隨住量子運算發展,迫使密碼學家重新審視數碼保安的數學基礎,加密貨幣行業面對一個獨特且迫切的問題:如何在不破壞現有網絡的情況下,將鎖在橢圓曲線密碼學背後、價值以十億美元計的資產,遷移到 quantum-resistant signature schemes,而又不損害保障這些資產的網絡安全?
量子威脅對加密貨幣:真實存在,但未迫在眉睫
比特幣 (BTC) 和 以太幣 (ETH) 都依賴一種稱為 ECDSA 的簽名演算法,建基於 secp256k1 橢圓曲線,用來證明資金擁有權。每一筆交易的安全性,都取決於一個關鍵數學假設:對傳統電腦而言,從公開金鑰推導出對應私鑰在計算上是不可行的。
數學家 Peter Shor 於 1994 年首次 published 的 Shor 演算法,徹底打破這個假設。
在足夠強大的量子電腦上,它可以將「橢圓曲線離散對數問題」降至多項式時間複雜度——意味住它可以快到足以從已在鏈上曝光的公開金鑰中抽取私鑰,從而掏空任何錢包。
目前,執行這類攻擊所需的硬件仍未出現。現時估算,要破解 secp256k1,大約需要 2,330 至 2,500 個「邏輯量子位」,若轉換為實際「物理量子位」,一日內完成攻擊大概要約 1,300 萬個。當今最先進的量子處理器僅運作於一百多個量子位的規模。
另一個常被提及的量子威脅——Grover 演算法——targets 的是雜湊函數而非簽名。它只帶來平方級提速,將 SHA-256 的安全強度由 256 位降至 128 位——依然需要 2 的 128 次方次運算,仍然屬於實際上不可破解的範圍。
比特幣的工作量證明機制並未受到量子運算威脅;真正有風險的是它的簽名方案。
在量子時間表的判斷上,樂觀與悲觀派分歧鮮明。
黃仁勳(Nvidia 行政總裁)認為,真正有用的量子電腦「可能還有二十年」。
Adam Back(Blockstream 行政總裁、資深 cypherpunk)則駁斥短期警告,指 2028 年左右出現相關威脅的時間表並不現實。
另一邊廂,Shohini Ghose(Quantum Algorithms Institute 技術總監)則警告社群警覺性不足,指出自從量子運算被提出的那一刻起,所有既有公鑰密碼學在概念上就已變得脆弱。
Global Risk Institute 於 2024 年針對 32 名專家進行調查,placed 在未來十年內出現「對密碼學具關鍵意義的量子電腦」的機率為 19% 至 34%,較 2023 年的 17% 至 31% 略有上升。大多數專家傾向認為最可能的時間窗口是 2030 年代初至中期。
延伸閱讀: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
甚麼是「後量子密碼學」?
