Bitcoin长期安全性的最大争议正在升温。随着量子计算研究的加速推进，开发者们开始思考：在当今的加密技术成为明日的安全漏洞之前Bitcoin 如何适应Bitcoin 。

这就是BIP-360发挥作用的地方。它并非承诺提供完整的解决方案，而是提供了一个切实可行的框架，用于降低风险、指导迁移，并Bitcoin 后量子时代做好准备。

请查看下面的详细分析。👇

Bitcoin面临的量子计算威胁入门指南

Bitcoin量子威胁主要集中在签名上（即使用private key授权交易的加密证明）。当Bitcoin 暴露了secp256k1公钥时，一台足够先进的量子计算机便可能运行肖尔算法，推导出相应的private key，并发起欺诈性交易。实际上，一旦具备加密学意义的量子机器问世，任何暴露的密钥都将面临安全风险。

这种可能性Bitcoin诞生之初就已成为Bitcoin威胁模型的一部分。2010年，Nakamoto 曾提出，如果密码学安全性逐渐减弱，网络可以通过软件升级和广泛的社会共识，迁移到更强大的基础组件上。这一预期至今仍影响着人们对迁移、地址卫生以及尽量减少不必要的公钥暴露等问题的思考。

2026年3月，这场讨论变得更加具体。当时，谷歌的研究人员估算，攻击ECC-256可能只需不到1,200个逻辑量子位和50万个物理量子位，且在未来经典-量子混合计算机（CRQC）上的运行时间仅需几分钟。 谷歌将这一警告与其2029年的后量子迁移目标联系起来，而美国国家标准与技术研究院（NIST）更广泛的过渡时间表则延伸至2035年。

在此背景下，Bitcoin应对措施的讨论现已涉及多个层面：包括BIP-360的P2MR等前瞻性输出设计、更广泛的后量子签名升级，以及更强硬的方案，例如迁移截止期限、冻结暴露的旧版代币，或基于分叉的恢复规则。下一节将探讨BIP-360在这一更广泛的工具集中的定位。

什么是 BIP-360（Bitcoin 提案 360）？

BIP-360是一份软分叉提案草案，旨在引入“支付至默克尔根”（Pay-to-Merkle-Root，简称 P2MR）——这是一种Bitcoin 类型，旨在保留 Taproot 风格的脚本树，同时移除易受量子攻击的密钥路径消费。 Ethan Heilman 于 2026 年 2 月 9 日开启了相关的“算法灵活性”讨论，该 BIP 于 2026 年 2 月 10 日提交至代码库。

其核心理念Bitcoin 具备抗量子安全性”更为狭窄。相反，BIP-360 通过直接采用脚本树默克尔根（script-tree Merkle root）并省去Bitcoin base 后量子升级base 更简洁Bitcoin base 。这使其成为一种初步的迁移路径，而非完整的加密方案替代方案。

该提案由亨特·比斯特（Hunter Beast）、伊桑·海尔曼（Ethan Heilman）和伊莎贝尔·福克森·杜克（Isabel Foxen Duke）共同起草，在2024年至2025年间经历了重大修订，最终于2026年初形成草案。到2026年3月，该提案已从理论阶段迈向了testnet实施阶段，这使得相关讨论更具紧迫性，也更具技术细节。

BIP-360 组成部分

BIP-360 结合了新的输出格式、熟悉的 Tapscript 机制，并有意识地移除了Taproot 中最易受量子攻击的支出路径。实际上，它改变了资金的锁定和支出方式，同时为日后的后量子签名升级预留了空间。

