谷歌9分钟攻破比特币加密，量子计算机资源需求暴跌20倍

一年前学界还在争论，造一台能破解现代加密体系的量子计算机需要百万级物理量子比特（qubits，量子比特）。现在两份独立白皮书把数字砍到了原来的百分之一。

10天破解256位椭圆曲线加密（ECC），或者9分钟攻破比特币区块链——这不是科幻，是中性原子架构和算法优化叠加后的新估算。两篇论文都还没经过同行评审，但已经让密码学界重新校准了时间表。

中性原子：把量子比特变成乐高积木

第一篇论文的核心是「可重构」三个字。

传统超导量子比特像固定在电路板上的芯片，位置定了，连接方式也定了。中性原子方案则把铷原子或铯原子悬浮在激光陷阱里，像用光镊子夹住一堆小球。每个原子是一个量子比特，激光可以任意移动它们的位置，需要计算时让两个原子靠近发生纠缠，算完再拉开。

这种自由连接的特性，让原本需要10万个物理量子比特才能完成的纠错开销，骤降到1000个量级。

研究团队算了笔账：用这套架构破解256位ECC，10天足够，资源消耗是此前估算的1/100。论文作者来自QuEra、哈佛大学、麻省理工等机构的联合团队，他们用的中性原子方案去年刚实现过48个逻辑量子比特（logical qubits，经纠错后的稳定量子比特）的纠缠。

中性原子的另一张牌是规模。超导方案目前做到几千个物理量子比特已是工程极限，而中性原子实验室已经能同时操控上万个原子——只是大部分还没法用于纠错计算。论文的乐观估算建立在「未来能把这些原子都变成可用逻辑量子比特」的前提上。

谷歌的9分钟：算法优化的暴力美学

第二篇论文来自Google Quantum AI，走的是另一条路。

他们没有换硬件架构，而是在肖尔算法（Shor's algorithm，1994年证明量子计算机可破解RSA/ECC的算法）的实现细节上抠效率。具体说是优化了「窗口化量子算术」——一种把大数分解拆解成更小计算单元的技术。

结果是：攻破保护比特币等加密货币的ECC，只需要不到9分钟，资源消耗比2023年的最佳方案少了20倍。

Google团队还做了件务实的事：他们按不同安全等级算了笔总账。比特币用的secp256k1曲线、TLS 1.3握手用的secp256r1、甚至美国国家安全局推荐的更高规格曲线，都被纳入同一套评估框架。结论是，即便是最保守的估算，实用级密码学相关量子计算（CRQC）的资源门槛也在以肉眼可见的速度下沉。

两篇论文的发布时间相隔不到两周，主题却高度重合。这不是巧合，是量子纠错和算法优化两个领域同时到达了一个临界点。

密码学家的冷静与焦虑

Brian LaMacchia的名字在密码学界有分量。他从2015年到2022年主导了微软的后量子密码迁移，现在经营自己的咨询公司。他的评价很克制：

「研究社区在物理量子比特和量子算法两条线上都在稳步前进。两篇论文都没有给出一个新的、硬性的实用级CRQC时间表——当然我们本来也没有这种时间表——但它们提供了证据，证明我们正在通往可实现的CRQC，而且进度没有放缓。」

这种克制是有原因的。

两篇论文都还没过同行评审，中性原子论文的100倍优化建立在理想化假设上，Google的20倍优化针对的是特定曲线参数。更重要的是，「资源减少」不等于「明天就能造出来」——物理量子比特的相干时间、门保真度、纠错开销的常数因子，都是实验室里还没完全解决的硬骨头。

但趋势本身已经足够让政策制定者紧张。美国国家标准与技术研究院（NIST）的后量子密码标准去年刚发布首批算法，迁移周期按十年计。如果CRQC的时间表从「二十年」压缩到「十年」，整个行业的风险评估都要重写。

比特币社区的反应更有戏剧性。部分开发者开始讨论「量子紧急分叉」的可能性——一种在量子计算机真正上线前，强行把所有地址迁移到后量子安全方案的极端措施。代价是数百亿美元的托管资产需要主动移动，技术难度和政治阻力都极高。

更现实的场景是分层防御：交易所和托管机构先升级，普通用户观望。但这也意味着，量子计算进步的第一个牺牲品可能是「不是你的私钥，就不是你的币」这条加密货币的核心信条——当私钥不再安全，中心化托管反而成了避风港。

两篇白皮书都没回答一个问题：如果资源需求继续按这个速度下降，后量子密码的迁移窗口会不会比预期更窄？