比特币开发者启动BIP-360量子安全轨道

比特币的量子安全讨论在代码规范流程中迎来实质性进展：BIP-360更新草案已并入官方比特币改进提案库，该提案提出一种毗邻Taproot的输出类型，旨在降低未来量子密钥恢复攻击的风险。

这一改动的重要性不在于当下"解决"量子威胁，而在于正式确立了一条可选的升级路径——在保留Taproot脚本树功能的同时，剔除了量子威胁模型下最高风险的支出路径。

比特币开发者首次正式部署抗量子方案

马拉松数字(MARA)旗下研究平台Anduro在X平台表示，此次合并的更新"引入了支付至默克尔根(P2MR)方案，这种新型输出类型移除了Taproot中易受量子攻击的密钥支出路径，同时保持与Tapscript和脚本树的兼容性。"

根据BIP分类，该提案属于"共识层软分叉"，将P2MR定义为新版隔离见证(v2)输出——直接承诺(commit)至脚本树的默克尔根，而非像P2TR（支付至Taproot）那样承诺至调整后的公钥。实际影响很明确：P2MR输出只能通过脚本路径逻辑支出，密钥路径被彻底移除。

BIP摘要阐明了在最小化改动的同时为用户提供额外保护选项的目标：

"本提案通过软分叉引入新型输出类型：支付至默克尔根(P2MR)。P2MR输出功能几乎与P2TR相同，但移除了密钥支出路径。"
并补充说明其防护目标是抵御"密码学相关量子计算机(CRQC)的长期暴露攻击"，以及"未来可能破解比特币椭圆曲线密码(ECC)的密码分析手段"。

该BIP的关键在于严谨的定义区分：将"长期暴露攻击"（公钥长期暴露在链上）与"短期暴露攻击"（针对未确认交易在内存池中短暂暴露的公钥）明确区分。

文件明确指出P2MR并非完整的量子护盾："需注意P2MR输出仅能抵抗椭圆曲线密码的'长期暴露攻击'，即针对超过交易确认所需时间的密钥暴露攻击。"

"要防御更复杂的量子攻击（包括交易等待确认期间公钥在内存池暴露导致的私钥恢复攻击，即'短期暴露攻击'），可能需要比特币引入后量子签名。"作者表示将"通过后续研究提出专门方案"。

这种区分也解释了提案为何强调tapscript兼容性——若未来比特币采用后量子签名操作码，相比不支持tapscript演进的传统脚本机制，P2MR作为脚本树输出类型能提供更清晰的升级路径。

Anduro强调该变更是软分叉设计，"不影响现有Taproot输出"。P2MR将是新型输出类型（以bc1z开头的bech32m地址），而非对现有bc1p Taproot UTXO的改造。

提案也坦承这种替换存在代价：移除密钥路径后，P2MR放弃了Taproot最紧凑的见证路径（单个Schnorr签名）。BIP估算P2MR最小见证比Taproot密钥路径多37字节，但可能小于等效Taproot脚本路径——因为P2MR控制块省略了内部公钥。

隐私特性也有所改变：由于所有支出都走脚本路径，P2MR用户必然暴露其使用脚本树的事实，而Taproot密钥路径可避免此信号。

Anduro表示该更新还"回应了关于比特币开发者不重视量子威胁的批评"，并指出新增合著者Isabel Foxen Duke使BIP"更便于公众理解，而非仅面向开发者群体"。

BIP-360仍处于"草案"状态。但并入主代码库已具有里程碑意义：将量子安全讨论从抽象担忧和邮件列表假设，推进至具体的共识变更提案阶段，钱包服务、代码库和审计者现在可逐行分析。

若进入下一阶段，讨论焦点可能是：像P2MR这种"未雨绸缪"的可选方案是否足够，亦或比特币终需直面后量子签名及大规模资产迁移的操作现实。

截至发稿，BTC报价66,558美元。