比特币的量子风险：前制药高管马丁·什克雷利表示应该关注的算法是Shor算法

中本聪的密钥与量子梦想：施克雷利谈时间线和策略

在与伊莎贝尔·福克森·杜克一同参加的比特币轨道播客#38中，马丁·施克雷利一开始就将量子现实与炒作区分开来：他表示，量子计算不会取代Nvidia式的经典计算，但“就Shor算法和比特币而言，你…有理由担心。”但前提是：实用的量子机器仍然缓慢、嘈杂且数值不稳定，任何可信的攻击都需要比现已展示的更低的误差率数量级。

核心问题在于保真度。在量子电路中，每一个逻辑操作（“门”）都以某种概率成功。施克雷利指出，最佳门保真度约为“99.99”，这听起来令人印象深刻，直到你在“数百万门”的完整Shor运行过程中积累误差——此时准确性崩溃。结论是：要么构建更清洁的物理量子比特，要么分层强大的错误校正码来创建高度可靠的“逻辑”量子比特。两者都很难实现。

他将IBM的公用约150量子比特系统作为热衷者的事实核查：它们只是教育用途，离比特币级的逻辑量子比特所需的数量还很远。以256位曲线为标准，他讨论了需要大约一百万逻辑量子比特的资源需求——这意味着取决于错误校正的开销，需要数亿到十亿物理量子比特。今天的机器要小得多。

2022年刚刚获释的施克雷利因证券欺诈被定罪，他潜入了加密货币领域，专注于去中心化金融（defi）和区块链的基础细节。在X Spaces聊天中，他说道他在监狱中使用了以太坊的领先去中心化交易所（DEX）Uniswap，被其如何避开老派金融门控吸引住了。施克雷利对以太坊、Solana和Algorand表示赞赏，预测以太币的市场价值最终可能超过比特币——一个常被称为“翻转”的情境。

在采访中，施克雷利指出，即便有更好的物理量子比特（他提到fluxonium作为一个有力的竞争者），量子团队仍需增加更多的可靠性“9”。施克雷利对比了经典的图形处理单元（GPU）与仍在处理噪音、退相干及甚至来自宇宙射线引起的位翻转的量子硬件，它们以极低的错误率运行。直到错误校正真正驯服这些问题，Shor算法更像是一个白板上的胜利，而非生产工具。

施克雷利还强调了一个关键的细节：量子计算在时钟速度上——通常以千赫或更低的频率衡量——并不“快”，但由于某些算法（如Shor用于因数分解和离散对数）的变化，数学复杂度从指数时间降为多项式时间。这种复杂度的下降才是关键；硬件尚未达到这一点。

在时间线上，他避开了硬性预测，承认比特币曲线上的可信Shor级攻击不是一个五年的故事，可能需要几十年，特别是考虑到今天的物理量子比特与明天的错误校正逻辑舰队之间的差距。

他确实承认，非量子路线——由AI可能帮助的数学突破——不能排除，但他仍然认为量子是对椭圆曲线加密更有可能的首次攻击者。无论哪种方式，他将目标定为加密，而不是“将Nvidia赶出市场。”

道德问题也浮现：在被问及“破解中本聪的硬币”时，施克雷利表示，智力成就是吸引力；他“不希望持有那些代币”，称之为盗窃，即使数学成功。他建议研究可以在不掠夺他人钱包的情况下发表。

常见问题💡

• Shor算法究竟威胁了什么？ 它针对的是比特币钱包使用的椭圆曲线加密背后的困难数学（因数分解/离散对数），如果存在大型错误校正的量子计算机。
• 为什么今天的量子机器不是风险？ 错误率累积在“数百万的门”中，当前的保真度不足以支持完整的Shor运行。
• 一次攻击需要多少量子比特？ 施克雷利讨论了大约一百万逻辑量子比特的需求——这意味着数亿到十亿物理量子比特，考虑到错误校正。
• AI会先破解比特币的加密吗？ 施克雷利说，AI帮助下的数学进步是可能的，但他仍然认为量子更可能是首次对ECC进行攻击的行动者。