後量子密碼學(Post-Quantum Cryptography,簡稱 PQC),指的是一系列設計用來抵抗傳統及量子電腦攻擊的密碼演算法。
不同於依賴量子力學本身做密鑰分發的量子密碼學,PQC 完全可以在傳統硬件上運行。對區塊鏈來說,這個差異非常關鍵,因為這代表現有節點和錢包毋須專用量子設備,亦可採用這些方案。
五大主要 PQC 演算法家族,源自學界數十年的研究成果。
每一類都採用根本不同的數學方法,去構造出量子電腦難以高效解決的問題,同時在簽名大小、計算速度和安全假設上各有取捨。
延伸閱讀: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
基於晶格的密碼學:領先方案
基於晶格(lattice-based)的方案 dominate 了後量子領域。兩個最具代表性的演算法——CRYSTALS-Kyber(現已標準化為 ML-KEM,用於密鑰封裝)以及 CRYSTALS-Dilithium(現為 ML-DSA,用於數碼簽名)——其安全性來自「模組化帶誤差學習問題」(Module Learning With Errors, Module-LWE)。簡化來說,就是要從帶有雜訊的線性方程組中,還原定義於某個結構化數學晶格上的秘密向量。
其底層運算主要是多項式運算及雜湊計算,使得晶格方案速度快,且容易在各種硬件平台上實作。
在最低安全等級下,ML-DSA 產生的簽名大約為 2,420 位元組,公開金鑰約為 1,312 位元組,約為目前緊湊的 64-byte ECDSA 簽名的 38 倍。
對大多數網絡應用而言,這樣的體積膨脹尚在可接受範圍。但對區塊鏈來說,交易中每一個 byte 都會直接影響吞吐量與手續費,這就成為嚴峻的工程約束。
延伸閱讀: Hyperliquid Hits 44% Of All Perp DEX Volume
基於雜湊的簽名:最保守,代價亦最高
基於雜湊的密碼學 offers 了現有 PQC 家族中最保守、最穩健的安全保證。SPHINCS+(現已標準化為 SLH-DSA)完全依賴雜湊函數本身的性質,沒有任何可能被未來數學突破所擊破的代數假設。
該方案構建出密碼學家所謂的「超樹」(hypertree)——由一次性 Winternitz 簽名組成、並以 Merkle 樹層層連接的結構——從而可在單一金鑰配對下,實現無狀態、次數無限的簽名。
但代價極為沉重。
依照選用的參數組合不同,SLH-DSA 產生的簽名約介乎 7,856 至 49,856 位元組,而簽名運算大約比晶格方案慢 100 倍。
XMSS 作為有狀態變體,可產出約 2,500 至 5,000 位元組的較緊湊簽名,但必須嚴格追蹤每組一次性金鑰是否已被使用——一旦重複使用,整體安全保證即告失效。
對區塊鏈來說,基於雜湊的方案堪稱一種悖論:它們的安全假設是所有 PQC 家族當中最堅實的,但簽名尺寸之巨大,可能讓其對高吞吐鏈而言難以實際部署。
延伸閱讀: Circle Wants The EU To Let Stablecoins Settle Trades
基於碼與其他方法:優勢與潰敗
基於碼(code-based)的密碼學,以 Classic McEliece 為代表,builds 於「解碼隨機線性碼」的困難度之上——這個問題自 1978 年被提出以來,已抵禦了四十年的嚴格密碼分析。
此類方案的公開金鑰極為龐大,約介乎 261 KB 至 1.3 MB,但密文卻極小,只需 128 至 240 位元組。較新的基於碼方案 HQC,則在 2025 年 3 月被 NIST 選為備用的密鑰封裝機制。
多變量多項式密碼學依賴在有限域上求解多變量二次方程組的 NP-hard 問題。
這一類中原本的領先者 Rainbow,於 2022 年 2 月被研究員 Ward Beullens catastrophically broken——他在一部普通筆電上於 53 小時內就成功還原出私鑰。
其基礎方案 UOV 仍然存活,而一個稱為 MAYO 的緊湊衍生版本,亦於 2024 年 10 月進入 NIST 第二輪「額外簽名方案」競賽。
