比特币的量子计算问题：一场与时间的赛跑

量子计算的威胁，始终像一片挥之不去的阴云，笼罩在比特币世界的上空。而这片阴云，又与比特币最神秘的起源——中本聪的资产——紧密相连。

想象一下，如果公钥已经暴露，那么存放在那些老旧钱&包里的数百万枚比特币，在足够强大的量子计算机面前，将变得不堪一击。这其中，就包括被认为属于匿名创造者中本聪的大约110万枚比特币，按当前市值计算，价值高达840亿美元。

欧意 www.okx.com 若打不开请 点击跳转 下载请点击 [→] 官方app下载 [←]

币安 www.binance.com 若打不开请 点击跳转 下载请点击 [→] 官方app下载 [←]

那么，防御措施是什么？一个显而易见的方案是进行软分叉，升级网络规则，最终停止允许从这些存在漏洞的旧地址类型发起交易。这相当于设置一个“最后通牒”，迫使持有者在攻击者有能力推导出其私钥之前，将资产迁移到量子安全的格式中。

今年四月中旬，知名开发者詹姆森·洛普与其他五位开发者提出的BIP-361方案，正是基于这一思路。该计划旨在五年内逐步淘汰存在量子漏洞的地址，并冻结任何未能按时迁移的加密货币。

然而，这个方案带来了一个棘手的新问题：中本聪，以及所有其他长期沉默的持有者，都必须在这个期限内公开露面并采取行动，否则将面临资产被永久冻结的风险。这无疑是在保护网络安全与尊重资产所有权之间，设置了一个艰难的选择。

新的思路：PACT提案

面对这种两难权衡，Paradigm的普通合伙人Dan Robinson在周五提出了一项新提案，核心是引入一个名为“可证明地址控制时间戳”的概念，简称PACT。

这个理念的巧妙之处在于，它并不要求立即转移加密货币。相反，它允许持有者在某个特定日期，为资产的所有权生成一个时间戳证明。关键在于，在钱&包所有者实际需要动用这笔钱之前，所有相关信息都对公众保密。

具体如何操作？持有者会生成一个随机盐值，然后使用BIP-322标准对所有权进行签名证明。盐值和证明文件被打包成一个链上承诺，并通过OpenTimestamps服务添加时间戳——这项免费服务能将数据批量锚定到比特币区块链上。整个过程，盐值、证明文件和时间戳文件都保持私密状态。

这样一来，如果未来比特币网络真的激活了冻结易受攻击代币的软分叉，协议中就可以包含一条“救援路径”。持有者可以提交一个STARK证明，这是一种能抵御量子计算机攻击的零知识证明，来向网络证明：“看，我在量子威胁成为现实之前，就已经承诺了对这些资产的所有权。”网络验证后，便会释放代币。整个兑换过程，不会透露任何关于原始地址、金额甚至具体承诺时间的信息。

PACT的优势与挑战

PACT方案还解决了BIP-361的一个具体缺陷：为通过BIP-32标准生成的钱&包提供了救援路径。要知道，2012年之前的老旧钱&包并未使用BIP-32，这其中就包括了中本聪已知的大部分地址。没有PACT，这些资产将无法通过BIP-361的路径得到保护。

当然，PACT也并非没有前提。Dan Robinson指出，该方案要求比特币网络最终必须采纳STARK验证协议，而这本身就需要通过一次独立的软分叉来实现，并达成广泛的社区共识。

目前，比特币网络中并不存在现成的验证基础设施。这需要构建大量新的“管道”，例如对多重签名钱&包、复杂脚本和硬件钱&包的支持进行标准化，每一项都需要细致的设计与开发。

此外，PACT还有一个根本性的限制无法克服：它只能保护那些主动做出了承诺的资产。如果中本聪本人，或者当前控制着那些密钥的人，没有主动创建PACT承诺，那么这个方案将无能为力。倘若中本聪真的已无法行动，那么无论量子盗窃和社区冻结哪个先到来，这些资产都将暴露在风险之下。

结语：提供选择，而非强制

归根结底，PACT方案的价值在于，它让BIP-361所引发的争论不再是非此即彼的单选题。当前的冻结提案迫使社区在“防止量子盗窃”和“尊重休眠产权”之间做出硬性选择。而PACT提供了一种可能性，为那些可能无法或不愿立即现身的老派持有者，留下了一扇未来的窗。

至于中本聪是否会使用它？这就是PACT也无法回答的问题了。这个提案，就像是为那位神秘的创造者，以及所有沉默的早期信徒，留下的一份面向未来的、静默的保险单。用不用，何时用，主动权依然在他们手中。