反對(duì)允許量子計(jì)算機(jī)攻擊比特幣

原文作者：Lopp 編譯：LlamaC

正文

量子計(jì)算爭(zhēng)論正在升溫。這場(chǎng)爭(zhēng)論有許多具有爭(zhēng)議的方面，包括量子計(jì)算機(jī)是否真的會(huì)成為一個(gè)實(shí)際的威脅。如果你想要對(duì)技術(shù)問(wèn)題有一個(gè)高層次的概述，可以查看我 2024 年的演講：

Safeguarding Satoshi’s Stash - Jameson Lopp | Future of Bitcoin 2024

https://youtu.be/MTUzpR_mxAg

在這篇文章中，我不會(huì)涉及我們應(yīng)該對(duì)量子計(jì)算機(jī)有多擔(dān)心這個(gè)無(wú)法回答的問(wèn)題。我認(rèn)為這遠(yuǎn)非危機(jī)，但考慮到改變比特幣的難度，值得開(kāi)始認(rèn)真討論。今天，我想重點(diǎn)關(guān)注一個(gè)與實(shí)施量子安全簽名方案時(shí)需要做出的決定相關(guān)的哲學(xué)難題。

多種情景

由于本文將大量引用博弈論，并且存在許多可能改變博弈性質(zhì)的變量，我認(rèn)為有必要預(yù)先闡明可能出現(xiàn)的情況。

1. 量子計(jì)算永遠(yuǎn)不會(huì)實(shí)現(xiàn)，永遠(yuǎn)不會(huì)成為威脅，因此本文討論的一切都是無(wú)關(guān)緊要的。

2. 量子計(jì)算威脅突然出現(xiàn)，而比特幣協(xié)議中沒(méi)有量子安全簽名。在這種情況下，以下幾點(diǎn)可能變得無(wú)關(guān)緊要，因?yàn)楸忍貛艑母旧媳黄茐?，而升?jí)協(xié)議、錢(qián)包軟件并遷移用戶(hù)資金以恢復(fù)對(duì)網(wǎng)絡(luò)的信心將需要太長(zhǎng)時(shí)間。

3. 量子計(jì)算的進(jìn)展足夠緩慢，使我們能夠就如何升級(jí)比特幣達(dá)成共識(shí)，并且在攻擊者出現(xiàn)時(shí)，后量子安全性已經(jīng)得到最低限度的采用。

4. 量子計(jì)算的進(jìn)展足夠緩慢，使我們能夠就如何升級(jí)比特幣達(dá)成共識(shí)，并且在攻擊者出現(xiàn)時(shí)，后量子安全性已被廣泛采用。

就本文而言，我設(shè)想處于情況 3 或 4。

凍結(jié)還是不凍結(jié)？

我開(kāi)始看到更多人就量子抗性升級(jí)應(yīng)如何處理用戶(hù)資金遷移這一最具爭(zhēng)議的方面發(fā)表意見(jiàn)。是應(yīng)該讓量子易受攻擊的資金暴露在任何擁有足夠強(qiáng)大量子計(jì)算機(jī)的人面前任其掠奪，還是應(yīng)該將其永久鎖定？

一些引用：

來(lái)源：https://x.com/paoloardoino/status/1888259298641191049

"我不明白為什么要沒(méi)收舊幣。更好的選擇是讓那些擁有量子計(jì)算機(jī)的人釋放舊幣。雖然這可能會(huì)對(duì)比特幣價(jià)格產(chǎn)生通脹影響，但用一個(gè)說(shuō)法來(lái)說(shuō)，這種通脹是暫時(shí)的。那些時(shí)間偏好低的人應(yīng)該支持將丟失的幣重新投入流通。"

- 獵人野獸

最后，我看到的第一個(gè)支持鎖定易受攻擊的 UTXO 的觀(guān)點(diǎn)：

當(dāng)然它們必須被沒(méi)收。如果（這是個(gè)很大的假設(shè)）破解密碼學(xué)的量子計(jì)算機(jī)成為一個(gè)可信的威脅，比特幣生態(tài)系統(tǒng)別無(wú)選擇，只能通過(guò)軟分叉來(lái)移除從易受量子計(jì)算機(jī)攻擊的簽名方案（包括 ECDSA 和 BIP340）中支出的能力。否則，數(shù)百萬(wàn)比特幣將面臨被盜的風(fēng)險(xiǎn)；在這種情況下，我無(wú)法想象這種貨幣如何能保持任何價(jià)值。這影響到每個(gè)人；即使是那些已經(jīng)謹(jǐn)慎地將他們的幣轉(zhuǎn)移到后量子密碼學(xué)保護(hù)方案中的人也不例外。

- Pieter Wuille

我認(rèn)為"沒(méi)收"并不是最準(zhǔn)確的用詞，因?yàn)檫@些資金并非被扣押和重新分配。相反，我們實(shí)際討論的內(nèi)容更適合描述為"銷(xiāo)毀"——將資金置于所有人都無(wú)法觸及的地方。

根據(jù)軼事，我與大多數(shù)人討論處理量子計(jì)算攻擊場(chǎng)景的具體細(xì)節(jié)時(shí)，他們似乎都認(rèn)為易受量子攻擊的加密貨幣將簡(jiǎn)單地被擁有量子計(jì)算機(jī)的人"挖掘"。

