反对允许量子计算机攻击比特币

原文作者：Lopp 编译：LlamaC

正文

量子计算争论正在升温。这场争论有许多具有争议的方面，包括量子计算机是否真的会成为一个实际的威胁。如果你想要对技术问题有一个高层次的概述，可以查看我 2024 年的演讲：

Safeguarding Satoshi’s Stash - Jameson Lopp | Future of Bitcoin 2024

https://youtu.be/MTUzpR_mxAg

在这篇文章中，我不会涉及我们应该对量子计算机有多担心这个无法回答的问题。我认为这远非危机，但考虑到改变比特币的难度，值得开始认真讨论。今天，我想重点关注一个与实施量子安全签名方案时需要做出的决定相关的哲学难题。

多种情景

由于本文将大量引用博弈论，并且存在许多可能改变博弈性质的变量，我认为有必要预先阐明可能出现的情况。

量子计算永远不会实现，永远不会成为威胁，因此本文讨论的一切都是无关紧要的。

量子计算威胁突然出现，而比特币协议中没有量子安全签名。在这种情况下，以下几点可能变得无关紧要，因为比特币将从根本上被破坏，而升级协议、钱包软件并迁移用户资金以恢复对网络的信心将需要太长时间。

量子计算的进展足够缓慢，使我们能够就如何升级比特币达成共识，并且在攻击者出现时，后量子安全性已经得到最低限度的采用。

量子计算的进展足够缓慢，使我们能够就如何升级比特币达成共识，并且在攻击者出现时，后量子安全性已被广泛采用。

就本文而言，我设想处于情况 3 或 4。

冻结还是不冻结？

我开始看到更多人就量子抗性升级应如何处理用户资金迁移这一最具争议的方面发表意见。是应该让量子易受攻击的资金暴露在任何拥有足够强大量子计算机的人面前任其掠夺，还是应该将其永久锁定？

一些引用：

来源：https://x.com/paoloardoino/status/1888259298641191049

"我不明白为什么要没收旧币。更好的选择是让那些拥有量子计算机的人释放旧币。虽然这可能会对比特币价格产生通胀影响，但用一个说法来说，这种通胀是暂时的。那些时间偏好低的人应该支持将丢失的币重新投入流通。"

- 猎人野兽

最后，我看到的第一个支持锁定易受攻击的 UTXO 的观点：

当然它们必须被没收。如果（这是个很大的假设）破解密码学的量子计算机成为一个可信的威胁，比特币生态系统别无选择，只能通过软分叉来移除从易受量子计算机攻击的签名方案（包括 ECDSA 和 BIP340）中支出的能力。否则，数百万比特币将面临被盗的风险；在这种情况下，我无法想象这种货币如何能保持任何价值。这影响到每个人；即使是那些已经谨慎地将他们的币转移到后量子密码学保护方案中的人也不例外。

- Pieter Wuille

我认为"没收"并不是最准确的用词，因为这些资金并非被扣押和重新分配。相反，我们实际讨论的内容更适合描述为"销毁"——将资金置于所有人都无法触及的地方。

根据轶事，我与大多数人讨论处理量子计算攻击场景的具体细节时，他们似乎都认为易受量子攻击的加密货币将简单地被拥有量子计算机的人"挖掘"。

来源：https://x.com/bradmillscan/status/1888607280817442844

我假设这是因为不冻结用户资金是比特币不可侵犯的属性之一。然而，如果量子计算对比特币的椭圆曲线密码学构成威胁，比特币的一个不可侵犯属性将以某种方式被违反。

基本属性面临风险

5 年前，我尝试全面归类比特币所有赋予其价值的基本属性。

比特币的主要特征有哪些？

在比特币领域，提出协议变更时存在许多不成文的规则。这些规则有的涉及理念，有的涉及技术，还有一些则兼具两方面特征。

https://nakamoto.com/what-are-the-key-properties-of-bitcoin/?ref=blog.lopp.net

关于这个问题所涉及的特定属性似乎是：

抗审查性 - 任何人都不应该有权力阻止他人使用其比特币或与网络进行交互。

前向兼容性 - 改变规则使某些有效交易变为无效可能会削弱对协议的信心。

保守性原则 - 不应期望用户对系统问题做出高度响应。

由于上述原则，我们形成了一个强大的模因（感谢 Andreas Antonopoulos），内容如下：

不是你的密钥，就不是你的币。

我认为这一原则的推论是：

你的密钥，你的币。

一个具有量子能力的实体打破了这一基本原理的推论。我们用与极大随机数相关的数学概率来保护我们的比特币。你的资金之所以安全，是因为真正随机的大数字不应该被世界上任何其他人猜到或发现。

