一文看懂 BIP-360 的变与不变。

撰文：@Cointelegraph

编译：AididiaoJP，Foresight News

本文阐述 BIP-360 如何重塑比特币的量子防御策略，分析其改进之处，并探讨其为何尚未实现全面的后量子安全。

核心要点

• BIP-360 首次将抗量子性正式纳入比特币的发展路线图，标志着一次审慎的、渐进式的技术演进，而非一次剧烈的密码学体系变革。
• 量子风险主要威胁到已暴露的公钥，而非比特币采用的 SHA-256 哈希算法。因此，减少公钥暴露成为开发者着力解决的核心安全问题。
• BIP-360 引入了支付到默克尔根（P2MR）的脚本，通过移除 Taproot 升级中的密钥路径花费选项，强制所有 UTXO 的花费都必须经由脚本路径，从而最大限度地降低椭圆曲线公钥的暴露风险。
• P2MR 保留了智能合约的灵活性，依然通过 Tapscript 默克尔树支持多签、时间锁和复杂的托管结构。

比特币的设计哲学使其能够抵御严峻的经济、政治和技术挑战。截至 2026 年 3 月 10 日，其开发者团队正着手应对一项新兴的技术威胁：量子计算。

近期发布的比特币改进提案 360（BIP-360），首次正式将抗量子性列入了比特币的长期技术路线图。尽管部分媒体报道倾向于将其描述为一次重大变革，但实际情况更为审慎和循序渐进。

本文将深入探讨 BIP-360 如何通过引入支付到默克尔根（P2MR）脚本，移除 Taproot 的密钥路径花费功能，从而降低比特币的量子风险敞口。本文旨在阐明该提案的改进之处、引入的权衡因素，以及它为何尚未能使比特币实现完全的后量子安全。

量子计算对比特币的威胁来源

比特币的安全性建立在密码学基础之上，主要包括椭圆曲线数字签名算法（ECDSA）以及通过 Taproot 升级引入的 Schnorr 签名。传统计算机无法在可行时间内从公钥逆向推导出私钥。然而一台具备足够能力的量子计算机若运行肖尔算法，则有可能破解椭圆曲线离散对数问题，进而危及私钥安全。

关键区别如下：

• 量子攻击主要威胁公钥密码体系，而非哈希函数。 比特币采用的 SHA-256 算法在量子计算面前相对稳健。格罗弗算法仅能提供二次方的加速效果，而非指数级加速。
• 真正的风险在于公钥在区块链上被公开的时刻。

基于此，社区普遍将公钥暴露视为最主要的量子风险来源。

2026 年比特币的潜在脆弱点

比特币网络中的各类地址类型，面临的未来量子威胁程度不尽相同：

• 重复使用的地址：当资金从该地址被花费时，其公钥便在链上公开，一旦未来出现密码学相关量子计算机（CRQC），该公钥将面临风险。
• 遗留的支付到公钥（P2PK）输出：早期的比特币交易直接将公钥写入交易输出中。
• Taproot 密钥路径花费：Taproot 升级（2021 年）提供了两种花费路径：一种是简洁的密钥路径（花费时会暴露一个经过调整的公钥），另一种是脚本路径（通过默克尔证明暴露具体脚本）。其中，密钥路径是量子攻击下最主要理论薄弱点。

BIP-360 正是直接针对密钥路径暴露问题而设计。

BIP-360 的核心内容：引入 P2MR

BIP-360 提案新增了一种名为支付到默克尔根（P2MR）的输出类型。该类型在结构上借鉴了 Taproot，但做出了一项关键性改动：彻底移除了密钥路径花费选项。

与 Taproot 承诺一个内部公钥不同，P2MR 仅承诺脚本树的默克尔根。花费 P2MR 输出的流程为：

揭示脚本树中的一个叶子脚本。

提供一个默克尔证明，以证实该叶子脚本隶属于被承诺的默克尔根。

整个过程中，不存在任何基于公钥的花费路径。

移除密钥路径花费带来的直接影响包括：

• 避免因直接进行签名验证而暴露公钥。
• 所有花费路径均依赖于抗量子性更强的基于哈希的承诺。
• 长期存在于链上的椭圆曲线公钥数量将显著减少。
• 相较于依赖椭圆曲线假设的方案，基于哈希的方法在抵御量子攻击方面具有显著优势，从而大幅缩减了潜在的攻击面。

BIP-360 所保留的功能

一个常见的误解是，放弃密钥路径花费会削弱比特币的智能合约或脚本功能。事实上，P2MR 完全支持以下功能：

• 多签配置
• 时间锁
• 条件支付
• 资产继承方案
• 高级托管安排

BIP-360 通过 Tapscript 默克尔树来实现上述所有功能。该方案在保留完整脚本能力的同时，舍弃了便捷但存在潜在风险的直接签名路径。

背景知识：中本聪曾在早期论坛讨论中简要提及量子计算，并认为若其成为现实，比特币可以迁移至更强的签名方案。这表明，为未来的升级预留灵活性，是其初始设计思想的一部分。