來(lái)源：https://x.com/bradmillscan/status/1888607280817442844

我假設(shè)這是因?yàn)椴粌鼋Y(jié)用戶(hù)資金是比特幣不可侵犯的屬性之一。然而，如果量子計(jì)算對(duì)比特幣的橢圓曲線(xiàn)密碼學(xué)構(gòu)成威脅，比特幣的一個(gè)不可侵犯屬性將以某種方式被違反。

基本屬性面臨風(fēng)險(xiǎn)

5 年前，我嘗試全面歸類(lèi)比特幣所有賦予其價(jià)值的基本屬性。

比特幣的主要特征有哪些？

在比特幣領(lǐng)域，提出協(xié)議變更時(shí)存在許多不成文的規(guī)則。這些規(guī)則有的涉及理念，有的涉及技術(shù)，還有一些則兼具兩方面特征。

https://nakamoto.com/what-are-the-key-properties-of-bitcoin/?ref=blog.lopp.net

關(guān)于這個(gè)問(wèn)題所涉及的特定屬性似乎是：

抗審查性 - 任何人都不應(yīng)該有權(quán)力阻止他人使用其比特幣或與網(wǎng)絡(luò)進(jìn)行交互。

前向兼容性 - 改變規(guī)則使某些有效交易變?yōu)闊o(wú)效可能會(huì)削弱對(duì)協(xié)議的信心。

保守性原則 - 不應(yīng)期望用戶(hù)對(duì)系統(tǒng)問(wèn)題做出高度響應(yīng)。

由于上述原則，我們形成了一個(gè)強(qiáng)大的模因（感謝 Andreas Antonopoulos），內(nèi)容如下：

不是你的密鑰，就不是你的幣。

我認(rèn)為這一原則的推論是：

你的密鑰，你的幣。

一個(gè)具有量子能力的實(shí)體打破了這一基本原理的推論。我們用與極大隨機(jī)數(shù)相關(guān)的數(shù)學(xué)概率來(lái)保護(hù)我們的比特幣。你的資金之所以安全，是因?yàn)檎嬲S機(jī)的大數(shù)字不應(yīng)該被世界上任何其他人猜到或發(fā)現(xiàn)。

這就是"vires in numeris"（數(shù)字中的力量）這一格言背后的原理。在一個(gè)存在量子能力對(duì)手的世界里，對(duì)于許多類(lèi)型的密碼學(xué)來(lái)說(shuō)，包括比特幣中使用的橢圓曲線(xiàn)數(shù)字簽名，這一原理將失效。

誰(shuí)處于風(fēng)險(xiǎn)中？

長(zhǎng)期以來(lái)一直有一種說(shuō)法，認(rèn)為中本聰?shù)谋忍貛藕推渌麃?lái)自中本聰時(shí)代使用 P2PK 鎖定腳本直接在區(qū)塊鏈上暴露公鑰的比特幣將會(huì)被量子"礦工"搶先獲取。但不幸的是，情況并非如此簡(jiǎn)單。如果我擁有一臺(tái)強(qiáng)大的量子計(jì)算機(jī)，我會(huì)瞄準(zhǔn)哪些比特幣呢？我會(huì)查看比特幣富豪榜，尋找那些由于重復(fù)使用已經(jīng)花費(fèi)過(guò)的地址而暴露了公鑰的錢(qián)包。我在下面標(biāo)出了這些錢(qián)包：

請(qǐng)注意，其中一些錢(qián)包，如 Bitfinex / Kraken / Tether，會(huì)稍微難以破解，因?yàn)樗鼈兪嵌嘀睾灻X(qián)包。因此，量子攻擊者需要對(duì) Kraken 反向工程 2 個(gè)密鑰，或?qū)?Bitfinex / Tether 反向工程 3 個(gè)密鑰才能花費(fèi)資金。但許多錢(qián)包仍是單一簽名的。

關(guān)鍵在于，至少在撰寫(xiě)本文時(shí)，不僅僅是那些真正古老的丟失比特幣面臨量子計(jì)算對(duì)手的風(fēng)險(xiǎn)。如果我們添加一個(gè)量子安全的簽名方案，考慮到這些錢(qián)包的激勵(lì)因素，你應(yīng)該預(yù)期它們會(huì)成為最先升級(jí)的錢(qián)包之一。

倫理困境：如何衡量危害

哪個(gè)決定會(huì)導(dǎo)致最大的傷害？

通過(guò)使量子易受攻擊的資金無(wú)法花費(fèi)，我們可能會(huì)傷害一些沒(méi)有注意并忽視將資金遷移到量子安全鎖定腳本的比特幣用戶(hù)。這違反了先前提到的"保守主義"原則。另一方面，我們防止了這些資金以及更多丟失的資金落入少數(shù)獲得量子計(jì)算機(jī)早期訪(fǎng)問(wèn)權(quán)限的特權(quán)人士手中。

通過(guò)讓量子易受攻擊的資金可供支出，原本資金可能被凍結(jié)的同一群用戶(hù)很可能會(huì)看到這些資金被盜。而許多早期采用者丟失了密鑰，最終會(huì)看到他們無(wú)法觸及的資金被具備量子能力的對(duì)手竊取。

試想一下，例如詹姆斯·豪厄爾斯（James Howells）的情況，他不小心扔掉了一個(gè)硬盤(pán)，里面存有 8,000 個(gè) BTC，目前價(jià)值超過(guò) 6 億美元。他花了十年時(shí)間試圖從他知道埋藏地點(diǎn)的垃圾填埋場(chǎng)中找回硬盤(pán)，但無(wú)法獲得挖掘許可。我猜想，如果有選擇的話(huà)，他寧愿這些資金被永久凍結(jié)，也不愿落入他人之手——我知道我也會(huì)這么想。

