Pieter Wuille：如果你有一台足够强的量子计算机，你能偷取多少比特币？

关于量子计算机与比特币的话题，此前我们有过探讨，但并没有深入讨论过其对比特币造成的具体影响。

近日，比特币core软件维护者Pieter Wuille连发数条推文深入谈论了这一话题，他写道：

Pieter Wuille:

"假设你有一台可轻松计算任何secp256k1公钥密钥的机器，考虑到比特币区块链中的所有信息，你可盗取到多少比特币呢？"

A：0-200万 BTC

B：200万-500万 BTC

C：500万-1000万 BTC

D：1000万-2100万 BTC

补充说明：

1、它只是关于你可以偷取多少已确认的UTXO（而不是关于你想偷多少的问题）；

2、这样一台机器，可能会降低共识修复的门槛，问题在于有多少是易受攻击的，而不是攻击者能逃脱什么；

3、此外，这台机器只能计算secp256k1离散对数，它不能用来加速任何其他的计算；根据投票结果来看，约有46%的人选择了A：0-200万 BTC 这个答案，30%的人选择了D：1000万-2100万 BTC 这个答案。

但在Pieter Wuille看来，这两个多数人所选的答案都是错误的。其解释如下：

1、正如一些更有创意的回答所显示的那样，这个问题显然有点不明确。尽管如此，我的答案是（C） 500万-1000万 BTC，这包括具有P2PK/raw 多重签名输出的所有输出，加上具有已知pubkey的P2PKH输出，以及具有已知脚本的P2SH/P2WSH； （根据最近几天比特币和其分叉链的所有信息，准确的数字大概是6476424.77197947 BTC）；

2、这包括P2PK/raw 多重签名输出中约175万 BTC，以及在比特币区块链中显示的已知公钥和脚本的400多万BTC。如果你还把分叉链算进去，那么这样一台假想的机器，就可以另外获取到50万 BTC；

3、我相信，这些数字使得“公钥哈希防卫量子计算机”的论点变得站不住脚，如果总量的37%处于风险之中，你就不能声称它（比特币）仍然是安全的；

4、这当然忽略了其他风险，比如这样的机器是否不能攻击进行中的支付。这很难说，因为我们实际上是在谈论一个假设中的机器。

探讨具体解决方案：比特币如何抵抗量子计算机

在谈完量子计算对比特币的影响之后，Pieter Wuille还谈论了当前已有的一些解决方案：

1、很多反馈表明，如果可以检测到这一点，就很容易达成一致意见，以阻止攻击者。问题是，这一变化将包括什么？除了一些复杂的基于ZKP的方法，我们在短期内能够做的事并没有那么多；

2、这是否意味着我们有问题？我根本不这么认为，足够强大的量子计算机（以及其他椭圆曲线离散对数问题（ECDLP）中断）都还是假设的，如果它们发生了，很可能会伴随着一系列的增量突破，给予我们更基本的解决方案；

3、显而易见的解决方案，当然是研究并最终采用真正的PQC安全签名方案，但这是一个相对年轻的领域，其中有很多最新的进展，我们没有必要急着去做这件事（特别是考虑到这种方案目前的签名和密钥，是很大的）；

4、但我不认为这有助于任何人鼓吹PKH以及缺少密钥重用，可保护比特币免受量子计算机的攻击，这里的数字表明，这种保护充其量只是微不足道的。但是，出于隐私方面的考虑，密钥重用显然是一个坏主意，这是应该去避免的。

通过以上信息，我们可以了解到量子计算对比特币的具体威胁有多大，此外，我们还可得知，比特币开发者们已有了初步的解决思路，但这类方案因处于早期阶段，仍有待研究者进行改进。总的来说，量子计算对比特币等加密货币的潜在威胁虽然存在，但我们并不需要过于担心。