关键要素一览：

• P2MR：BIP-360 将“Pay-to-Merkle-Root”（P2MR）定义为一种新的输出类型，其行为与 Taproot 脚本路径非常相似，但去除了会暴露长期有效的公钥的密钥路径。
• 软分叉：该提案被定义为软分叉，这意味着升级后的节点将在执行新规则的同时，保持与SegWit时代增量共识变更相一致的兼容性假设。
• 默克尔根：P2MR 并非将经过调整的内部密钥写入区块，而是直接将脚本树的 32 字节默克尔根写入区块，这使得结构更加简洁，便于日后更换算法。
• 无密钥路径：最具决定性的变化是移除了Taproot的密钥路径花费机制，而这正是导致公钥长期暴露并成为量子攻击目标的根源。
• SegWit V2：P2MR 采用SegWit2.0 版本和 Bech32m 编码，生成的mainnet 以bc1z 开头，这是钱包和基础设施必须支持的具体标识。
• 脚本路径：每次 P2MR 支付都是脚本路径支付，因此见证人必须披露叶节点脚本以及一个控制区块，以证明该叶节点属于已提交的默克尔树。
• Tapscript：BIP-360 保持了与 Tapscript 的兼容性，允许现有 Tapscript 程序无需修改即可继续使用，这也是支持者将其视为一个相对不显眼的初步步骤的原因之一。
• 权衡：P2MR 虽然增强了抵御长期暴露攻击的能力，但牺牲了 Taproot 密钥路径支出的紧凑性和隐私优势，导致部分交易体积增大且泄露更多信息。
• 局限性：仅凭 BIP-360 本身无法解决短时暴露的量子攻击；该提案明确假设后续软分叉将引入后量子签名方案，以提供更全面的保护。

BIP-360 将会被采纳吗？

目前，BIP-360仍处于草案阶段，尚未作为升级方案生效，且Bitcoin onchain Bitcoin 针对BIP提案的正式onchain 。与该提案联系最紧密的是其合著者Hunter Beast、Ethan Heilman和Isabel Foxen Duke，而更广泛的影响力则来自Bitcoin 贡献者、邮件列表参与者、审阅者、wallet Bitcoin 等生态系统教育机构。

最关键的日期是流程中的里程碑，而非投票日期：2026年2月9日是算法灵活性邮件列表讨论的截止日，2026年2月10日是BIP草案的截止日，2026年3月是公开实现活动的截止日，以及未来任何将该方案从概念阶段推进至实际采用的Bitcoin wallet 。目前，需要关注的重点是初步共识、代码编写和代码审查，而非预定的投票。

批评与担忧

媒体对BIP-360以及Bitcoin更广泛的量子安全应对措施的反应，已明显分化为几个阵营。有人将其视为迟来的准备，有人认为虽可控但非紧急，还有人则将其视为质疑Bitcoin长期安全假设的理由。

媒体所关注的主要问题包括：

• 为时过早： 《卫报》2026年3月的报道提到了谷歌关于2029年的警告，但也援引了Riverlane前高管莱昂妮·穆克（Leonie Mueck）的说法，称具备密码学能力的机器出现的最现实时间表仍stretch 2030年代，甚至2050年代。
• 依然严肃：CoinDesk援引Galaxy DigitalAlex Thorn的观点，将量子威胁描述为真实存在但“远非生存危机”，这反映了普遍观点：Bitcoin 立即做好准备，但不应将BIP-360视为紧急补丁。
• 市场疑虑： 《商业内幕》报道称，杰富瑞策略师克里斯托弗·伍德因担忧量子技术问题，Bitcoin 模型投资Bitcoin 移除，这表明一些传统金融观察人士认为该问题足够严重，足以影响长期资产配置决策。
• 技术负担： Tom’s Hardware强调，去中心化治理使得区块链在向后量子时代迁移时比中心化平台面临更大的困难，这一担忧直接体现在 BIP-360 上，因为其采用需要钱包、基础设施和用户之间进行协调。
• 《Not Enough Alone》：关于 BIP-360testnet 报道 Nasdaq 和FXStreet的报道将其视为重要一步，但即便这种表述也将其视为第一层防护，而非完整的后量子解决方案。
• 信心风险：Forbes 等专注于市场的媒体将谷歌的研究解读为Bitcoin叙事的新一轮冲击，认为即便是BIP-360这类有益的升级，也会让投资者更切身地感受到量子威胁的迫近，从而对市场情绪造成压力。

BIP-360 可能如何影响BTC

Bitcoin 过往Bitcoin 表明，BIP-360的影响更多体现在市场情绪和信心层面，而非立竿见影的机械性价格重估。2016年7月4日，CSV软分叉在第419,328个区块生效时BTC 接近683.66美元；一周后的7月11日，收盘价跌至647.66美元左右，跌幅约为5.3%。

