撰文:imToken
就在上周,Google Quantum AI 團隊發表了一篇重磅論文,指出在超導架構、特定糾錯與硬體假設下,未來量子電腦可利用少於 50 萬個物理量子比特,在數分鐘內破解當前加密貨幣及區塊鏈廣泛採用的 256 位橢圓曲線密碼(ECDLP-256),所需量子比特數量較此前預估減少約 20 倍。
這直接指向比特幣、以太坊等幾乎所有主流公鏈的簽名方案核心 ECDSA,消息一出,「量子電腦要破解比特幣私鑰」的說法開始在網絡上不脛而走。
事實上,我們有必要先冷靜下來,把這件事講清楚——威脅是真實的,但它距離「明天你的錢包就不安全」還很遙遠。
更重要的是,整個行業其實早就開始行動了。
一、量子計算到底在威脅什麼?
要理解這個問題,我們先從最基礎的地方說起,就是你的 Crypto 資產,到底是怎麼被保護的?
众所周知,在比特幣或以太坊上,每個帳戶背後都有一對密鑰:私鑰和公鑰。其中私鑰是一串隨機生成的大數,極度機密,相當於你保險櫃的密碼;公鑰由私鑰通過橢圓曲線乘法運算推導而來,你的錢包地址,則是公鑰再經過哈希函數壓縮得到的字串。
This system's security foundation lies precisely in the fact that this process is one-way.
歸根結底,從私鑰計算出公鑰很容易,但從公鑰反推私鑰,在傳統電腦上所需耗費的時間遠超宇宙年齡,這正是「橢圓曲線離散對數難題」(ECDLP)的本質——正向計算簡單,逆向破解不可能。
但量子電腦打破了這個假設,它能在多項式時間內解決整數分解和離散對數問題,換句話說,一台足夠強大的量子電腦,理論上可以從你的公鑰反推出私鑰。
那問題來了,公鑰什麼時候會暴露?
每次你向區塊鏈發起一筆交易時,都需要使用私鑰對交易數據進行簽名,並廣播你的公鑰以供驗證,這意味著只要你發過交易,你的公鑰就已經公開在鏈上了。
The significance of this Google paper is that it has advanced the concept of “deriving the private key from the public key” from a theoretically possible but absurd notion to a tangible goal on the quantum hardware roadmap. For instance, according to the paper’s estimates, breaking a 256-bit ECDLP would require approximately 500,000 physical qubits in a fault-tolerant quantum computer—significantly lower than previous estimates.
歸根結底,量子計算並不是在破解區塊鏈,它首先瞄準的是區塊鏈中仍建立在橢圓曲線離散對數難題之上的簽名體系。
因此,威脅是真實存在的,但嚴格來說,「迫在眉睫」這個說法並不準確,業界主流估計提供的窗口期,最快仍在 2030 年前後。
二、各條公鍊在做什麼準備?
當然,客觀而言,這裡有一個關鍵區別,許多報導都沒有說清楚,就是許多比特幣地址並不會在一開始就直接將公鑰暴露在鏈上。
以 P2PKH、P2WPKH 這類常見形式為例,地址本身通常只是公鑰的哈希,公鑰往往要等到「第一次花費」時才會暴露,這就意味著如果你的地址從未發出過交易,鏈上只有你的錢包地址,並沒有公鑰。
因此,量子計算最直接的攻擊面,更多偏向於那些已經發過交易的地址的公鑰。當然,這個細節直接引出了用戶層面現在能做的第一件事,我們稍後再談。
行業並非沒有意識到這個問題,事實上,後量子密碼遷移的準備工作,已在多條戰線同步推進。
以太坊的應對思路是將帳戶層與簽名方案解耦,例如推進 EIP-7702 和帳戶抽象(AA),讓以太坊帳戶可以透過智慧合約邏輯來定義何謂合法簽名,這意味著,未來某一天當後量子簽名方案被引入時,無需重寫協議底層,只需更換帳戶的簽名驗證模組。
更進一步,以太坊基金會密碼學研究員 Antonio Sanso 在 EthCC9 大會上介紹了以太坊抗量子安全的最新進展,指出量子電腦可能在 2030 年代中期對 ECDSA 簽名算法構成實際威脅,以太坊目前已完成約 20% 的抗量子準備工作,並計劃在 2028 年至 2032 年間透過 Lean Ethereum 升級實現全面量子抗性。