这就是"vires in numeris"（数字中的力量）这一格言背后的原理。在一个存在量子能力对手的世界里，对于许多类型的密码学来说，包括比特币中使用的椭圆曲线数字签名，这一原理将失效。

谁处于风险中？

长期以来一直有一种说法，认为中本聪的比特币和其他来自中本聪时代使用 P2PK 锁定脚本直接在区块链上暴露公钥的比特币将会被量子"矿工"抢先获取。但不幸的是，情况并非如此简单。如果我拥有一台强大的量子计算机，我会瞄准哪些比特币呢？我会查看比特币富豪榜，寻找那些由于重复使用已经花费过的地址而暴露了公钥的钱包。我在下面标出了这些钱包：

请注意，其中一些钱包，如 Bitfinex / Kraken / Tether，会稍微难以破解，因为它们是多重签名钱包。因此，量子攻击者需要对 Kraken 反向工程 2 个密钥，或对 Bitfinex / Tether 反向工程 3 个密钥才能花费资金。但许多钱包仍是单一签名的。

关键在于，至少在撰写本文时，不仅仅是那些真正古老的丢失比特币面临量子计算对手的风险。如果我们添加一个量子安全的签名方案，考虑到这些钱包的激励因素，你应该预期它们会成为最先升级的钱包之一。

伦理困境：如何衡量危害

哪个决定会导致最大的伤害？

通过使量子易受攻击的资金无法花费，我们可能会伤害一些没有注意并忽视将资金迁移到量子安全锁定脚本的比特币用户。这违反了先前提到的"保守主义"原则。另一方面，我们防止了这些资金以及更多丢失的资金落入少数获得量子计算机早期访问权限的特权人士手中。

通过让量子易受攻击的资金可供支出，原本资金可能被冻结的同一群用户很可能会看到这些资金被盗。而许多早期采用者丢失了密钥，最终会看到他们无法触及的资金被具备量子能力的对手窃取。

试想一下，例如詹姆斯·豪厄尔斯（James Howells）的情况，他不小心扔掉了一个硬盘，里面存有 8,000 个 BTC，目前价值超过 6 亿美元。他花了十年时间试图从他知道埋藏地点的垃圾填埋场中找回硬盘，但无法获得挖掘许可。我猜想，如果有选择的话，他宁愿这些资金被永久冻结，也不愿落入他人之手——我知道我也会这么想。

允许量子计算机访问丢失的资金并不会使这些用户的处境比以前更糟，但是这将对目前持有比特币的所有人产生负面影响。

如果大量比特币落入新的持有者手中，预计会出现重大的经济动荡，这是明智的判断。由于量子计算机将有巨额的前期成本，可以预期那些开发者会希望收回投资。我们从经验中也知道，当某人突然拥有 9 位数以上的高流动性资产时，他们往往会通过出售来分散投资到其他领域。

允许量子计算机恢复比特币无异于财富再分配。我们将允许比特币从那些对量子计算机一无所知的人重新分配给那些在获取量子计算机的技术竞赛中胜出的人。很难看出这种情况有什么积极的一面。

量子恢复对任何人有好处吗？

量子恢复真的对任何人有帮助吗？我至今还没有遇到过任何论点认为它在任何方面是净正面的。它肯定不会为网络增加任何安全性。如果说有什么影响的话，它通过允许那些没有赚取资金的人认领资金，极大地降低了网络的安全性。

但是等等，你可能会想，量子"矿工"难道不是通过投入建造量子计算机的所有工作和资源来赚取他们的币吗？我想，这就像小偷通过投入资源监视目标并学习闯入建筑物所需的技能来赚取赃物一样。当我说"赚取"时，我指的是通过富有成效的互利交易。

举例来说：

投资者通过与其他货币进行交易来赚取 BTC。

商家通过交易商品和服务来赚取比特币。

矿工通过交易热力学安全来赚取 BTC。

量子矿工不交易任何东西，他们是吸食系统的吸血鬼。

没有理由相信允许量子对手恢复易受攻击的比特币会对除了赢得建造第一批此类计算机的技术军备竞赛的少数几个组织以外的任何人有利。这些组织可能是国家或几个最大的科技公司。