SegWit的市场走势则几乎截然相反。在2017年8月24日锁定期间， BTC 收盘价接近4,334.68美元；到8月31日，价格已升至约4,703.39美元，涨幅达8.5%。Taproot于2021年11月14日在区块709,632处激活，BTC 接近65,466.84美元，随后在11月22日前跌至58,706.85美元。

这种喜忧参半的记录表明，BIP-360 不会自动Bitcoin 或拉低Bitcoin 。由于该提案仍处于草案阶段，任何价格反应很可能取决于市场解读：可信的长期风险管理措施可能会支撑BTC，而愈发强烈的量子计算论调则可能让交易者感到不安，使威胁显得更加迫近且具体。

BIP-360 的替代方案

BIP-360 并非唯一正在讨论的方案。Bitcoin 还探索了基于 Taproot 的迁移路径、由契约支持的“提交-揭示”机制，以及基于哈希的直接签名部署方案，这些方案无需采用 P2MR 即可降低量子风险。

1. 基于 Taproot 的备用方案设计

一种广受讨论的替代方案是保留Taproot的结构，并添加一条隐藏的后量子备用消费路径，而不是用P2MR取代Taproot输出。Project Eleven将此描述为一种“及时”升级，在实际需要量子安全分支之前，该方案能保持当前的效率。

BitMEX 于 2026 年 1 月提出了类似的设想，主张采用一种“新的量子安全版 Taproot”，其中相同的输出既可以通过量子安全的 tapleaf 进行消费，也可以通过经典的、易受量子攻击的 tapleaf 进行消费。这种方法旨在比 BIP-360 更长久地保持隐私性和兼容性。

2. 基于哈希的签名升级

另一种方案是直接升级Bitcoin签名机制，采用基于哈希的方案（如SPHINCS+或SLH-DSA），而非先引入新的输出类型。Bitcoin “抗量子”专题页面重点介绍了当前针对SLH-DSA的优化工作、Winternitz风格的原型，以及针对Bitcoin后量子签名的更广泛研究。

支持这一方案的最有力论据在于，基于哈希的签名仅依赖于哈希函数的安全性。2025年底，米哈伊尔·库迪诺夫（Mikhail Kudinov）和乔纳斯·尼克（Jonas Nick）发表了一篇论文，指出基于哈希的签名具有显著优势，因为它们仅依赖于哈希函数的安全性，且已在NIST的后量子安全标准制定过程中经过了深入分析。

这条路径前景可期，但并不轻量。他们的总结指出，标准的SPHINCS+签名大小接近8 KB，不过Bitcoin优化可能会使其缩减至约3.1 KB至4.0 KB，具体取决于使用限制。安托万·庞索（Antoine Poinsot）后来将此类方案描述为有用的“应急”工具，尽管它们可能会Bitcoin 在日常消费中的吸引力。

3. 迁移与恢复方案

第三类替代方案较少关注永久性的新支付形式，而更多地侧重于迁移机制。Chaincode的2025年概述将“付费使用抗量子哈希”和“延迟提交-延迟揭示”等提案归类为当前针对Bitcoin抗量子准备工作正在积极讨论的主要策略。

安克雷奇数字（Anchorage Digital）在2026年3月发布的《量子旋转门》（Quantum Turnstile）白皮书中进一步发展了这一理念，提出了一种基于zero-knowledge 迁移系统，允许用户在不安全的签名路径被禁用后，从哈希锚定记录中转移资金。虽然该方案比BIP-360更为复杂，但它直接针对了迁移问题。

最后的想法

BIP-360之所以重要，是因为它将Bitcoin量子安全讨论转化为具体方案。它不再仅仅是abstract ，而是提供了一套架构草案，既能限制长期暴露密钥带来的风险，又为日后的后量子签名升级预留了空间。

与此同时，该提案显然并非唯一可行的方案。基于Taproot的迁移方案、基于契约的防御机制以及基于直接哈希的签名方法，都仍是同一设计范畴内正在探索的方案。

正因如此，BIP-360或许不应被视为最终答案，而更应被视为一项协调提案。其真正意义在于迫使Bitcoin 在紧迫性取代选择性之前，Bitcoin 自身应如何做好准备。