軟件？在我看來，這似乎不太可能

如何執(zhí)行燃燒

為了盡可能保持客觀性，目標(biāo)將是向全世界宣布，在特定區(qū)塊高度/時間戳之后，比特幣節(jié)點將不再接受從任何腳本（除了新 instituted 的量子安全方案）中支出資金的交易（或包含此類交易的區(qū)塊）。

它可以采取分階段的方法，首先凍結(jié)那些容易受到遠程攻擊的資金，比如存儲在 P2PK 腳本中的資金，或者由于之前重復(fù)使用地址而暴露了公鑰的資金，但我預(yù)計這種額外的復(fù)雜性會引發(fā)更多爭議。

為了給生態(tài)系統(tǒng)留出升級的時間，寬限期應(yīng)該有多長？我認(rèn)為軟件錢包升級至少需要 1 年時間。我們只能希望硬件錢包制造商能夠僅通過固件更新在其現(xiàn)有硬件上實現(xiàn)后量子密碼學(xué)。

除此之外，即使在最理想的情況下，所有用戶遷移資金也至少需要 6 個月的區(qū)塊空間。不過，如果排除掉塵埃 UTXO，你可能可以在 1 個月內(nèi)遷移 95%的 BTC 價值。當(dāng)然，這是一種非常樂觀的情況，假設(shè)每個人都完全專注于遷移 - 實際上，這個過程會花費更長的時間。

無論如何，我認(rèn)為為了合理地維護比特幣的保守主義，最好允許一個 4 年的遷移窗口期。同時，礦池可以協(xié)調(diào)緊急軟分叉邏輯，這樣如果量子攻擊者出現(xiàn)，他們可以加速對量子易受攻擊資金的銷毀倒計時。