Jameson Lopp 在 X 上发布了一条推文，指出微软、谷歌和亚马逊正在大力投资量子计算硬件的研发。他提到，尽管这些科技巨头的投入，仍有人认为量子计算领域可能不会取得实际成果，将其视为一场骗局。

https://x.com/lopp/status/1895103700005462400

人们当然可以希望拥有量子优势的组织是善意的，并以"白帽子"的方式行事，将丢失的比特币归还给其所有者，但这种想法过于乐观，依赖于此是愚蠢的。这种情况造成了一个无法解决的伦理困境，即只恢复丢失的比特币而不是当前拥有的比特币。无法精确区分这两者；任何人都可以声称自己丢失了比特币，但如果他们丢失了密钥，那么证明他们曾经拥有密钥就变得相当困难。我想象，任何这样的白帽子恢复努力都必须依赖于来自可信第三方（如交易所）的证明。

即使第一个实现量子优势的参与者是善意的，我们也必须假设这项技术可能落入对手之手，因此必须从对抗性角度考虑潜在的最坏情况结果。例如，想象一下，如果朝鲜继续从黑客入侵加密货币交易所中获取数十亿美元，并决定将部分收益投资于建造量子计算机，以获得有史以来最大的回报...

允许量子恢复的缺点

让我们全面思考一下允许或阻止量子对手扣押资金的利弊。

历史先例

以往的协议漏洞并未被视为"公平游戏"，而是被当作需要修复的失误。对量子盗窃采取不同态度的做法可能会重写比特币的历史，将其描述为一个自由放任的系统，而非一个致力于保护用户的系统。

财产权侵犯

允许量子对手控制资金破坏了加密货币的基本原则 - 如果你保管好自己的密钥,只有你才能访问你的资金。比特币建立在私钥保护个人资产的理念之上,未经授权的访问(即使通过先进技术)是盗窃,而不是合法转账。

比特币信任的侵蚀

如果量子攻击者能够利用易受攻击的地址，人们对比特币作为安全价值存储的信心将会崩溃。用户和投资者依赖于加密完整性，而广泛的盗窃可能会导致人们远离比特币，从而破坏其生态系统的稳定。

这实际上是对声称销毁易受攻击资金违反财产权的反驳。虽然有些人肯定会将其视为违反财产权，但其他人会认为对阻止量子盗窃的漠不关心同样令人担忧。

不公平优势

量子攻击者可能拥有稀有且昂贵的技术，这将使他们相对于缺乏此类工具的普通用户具有不公平的优势。这造成了一个不公平的系统，只有技术精英才能利用他人，这与比特币去中心化权力的理念相矛盾。

比特币的设计旨在为保护个人财富创造一种不对称优势。它本应使攻击者破解保护个人比特币的熵和加密技术变得昂贵到不切实际的程度。但现在我们发现自己正在讨论一种情况，即这种不对称优势被破坏，反而有利于某一特定类别的攻击者。

经济中断

从易受攻击的地址进行大规模盗窃可能会导致比特币价格崩溃，因为通过量子技术恢复的资金被抛售到交易所。这将损害所有持有者，而不仅仅是那些直接被攻击的人，从而导致市场出现更广泛的金融混乱。

道德责任

允许通过量子计算进行盗窃会树立一个先例，即技术优势可以为不道德行为辩护。这实质上采取了一种"代码即法律"的立场，我们拒绝承认代码和法律都可以被修改以适应先前未预见的情况。

烧毁硬币确实可以被视为一种盗窃形式，因此我认为有必要区分正在讨论的两种不同的盗窃：

自我增强且可能具有恶意

危害预防与不一定恶意

这两种选择都缺乏被烧毁或转移硬币的一方的同意，因此我认为简单地认为盗窃是不道德的这一论点变得站不住脚，重要的是要深入研究每种选择的细节。

激励驱动安全

根据我十年从事比特币安全工作的经验，我可以告诉你——普通用户是懒惰的，也是拖延症患者。如果给比特币用户一个"最后期限"，他们知道在此之后易受攻击的资金将被销毁，这种压力会加速后量子密码学的采用，从而长期增强比特币的安全性。允许易受攻击的用户无限期推迟升级将导致更多的落后者，当量子技术可用时，网络将面临更大的风险。

钢铁论证

显然这是一个复杂且有争议的话题，因此值得仔细思考反对的论点。

保护产权

允许量子计算机获取易受攻击的比特币可能被包装成一种硬通货叙事。

但我认为产权叙事的另一面是，销毁易受攻击的币可以防止这些财产落入不应得到的人手中。如果整个比特币生态系统只是袖手旁观，任由量子对手索取本应属于其他用户的资金，这真的能算是在"保护产权"方面的"胜利"吗？在我看来，这更像是一种冷漠。

