反对允许量子计算机恢复比特币

一场主张烧毁易受攻击地址中的比特币的论证，以防止资金被赢得量子计算竞赛的人夺走。

作者：Jameson Lopp

量子计算的争论正在升温。这场辩论包含许多争议点，其中之一是量子计算机究竟是否真的会成为一种实际的威胁。如果您想从技术层面获得一个高层次的概述，请查看我2024年的演示文稿：

在本文中，我不会深入探讨“我们应该对量子计算机有多担心”这个无法回答的问题。我认为这远未到危机的程度，但考虑到改变比特币的难度，现在开始认真讨论是值得的。今天，我希望聚焦于一个哲学困境，这个困境与如果（以及当）我们实施量子安全签名方案时需要做出的一项决定有关。

几种情景

因为本文将大量引用博弈论，并且涉及许多可能改变博弈性质的变量，我认为提前澄清可能的情景非常重要。

1. 情景一： 量子计算从未实现，从未成为威胁，因此本文讨论的一切都是无关紧要的。
2. 情景二： 量子计算威胁突然出现，而比特币协议中尚未包含量子安全签名。在这种情况下，下述论点很可能也变得无关紧要，因为比特币将被从根本上破坏，并且升级协议、钱包软件和迁移用户资金以恢复网络信心需要太长的时间。
3. 情景三： 量子计算进展足够慢，我们就能就如何升级比特币达成共识，并且在攻击者出现时，后量子安全已经得到了最低限度的采用。
4. 情景四： 量子计算进展足够慢，我们就能就如何升级比特币达成共识，并且在攻击者出现时，后量子安全已经得到了高度的采用。

为了本文的目的，我设想我们处于情景三或情景四。

冻结还是不冻结？

我开始看到更多人就是否应该冻结易受量子攻击的资金，以及在量子抵抗升级中如何处理用户资金迁移这个最具争议的方面发表意见。是应该让易受量子攻击的资金对任何拥有足够强大量子计算机的人开放，供其扫荡；还是应该永久锁定它们？

引述一些观点：

“我不明白为什么要没收旧币。更好的选择是让拥有量子计算机的人来释放旧币。虽然这可能会对比特币价格产生通胀影响，但用一个时髦的词来说，这种通胀是暂时的。那些时间偏好较低的人应该支持让丢失的硬币重新流通。” - Hunter Beast

“当然必须没收它们。如果（而且这是一个很大的如果）能够破解密码学的量子计算机的存在成为一个可信的威胁，比特币生态系统除了通过软分叉取消从易受量子攻击的签名方案（包括ECDSA和BIP340）支出的能力之外，别无选择。另一种选择是数百万枚BTC变得易受盗窃；我无法想象在这种情况下货币如何还能保持任何价值。这影响到每个人；即使是那些已经尽职地将他们的硬币转移到后量子密码保护方案中的人。” - Pieter Wuille

我认为“没收”并不是最精确的术语，因为这些资金并非被扣押和重新分配。相反，我们真正讨论的更准确地应该描述为“烧毁”——让资金变得任何人都无法获取。

根据我的经验，与我讨论过如何处理量子计算攻击场景细节的大多数人似乎都认为，易受量子攻击的硬币只会被拥有量子计算机的人“开采”。

我假设这是因为不冻结用户资金是比特币不可侵犯的属性之一。然而，如果量子计算对比特币的椭圆曲线密码学构成威胁，那么比特币的一个不可侵犯的属性将不可避免地以某种方式被违反。

面临风险的基本属性

五年前，我曾尝试全面分类赋予比特币价值的所有基本属性。

比特币的关键属性是什么？

在这一问题上发挥作用的特定属性似乎是：

• 抗审查性 - 任何人都不应有权阻止他人使用其比特币或与网络交互。
• 向前兼容性 - 更改规则使某些有效交易变为无效可能会破坏对协议的信心。
• 保守主义 - 不应期望用户对系统问题高度敏感。

作为上述原则的结果，我们发展出了一个强有力的口号（感谢Andreas Antonopoulos），即：

不是你的密钥，就不是你的硬币。

我认为这一原则的推论是：

你的密钥，只有你的硬币。

一个具备量子能力的实体破坏了这一基本原则的推论。我们用与极大随机数相关的数学概率来保护我们的比特币。你的资金之所以安全，是因为真正随机的大数不应该被世界上任何人猜到或发现。