允許量子計(jì)算機(jī)訪(fǎng)問(wèn)丟失的資金并不會(huì)使這些用戶(hù)的處境比以前更糟，但是這將對(duì)目前持有比特幣的所有人產(chǎn)生負(fù)面影響。

如果大量比特幣落入新的持有者手中，預(yù)計(jì)會(huì)出現(xiàn)重大的經(jīng)濟(jì)動(dòng)蕩，這是明智的判斷。由于量子計(jì)算機(jī)將有巨額的前期成本，可以預(yù)期那些開(kāi)發(fā)者會(huì)希望收回投資。我們從經(jīng)驗(yàn)中也知道，當(dāng)某人突然擁有 9 位數(shù)以上的高流動(dòng)性資產(chǎn)時(shí)，他們往往會(huì)通過(guò)出售來(lái)分散投資到其他領(lǐng)域。

允許量子計(jì)算機(jī)恢復(fù)比特幣無(wú)異于財(cái)富再分配。我們將允許比特幣從那些對(duì)量子計(jì)算機(jī)一無(wú)所知的人重新分配給那些在獲取量子計(jì)算機(jī)的技術(shù)競(jìng)賽中勝出的人。很難看出這種情況有什么積極的一面。

量子恢復(fù)對(duì)任何人有好處嗎？

量子恢復(fù)真的對(duì)任何人有幫助嗎？我至今還沒(méi)有遇到過(guò)任何論點(diǎn)認(rèn)為它在任何方面是凈正面的。它肯定不會(huì)為網(wǎng)絡(luò)增加任何安全性。如果說(shuō)有什么影響的話(huà)，它通過(guò)允許那些沒(méi)有賺取資金的人認(rèn)領(lǐng)資金，極大地降低了網(wǎng)絡(luò)的安全性。

但是等等，你可能會(huì)想，量子"礦工"難道不是通過(guò)投入建造量子計(jì)算機(jī)的所有工作和資源來(lái)賺取他們的幣嗎？我想，這就像小偷通過(guò)投入資源監(jiān)視目標(biāo)并學(xué)習(xí)闖入建筑物所需的技能來(lái)賺取贓物一樣。當(dāng)我說(shuō)"賺取"時(shí)，我指的是通過(guò)富有成效的互利交易。

舉例來(lái)說(shuō)：

• 投資者通過(guò)與其他貨幣進(jìn)行交易來(lái)賺取 BTC。

• 商家通過(guò)交易商品和服務(wù)來(lái)賺取比特幣。

• 礦工通過(guò)交易熱力學(xué)安全來(lái)賺取 BTC。

• 量子礦工不交易任何東西，他們是吸食系統(tǒng)的吸血鬼。

沒(méi)有理由相信允許量子對(duì)手恢復(fù)易受攻擊的比特幣會(huì)對(duì)除了贏(yíng)得建造第一批此類(lèi)計(jì)算機(jī)的技術(shù)軍備競(jìng)賽的少數(shù)幾個(gè)組織以外的任何人有利。這些組織可能是國(guó)家或幾個(gè)最大的科技公司。

Jameson Lopp 在 X 上發(fā)布了一條推文，指出微軟、谷歌和亞馬遜正在大力投資量子計(jì)算硬件的研發(fā)。他提到，盡管這些科技巨頭的投入，仍有人認(rèn)為量子計(jì)算領(lǐng)域可能不會(huì)取得實(shí)際成果，將其視為一場(chǎng)騙局。

https://x.com/lopp/status/1895103700005462400

人們當(dāng)然可以希望擁有量子優(yōu)勢(shì)的組織是善意的，并以"白帽子"的方式行事，將丟失的比特幣歸還給其所有者，但這種想法過(guò)于樂(lè)觀(guān)，依賴(lài)于此是愚蠢的。這種情況造成了一個(gè)無(wú)法解決的倫理困境，即只恢復(fù)丟失的比特幣而不是當(dāng)前擁有的比特幣。無(wú)法精確區(qū)分這兩者；任何人都可以聲稱(chēng)自己丟失了比特幣，但如果他們丟失了密鑰，那么證明他們?cè)?jīng)擁有密鑰就變得相當(dāng)困難。我想象，任何這樣的白帽子恢復(fù)努力都必須依賴(lài)于來(lái)自可信第三方（如交易所）的證明。

即使第一個(gè)實(shí)現(xiàn)量子優(yōu)勢(shì)的參與者是善意的，我們也必須假設(shè)這項(xiàng)技術(shù)可能落入對(duì)手之手，因此必須從對(duì)抗性角度考慮潛在的最壞情況結(jié)果。例如，想象一下，如果朝鮮繼續(xù)從黑客入侵加密貨幣交易所中獲取數(shù)十億美元，并決定將部分收益投資于建造量子計(jì)算機(jī)，以獲得有史以來(lái)最大的回報(bào)...

