• 斯塔克韦尔首席产品官阿维胡·莱维于2026年4月9日发布了QSB，实现了无需协议更改的量子安全比特币交易。
• 莱维的方案每笔交易的GPU计算成本为75到150美元，并在量子攻击下实现了大约118位的预影抗性。
• QSB是首个已知方案，利用比特币现有的传统脚本规则确保实时比特币交易免受肖尔算法的威胁。

斯塔克韦尔首席产品官阿维胡·莱维和BIP-360的共同作者于2026年4月9日发布了一篇完整的研究论文和开源实现。该方案称为量子安全比特币，或QSB。它不需要软分叉、社区协调，也不需要新的操作码。它完全在比特币现有的传统脚本约束下运行，使用201个操作码和10,000字节。

QSB所针对的威胁是具体的。比特币的主要签名方案，基于secp256k1椭圆曲线的ECDSA，完全可以被足够强大的量子计算机通过肖尔算法破解。具有这种能力的攻击者可能会从任何暴露的公钥中恢复私钥，伪造签名，并重新定向资金。P2PK输出、传统地址和Taproot密钥支出路径在公钥出现在链上时都会面临风险。

图片来源：X。

莱维的方案在交易层面切断了这种依赖关系。QSB不再依赖椭圆曲线的难度，而是基于RIPEMD-160的预影抗性，该哈希函数量子计算机只能使用格罗弗算法攻击，格罗弗算法提供的是二次加速，而不是完全破解。160位哈希对于量子对手大约保留80位的预影抗性，留下了一个安全的余地。

该结构对早期由罗宾·林纳斯开发的Binohash方案进行了修改，解决了使Binohash在量子攻击下不安全的两个问题。第一个是一个基于寻找小椭圆曲线r值的签名大小工作量证明（PoW）难题，这一问题被肖尔算法轻易破解。第二个是一个未解决的sighash标志漏洞，可能允许攻击者在不同交易中重用有效的难题签名。

QSB用莱维称之为的哈希到签名难题替代了签名大小难题。支出者遍历交易参数，直到交易派生公钥的RIPEMD-160哈希生成有效的DER编码ECDSA签名。这一事件的发生概率大约为70万亿分之一。由于该难题使用了硬编码的SIGHASH_ALL标志，副作用消除了sighash漏洞。

然后，支出者使用HORS风格的兰波特签名结构运行两轮摘要，选择虚拟签名的子集，通过一个称为FindAndDelete的传统脚本机制改变交易的sighash。每个子集生成不同的哈希输出。产生有效DER编码签名的子集成为该轮的摘要。揭示证人在时完成量子安全支出。

推荐的配置，莱维称之为配置A，符合201个操作码的限制，达到了大约118位的预影抗性和78位的碰撞抗性。运行格罗弗算法进行第二个预影攻击的量子攻击者面临大约2的69次方的工作量。肖尔算法根本没有优势，因为没有椭圆曲线假设可以被破解。