这就是格言“vires in numeris”——力量在于数字——背后的原则。在一个存在量子赋能对手的世界里，这一原则对于包括比特币使用的椭圆曲线数字签名在内的许多密码学类型来说都失效了。

谁处于风险之中？

长期以来，一直有一种说法，认为Satoshi的硬币和其他来自Satoshi时代、直接在区块链上暴露公钥的P2PK锁定脚本中的硬币将被量子“矿工”扫荡。但不幸的是，事情没那么简单。如果我有一台强大的量子计算机，我会以哪些硬币为目标？我会去比特币富豪榜，找到那些因重复使用地址（这些地址曾花费过）而暴露了公钥的钱包。我已经在下面对它们进行了高亮显示：

请注意，其中一些钱包，如Bitfinex / Kraken / Tether，会稍微难破解一些，因为它们是多重签名钱包。所以量子攻击者需要为Kraken反向推导出2个私钥，或为Bitfinex / Tether反向推导出3个私钥才能花费资金。但许多是单签名的。

关键是，至少在撰写本文时，不仅仅是那些非常古老、丢失的BTC面临量子赋能对手的风险。如果我们添加一个量子安全签名方案，你可以预期这些钱包将是第一批升级的，因为它们的利益驱动如此。

伦理困境：量化危害

哪个决定会导致最大的危害？

通过使易受量子攻击的资金变得无法花费，我们可能会伤害一些没有注意、未能及时将其资金迁移到量子安全锁定脚本的比特币用户。这违反了前面提到的“保守主义”原则。另一方面，我们防止了这些资金以及更多的丢失资金落入少数获得量子计算机早期使用权的特权人士手中。

通过保持易受量子攻击的资金可供花费，那些原本资金会被冻结的用户很可能看到他们的资金被盗窃。许多丢失了密钥的早期采用者最终会看到他们无法取回的资金被量子赋能的对手扫荡。

例如，想象一下James Howells的处境，他不小心扔掉了一个装有8,000枚BTC的硬盘，目前价值超过6亿美元。他花了十年时间试图从他确知硬盘所在的垃圾填埋场将其找回，但未能获得挖掘许可。我怀疑，如果可以选择，他宁愿这些资金被永久冻结，也不愿落入他人之手——我知道我会这样选择。

允许量子计算机访问丢失的资金并不会使这些用户的情况比之前更糟，然而，它会对目前持有比特币的每个人产生负面影响。

如果大量硬币落入新人之手，预计会发生重大的经济混乱，这是审慎的。由于量子计算机将具有巨大的前期成本，预计其背后的人会希望收回投资。我们也从经验中知道，当有人突然发现自己拥有价值9位数以上的高流动性资产时，他们往往会通过出售来分散投资到其他事物上。

允许量子恢复比特币无异于财富再分配。我们将允许比特币从那些不了解量子计算机的人手中，重新分配到那些赢得了获得量子计算机技术竞赛的人手中。很难看到这种情况有什么光明面。

量子恢复对任何人都有好处吗？

量子恢复帮助任何人了吗？我还没有遇到过任何论证表明它在任何方面都是净收益。它肯定没有为网络增加任何安全性。如果说有什么影响的话，那就是通过允许那些没有赚取这些资金的人声称拥有这些资金，它大大降低了网络的安全性。

但是等等，你可能会想，量子“矿工”难道不是通过建造量子计算机投入的所有工作和资源赚取了他们的硬币吗？我想，在这个意义上，就像窃贼通过投入资源监视目标和学习入室盗窃所需的技能来“赚取”他们的战利品一样。当我说“赚取”时，我指的是通过生产性的互利交易。例如：

• 投资者通过交易其他货币赚取BTC。
• 商家通过交易商品和服务赚取BTC。
• 矿工通过交易热力学安全赚取BTC。

量子矿工不交易任何东西，他们是吸食系统血液的吸血鬼。

没有理由相信，允许量子对手恢复易受攻击的比特币会对除了赢得建造首批此类计算机技术军备竞赛的少数组织之外的任何人有益。这些组织很可能是国家和/或最大的几家科技公司。

当然，人们可以希望一个拥有量子霸权的组织是善意的，并以“白帽”方式行动，将丢失的硬币归还给其所有者，但这极其乐观，并且依赖于此是愚蠢的。这种情况创造了一个无法克服的伦理困境：只恢复丢失的比特币，而非当前拥有的比特币。两者之间没有精确的区分方法；任何人都可以声称丢失了他们的比特币，但如果他们丢失了密钥，那么证明他们曾经拥有这些密钥就变得相当困难。我想象任何此类白帽恢复工作都必须依赖像交易所这样的可信第三方的证明。