允許量子恢復(fù)的缺點(diǎn)

讓我們?nèi)嫠伎家幌略试S或阻止量子對(duì)手扣押資金的利弊。

歷史先例

以往的協(xié)議漏洞并未被視為"公平游戲"，而是被當(dāng)作需要修復(fù)的失誤。對(duì)量子盜竊采取不同態(tài)度的做法可能會(huì)重寫(xiě)比特幣的歷史，將其描述為一個(gè)自由放任的系統(tǒng)，而非一個(gè)致力于保護(hù)用戶(hù)的系統(tǒng)。

財(cái)產(chǎn)權(quán)侵犯

允許量子對(duì)手控制資金破壞了加密貨幣的基本原則 - 如果你保管好自己的密鑰,只有你才能訪(fǎng)問(wèn)你的資金。比特幣建立在私鑰保護(hù)個(gè)人資產(chǎn)的理念之上,未經(jīng)授權(quán)的訪(fǎng)問(wèn)(即使通過(guò)先進(jìn)技術(shù))是盜竊,而不是合法轉(zhuǎn)賬。

比特幣信任的侵蝕

如果量子攻擊者能夠利用易受攻擊的地址，人們對(duì)比特幣作為安全價(jià)值存儲(chǔ)的信心將會(huì)崩潰。用戶(hù)和投資者依賴(lài)于加密完整性，而廣泛的盜竊可能會(huì)導(dǎo)致人們遠(yuǎn)離比特幣，從而破壞其生態(tài)系統(tǒng)的穩(wěn)定。

這實(shí)際上是對(duì)聲稱(chēng)銷(xiāo)毀易受攻擊資金違反財(cái)產(chǎn)權(quán)的反駁。雖然有些人肯定會(huì)將其視為違反財(cái)產(chǎn)權(quán)，但其他人會(huì)認(rèn)為對(duì)阻止量子盜竊的漠不關(guān)心同樣令人擔(dān)憂(yōu)。

不公平優(yōu)勢(shì)

量子攻擊者可能擁有稀有且昂貴的技術(shù)，這將使他們相對(duì)于缺乏此類(lèi)工具的普通用戶(hù)具有不公平的優(yōu)勢(shì)。這造成了一個(gè)不公平的系統(tǒng)，只有技術(shù)精英才能利用他人，這與比特幣去中心化權(quán)力的理念相矛盾。

比特幣的設(shè)計(jì)旨在為保護(hù)個(gè)人財(cái)富創(chuàng)造一種不對(duì)稱(chēng)優(yōu)勢(shì)。它本應(yīng)使攻擊者破解保護(hù)個(gè)人比特幣的熵和加密技術(shù)變得昂貴到不切實(shí)際的程度。但現(xiàn)在我們發(fā)現(xiàn)自己正在討論一種情況，即這種不對(duì)稱(chēng)優(yōu)勢(shì)被破壞，反而有利于某一特定類(lèi)別的攻擊者。

經(jīng)濟(jì)中斷

從易受攻擊的地址進(jìn)行大規(guī)模盜竊可能會(huì)導(dǎo)致比特幣價(jià)格崩潰，因?yàn)橥ㄟ^(guò)量子技術(shù)恢復(fù)的資金被拋售到交易所。這將損害所有持有者，而不僅僅是那些直接被攻擊的人，從而導(dǎo)致市場(chǎng)出現(xiàn)更廣泛的金融混亂。

道德責(zé)任

允許通過(guò)量子計(jì)算進(jìn)行盜竊會(huì)樹(shù)立一個(gè)先例，即技術(shù)優(yōu)勢(shì)可以為不道德行為辯護(hù)。這實(shí)質(zhì)上采取了一種"代碼即法律"的立場(chǎng)，我們拒絕承認(rèn)代碼和法律都可以被修改以適應(yīng)先前未預(yù)見(jiàn)的情況。

燒毀硬幣確實(shí)可以被視為一種盜竊形式，因此我認(rèn)為有必要區(qū)分正在討論的兩種不同的盜竊：

• 自我增強(qiáng)且可能具有惡意

• 危害預(yù)防與不一定惡意

這兩種選擇都缺乏被燒毀或轉(zhuǎn)移硬幣的一方的同意，因此我認(rèn)為簡(jiǎn)單地認(rèn)為盜竊是不道德的這一論點(diǎn)變得站不住腳，重要的是要深入研究每種選擇的細(xì)節(jié)。

激勵(lì)驅(qū)動(dòng)安全

根據(jù)我十年從事比特幣安全工作的經(jīng)驗(yàn)，我可以告訴你——普通用戶(hù)是懶惰的，也是拖延癥患者。如果給比特幣用戶(hù)一個(gè)"最后期限"，他們知道在此之后易受攻擊的資金將被銷(xiāo)毀，這種壓力會(huì)加速后量子密碼學(xué)的采用，從而長(zhǎng)期增強(qiáng)比特幣的安全性。允許易受攻擊的用戶(hù)無(wú)限期推遲升級(jí)將導(dǎo)致更多的落后者，當(dāng)量子技術(shù)可用時(shí)，網(wǎng)絡(luò)將面臨更大的風(fēng)險(xiǎn)。

鋼鐵論證

顯然這是一個(gè)復(fù)雜且有爭(zhēng)議的話(huà)題，因此值得仔細(xì)思考反對(duì)的論點(diǎn)。

保護(hù)產(chǎn)權(quán)

允許量子計(jì)算機(jī)獲取易受攻擊的比特幣可能被包裝成一種硬通貨敘事。

但我認(rèn)為產(chǎn)權(quán)敘事的另一面是，銷(xiāo)毀易受攻擊的幣可以防止這些財(cái)產(chǎn)落入不應(yīng)得到的人手中。如果整個(gè)比特幣生態(tài)系統(tǒng)只是袖手旁觀(guān)，任由量子對(duì)手索取本應(yīng)屬于其他用戶(hù)的資金，這真的能算是在"保護(hù)產(chǎn)權(quán)"方面的"勝利"嗎？在我看來(lái)，這更像是一種冷漠。

