谷歌押注2030年量子机有10%概率落地

5%。这是按谷歌自己的时间表算出来的数字——比特币在2030年因量子计算攻击而彻底失效的概率下限。不是危言耸听，是谷歌量子团队的人亲口说的。

「我不会赌量子计算机2030年前不会出现」

说这话的是谷歌量子计算论文的合著者。谷歌最近给内部系统定了个硬 deadline：2029年前全面迁移到抗量子加密（Post-Quantum Cryptography，PQC）。这个时间表比美国国家标准与技术研究院（NIST）的公钥迁移建议还激进。

但比特币这边呢？上一次软分叉 Taproot 从提案到激活用了3年10个月。钱包和交易所大规模支持又拖了几个月到几年。按这个节奏，如果明天就有人提出抗量子软分叉方案，2029年能搞定都算乐观。

比特币的签名是怎么被「算」死的

比特币现在用的椭圆曲线数字签名算法（ECDSA），核心假设是：从公钥反推私钥需要解一个数学难题，经典计算机算到天荒地老也解不出来。

但肖尔算法（Shor's algorithm）在1994年就证明，量子计算机能指数级加速这个过程。只要有足够量子比特的密码学相关量子计算机（CRQC），你的公钥就是裸奔的私钥。

这里有个关键细节：比特币地址分两种。没花过的币，公钥没上链，量子计算机暂时看不见；花过一次，公钥暴露，这些币就成了「量子 vulnerable」。据估计，市面上大概有四分之一的比特币属于后者，价值数百亿美元。

更麻烦的是迁移成本。抗量子签名比 ECDSA 大得多。一个方案是聚合签名，但这也需要软分叉。另一个方案是哈希签名（Lamport 签名），验证快但签名巨大，一个签名可能占几十 KB——比特币区块才 1-4MB。

社区的分裂：改还是不改，怎么改

比特币开发者邮件列表里，这个话题已经吵了十几年。核心分歧在于：量子威胁到底是「明天就可能来」还是「至少还有二十年」。

保守派认为，量子计算进展被过度炒作。IBM 的 1000+ 量子比特机器是噪声中间规模量子（NISQ）设备，做不了肖尔算法。逻辑量子比特——真正能纠错的那些——谷歌 2024 年才做到几十个。从几十个到破解 RSA/ECDSA 需要的几千个，中间隔着材料科学、纠错算法、低温工程三重天堑。

激进派则搬出历史：谁想到 GPT-4 会在 2023 年出现？技术突破不是线性爬坡，是台阶式坠落。等你能看到 CRQC 的尾灯再改代码，迁移窗口可能只剩几个月。

最讽刺的是，两边都同意「最终必须改」。分歧只在时间表和优先级。但比特币的治理结构决定了，没有共识就没有软分叉。Taproot 花了近四年，还是因为它有明确的用户体验改进（隐私、智能合约灵活性）。抗量子升级呢？普通用户感受不到好处，只有「防止未来可能的灾难」这种抽象叙事。

那个 5% 是怎么算出来的

原文作者给了一个简单的风险模型：威胁概率 = 量子机出现概率 × 比特币升级失败概率。

代入数字：谷歌的人给 2030 年前出现 CRQC 押了 10%（A=0.1）。假设比特币社区能在 2029 年前完成软分叉+钱包升级+用户迁移的概率是 50%（B=0.5）。乘起来就是 5%。

你可以调整这两个参数。觉得量子威胁被夸大？A 填 1%。相信比特币开发者能创造奇迹？B 填 90%。但哪怕你填 1% × 10%，结果也是 0.1%——一个理性投资者不该忽视的尾部风险。

这里有个反直觉的点：这个 5% 是「比特币归零概率」的下限。因为还有其他归零路径：私钥被盗、交易所被黑、以太坊叙事碾压、2140 年后区块奖励归零导致的安全模型崩塌……这些概率是加法的。

换句话说，如果你相信比特币有 5% 概率因量子计算归零，又有 5% 概率因其他原因归零，那它「能存活」的概率已经不到 91%。这还没算价格波动的风险。

已经有人在「掀桌」了

密码学界的风向正在变。部分密码学家公开表示，不再做非抗量子的密码学研究——不是因为他们相信量子机明天就来，而是学术生涯的 ROI 计算：如果量子威胁在 10-20 年内兑现，现在投入经典密码学就是沉没成本。

这对比特币是个微妙信号。密码学人才池在收缩，抗量子方案的设计和审计资源会变贵。如果社区拖到 2027 年才认真启动，可能发现能干活的人已经被谷歌、IBM、NIST 的项目吸干了。

另一个信号是以太坊。Vitalik 从 2017 年就开始聊抗量子，虽然也没落地，但至少在公开路线图里。比特币的「数字黄金」叙事某种程度上成了包袱——黄金不需要升级代码，比特币却需要。当以太坊能讲「我们在为量子时代做准备」的故事时，比特币的保守姿态会不会变成叙事劣势？

但这里要诚实：以太坊的抗量子同样没落地。两个社区都是「嘴上说不要，身体很诚实」——没人愿意为正态分布之外的尾部风险支付当下的交易成本。

用户能做什么

如果你持有比特币，最务实的动作是检查自己的地址类型。Legacy 地址（1 开头）和部分早期 SegWit 地址的公钥暴露风险最高。迁转到 Taproot 地址（bc1p 开头）能争取时间——Taproot 的公钥默认隐藏，直到花费时才暴露。

但这只是缓冲。真正的安全需要协议层升级，而协议层升级需要社区共识。个人用户能做的，是在开发者讨论中保持关注，在软分叉提案出现时参与信号表达。比特币的治理是「粗略共识」——不是投票，是声音足够大时，核心开发者会感知到风向。

更激进的选项是分散持有。把部分资产放在抗量子准备更积极的链上，或者传统金融系统——这不是背叛比特币，是承认自己的不确定性。那个 5% 的数学，对每个人都是个性化的。你对 A 和 B 的估计，决定了你的仓位。

最后，注意时间的不对称。量子计算机的出现可能是突然 announcement，而比特币的升级需要数年协调。如果你等到 CRQC 被证实存在才行动，迁移窗口可能已经关闭。这不是 FUD，是密码学的基本约束：敌手不会提前告诉你攻击日期。

比特币社区有个老笑话：「我们有很多时间，直到我们没有。」量子计算的时间表，可能正在把这个笑话变成产品需求文档。

如果你现在必须给 A 和 B 填一个数字，你的答案会改变你今晚的仓位吗？