即使第一个拥有量子霸权的行为者是善意的，我们也必须假设该技术可能落入对手手中，从而从对抗性的角度思考潜在的最坏结果。想象一下，例如，朝鲜继续通过黑客攻击加密交易所攫取数十亿美元，并决定将部分收益投资于建造量子计算机，以期获得有史以来最大的回报……

允许量子恢复的弊端

让我们详尽地思考一下允许或阻止量子对手夺取资金的正反两方面。

历史先例

以前的协议漏洞并未被庆祝为“公平游戏”，而是被视为需要补救的失败。将量子盗窃区别对待，冒着将比特币的历史改写为一场混战而非寻求保护其用户的系统的风险。

侵犯财产权

允许量子对手控制资金破坏了加密货币的基本原则——如果你将密钥掌握在自己手中，只有你应该能够访问你的钱。比特币建立在私钥保护个人资产这一理念之上，未经授权的访问（即使通过先进技术实现）也是盗窃，而非合法的转移。

削弱对比特币的信任

如果量子攻击者能够利用易受攻击的地址，对比特币作为安全价值存储的信心将会崩溃。用户和投资者依赖密码学的完整性，广泛的盗窃可能会将采用从比特币转移，破坏其生态系统的稳定。

这本质上是对声称烧毁易受攻击资金是侵犯财产权的反驳。虽然一些人肯定会这样看，但其他人会发现对阻止量子盗窃的无动于衷同样令人担忧。

不公平优势

量子攻击者，可能装备着罕见且昂贵的技术，相对于缺乏此类工具的普通用户将拥有不公正的优势。这创造了一个不公平的体系，只有技术精英才能剥削他人，与比特币去中心化权力的精神相悖。

比特币旨在为防御个人财富创造不对称优势。攻击者破解保护个人硬币的熵和密码学在理论上应该是极其昂贵的。但现在我们发现自己讨论的情况是，这种不对称优势在特定类别的攻击者面前被破坏了。

经济破坏

易受攻击地址的大规模盗窃可能会导致比特币价格暴跌，因为量子恢复的资金被倾倒在交易所。这将伤害所有持有者，而不仅仅是直接目标，导致市场更广泛的金融混乱。

道德责任

允许通过量子计算进行盗窃，开创了一个先例，即技术优越性证明了不道德行为的合理性。这本质上是采取一种“代码即法律”的立场，我们拒绝承认代码和法律都可以修改以适应先前未预见的情况。

烧毁硬币当然可以被视为一种盗窃形式，因此我认为值得区分所讨论的两种不同的盗窃：

1. 自我充实且可能具有恶意
2. 预防伤害且不一定具有恶意

两种选择都缺乏硬币被烧毁或转移的一方的同意，因此我认为简单的“盗窃是不道德的”论点变得无效，深入研究每个选项的细节非常重要。

激励驱动安全

我可以告诉你，在比特币安全领域工作十年后——普通用户是懒惰的，并且是拖延症患者。如果比特币用户被给予一个“最终截止日期”，在那之后他们知道易受攻击的资金将被烧毁，这种压力会加速后量子密码学的采用，并长期加强比特币。允许易受攻击的用户无限期延迟升级，将导致更多的滞后用户，在网络暴露于量子技术时更加脆弱。

钢铁人论证

显然这是一个复杂且有争议的话题，因此值得深入思考对方的论点。

保护财产权

允许量子计算机获取易受攻击的比特币，可能在某种程度上被塑造成一个硬货币的叙事。

但我认为财产权叙事的另一面是，烧毁易受攻击的硬币可以防止所述财产落入不应得的人手中。如果整个比特币生态系统只是袖手旁观，允许量子对手夺取本应属于其他用户的资金，那在“保护财产权”的类别中真的算是一种“胜利”吗？对我来说这更像是冷漠。

因此，我认为“保护财产权”的论点没有定论。

量子计算机不会攻击比特币

很多人怀疑足够强大的量子计算机是否真的会存在，因此我们不应该为一个不存在的威胁做准备。另一些人认为，即使建造了这样的计算机，量子攻击者也不会对比特币下手，因为他们不想通过这样做暴露自己的底牌，反而会攻击其他基础设施。

很难精确量化攻击其他基础设施的价值有多大。这也很大程度上取决于一个实体获得量子霸权的时间，以及到那时世界上大多数系统是否已经升级。虽然我认为你可以论证某些获得量子能力的实体可能不会攻击比特币，但这只会延迟不可避免的事情——最终会有人获得这种能力，并决定将其用于此类攻击。