基於同源(isogeny)的密碼學則遭逢更戲劇性的崩潰。鍵長最小、約 330 位元組的 PQC 候選方案 SIKE,在 2022 年 8 月被 KU Leuven 的 Wouter Castryck 和 Thomas Decru 以傳統電腦關鍵恢復攻擊徹底擊潰,該攻擊利用了數學家 Ernst Kani 於 1997 年的一項定理。
SIKEp434 僅用一顆 CPU 核心,在一小時內便被破解。雖然較新的方案如 SQISign 和 CSIDH 研究仍在持續,但目前已沒有任何基於同源的演算法留在 NIST 主要標準化競賽中。
延伸閱讀: A $30M Pharma Company Just Bought $147M Of One Crypto Token
NIST 八年的標準化長征
NIST 於 2016 年 12 月 launched 後量子密碼學標準化流程,在 2017 年 11 月前共收到 69 組候選方案提交。其後歷經三輪公開密碼分析,包括在過程中成功揭露 Rainbow 與 SIKE 的致命缺陷。
這一進程最終在 2024 年 8 月 13 日告一段落,首次發佈三項最終標準。
FIPS 203 以 Kyber 為基礎,負責密鑰封裝,在標準中名為 ML-KEM。FIPS 204 以 Dilithium 為基礎,涵蓋數碼簽名,稱作 ML-DSA。FIPS 205 則以 SPHINCS+ 為基礎,提供名為 SLH-DSA 的替代雜湊式簽名標準。
第四項標準 FIPS 206 則以 FALCON 演算法為基礎,已於 2025 年 8 月進入草案審批階段,預期將於 2026 年底或 2027 年初正式定稿。
FALCON 生成的簽名約為 666 位元組——大概是 ECDSA 的十倍,而非 Dilithium 所需的 38 倍。 — 令其成為目前最精簡的後量子簽名方案,也是區塊鏈應用的最強候選者。
NIST 專案負責人 Dustin Moody urged 各機構應盡快開始轉換。
NSA 的 CNSA 2.0 框架要求:到 2030 年,軟件簽名必須「只」使用後量子算法;到 2033 年,網絡基礎設施也必須全面改用後量子算法。NIST 本身則計劃在 2035 年前完全淘汰橢圓曲線密碼學。美國政府預計,整體遷移成本約為 71 億美元。
延伸閱讀: Polymarket Bans Insider Trading
比特幣的 BIP-360:量子防護罩與治理障礙
比特幣目前最重要的抗量子提案是 BIP-360,由 MARA 的 Hunter Beast、Ethan Heilman 和 Isabel Foxen Duke co-authored。
該提案於 2024 年 6 月提出,並在 2025 年初合併進官方 BIP 儲存庫,創建了一種稱為「Pay-to-Merkle-Root(P2MR)」的新輸出類型,使用帶有 bc1z 地址的 SegWit v2 outputs。P2MR 移除了 Taproot 中對量子脆弱的 key-path spend,為未來增加具體 PQC 簽名方案(如 ML-DSA 或 SLH-DSA)的軟分叉建立了模組化基礎。
2026 年 3 月 20 日,BTQ Technologies 在其 Bitcoin Quantum Testnet v0.3.0 上deployed 了首個可運作的 BIP-360 實作,具備完整的 P2MR 共識規則、五個基於 Dilithium 的後量子簽名 opcode,以及端到端錢包工具。
該測試網吸引了超過 50 個礦工,處理了逾 100,000 個區塊。
Chaincode Labs 在 2025 年 5 月的分析中指出,比特幣的 PQC 探索仍處於早期與試驗階段。
簽名大小問題尤為嚴重。一筆典型的比特幣交易目前約 225 bytes,使用 ECDSA。若將其中約 72 bytes 的簽名替換成 Dilithium2 的 2,420 bytes 簽名加上 1,312 bytes 公鑰,每個輸入約多出 3,700 bytes —— 大約是當前整筆交易大小的 16 倍。
研究人員預測,在許可型測試網上吞吐量會降低 52% 至 57%,在無許可公鏈上則可能下降 60% 至 70%,交易費用增加約 2 至 3 倍。若改用簽名更精簡的 FALCON-512,影響大約可降至原本交易大小的 7 倍,使其成為區塊鏈部署的最強候選方案。
比特幣保守的治理文化使難度雪上加霜。SegWit 花了約 8.5 年才廣泛採用,Taproot 則花了 7.5 年。