因此，我認(rèn)為"保護(hù)產(chǎn)權(quán)"這一論點(diǎn)是不成立的。

量子計(jì)算機(jī)不會(huì)攻擊比特幣

有很多人對(duì)于是否能夠建造出足夠強(qiáng)大的量子計(jì)算機(jī)持懷疑態(tài)度，因此認(rèn)為我們不應(yīng)該為一個(gè)不存在的威脅做準(zhǔn)備。另一些人則認(rèn)為，即使這樣的計(jì)算機(jī)被造出來(lái)，量子攻擊者也不會(huì)攻擊比特幣，因?yàn)樗麄儾幌胪ㄟ^(guò)這種方式暴露自己的實(shí)力，而是會(huì)選擇攻擊其他基礎(chǔ)設(shè)施。

量化攻擊其他基礎(chǔ)設(shè)施的價(jià)值有多大是相當(dāng)困難的。這也確實(shí)取決于某個(gè)實(shí)體何時(shí)獲得量子優(yōu)勢(shì)，以及到那時(shí)世界上大多數(shù)系統(tǒng)是否已經(jīng)升級(jí)。雖然你可以認(rèn)為某些獲得量子能力的實(shí)體可能不會(huì)攻擊比特幣，但這只會(huì)延緩不可避免的結(jié)果——最終會(huì)有人獲得這種能力并決定用它來(lái)進(jìn)行這樣的攻擊。

量子攻擊者只會(huì)竊取小額

有人認(rèn)為，即使量子攻擊者針對(duì)比特幣，他們也只會(huì)攻擊舊的、可能已經(jīng)丟失的 P2PK 輸出，以避免引起懷疑和造成市場(chǎng)恐慌。

我對(duì)此并不十分確定；為什么要一次只獲取 50 BTC，而不是用同樣的努力獲取 250,000 BTC 呢？這是一個(gè)典型的"零日漏洞"博弈理論，攻擊者知道他們只有有限的時(shí)間，因?yàn)槠渌丝赡軙?huì)發(fā)現(xiàn)這個(gè)漏洞并從中獲益或修復(fù)它。以最近的 ByBit 攻擊為例——這是有史以來(lái)價(jià)值最高的加密貨幣黑客攻擊。Lazarus Group 已經(jīng)入侵了 Safe 錢(qián)包的前端 JavaScript 應(yīng)用，他們本可以簡(jiǎn)單地讓它重新分配所有人與錢(qián)包交互時(shí)的 Safe 錢(qián)包所有權(quán)。但他們選擇只針對(duì) ByBit 價(jià)值 15 億美元的錢(qián)包，因?yàn)樗麄兿胱畲蠡麄兛商崛〉膬r(jià)值。如果 Lazarus 開(kāi)始從每個(gè)錢(qián)包中竊取，他們很快就會(huì)被發(fā)現(xiàn)，而且 Safe 網(wǎng)絡(luò)應(yīng)用可能會(huì)在任何價(jià)值十億美元的錢(qián)包執(zhí)行惡意代碼之前就被修復(fù)。

我認(rèn)為"只竊取小額"這一論點(diǎn)對(duì)于先前描述的情況#2 最為有力，即量子攻擊者在量子安全加密技術(shù)在整個(gè)比特幣生態(tài)系統(tǒng)中部署之前就出現(xiàn)了。因?yàn)槿绻忍貛诺募用芗夹g(shù)被破解變得明顯，而且沒(méi)有安全的地方供易受攻擊的用戶(hù)遷移，唯一合乎邏輯的選擇就是每個(gè)人盡快清算他們的比特幣。因此，我認(rèn)為這一論點(diǎn)對(duì)于我們有遷移路徑可用的情況并不那么適用。

2100 萬(wàn)枚比特幣應(yīng)該在流通中

一些人認(rèn)為，"流通/可支配"供應(yīng)量盡可能接近 2100 萬(wàn)是很重要的，而且認(rèn)為大部分供應(yīng)量不流通在某種程度上是不可取的。

雖然"2100 萬(wàn)枚比特幣"這一屬性是一個(gè)強(qiáng)大的模因敘事，但我認(rèn)為從未有人期望它們?nèi)慷紩?huì)流通。人們一直都明白許多比特幣會(huì)丟失，而這實(shí)際上是擁有比特幣的博弈論的一部分！

請(qǐng)記住，21M 這個(gè)數(shù)字本身并不是一個(gè)特別重要的細(xì)節(jié) - 它甚至沒(méi)有在白皮書(shū)中提及。重要的是供應(yīng)量是已知的，并且不會(huì)發(fā)生變化

自主權(quán)和個(gè)人責(zé)任

比特幣的設(shè)計(jì)賦予個(gè)人控制自己財(cái)富的能力，不受中央化干預(yù)。這種自由伴隨著保護(hù)個(gè)人私鑰的責(zé)任。如果量子計(jì)算能夠破解過(guò)時(shí)的加密技術(shù)，那么過(guò)錯(cuò)在于那些沒(méi)有將資金轉(zhuǎn)移到量子安全鎖定腳本的用戶(hù)。期望網(wǎng)絡(luò)保護(hù)用戶(hù)免受自身疏忽的影響，這違背了你而非第三方對(duì)你的資產(chǎn)負(fù)責(zé)的原則。