量子攻击者只会窃取少量资金

一些人认为，即使量子攻击者以比特币为目标，他们也只会针对那些古老的、很可能已经丢失的P2PK输出，以免引起怀疑并导致市场恐慌。

对此我不太确定；为什么一次只针对50个BTC，而你花费同样的努力就可以拿走250,000个BTC？这是一个经典的“零日漏洞”博弈论，攻击者知道他们在其他人发现漏洞并从中获益或修补漏洞之前只有有限的时间。例如，最近ByBit攻击——有史以来价值最高的加密货币黑客攻击。Lazarus集团已经入侵了Safe钱包前端JavaScript应用程序，他们本可以简单地将其重新分配给每个与钱包交互的人的Safe钱包所有权。但他们选择只专门针对ByBit价值15亿美元的钱包，因为他们想要最大化可提取价值。如果Lazarus开始窃取每个钱包，他们会很快被发现，Safe网络应用程序很可能在任何价值十亿美元的钱包执行恶意代码之前就被修补。

我认为“只窃取少量资金”的论点在最前面描述的情景二中最有力，即量子攻击者在量子安全密码学尚未在整个比特币生态系统中部署之前出现。因为如果比特币的密码学被破坏变得显而易见，并且易受攻击的用户无处安全迁移，那么唯一合乎逻辑的选择就是每个人尽快清算他们的比特币。因此，我不认为它适用于我们有可用迁移路径的情况。

2100万枚硬币供应量应该流通

一些人认为，“流通/可花费”的供应量尽可能接近2100万非常重要，而让很大一部分供应量退出流通在某种程度上是不可取的。

虽然“2100万枚BTC”属性是一个强大的叙事，但我认为没有人曾经预期它们会全部流通。人们一直理解许多硬币将会丢失，这实际上是拥有比特币的博弈论的一部分！

请记住，2100万这个数字本身并不是一个特别重要的细节——它甚至没有在白皮书中提到。重要的是供应量是众所周知的，并且不受变更。

自我主权与个人责任

比特币的设计赋予个人控制自己财富的能力，不受中心化干预。这种自由伴随着保护个人私钥的负担。如果量子计算能够破解过时的密码学，那么责任在于没有将资金转移到量子安全锁定脚本的用户。期望网络保护用户免受自身疏忽的影响，破坏了“你，而非第三方，对你的资产负责”的原则。

我认为总体上这是一个合理的观点，即“社区”在帮助你方面并不亏欠你任何东西。然而，我认为，我们需要考虑在量子安全比特币用户与量子易受攻击比特币用户之间的激励和博弈论。稍后会详细讨论。

代码即法律

比特币在透明、不可变的嵌入其协议的规则下运行。如果量子攻击者使用优越的技术从公钥推导出私钥，他们并非“黑客攻击”系统——他们只是遵循当前代码中数学上允许的操作。修改协议来阻止这一点引入了主观的人类干预，这与区块链客观的、确定性的性质相冲突。

虽然我倾向于同意代码即法律，但法律的整个要点之一是它们可以被修订以提高其减少危害的功效。依赖这一点似乎更像是一种支持僵化的立场，即与其采取行动阻止一个早已预见到的攻击，不如什么都不做，允许危害发生。

技术进化是特性，而非缺陷

众所周知，密码学往往会随着时间的推移而减弱并最终被攻破。量子计算只是这一进程中的下一步。未能适应的用户（例如，在可用时未采用量子抵抗钱包）类似于那些无视多重签名或硬件钱包等技术进步的人。允许量子盗窃激励创新，并保持比特币生态系统的活力，惩罚自满，奖励警惕。

市场信号驱动安全

如果量子攻击者开始窃取资金，它会向市场发出一个明确的信号：升级你的安全，否则失去一切。这种压力加速了后量子密码学的采用，并长期加强比特币。溺爱易受攻击的用户延迟了这种必要的进化，可能在量子技术变得广泛可及时使网络更加暴露。盗窃是一位残酷但有效的老师。

中心化的黑名单权力

烧毁易受攻击的资金需要中心化的决策——一个软分叉来使某些交易无效。这为未来的干预开创了一个危险的先例，侵蚀了比特币的去中心化。如果量子盗窃被阻止，那么下一步是什么——逆转交易所黑客攻击？系统必须保持中立，即使这意味着一些人会遭受损失。

