Google Quantum AI：破解比特幣加密所需實體量子比特估算降約20倍

【Deep潮 TechFlow Shenchao 編譯】Google Quantum AI 量子演算法研究總監 Ryan Babbush 與工程副總裁（兼 Google Research）Hartmut Neven 於 2026 年 3 月 31 日發表官方技術文章，提出一套用以釐清未來量子電腦「破解密碼」能力的新估算框架，並交代應對路線。文中核心結論是：在一組標準硬件假設（與 Google 旗艦量子處理器的能力假設一致）下，破解支撐比特幣等系統的 256-bit 橢圓曲線離散對數問題（ECDLP256）所需的實體量子比特（physical qubits）估算，已較以往大幅下調約 20 倍。 Google 指出，量子電腦除可望在化學、藥物研發及能源等領域帶來突破，亦可能在規模足夠時成為加密相關量子電腦（CRQC），進而攻破現時廣泛使用的公鑰加密，影響機密資訊及眾多系統。隨著 CRQC 漸趨可行，轉向後量子密碼學（PQC）已具迫切性；Google 亦提到，基於這個背景，團隊近期提出 2029 年的遷移時間表。 在最新白皮書中，團隊以「邏輯量子比特」（logical qubits，指由數百個實體量子比特組成的容錯糾錯量子比特）及 Toffoli 門（Toffoli gates，成本較高、亦往往主導多數演算法執行時間的基本操作）作為資源衡量單位，估算執行 Shor 演算法以解 ECDLP256 所需資源。文章披露，團隊編譯了兩套量子電路（量子閘序列）：其一使用少於 1,200 個邏輯量子比特及 9,000 萬個 Toffoli 門；其二使用少於 1,450 個邏輯量子比特及 7,000 萬個 Toffoli 門。按其硬件假設推算，相關電路可在一部採用超導技術、實體量子比特少於 500,000 個的 CRQC 上於數分鐘內完成運行。Google 形容，這反映將量子演算法編譯為容錯電路的長期優化仍在推進，亦直接導致破解 ECDLP256 的實體量子比特需求估算大幅下降。 文章指出，多數區塊鏈技術及加密貨幣目前在關鍵安全環節依賴 ECDLP256。團隊認為，PQC 是通往「後量子區塊鏈安全」的成熟路線，有助在 CRQC 出現的世界中維持加密貨幣及數碼經濟的長期可行性。Google 亦提到，已提供後量子區塊鏈的例子，並展示在原本易受量子攻擊的區塊鏈上試驗部署 PQC 的案例。即使可行方案已存在，落地需要時間，因而提升了及早行動的迫切性。 除推動 PQC 遷移外，文章亦向加密貨幣社群提出短中長期建議，包括避免暴露或重用易受攻擊的錢包地址，並探索政策選項以處理被遺棄加密資產等問題，藉此提升系統安全與穩定。 在「漏洞披露」層面，Google 指出安全研究界長期存在「不披露」與「全面披露」的拉鋸，業界逐步形成「負責任披露」及「協調式漏洞披露」等折衷做法，一般會設置禁運期（embargo），讓受影響系統有時間修補；Carnegie Mellon 大學 CERT/CC 與 Google Project Zero 等機構亦採用具期限要求的變體，並已被 ISO/IEC 29147:2018 納入為國際標準之一。 Google 認為，區塊鏈的披露更具複雜性：加密貨幣資產價值不只取決於技術層面的數碼安全，也取決於公眾信心。CRQC 的技術威脅可能真實存在，市場信心同時亦可能被「恐懼、不確定性與懷疑」（FUD）瓦解。缺乏科學基礎、站不住腳的量子資源估算，甚至可能本身就構成對系統的攻擊。因此，團隊採取較審慎方式公開針對以橢圓曲線密碼學為基礎的區塊鏈之量子攻擊資源估算。 具體做法包括：一、在討論中清晰劃分哪些區塊鏈環節對量子攻擊具免疫性，並突出後量子區塊鏈安全的進展，以降低 FUD 風險；二、以一種稱為「零知識證明」（"zeroknowledge proof"）的密碼學結構提供可驗證材料，在不公開底層量子電路細節的前提下，讓第三方仍可核實其資源估算與結論，避免直接暴露敏感的攻擊細節。 Google 表示，歡迎量子計算、安全、加密貨幣及政策社群進一步討論，推動就未來負責任披露指引達成共識。團隊強調，其目標是支持加密貨幣生態與區塊鏈技術的長期健康發展，並期望上述披露方法能促成量子計算研究者與更廣泛公眾之間的對話，為量子密碼分析研究提供可參考的做法。