我認(rèn)為這個(gè)觀(guān)點(diǎn)總體上是公平的，即"社區(qū)"在幫助你方面不欠你任何東西。然而，我認(rèn)為我們確實(shí)需要考慮量子安全比特幣用戶(hù)與量子脆弱比特幣用戶(hù)之間的激勵(lì)和博弈理論。稍后我會(huì)詳細(xì)討論這一點(diǎn)。

代碼即法律

比特幣運(yùn)行在其協(xié)議中嵌入的透明、不可更改的規(guī)則之上。如果一個(gè)量子攻擊者利用先進(jìn)技術(shù)從公鑰推導(dǎo)出私鑰，他們并不是在"黑客入侵"系統(tǒng) - 他們只是在遵循當(dāng)前代碼中數(shù)學(xué)上允許的操作。修改協(xié)議以阻止這種行為會(huì)引入主觀(guān)的人為干預(yù)，這與區(qū)塊鏈客觀(guān)、確定性的本質(zhì)相沖突。

雖然我傾向于同意代碼即法律的觀(guān)點(diǎn)，但法律的整個(gè)要點(diǎn)之一是它們可以被修改以提高其減少傷害的效力。過(guò)分依賴(lài)這一觀(guān)點(diǎn)似乎更像是一種支持僵化的立場(chǎng)，認(rèn)為最好什么都不做，任由傷害發(fā)生，而不是采取行動(dòng)阻止早已預(yù)見(jiàn)的攻擊。

技術(shù)演進(jìn)是一種特性，而非缺陷

眾所周知，密碼學(xué)隨著時(shí)間的推移往往會(huì)變?nèi)?，最終會(huì)被破解。量子計(jì)算只是這一進(jìn)程中的下一步。未能適應(yīng)的用戶(hù)（例如，在可用時(shí)未采用抗量子錢(qián)包）就像那些忽視多重簽名或硬件錢(qián)包等技術(shù)進(jìn)步的用戶(hù)一樣。允許量子盜竊能激勵(lì)創(chuàng)新并保持比特幣生態(tài)系統(tǒng)的活力，懲罰自滿(mǎn)同時(shí)獎(jiǎng)勵(lì)警惕。

市場(chǎng)信號(hào)驅(qū)動(dòng)安全

如果量子攻擊者開(kāi)始竊取資金，這會(huì)向市場(chǎng)發(fā)出明確信號(hào)：升級(jí)你的安全措施，否則將失去一切。這種壓力加速了后量子密碼學(xué)的采用，并從長(zhǎng)遠(yuǎn)來(lái)看增強(qiáng)了比特幣的實(shí)力。過(guò)度保護(hù)易受攻擊的用戶(hù)會(huì)延緩這種必要的演變，當(dāng)量子技術(shù)變得廣泛可用時(shí)，可能會(huì)使網(wǎng)絡(luò)面臨更大的風(fēng)險(xiǎn)。盜竊是一個(gè)殘酷但有效的老師。

中央化的黑名單權(quán)力

銷(xiāo)毀易受攻擊的資金需要集中決策 - 通過(guò)軟分叉使某些交易無(wú)效。這為未來(lái)的干預(yù)設(shè)立了危險(xiǎn)的先例，侵蝕了比特幣的去中心化。如果量子盜竊被阻止，接下來(lái)會(huì)是什么 - 逆轉(zhuǎn)交易所被黑事件？即使這意味著一些人會(huì)遭受損失，系統(tǒng)也必須保持中立。

我認(rèn)為如果提案僅僅是燒毀特定地址的資金，這可能會(huì)成為一個(gè)潛在的滑坡。相反，我預(yù)期一個(gè)中立的提案應(yīng)該燒毀所有存儲(chǔ)在已知量子易受攻擊的鎖定腳本類(lèi)型中的資金。這樣，我們就可以從代碼中消除任何主觀(guān)性。

競(jìng)爭(zhēng)中的公平性

量子攻擊者并非在作弊；他們只是在利用公開(kāi)可用的物理學(xué)和數(shù)學(xué)知識(shí)。任何擁有資源和遠(yuǎn)見(jiàn)的人都可以構(gòu)建或獲取量子技術(shù)，就像 2009 年任何人都可以用 CPU 挖掘比特幣一樣。早期采用者承擔(dān)風(fēng)險(xiǎn)并獲得回報(bào)；量子創(chuàng)新者也在做同樣的事情。稱(chēng)之為"不公平"忽視了這樣一個(gè)事實(shí)：比特幣從未承諾結(jié)果平等——它只承諾在其規(guī)則內(nèi)機(jī)會(huì)平等。

我認(rèn)為這個(gè)論點(diǎn)是一種誤導(dǎo)，因?yàn)槲覀冇懻摰牟皇?CPU。這更類(lèi)似于討論 ASIC，只不過(guò)每個(gè) ASIC 的成本高達(dá)數(shù)百萬(wàn)甚至數(shù)十億美元。這超出了除最富有的組織之外所有人的能力范圍。

經(jīng)濟(jì)韌性

比特幣此前已經(jīng)經(jīng)歷過(guò)多次盜竊事件（如 MTGOX、Bitfinex、FTX 等），并且變得更加強(qiáng)大。市場(chǎng)能夠吸收量子損失，未受影響的用戶(hù)繼續(xù)持有，新進(jìn)入者則以較低價(jià)格買(mǎi)入。對(duì)經(jīng)濟(jì)崩潰的恐懼高估了其影響 - 網(wǎng)絡(luò)的反脆弱性在這些挑戰(zhàn)中得以蓬勃發(fā)展。

