原始論文:Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations
作者:Ryan Babbush, Adam Zalcman, Craig Gidney 等(Google Quantum AI + UC Berkeley + Ethereum Foundation + Stanford)
日期:2026 年 3 月 30 日
TL;DR
如果只用一句話總結這篇 paper,那就是:
量子威脅不再「理論上會怎樣」,而是已經被壓縮成像工程規格書的細節與數字。
Google Quantum AI 這次不是在空泛地談「量子電腦未來可能會威脅 crypto」,而是直接對 Bitcoin / Ethereum 使用的 secp256k1 做 Shor’s algorithm 資源估算。結論非常直接:
- 約 1200–1450 個 logical qubits
- 約 7000–9000 萬個 Toffoli gates
- 在他們假設的 超導體 + surface code 路線下,約 50 萬個 physical qubits 就可能足夠
這個意義很大。因為它不是拿 RSA-2048 橫向類比,不是再講一遍老掉牙的「Shor’s algorithm 很可怕」,而是直接對 ECDLP 本體 下手。也就是說,這篇論文不是在問「量子會不會威脅加密貨幣」;它是在問:威脅長什麼樣子、要多少資源、會先打哪裡。
更微妙,也更值得警惕的是:Google 沒有公開完整攻擊電路,而是用零知識證明證明「我們真的做出來了,只是現在不放出exploit 細節」。這個動作本身就是一個訊號:量子計算的密碼學分析正在從學術展示,走向類似漏洞揭露的時代。 也就是說,從現在開始,你看到的公開資訊,很可能只會越來越少,而不是越來越多。