因此，我认为"保护产权"这一论点是不成立的。

量子计算机不会攻击比特币

有很多人对于是否能够建造出足够强大的量子计算机持怀疑态度，因此认为我们不应该为一个不存在的威胁做准备。另一些人则认为，即使这样的计算机被造出来，量子攻击者也不会攻击比特币，因为他们不想通过这种方式暴露自己的实力，而是会选择攻击其他基础设施。

量化攻击其他基础设施的价值有多大是相当困难的。这也确实取决于某个实体何时获得量子优势，以及到那时世界上大多数系统是否已经升级。虽然你可以认为某些获得量子能力的实体可能不会攻击比特币，但这只会延缓不可避免的结果——最终会有人获得这种能力并决定用它来进行这样的攻击。

量子攻击者只会窃取小额

有人认为，即使量子攻击者针对比特币，他们也只会攻击旧的、可能已经丢失的 P2PK 输出，以避免引起怀疑和造成市场恐慌。

我对此并不十分确定；为什么要一次只获取 50 BTC，而不是用同样的努力获取 250,000 BTC 呢？这是一个典型的"零日漏洞"博弈理论，攻击者知道他们只有有限的时间，因为其他人可能会发现这个漏洞并从中获益或修复它。以最近的 ByBit 攻击为例——这是有史以来价值最高的加密货币黑客攻击。Lazarus Group 已经入侵了 Safe 钱包的前端 JavaScript 应用，他们本可以简单地让它重新分配所有人与钱包交互时的 Safe 钱包所有权。但他们选择只针对 ByBit 价值 15 亿美元的钱包，因为他们想最大化他们可提取的价值。如果 Lazarus 开始从每个钱包中窃取，他们很快就会被发现，而且 Safe 网络应用可能会在任何价值十亿美元的钱包执行恶意代码之前就被修复。

我认为"只窃取小额"这一论点对于先前描述的情况#2 最为有力，即量子攻击者在量子安全加密技术在整个比特币生态系统中部署之前就出现了。因为如果比特币的加密技术被破解变得明显，而且没有安全的地方供易受攻击的用户迁移，唯一合乎逻辑的选择就是每个人尽快清算他们的比特币。因此，我认为这一论点对于我们有迁移路径可用的情况并不那么适用。

2100 万枚比特币应该在流通中

一些人认为，"流通/可支配"供应量尽可能接近 2100 万是很重要的，而且认为大部分供应量不流通在某种程度上是不可取的。

虽然"2100 万枚比特币"这一属性是一个强大的模因叙事，但我认为从未有人期望它们全部都会流通。人们一直都明白许多比特币会丢失，而这实际上是拥有比特币的博弈论的一部分！

请记住，21M 这个数字本身并不是一个特别重要的细节 - 它甚至没有在白皮书中提及。重要的是供应量是已知的，并且不会发生变化

自主权和个人责任

比特币的设计赋予个人控制自己财富的能力，不受中央化干预。这种自由伴随着保护个人私钥的责任。如果量子计算能够破解过时的加密技术，那么过错在于那些没有将资金转移到量子安全锁定脚本的用户。期望网络保护用户免受自身疏忽的影响，这违背了你而非第三方对你的资产负责的原则。

我认为这个观点总体上是公平的，即"社区"在帮助你方面不欠你任何东西。然而，我认为我们确实需要考虑量子安全比特币用户与量子脆弱比特币用户之间的激励和博弈理论。稍后我会详细讨论这一点。

代码即法律

比特币运行在其协议中嵌入的透明、不可更改的规则之上。如果一个量子攻击者利用先进技术从公钥推导出私钥，他们并不是在"黑客入侵"系统 - 他们只是在遵循当前代码中数学上允许的操作。修改协议以阻止这种行为会引入主观的人为干预，这与区块链客观、确定性的本质相冲突。

虽然我倾向于同意代码即法律的观点，但法律的整个要点之一是它们可以被修改以提高其减少伤害的效力。过分依赖这一观点似乎更像是一种支持僵化的立场，认为最好什么都不做，任由伤害发生，而不是采取行动阻止早已预见的攻击。

技术演进是一种特性，而非缺陷

众所周知，密码学随着时间的推移往往会变弱，最终会被破解。量子计算只是这一进程中的下一步。未能适应的用户（例如，在可用时未采用抗量子钱包）就像那些忽视多重签名或硬件钱包等技术进步的用户一样。允许量子盗窃能激励创新并保持比特币生态系统的活力，惩罚自满同时奖励警惕。