這是一個(gè)很大的灰色地帶，因?yàn)槲覀儾恢懒孔佑?jì)算機(jī)何時(shí)會(huì)投入使用，也不知道這些計(jì)算機(jī)能以多快的速度竊取比特幣。例如，如果第一代足夠強(qiáng)大的量子計(jì)算機(jī)竊取的數(shù)量少于當(dāng)前的區(qū)塊獎(jiǎng)勵(lì)，那么當(dāng)然它對(duì)經(jīng)濟(jì)的影響將是微乎其微的。但是，如果它們每天竊取數(shù)千個(gè)比特幣并將其重新投入流通，那么很可能會(huì)對(duì)市場(chǎng)產(chǎn)生明顯的影響，因?yàn)槭袌?chǎng)需要吸收這些新的供應(yīng)。

這就是具體情況真正重要的地方。如果量子攻擊者出現(xiàn)在比特幣協(xié)議升級(jí)以支持抗量子密碼學(xué)之后，那么我們應(yīng)該預(yù)期最有價(jià)值的活躍錢(qián)包已經(jīng)升級(jí)，而最誘人的目標(biāo)將是地址 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr 中的 31,000 個(gè)比特幣，該地址自 2010 年以來(lái)一直處于休眠狀態(tài)。總的來(lái)說(shuō)，我預(yù)計(jì)重新進(jìn)入流通供應(yīng)的比特幣數(shù)量會(huì)與挖礦排放曲線(xiàn)相似：當(dāng)最有價(jià)值的地址被清空時(shí)，數(shù)量會(huì)開(kāi)始非常高，然后隨著量子計(jì)算機(jī)逐步瞄準(zhǔn)擁有越來(lái)越少比特幣的地址，數(shù)量會(huì)逐漸下降。

為什么經(jīng)濟(jì)影響是一個(gè)值得考慮的因素？礦工和企業(yè)普遍如此。更多的幣被清算會(huì)壓低價(jià)格，這將對(duì)礦工收入產(chǎn)生負(fù)面影響。同樣，我在這個(gè)行業(yè)工作了十年，可以證實(shí)較低的價(jià)格會(huì)導(dǎo)致整個(gè)行業(yè)的企業(yè)需求減少。因此，銷(xiāo)毀量子易受攻擊的比特幣對(duì)整個(gè)行業(yè)都有好處。

不干預(yù)的實(shí)用性與中立性

沒(méi)有可靠的方法來(lái)區(qū)分"盜竊"和合法的"白帽"密鑰恢復(fù)。如果有人丟失了私鑰，而量子計(jì)算機(jī)恢復(fù)了它，這是偷竊還是取回？監(jiān)管量子行為需要對(duì)意圖做出侵入性假設(shè)，而這是 Bitcoin 的無(wú)信任設(shè)計(jì)所無(wú)法容納的。讓事態(tài)自然發(fā)展可以避免這種混亂。

哲學(xué)純粹性

比特幣拒絕救助。這是一個(gè)冷酷無(wú)情的系統(tǒng)，結(jié)果反映的是準(zhǔn)備和技能，而不是感性。如果量子計(jì)算顛覆了這個(gè)游戲，那正是重點(diǎn)所在 - 比特幣并不意味著要在保姆國(guó)家的意義上安全或公平；它意味著要自由。因量子攻擊而損失資金的用戶(hù)是自由的犧牲品和他們自身無(wú)知的受害者，而不是不公正的受害者。

比特幣的 DAO 時(shí)刻

這種情況與 2016 年以太坊智能合約中的 The DAO 黑客事件有一些相似之處，該事件導(dǎo)致了一次分叉，以阻止攻擊者并將資金返還給原始所有者。博弈論方面的相似性在于，這是一種已知威脅存在但攻擊者在實(shí)際執(zhí)行盜竊之前有一段時(shí)間的情況。因此，有時(shí)間通過(guò)改變協(xié)議來(lái)緩解攻擊。

這也在社區(qū)中造成了關(guān)于"代碼即法律"真正含義的分裂，導(dǎo)致了以太坊經(jīng)典（Ethereum Classic）的誕生，后者決定允許攻擊者保留對(duì)被盜資金的控制權(quán)。

如果有足夠多的礦工拒絕軟分叉并繼續(xù)包含交易，那么燒毀易受攻擊的比特幣的軟分叉肯定可能導(dǎo)致硬分叉。

激勵(lì)很重要

我們可以無(wú)休止地進(jìn)行哲學(xué)討論，但對(duì)于現(xiàn)有的比特幣持有者來(lái)說(shuō)，在這個(gè)決定上他們實(shí)際的激勵(lì)是什么？

"丟失的幣只會(huì)讓其他人的幣略微增值?？梢詫⑵湟暈閷?duì)所有人的饋贈(zèng)。" - 中本聰

如果為真，則推論為：

"量子恢復(fù)的幣只會(huì)讓其他人的幣貶值?？梢詫⑵湟暈閷?duì)所有人的一種盜竊。" - Jameson Lopp

因此，假設(shè)我們達(dá)到了量子抗性簽名在比特幣協(xié)議中得到支持的階段，那么讓易受攻擊的幣仍然可以花費(fèi)的動(dòng)機(jī)是什么？

