比特币BIP 360草案引入P2MR机制，推动实现量子抗性

P2MR 或为比特币抗量子化进程提供保守首步

尚在审议阶段的比特币改进提案（BIP）360提出以P2MR替代Pay-to-Taproot（P2TR）作为抗量子方案。该方案通过直接绑定至Tapscript树的默克尔根节点，省去了密钥路径支付所需的公钥。实际应用中，其行为模式类似于仅使用脚本路径的Taproot输出。

这种区别至关重要，因为Taproot的密钥路径支付会暴露公钥。在现有密码学中，从公钥推导私钥在计算上不可行。但理论上，运行肖尔算法的强大量子计算机可能破解椭圆曲线密码学。P2MR方案直接消除了这种密钥暴露风险。

关键在于，P2MR并未引入新签名方案或操作码。它完整保留了Tapscript（BIP 342）功能及Merkle化抽象语法树（MAST）式脚本树结构——包括叶节点版本、控制块和附录数据——仅移除了内部公钥。钱包可复用大量现有Taproot代码。

输出仍为32字节哈希值，标记为"TapBranch"，提供与P2WSH相当的128位抗碰撞性。开发者将其描述为迈向量子抗性的一步保守举措，而非全面加密改造。

该提案已经历多次重写与更名。 最初于2024年以P2QRH（“支付至量子抗性哈希”）命名，2025年末更名为P2TSH（“支付至Tapscript哈希”），后经社区反馈认为名称应更准确反映输出承诺内容，最终定为P2MR（“支付至默克尔根”）。

目前 BIP 360 仍处于草稿拉取请求阶段，尚未合并或安排激活时间。比特币开发者邮件列表及社区论坛仍在持续讨论该提案。

量子威胁的根源

比特币的主要量子脆弱性在于签名方案而非哈希算法。链上暴露公钥的地址最易受攻击，因为肖尔算法理论上可据此推导私钥。

传统付至公钥（P2PK）地址将公钥直接嵌入锁定脚本，持有约170万枚BTC，成为首要长期攻击目标。重复使用的付至公钥哈希（P2PKH）地址一旦交易暴露公钥即会受损。Taproot的密钥路径支付同样会泄露经过调整的公钥。

风险比特币的估算范围差异巨大。部分分析指出，在特定定义下20%至50%的供应量可能暴露，而另一些观点认为仅有极小比例会引发实质性市场动荡。具有密码学意义的量子计算机通常预计在数年或数十年后问世，但不确定性持续引发争论。

P2MR 方案既无法解决内存池窗口期的短期暴露风险，也不引入后量子签名机制。其核心价值在于应对开发者所称的“长期暴露”威胁——即密钥长期公开可见的存放状态。

本质上，P2MR允许用户——特别是长期持有者或参与闪电网络、BitVM或Ark类协议的用户——将资金迁移至能消除最明显椭圆曲线密码学风险的输出地址，同时保留Taproot的脚本优势。这是渐进式而非革命性的变革。

对于更倾向渐进式软分叉而非彻底重构的网络而言，这种基调实属深思熟虑。量子威胁或许遥远，但BIP 360表明开发者至少已开始检查退路——他们正冷静而系统地推进工作，同时扎实完成密码学功课。

常见问题解答 ❓

• 比特币BIP 360中的P2MR是什么？ P2MR（支付至默克尔根）是一种拟议的输出类型，它在保留完整Tapscript功能的同时，消除了Taproot的密钥路径支付机制。
• 为何部分比特币地址易受量子攻击？ 理论上，链上暴露公钥的地址可能被采用肖尔算法的量子计算机推导出私钥。
• BIP 360是否引入了后量子签名？ 否，该提案采取保守策略，未新增签名方案或操作码。
• BIP 360 是否已在比特币网络启用？ 否，该提案仍处于草案阶段，正在接受积极审查，暂无激活时间表。