我认为如果提案只是烧毁特定的地址，这可能会成为一个潜在的滑坡。相反，我期望一个中立的提案来烧毁所有已知易受量子攻击的锁定脚本类型中的资金。因此，我们可以从代码中消除任何主观性。

竞争公平性

量子攻击者并非作弊；他们使用的是公开可用的物理学和数学。任何拥有资源和远见的人都可以建造或使用量子技术，就像2009年任何人都可以用CPU开采比特币一样。早期采用者承担了风险并收获了回报；量子创新者也在做同样的事情。称其为“不公平”忽视了比特币从未承诺结果平等——只承诺在其规则内的机会平等。

我认为这个论点是一种误解，因为我们讨论的不是CPU。这更像是讨论ASIC矿机，只不过每台ASIC矿机耗资数百万甚至数十亿美元。除了最富有的组织外，这超出了所有人的能力范围。

经济韧性

比特币在经历过盗窃事件（MTGOX、Bitfinex、FTX等）后变得更加强大。市场可以吸收量子损失，未受影响的用户继续持有，新进入者以更低的价格买入。对经济崩溃的恐惧高估了其影响——网络的抗脆弱性在此类挑战中蓬勃发展。

这是一个很大的灰色地带，因为我们不知道量子计算机何时会上线，也不知道这些计算机能够多快地窃取比特币。例如，如果第一代足够强大的量子计算机窃取的量少于当前的区块奖励，那么当然它只会产生最小的影响。但如果他们每天拿走数千枚BTC并使其重新进入流通，很可能会产生明显的市场影响，因为它吸收了新的供应。

这就是具体情况将真正起作用的地方。如果量子攻击者在比特币协议升级以支持量子抵抗密码学之后出现，那么我们应该预期最有价值的活跃钱包已经升级，而最诱人的目标将是地址12ib7dApVFvg82TXKycWBNpN8kFyiAN1dr中自2010年以来一直处于休眠状态的31,000枚BTC。总的来说，我预计重新进入流通的BTC数量看起来会有点类似于挖矿排放曲线：随着量子计算机沿着目标地址列表向下搜索BTC越来越少的地址，数量会从非常高的水平开始，然后逐渐下降。

为什么经济影响是一个值得考虑的因素？矿工和企业普遍如此。更多硬币被清算会压低价格，这将负面影响矿工收入。同样，我根据在该行业工作十年的经验证明，较低的价格会导致整个行业的企业需求减少。因此，烧毁易受量子攻击的比特币对整个行业都有好处。

不干预的实用性与中立性

没有可靠的方法来区分“盗窃”与合法的“白帽”密钥恢复。如果有人丢失了他们的私钥，而量子计算机恢复了它，那是盗窃还是取回？监管量子行为需要对意图进行侵入性的假设，而比特币无需信任的设计无法适应这一点。让筹码自然落定可以避免这种混乱。

哲学纯粹性

比特币拒绝救助。它是一个冷酷、严酷的体系，结果反映了准备和技能，而非多愁善感。如果量子计算颠覆了游戏，那么重点就在于此——比特币并非意味着在一个保姆国家式的意义上安全或公平；它意味着自由。因量子攻击而失去资金的用户是自由和自身无知的牺牲品，而非不公正的受害者。

为合法所有者保留易受攻击的硬币

我尚未涵盖的一个方面是，存在第三种选择，即允许（部分）“被冻结”的易受攻击UTXO的所有者以一种能够证明他们是合法所有者，但量子攻击者无法利用的方式恢复他们的资金。这是一个需要更多研究的理论领域，思路如下：可以激活一个软分叉，该分叉阻止仅使用ECDSA签名来花费资金，但确实允许在它们同时伴随一个额外的零知识证明的情况下被花费，该证明在密码学上证明他们拥有一个种子短语，而持有资金的地址（锁定脚本）正是从该种子短语派生出来的。这对于量子攻击者是安全的，因为这样的攻击者将没有种子短语，也没有任何关于给定地址派生的知识——他们只能确定单一的私钥。

这种恢复选择的缺点是，并非所有钱包（主要是非常古老的钱包、Casascius实体硬币和旧纸钱包）都是分层确定性钱包。如果你的资金存储在JBOK（只是一堆密钥）钱包中，你没有任何额外的数据可以用来构建这样的证明，因此在这种情况下，你的资金将被永久烧毁。因此，人们可以认为这是为了保存使用更现代钱包的比特币持有者的财产权，而牺牲了最古老、未升级的钱包中的硬币。