市场信号驱动安全

如果量子攻击者开始窃取资金，这会向市场发出明确信号：升级你的安全措施，否则将失去一切。这种压力加速了后量子密码学的采用，并从长远来看增强了比特币的实力。过度保护易受攻击的用户会延缓这种必要的演变，当量子技术变得广泛可用时，可能会使网络面临更大的风险。盗窃是一个残酷但有效的老师。

中央化的黑名单权力

销毁易受攻击的资金需要集中决策 - 通过软分叉使某些交易无效。这为未来的干预设立了危险的先例，侵蚀了比特币的去中心化。如果量子盗窃被阻止，接下来会是什么 - 逆转交易所被黑事件？即使这意味着一些人会遭受损失，系统也必须保持中立。

我认为如果提案仅仅是烧毁特定地址的资金，这可能会成为一个潜在的滑坡。相反，我预期一个中立的提案应该烧毁所有存储在已知量子易受攻击的锁定脚本类型中的资金。这样，我们就可以从代码中消除任何主观性。

竞争中的公平性

量子攻击者并非在作弊；他们只是在利用公开可用的物理学和数学知识。任何拥有资源和远见的人都可以构建或获取量子技术，就像 2009 年任何人都可以用 CPU 挖掘比特币一样。早期采用者承担风险并获得回报；量子创新者也在做同样的事情。称之为"不公平"忽视了这样一个事实：比特币从未承诺结果平等——它只承诺在其规则内机会平等。

我认为这个论点是一种误导，因为我们讨论的不是 CPU。这更类似于讨论 ASIC，只不过每个 ASIC 的成本高达数百万甚至数十亿美元。这超出了除最富有的组织之外所有人的能力范围。

经济韧性

比特币此前已经经历过多次盗窃事件（如 MTGOX、Bitfinex、FTX 等），并且变得更加强大。市场能够吸收量子损失，未受影响的用户继续持有，新进入者则以较低价格买入。对经济崩溃的恐惧高估了其影响 - 网络的反脆弱性在这些挑战中得以蓬勃发展。

这是一个很大的灰色地带，因为我们不知道量子计算机何时会投入使用，也不知道这些计算机能以多快的速度窃取比特币。例如，如果第一代足够强大的量子计算机窃取的数量少于当前的区块奖励，那么当然它对经济的影响将是微乎其微的。但是，如果它们每天窃取数千个比特币并将其重新投入流通，那么很可能会对市场产生明显的影响，因为市场需要吸收这些新的供应。

这就是具体情况真正重要的地方。如果量子攻击者出现在比特币协议升级以支持抗量子密码学之后，那么我们应该预期最有价值的活跃钱包已经升级，而最诱人的目标将是地址 12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr 中的 31,000 个比特币，该地址自 2010 年以来一直处于休眠状态。总的来说，我预计重新进入流通供应的比特币数量会与挖矿排放曲线相似：当最有价值的地址被清空时，数量会开始非常高，然后随着量子计算机逐步瞄准拥有越来越少比特币的地址，数量会逐渐下降。

为什么经济影响是一个值得考虑的因素？矿工和企业普遍如此。更多的币被清算会压低价格，这将对矿工收入产生负面影响。同样，我在这个行业工作了十年，可以证实较低的价格会导致整个行业的企业需求减少。因此，销毁量子易受攻击的比特币对整个行业都有好处。

不干预的实用性与中立性

没有可靠的方法来区分"盗窃"和合法的"白帽"密钥恢复。如果有人丢失了私钥，而量子计算机恢复了它，这是偷窃还是取回？监管量子行为需要对意图做出侵入性假设，而这是 Bitcoin 的无信任设计所无法容纳的。让事态自然发展可以避免这种混乱。

哲学纯粹性

比特币拒绝救助。这是一个冷酷无情的系统，结果反映的是准备和技能，而不是感性。如果量子计算颠覆了这个游戏，那正是重点所在 - 比特币并不意味着要在保姆国家的意义上安全或公平；它意味着要自由。因量子攻击而损失资金的用户是自由的牺牲品和他们自身无知的受害者，而不是不公正的受害者。