具爭議性的 QRAMP 提案 —— 設定一個最後期限,之後舊地址格式中的幣將無法再花費 —— 充分顯示出前方治理之路的雷區。
與此同時,約有 650 萬枚 BTC sit 在對量子計算脆弱的地址中,其中包括估計約 110 萬枚 BTC 位於中本聰已暴露公鑰的 P2PK 地址。
延伸閱讀: Larry Fink Says Tokenization Is Where The Internet Was In 1996
以太坊的帳戶抽象:更乾淨的升級路徑
以太坊在 2026 年初動作 相當果斷。
1 月 23 日,Ethereum Foundation 正式將後量子安全提升為最高策略優先級,成立由密碼工程師 Thomas Coratger 領導的專責 PQ 團隊。
高級研究員 Justin Drake 宣布,在多年低調研發後,管理層已正式宣告 PQ 安全是基金會的首要策略重點,並表示時間表正在加速,到了要「full PQ」的階段。基金會為此提供了 200 萬美元資金,分別用於 Poseidon Prize 與 Proximity Prize 兩項 PQC 研究獎勵計畫。
Vitalik Buterin 於 2026 年 2 月 26 日unveiled 一份完整的量子抗性路線圖,鎖定以太坊技術棧中的四個脆弱區域:共識層 BLS 簽名將改為具 STARK 聚合的雜湊型簽名;KZG 承諾將改為量子安全的 STARK;外部帳戶(EOA)的 ECDSA 簽名將透過原生帳戶抽象處理;應用層零知識證明則從 Groth16 遷移至 STARK。
關鍵啟用機制是 EIP-8141,又稱「Frame Transactions」,由 Buterin 等人共同撰寫。它將以太坊帳戶從固定的 ECDSA 簽名中解耦,允許每個帳戶定義自身的驗證邏輯 —— 無論是採用後量子簽名、多重簽名,還是金鑰輪換。
與比特幣可能需要硬分叉不同,EIP-8141 透過原生帳戶抽象achieves 這一點,提供了一條從橢圓曲線密碼學通往後量子安全系統的「出口匝道」,而不必一次性強迫整個網絡同步遷移。該提案預計會在 2026 年底的 Hegotá 硬分叉中實施。
延伸閱讀: Strategy Opens $44B In New ATM Capacity
Algorand 與 QRL:量子就緒區塊鏈的領先者
Algorand (ALGO) 於 2025 年 11 月 3 日在主網上executed 了首筆於公有鏈上運行的後量子交易,使用 NIST 選定的 FALCON-1024 簽名。
Algorand 由 圖靈獎得主 Silvio Micali 創立,團隊成員包括 GPV 框架(FALCON 的理論基礎)共同作者 Chris Peikert,以及直接參與 NIST FALCON 提案的 Zhenfei Zhang。該鏈的 State Proofs 自 2022 年起即採用 FALCON 簽名,使其整條鏈的歷史在跨鏈驗證層面上具備量子安全性。
Algorand 展示了在使用後量子簽名的前提下,仍可達到每秒 10,000 筆交易及 2.8 秒出塊時間。
QRL(Quantum Resistant Ledger)則自 2018 年 6 月launched 以來,從創世區塊起就採用 XMSS 雜湊型簽名,具備量子抗性。
在運行七年且無重大安全事故後,QRL 2.0(Project Zond)正遷移至無狀態的 SPHINCS+,並加入 EVM 相容性。
Solana (SOL) 於 2025 年 1 月引入可選用的 Winternitz Vault,且 Solana Foundation 在 2025 年 12 月與 Project Eleven 合作,開啟一個將 Ed25519 替換為 Dilithium 的公測網。IOTA 則在 2021 年顯著地放棄量子抗性,從 Winternitz 簽名改用 Ed25519 以提升效能 —— 這個決定凸顯了量子準備與當前吞吐需求之間的現實張力。
延伸閱讀: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
「現在收集、日後解密」是真威脅 —— 但對區塊鏈有其細節