BIP-360 的实践影响

BIP-360 虽看似一项纯技术改进，但其影响将广泛触及钱包、交易所和托管服务等层面。若提案被采纳，它将逐步重塑新的比特币输出的创建、花费和保管方式，尤其对重视长期抗量子性的用户产生深远影响。

• 钱包支持：钱包应用可能会提供可选的 P2MR 地址（可能以 「bc1z」 开头），作为「量子加固」选项，供用户接收新币或存储长期持有资产。
• 交易费用：由于采用脚本路径会引入更多见证数据，P2MR 交易相较于 Taproot 密钥路径花费会略大，可能导致交易费用稍有增加。这体现了在安全性与交易紧凑性之间做出的权衡。
• 生态协同：全面部署 P2MR 需要钱包、交易所、托管机构和硬件钱包等各方进行相应更新。相关规划与协调工作需提前数年启动。

背景知识：各国政府已开始关注「先收集，后解密」的风险，即当下大量收集并存储加密数据，以待未来量子计算机问世后进行破解。这种策略与对比特币已暴露公钥的潜在担忧如出一辙。

BIP-360 的明确界限

尽管 BIP-360 增强了比特币对未来量子威胁的防御能力，但它并非一次彻底的密码学体系重构。理解其局限性同样至关重要：

• 现有资产不自动升级：所有旧的未花费交易输出（UTXO）在用户主动将资金转移至 P2MR 输出之前，其脆弱性依然存在。因此，迁移过程完全取决于用户的个体行为。
• 不引入新型后量子签名：BIP-360 并未采用基于格的签名方案（如 Dilithium 或 ML-DSA）或基于哈希的签名方案（如 SPHINCS+）来替代现有的 ECDSA 或 Schnorr 签名。它仅移除了 Taproot 密钥路径带来的公钥暴露模式。要在基础层全面过渡到后量子签名，将需要一次规模大得多的协议变更。
• 不能提供绝对的量子免疫：即使未来突然出现可实际运行的 CRQC，抵御其冲击仍需矿工、节点、交易所和托管机构之间进行大规模、高强度的协同应对。长期未动的「休眠币」可能引发复杂的治理难题，并给网络带来巨大压力。

开发者前瞻性布局的动因

量子计算的技术发展路径充满不确定性。部分观点认为其实用化仍需数十年，而另一些则指出，IBM 在 2020 年代末的容错量子计算机目标、谷歌在量子芯片上的突破、微软在拓扑量子计算上的研究，以及美国政府设定的 2030-2035 年密码系统过渡期限，都预示着相关进展正在加速。

关键基础设施的迁移需要漫长的时间周期。比特币的开发者们强调，必须从 BIP 设计、软件实现、基础设施适配到用户采纳等各个环节进行系统性规划。如果等到量子威胁迫在眉睫再行动，将可能因时间不足而陷入被动。

若社区达成广泛共识，BIP-360 可能通过分阶段的软分叉方式推进：

• 激活 P2MR 新型输出类型。
• 钱包、交易所和托管机构逐步增加对其的支持。
• 用户在数年内渐进式地将资产迁移至新地址。

这一过程与当年隔离见证（SegWit）和 Taproot 升级所经历的从可选到广泛应用的路径类似。

围绕 BIP-360 的广泛讨论

关于实施 BIP-360 的紧迫性及其潜在成本，社区内仍存在持续的讨论。核心议题包括：

• 为长期持有者带来的轻微费用增加是否可以被接受？
• 机构用户是否应率先进行资产迁移，发挥示范效应？
• 对于那些永远不会被移动的「沉睡」比特币，应如何妥善处理？
• 钱包应用应如何向用户准确传达「量子安全」概念，既不引发不必要的恐慌，又能提供有效信息？

这些讨论仍在持续进行中。BIP-360 的提出极大地推动了相关议题的深入探讨，但远未为所有问题画上句号。

背景知识：量子计算机可能破解当前密码学的理论构想，可追溯至 1994 年数学家彼得·肖尔提出肖尔算法之时，这远早于比特币的出现。因此，比特币对未来量子威胁的规划，本质上是对这一已有三十余年历史的理论突破的回应。

用户当前可采取的应对措施

目前，量子威胁并非迫在眉睫，用户无需过度担忧。但采取一些审慎的措施是有益的：

• 坚持地址不重复使用原则。
• 始终使用最新版本的钱包软件。
• 关注比特币协议升级的相关动态。
• 留意钱包应用何时开始支持 P2MR 地址类型。
• 持有大量比特币的用户，应 quietly 评估自身风险敞口，并考虑制定相应的 contingency 计划。

BIP-360：迈向抗量子时代的第一步

BIP-360 标志着比特币在协议层面减少量子风险敞口方面迈出了第一个具体步骤。它重新定义了新输出的创建方式，最大限度地减少了公钥的意外泄露，并为未来的长期迁移规划奠定了基础。

它不会自动升级现有的比特币，保留了当前的签名体系，并凸显了一个事实：实现真正的抗量子安全，需要一个谨慎协调、覆盖全生态的持续努力。这有赖于长期的工程实践和分阶段的社区采纳，而非单个 BIP 提案所能一蹴而就。