比特币的量子计算问题一直都与中本聪的问题息息相关。

想象一下这样的场景：一个足够强大的量子计算机问世，而你的比特币公钥早已暴露在区块链上。结果会怎样？存放在那些旧钱&包里的数百万枚比特币，很可能瞬间被盗。这其中，就包括了大约110万枚被认为属于匿名创造者中本聪的比特币，按当前市值计算，价值高达约840亿美元。

那么，防御措施是什么？一个显而易见的思路是进行软分叉，也就是升级网络规则。最终，网络将停止允许从这些存在漏洞的旧地址类型发起交易，从而迫使持有者在攻击者有能力推导出私钥之前，将资产转移到量子安全的格式中。

欧意 www.okx.com 若打不开请 点击跳转 下载请点击 [→] 官方app下载 [←]

币安 www.binance.com 若打不开请 点击跳转 下载请点击 [→] 官方app下载 [←]

事实上，知名开发者詹姆森·洛普和其他五位开发者在四月中旬提出的BIP-361方案，正是这个思路。该计划旨在五年内逐步淘汰存在量子漏洞的地址，并冻结任何未能及时迁移的加密货币。

然而，这项提议带来了一个棘手的新问题：中本聪，以及所有其他长期保持沉默的持有者，都必须公开露面并采取行动。否则，他们就将面临永久失去资产访问权限的风险。这无疑是在保护整个网络安全与尊重“沉睡”的财产权之间，设置了一个艰难的选择。

有没有两全其美的办法？上周五，Paradigm的普通合伙人Dan Robinson提出了一项新提案，试图破解这个困局。提案的核心，是一个叫做“可证明地址控制时间戳”的概念，简称PACT。

其核心理念并非立即转移加密货币，而是巧妙地为所有权添加一个时间戳证明。关键在于，在钱&包所有者实际需要消费之前，这个证明不会向公众透露任何敏感信息。具体怎么操作？

持有者首先生成一个随机盐值，这是一串用于使加密承诺唯一且不可猜测的秘密数据。然后，他们使用BIP-322标准对一条消息进行签名，以生成所有权证明。接着，盐值和证明文件被打包成一个链上承诺，并通过OpenTimestamps服务添加时间戳——这项免费服务通过单个批量交易，将数据锚定到比特币区块链上。整个过程完成后，盐值、证明文件和时间戳文件都由持有者私下保存。

这样一来，如果未来比特币社区真的激活了软分叉以冻结易受量子攻击的代币，协议中就可以包含一条“救援路径”。这条路径会接受一种名为STARK的零知识证明，这种证明本身可以抵御量子计算机的攻击。持有者只需提交该证明，向网络证实自己在量子硬件构成威胁之前就已经做出了所有权承诺，网络随后便会释放代币。更妙的是，整个兑换过程不会透露地址、金额甚至原始时间戳创建时间等任何信息。

这些PACT还解决了BIP-361方案的一个具体缺陷：为通过BIP-32生成的钱&包提供了救援路径。BIP-32是2012年引入的确定性密钥生成标准，但中本聪已知的大部分地址都诞生于2012年之前，并未使用该标准，因此原本无法通过BIP-361的路径获救。PACT为此类“古董”钱&包提供了可能性。

当然，这个方案也并非没有前提。Robinson指出，PACT要求比特币网络最终必须采纳STARK验证协议，而这本身就需要通过广泛的社区共识，进行一次单独的软分叉来实现。

挑战是显而易见的。目前的比特币协议中并不存在现成的验证基础设施，需要构建大量新的“管道”，例如对多重签名钱&包、复杂脚本和硬件钱&包的支持，所有这些都需要经过仔细的标准化过程。

此外，PACT还有一个根本性的限制无法克服：它只能保护那些主动创建了承诺的地址。也就是说，该协议只有在中本聪本人，或者当前控制着那些密钥的人，主动做出承诺时，才能起到保护作用。如果中本聪真的已经去世，或者密钥早已丢失，任何PACT都无法被追溯创建。无论量子盗窃和社区冻结哪一个先发生，这些加密货币都将暴露在风险之中。

那么，PACT的意义究竟何在？关键在于，它使围绕BIP-361的争论不再是一个非此即彼的极端选择。当前的冻结提案迫使社区在“防止量子盗窃”和“尊重休眠产权”之间二选一。而PACT提供了一种中间路线，为那些可能无法或不愿立即行动的持有者，保留了一扇未来的、隐私保护的门。

至于中本聪是否会使用它？这就是PACT也无法回答的问题了。