不過,當前面臨的主要技術挑戰是簽名體積問題,像最輕量級的後量子簽名算法 Falcon 的簽名大小仍是 ECDSA 的 10 倍以上,直接在 Solidity 中驗證 Lattice-based 的 Gas 成本極高,因此研究團隊確立了兩條核心技術路徑:
一是透過帳戶抽象,允許用戶將錢包簽名演算法升級為抗量子方案,無需修改底層協議;
二是引入 LeanVM 處理複雜哈希運算,並結合零知識證明驗證地址助記詞所有權,保障遷移過程中的資產安全;
Antonio 表示將從 2026 年 2 月起主持雙週 ACD 後量子專項會議,目前 Lighthouse 和 Grandine 等共識客戶端已上線實驗性後量子測試網。
此外,比特幣社區的風格則明顯更保守,最近進入 BIPs 倉庫的 BIP360 提出了一種新的輸出類型 P2MR(Pay-to-Merkle-Root),其設計目標之一,就是移除 Taproot 中量子脆弱的 key-path spend,為未來可能的後量子簽名遷移預留更友好的結構。
當然,一個提案進入 BIPs 倉庫,並不意味著它已經形成社區共識,更不意味著即將被採用,因此只能說比特幣社區內部已開始就量子暴露面和潛在輸出類型變化進行更具體的提案討論,這也十分符合比特幣一貫的風格:先將問題界定清楚,再極其緩慢地形成共識。
值得注意的是,早在 2024 年,美國國家標準與技術研究院(NIST)正式發布了三項後量子密碼標準,意味著區塊鏈生態系統已擁有明確的遷移目標,無需再等待關於哪種算法更優的討論達成共識,工程實現實際上早已開始。
三、普通用戶應該怎麼做?
雖然量子電腦的威脅是多年以後的事,但以後的事不意味著現在不用管,有些好習慣,今天養成,代價幾乎為零。
首先就是避免地址重用,這也是最直接、最有效的自我保護措施。
原因正如上文所述——如果你是比特幣等 UTXO 鏈的用戶,每次發起交易,你的公鑰都會在鏈上暴露,若你每次都使用同一個地址,公鑰長期公開,一旦量子運算能力成熟,攻擊者便可從容地從你的公鑰反推私鑰。
目前,像 imToken 等主流錢包已預設提供 HD 錢包功能,良好的習慣是每次轉帳都使用新地址接收,不要將同一個地址當作永久身份標識反覆使用;而對於從未發出過交易的地址,由於公鑰從未暴露,當前的量子威脅幾乎不適用。
其次關注錢包的後量子升級路線。
如果你主要使用的是以太坊等賬戶模型鏈,那麼重點就不是機械地不斷換新地址,而是關注你使用的錢包和所處公鏈,未來是否提供明確的遷移路徑。
對於賬戶模型鏈而言,量子時代更大的問題往往不是單次暴露,而是活躍賬戶、公鑰歷史、鏈上身份和應用權限的長期綁定;一旦將來真正進入遷移窗口,誰的賬戶更可升級、誰的錢包能更平滑地替換簽名邏輯,誰就更安全。
最後,從人性的角度來看,隨著話題熱度上升,市面上將出現越來越多聲稱「量子安全」的錢包或協議,我們應警惕這些打著「量子安全」旗號的錢包、協議和基礎設施產品。
面對這類說法,最該問的不是宣傳文案,而是三個更硬的問題:
它依賴的算法是不是 NIST 已定稿標準?
Has its security been independently audited and fully verified?
它聲稱的量子安全究竟是鏈級遷移、賬戶級升級,還是僅僅是應用層包裝?
After all, true post-quantum security must ultimately cover the entire pathway, from signing and verification to on-chain compatibility, not just an app's label.
總體來看,量子計算對區塊鏈的威脅是真實存在的,Google 這份最新白皮書的重要性,確實在於它將威脅從遙遠的理論推近至可規劃的風險。
但这仍然不是「明天錢包就會被攻破」的信號,更準確的理解應該是,後量子遷移已不再僅是學術圈的話題,而將在未來多年逐步成為協議升級、錢包設計和用戶資產管理的現實問題。
最後一提
對行業來說,接下來真正重要的,不是誰先喊出量子來了,而是誰能先把遷移路徑設計清楚。
對用戶來說,現在也不必陷入恐慌,而是先建立最基本的風險認知:哪些資產會率先暴露、哪些操作會放大暴露面,以及哪些錢包和公鏈更有可能在未來提供順暢的升級。
我們需要的,是及早行動,而不是過度焦慮。
與大家共勉。