• 這對(duì)那些幣的實(shí)際擁有者來(lái)說(shuō)并不好。它會(huì)打消擁有者升級(jí)的積極性，直到可能為時(shí)已晚。

• 這對(duì)于那些更加謹(jǐn)慎/負(fù)責(zé)任的比特幣持有者來(lái)說(shuō)并不好，他們已經(jīng)用量子技術(shù)保護(hù)了自己的儲(chǔ)備。允許流通供應(yīng)量膨脹無(wú)疑會(huì)降低所有比特幣持有者的購(gòu)買(mǎi)力。

分叉博弈論

從博弈論的角度來(lái)看，我認(rèn)為這是在激勵(lì)用戶(hù)升級(jí)他們的錢(qián)包。如果你不同意銷(xiāo)毀易受攻擊的幣，你只需要將資金轉(zhuǎn)移到量子安全簽名方案中即可。關(guān)鍵是，我認(rèn)為不會(huì)有經(jīng)濟(jì)多數(shù)（甚至連微小的少數(shù)）用戶(hù)會(huì)反對(duì)這樣的軟分叉。當(dāng)你可以簡(jiǎn)單地將幣轉(zhuǎn)移到新地址時(shí)，為什么要耗費(fèi)大量資源來(lái)對(duì)抗分叉呢？

請(qǐng)記住，阻止某些類(lèi)別的鎖定腳本的支出是對(duì)規(guī)則的收緊——這是一種軟分叉。因此，僅僅通過(guò)大多數(shù)算力就可以有意義地制定和執(zhí)行。如果礦工普遍認(rèn)為銷(xiāo)毀易受攻擊的幣符合他們的最佳利益，其他用戶(hù)會(huì)否足夠關(guān)心而付出努力運(yùn)行抵制軟分叉的新節(jié)點(diǎn)軟件？在我看來(lái)，這似乎不太可能

如何執(zhí)行燃燒

為了盡可能保持客觀(guān)性，目標(biāo)將是向全世界宣布，在特定區(qū)塊高度/時(shí)間戳之后，比特幣節(jié)點(diǎn)將不再接受從任何腳本（除了新 instituted 的量子安全方案）中支出資金的交易（或包含此類(lèi)交易的區(qū)塊）。

它可以采取分階段的方法，首先凍結(jié)那些容易受到遠(yuǎn)程攻擊的資金，比如存儲(chǔ)在 P2PK 腳本中的資金，或者由于之前重復(fù)使用地址而暴露了公鑰的資金，但我預(yù)計(jì)這種額外的復(fù)雜性會(huì)引發(fā)更多爭(zhēng)議。

為了給生態(tài)系統(tǒng)留出升級(jí)的時(shí)間，寬限期應(yīng)該有多長(zhǎng)？我認(rèn)為軟件錢(qián)包升級(jí)至少需要 1 年時(shí)間。我們只能希望硬件錢(qián)包制造商能夠僅通過(guò)固件更新在其現(xiàn)有硬件上實(shí)現(xiàn)后量子密碼學(xué)。

除此之外，即使在最理想的情況下，所有用戶(hù)遷移資金也至少需要 6 個(gè)月的區(qū)塊空間。不過(guò)，如果排除掉塵埃 UTXO，你可能可以在 1 個(gè)月內(nèi)遷移 95%的 BTC 價(jià)值。當(dāng)然，這是一種非常樂(lè)觀(guān)的情況，假設(shè)每個(gè)人都完全專(zhuān)注于遷移 - 實(shí)際上，這個(gè)過(guò)程會(huì)花費(fèi)更長(zhǎng)的時(shí)間。

無(wú)論如何，我認(rèn)為為了合理地維護(hù)比特幣的保守主義，最好允許一個(gè) 4 年的遷移窗口期。同時(shí)，礦池可以協(xié)調(diào)緊急軟分叉邏輯，這樣如果量子攻擊者出現(xiàn)，他們可以加速對(duì)量子易受攻擊資金的銷(xiāo)毀倒計(jì)時(shí)。

附帶好處

從積極的方面來(lái)看，銷(xiāo)毀所有量子易受攻擊的比特幣將允許我們從 UTXO 集合中清除所有這些 UTXO，這也會(huì)清理掉大量的塵埃。塵埃 UTXO 有點(diǎn)煩人，最近甚至有一項(xiàng)提案討論如何激勵(lì)清理它們。

我們還應(yīng)該預(yù)期，激勵(lì)整個(gè) UTXO 集的遷移將會(huì)創(chuàng)造對(duì)區(qū)塊空間的大量需求，這將在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)維持一個(gè)費(fèi)用市場(chǎng)。

總結(jié)

雖然違反比特幣任何不可侵犯的屬性所帶來(lái)的道德困境使得這個(gè)問(wèn)題的討論變得非常復(fù)雜，但是在銷(xiāo)毀易受攻擊的幣與允許具有量子優(yōu)勢(shì)的實(shí)體獲取這些幣之間的博弈理論和激勵(lì)機(jī)制是一個(gè)相對(duì)簡(jiǎn)單的問(wèn)題。

就我而言，我不想僅僅因?yàn)橐恍┤撕芫靡郧皝G失了他們的密鑰，而一些落后者又沒(méi)有升級(jí)他們的比特幣錢(qián)包安全性，就通過(guò)增加流通貨幣供應(yīng)來(lái)獎(jiǎng)勵(lì)那些具有量子能力的實(shí)體。

我們可以希望這種情況永遠(yuǎn)不會(huì)發(fā)生，但希望并不是一種策略。

游戲開(kāi)始了！