所謂「harvest now, decrypt later」(先收集,後解密)策略 —— 對手先在今天大量蒐集加密資料,等待未來量子電腦強大到足以解密 —— 已被各國政府與情報機構視為實際威脅,並推動了當前的緊迫行動。NSA 網絡安全主管 Rob Joyce 警告,向量子安全加密轉型將是一場漫長且高強度的社群工程。
World Economic Forum 量子安全倡議成員 Chris Ware 則點名中國是有能力在國家級規模上發動此類攻擊的國家。
然而,對區塊鏈而言,「先收集、後解密」這種框架需要更細緻的理解。正如 a16z crypto 的 Justin Thaler 在 2025 年 12 月的一篇分析中argued,量子對公鏈的真正威脅是「偽造簽名」,而非「解密」。
比特幣的帳本本來就是公開的,根本沒有加密資料可供「採集」。
真正的危險是「金鑰直接推導」:一旦出現具實際加密破解能力的量子電腦,只要某個地址的公鑰曾在鏈上暴露,它就會立刻變得脆弱 —— 不論它是何時暴露的。
而區塊鏈「永久且不可篡改」的記錄特性,使這類暴露成為無法挽回的事實。隱私幣如 Monero (XMR) 與 Zcash (ZEC),因其交易細節採用加密,就確實面臨較為典型的「先收集、後解密」風險。
延伸閱讀: Fed Hawkish Tone Triggers $405M Crypto Outflows
目前量子硬件距離破解主流密碼學仍差得很遠
Google 於 2024 年 12 月unveiled 的 Willow 晶片擁有 105 個量子位,是首度展示「低於門檻」量子糾錯的晶片,隨著加入更多量子位,錯誤率呈指數級下降。它在不到五分鐘內完成了一項特定的基準運算,而傳統超級電腦預估需要 10 的 25 次方年。
然而,正如薩塞克斯大學的 Winfried Hensinger 所指出,該晶片規模仍遠不足以進行足以威脅密碼系統的實用計算。
IBM 的路線圖targets 目標在 2029 年前透過其 Starling 處理器實現 200 個邏輯量子位。Microsoft 於 2025 年 2 月發表的拓樸 Majorana 1 晶片,透過全新的量子位架構,有望大幅提升誤差更正效率。
但即使在最樂觀的預測下,這些里程碑距離在大規模情況下對 ECDSA 執行 Shor 演算法所需的數百萬個實體量子位,仍相去甚遠。
Google 的 Craig Gidney 在 2025 年 5 月發表的一篇論文中,compressed 將分解 RSA-2048 的估計資源需求,從 2000 萬個降至不到 100 萬個含雜訊量子位——這 20 倍的縮減,顯著地收緊了時間表預估。預測平台 Metaculus 也因此將其對「Shor 演算法在實際規模上可分解 RSA」時間點的預測,從 2052 年提前至 2034 年。
「Q-Day」——即量子電腦成功擊破現行公鑰密碼系統的那一刻——仍然是一個不斷變動的目標。數學家 Michele Mosca 的定理captures 了這種緊迫性:如果「完成遷移所需時間」加上「你的資料保存壽命」,大於「距離 Q-Day 剩餘的時間」,那你其實已經太遲了。
Also Read: What Will It Take For Solana To Reclaim $90?
結語
後量子演算法本身是可行的。NIST 的標準已經發佈,FALCON 提供了適合區塊鏈部署的實用簽章尺寸,而 Algorand 也已在真實網絡上證明了可在規模化情況下處理 PQC 交易。真正棘手的問題並非密碼學,而是社會與結構層面:Bitcoin 的去中心化治理讓快速的協議變更變得極為困難;比 ECDSA 大 10 到 38 倍的簽章會擠壓吞吐量並推高手續費;而大約 650 萬枚處於量子風險地址中的 BTC,則帶來前所未有的協調挑戰。
行動窗口的界定,不在於「具密碼學破壞能力的量子電腦何時出現」,而在於「完成遷移本身需要多久」。
在 Bitcoin 過往每次升級往往需要七至八年的前提下,加上各國政府將量子就緒時程鎖定在 2030 至 2035 年,加密貨幣產業在量子安全上的時間表已經相當緊絀。現在就開始遷移的專案,能在 Q-Day 抵達時保持安全;選擇等待的,將無法如此。
Read Next: Resolv USR Crashes 72% After $25M Exploit