比特币的DAO时刻

这种情况与2016年以太坊智能合约The DAO的黑客攻击有一些相似之处，那次攻击导致了分叉以阻止攻击者并将资金返还给原始所有者。博弈论是相似的，因为这是一种威胁已知但在攻击者实际能够执行盗窃之前存在一段时间的情况。因此，有时间通过改变协议来缓解攻击。

这也造成了社区围绕“代码即法律”真正含义的分裂，导致了以太坊经典的产生，它决定允许攻击者保留对被窃资金的控制。

烧毁易受量子攻击的比特币的软分叉肯定会导致硬分叉，如果有足够多的矿工拒绝软分叉并继续包含此类交易的话。

激励很重要

我们可以无休止地进行哲学讨论，但对于现有的比特币持有者来说，这一决定的实际激励是什么？

“丢失的硬币只会让其他人的硬币稍微升值一点。把它看作是对每个人的捐赠。” - 中本聪

如果这是真的，那么推论是：

“量子恢复的硬币只会让其他人的硬币贬值。把它看作是从每个人那里盗窃。” - Jameson Lopp

因此，假设我们达到了比特币协议支持量子抵抗签名的程度，那么让易受攻击的硬币保持可花费的激励是什么？

• 这对那些硬币的实际所有者没有好处。这会降低所有者升级的动力，直到可能为时已晚。
• 这对那些已经量子保护了他们储备的、更关注/更负责的硬币所有者没有好处。允许流通供应量膨胀肯定会降低所有比特币持有者的购买力。

分叉博弈论

从博弈论的角度来看，我认为这激励了用户升级他们的钱包。如果你不同意烧毁易受攻击的硬币，你只需要将你的资金转移到一个量子安全的签名方案即可。关键是，我认为不会有经济多数派（甚至超过极少数）的用户会反对这样的软分叉。为什么当你只需要将硬币转移到新地址时，要投入大量资源来反对分叉呢？

请记住，阻止从某些类别的锁定脚本支出是规则的收紧——一个软分叉。因此，它可以通过算力的多数派有意义地制定和执行。如果矿工普遍认为烧毁易受攻击的硬币符合他们的最佳利益，其他用户会关心到付出努力运行抵抗软分叉的新节点软件吗？在我看来这不太可能。

如何执行烧毁

为了尽可能客观，目标将是向世界宣布，在特定的区块高度/时间戳之后，比特币节点将不再接受花费来自任何脚本（除了新建立的量子安全方案之外）资金的交易（或包含此类交易的区块）。

它可以采取分阶段的方法，首先冻结那些容易受到长程攻击（例如那些在P2PK脚本中或由于先前重复使用地址而暴露了公钥的资金），但我预计额外的复杂性会引发进一步的争议。

应该给生态系统多长时间来升级？我认为软件钱包升级至少需要1年。我们只能希望硬件钱包制造商能够仅通过固件更新就在其现有硬件上实现后量子密码学。

除此之外，即使用户将所有资金迁移到新地址，即使是在最佳情况下，也需要至少6个月的区块空间。不过，如果你排除粉尘UTXO，你可能会在1个月内迁移95%的BTC价值。当然，这是一个高度乐观的情况，每个人都完全专注于迁移——实际上需要更长的时间。

无论如何，我认为为了合理地维护比特币的保守主义，允许4年以上的迁移窗口期是可取的。同时，矿池可以协调紧急软分叉逻辑，这样如果量子攻击者出现，他们可以加速倒计时，提前烧毁量子易受攻击的资金。

随机的间接好处

从好的方面看，烧毁所有易受量子攻击的比特币将允许我们从UTXO集中修剪所有这些UTXO，这也会清理掉很多粉尘。粉尘UTXO有点令人讨厌，最近甚至有一个关于如何激励清理它们的提案。

我们还应该预期，激励整个UTXO集的迁移将在相当长的一段时间内创造对区块空间的大量需求，维持手续费市场。

总结

虽然违反比特币任何不可侵犯属性的道德困境会使这成为一个非常复杂的问题，但烧毁易受攻击的硬币与允许它们被拥有量子霸权的实体夺取之间的博弈论和激励却是一个简单得多的问题。

就我个人而言，我没有兴趣仅仅因为有些人很久以前丢失了密钥，或者有些拖延者没有升级他们的比特币钱包安全性，就通过膨胀流通货币供应来奖励具备量子能力的实体。

我们可以希望这种情况永远不会发生，但希望不是一种策略。

游戏已经开始！