比特币的 DAO 时刻

这种情况与 2016 年以太坊智能合约中的 The DAO 黑客事件有一些相似之处，该事件导致了一次分叉，以阻止攻击者并将资金返还给原始所有者。博弈论方面的相似性在于，这是一种已知威胁存在但攻击者在实际执行盗窃之前有一段时间的情况。因此，有时间通过改变协议来缓解攻击。

这也在社区中造成了关于"代码即法律"真正含义的分裂，导致了以太坊经典（Ethereum Classic）的诞生，后者决定允许攻击者保留对被盗资金的控制权。

如果有足够多的矿工拒绝软分叉并继续包含交易，那么烧毁易受攻击的比特币的软分叉肯定可能导致硬分叉。

激励很重要

我们可以无休止地进行哲学讨论，但对于现有的比特币持有者来说，在这个决定上他们实际的激励是什么？

"丢失的币只会让其他人的币略微增值。可以将其视为对所有人的馈赠。" - 中本聪

如果为真，则推论为：

"量子恢复的币只会让其他人的币贬值。可以将其视为对所有人的一种盗窃。" - Jameson Lopp

因此，假设我们达到了量子抗性签名在比特币协议中得到支持的阶段，那么让易受攻击的币仍然可以花费的动机是什么？

这对那些币的实际拥有者来说并不好。它会打消拥有者升级的积极性，直到可能为时已晚。

这对于那些更加谨慎/负责任的比特币持有者来说并不好，他们已经用量子技术保护了自己的储备。允许流通供应量膨胀无疑会降低所有比特币持有者的购买力。

分叉博弈论

从博弈论的角度来看，我认为这是在激励用户升级他们的钱包。如果你不同意销毁易受攻击的币，你只需要将资金转移到量子安全签名方案中即可。关键是，我认为不会有经济多数（甚至连微小的少数）用户会反对这样的软分叉。当你可以简单地将币转移到新地址时，为什么要耗费大量资源来对抗分叉呢？

请记住，阻止某些类别的锁定脚本的支出是对规则的收紧——这是一种软分叉。因此，仅仅通过大多数算力就可以有意义地制定和执行。如果矿工普遍认为销毁易受攻击的币符合他们的最佳利益，其他用户会否足够关心而付出努力运行抵制软分叉的新节点软件？在我看来，这似乎不太可能

如何执行燃烧

为了尽可能保持客观性，目标将是向全世界宣布，在特定区块高度/时间戳之后，比特币节点将不再接受从任何脚本（除了新 instituted 的量子安全方案）中支出资金的交易（或包含此类交易的区块）。

它可以采取分阶段的方法，首先冻结那些容易受到远程攻击的资金，比如存储在 P2PK 脚本中的资金，或者由于之前重复使用地址而暴露了公钥的资金，但我预计这种额外的复杂性会引发更多争议。

为了给生态系统留出升级的时间，宽限期应该有多长？我认为软件钱包升级至少需要 1 年时间。我们只能希望硬件钱包制造商能够仅通过固件更新在其现有硬件上实现后量子密码学。

除此之外，即使在最理想的情况下，所有用户迁移资金也至少需要 6 个月的区块空间。不过，如果排除掉尘埃 UTXO，你可能可以在 1 个月内迁移 95%的 BTC 价值。当然，这是一种非常乐观的情况，假设每个人都完全专注于迁移 - 实际上，这个过程会花费更长的时间。

无论如何，我认为为了合理地维护比特币的保守主义，最好允许一个 4 年的迁移窗口期。同时，矿池可以协调紧急软分叉逻辑，这样如果量子攻击者出现，他们可以加速对量子易受攻击资金的销毁倒计时。

附带好处

从积极的方面来看，销毁所有量子易受攻击的比特币将允许我们从 UTXO 集合中清除所有这些 UTXO，这也会清理掉大量的尘埃。尘埃 UTXO 有点烦人，最近甚至有一项提案讨论如何激励清理它们。

我们还应该预期，激励整个 UTXO 集的迁移将会创造对区块空间的大量需求，这将在相当长的一段时间内维持一个费用市场。

总结

虽然违反比特币任何不可侵犯的属性所带来的道德困境使得这个问题的讨论变得非常复杂，但是在销毁易受攻击的币与允许具有量子优势的实体获取这些币之间的博弈理论和激励机制是一个相对简单的问题。

就我而言，我不想仅仅因为一些人很久以前丢失了他们的密钥，而一些落后者又没有升级他们的比特币钱包安全性，就通过增加流通货币供应来奖励那些具有量子能力的实体。

我们可以希望这种情况永远不会发生，但希望并不是一种策略。

游戏开始了！