本周，谷歌发表了一篇论文，描述了量子计算机如何从理论上推导出比特币私钥。9分钟其影响范围可能延伸至以太坊、其他代币、私人银行，甚至可能波及世界上的一切。

量子计算很容易被误认为是普通计算机的加速版。但它并非更强大的芯片或更大的服务器集群。它是一种本质上不同的机器，其差异体现在原子层面。

量子计算机始于一个非常冷、非常小的金属环，其中粒子开始以在地球正常条件下不会出现的方式运行，这些方式改变了我们认为的物理基本规则。

理解这在物理上意味着什么，是阅读有关量子威胁的文章和真正理解它之间的区别。

计算机和量子计算机的实际工作原理

普通计算机以比特的形式存储信息——每个比特要么是0，要么是1。比特就像一个微型开关。从物理角度来说，它就是芯片上的一个晶体管——一个微小的门，它要么允许电流通过（1），要么不允许电流通过（0）。

每一张照片、每一笔比特币交易、你输入过的每一个字，都以这些开关的开或关状态模式存储起来。比特本身并不神秘；它只是一个处于两种确定状态之一的物理对象。

每一次计算都只是快速地重新排列这些0和1。现代芯片每秒可以进行数十亿次这样的运算，但它仍然是按顺序一次执行一次。

量子计算机使用一种叫做量子比特（qubit）的东西，而不是传统的比特（bit）。一个量子比特可以是0、1，或者——这才是奇怪的地方——同时是0和1！

这是可能的，因为量子比特是一种完全不同的物理对象。最常见的版本，也是谷歌使用的版本，是一个由超导金属制成的微小环，冷却到比绝对零度高约0.015摄氏度，比外太空还要冷，但却是在地球上。

在这种温度下，电流可以毫无阻力地流过回路，电流就被称为处于量子态。

在超导回路中，电流可以顺时针流动（记为0）或逆时针流动（记为1）。但在量子尺度上，电流不必选择一个方向，而是可以同时沿两个方向流动。

不要误以为是在两种状态之间快速切换。电流在两种状态下都是可测量、可实验、可验证的。

令人费解的物理学

到目前为止都跟得上吗？很好，因为接下来事情会变得非常奇怪，因为它背后的物理原理并不直观，而且它本来就不应该直观。

人们日常生活中接触的一切事物都遵循经典物理学，经典物理学假定事物在同一时间位于同一地点。但粒子在亚原子尺度上的行为并非如此。

电子的位置只有在被观察后才确定。光子的偏振方向只有在被测量后才确定。超导回路中的电流方向只有在被强制选择后才确定。

我们在日常生活中体验不到这种现象的原因是退相干。当量子系统与其环境（例如空气分子、热量、振动和光）相互作用时，叠加态几乎瞬间就会坍缩。

足球不可能同时出现在两个地方，因为它每纳秒都在与数万亿个空气分子、灰尘、声音、热量、重力等等相互作用。但是，如果在接近绝对零度的真空中隔离出一个微弱的电流，并使其免受一切可能的干扰，那么这种量子行为就能持续足够长的时间，从而进行计算。

这就是量子计算机难以制造的原因。人们正在构建物理环境，在这种环境中，通常阻止此类现象发生的物理定律会被暂时搁置，从而足以进行一次计算。

谷歌的机器在巨大的房间大小的稀释冰箱中运行，比自然界中的任何事物都冷，周围环绕着多层屏蔽层，以抵御电磁噪声、振动和热辐射。

而且量子比特很脆弱。即使那时它们会不断失去量子态，这就是为什么在讨论规模化时，“纠错”总是占据主导地位的原因。

因此，量子计算并非经典计算的加速版。它利用的是一套不同的物理定律，这些定律只适用于极小的尺度、极低的温度和极短的时间范围。

现在把它们叠起来。

两个普通比特可以处于四种状态之一（00、01、10、11），但一次只能处于一种状态（因为电流只能沿一个方向流动）。两个量子比特可以同时表示所有四种状态，因为电流可以同时沿所有方向流动。

三个量子比特代表八种状态。十个量子比特代表1024种状态。五十个量子比特代表超过一千万亿种状态。每增加一个量子比特，数量就翻倍，这就是为什么扩展性呈指数级增长的原因。

第二个诀窍在于量子纠缠。当两个量子比特纠缠在一起时，无论它们相距多远，测量其中一个量子比特就能立即告诉观察者另一个量子比特的信息。这使得量子计算机能够协调所有这些同时存在的量子比特状态，而这是常规并行计算无法做到的。

这些量子计算机的设置使得错误的答案相互抵消（就像重叠的波会趋于平缓），而正确的答案相互增强（就像波会越叠越高）。计算结束时，正确答案被测量到的概率最高。

所以这不是蛮力速度。这是一种截然不同的计算方法——它让自然探索指数级庞大的可能性空间，然后通过物理学而不是逻辑得出正确答案。

对密码学的巨大威胁

这种令人费解的物理原理正是加密技术面临巨大挑战的原因。

保护比特币的数学原理依赖于这样一个假设：检查每一个可能的密钥所需的时间将超过宇宙的年龄。

但量子计算机并不会逐个检查密钥。它会同时探索所有密钥，并利用干涉效应找出正确的密钥。

这就是它与比特币的联系所在。从私钥到公钥的转换只需几毫秒，而从公钥到私钥的转换，即使是传统的计算机也需要一百万年，甚至比宇宙的年龄还要长。这种不对称性是证明某人确实持有比特币的唯一依据。

运行名为 Shor 算法的量子计算机可以反向穿过这个陷阱门。谷歌本周发表的论文表明，它只需比之前任何人估计的都少得多的资源，就能在与比特币区块确认速度相当的时间内完成这项操作。

这就是为什么量子计算机破解区块链加密的威胁确实让每个人都非常担忧的原因。

该攻击是如何一步步进行的，谷歌的论文具体改变了什么，以及这对已经泄露的 690 万枚比特币意味着什么，是本系列下一篇文章的主题。