甚麼是抗量子代幣？它們如何保護加密貨幣免受量子計算威脅

量子計算——昔日只存在於理論物理論文——現已成為切實威脅全球區塊鏈加密基礎的現實問題。本文將探討抗量子代幣及密碼學方法如何為2.7萬億美元的加密貨幣市場，迎戰專家日益認為無可避免的數碼安全挑戰做好準備。

量子電腦與傳統機器根本不同，利用能同時展現多種狀態的量子位（qubit）和「疊加」現象。結合量子糾纏後，更能實現以往不可能的計算方式。

依靠現時難以破解的數學問題作為安全基石的加密貨幣網絡，面臨了存亡危機。

近年發展已令這憂慮從理論步向現實：

• Google 於2023年發表的433量子位處理器「Willow」已於特定運算上展示出量子優勢
• IBM 的2024路線圖預計2027年前研發逾4,000量子位系統，接近可破解普遍用密碼的門檻
• 薩塞克斯大學的研究指出，約2千萬個有噪聲量子位的電腦可於24小時內破解比特幣橢圓曲線加密

根據2024年環球風險研究院（Global Risk Institute）有關量子威脅的報告，能破解現行密碼標準的量子電腦預期面世時間大幅提前。分析認為，到2032年，量子電腦有50%機會能破解RSA-2048和ECC-256，加至90%機會則只在2040年。

區塊鏈系統的特定弱點

由於區塊鏈底層安全機制設計，網絡尤其易受量子攻擊：

1. 公匙密碼學暴露

比特幣及以太坊等大量依賴椭圆曲线数字签名算法（ECDSA）及secp256k1曲線以驗證交易。用戶進行交易時必須暴露公匙，形成一個關鍵的脆弱窗口。先進的量子攻擊者可能：

• 利用Shor演算法由公開公匙推導私匙
• 製造偽造交易，把資金由已洩露地址轉走
• 在等待交易確認的窗口期內發動此類攻擊

德勤分析指，現時約25%的比特幣（按現價逾4,000億美元）存放在已公開公匙的地址中，一旦技術成熟將理論上易被量子破解。

2. 共識機制弱點

除直接竊取資產外，量子運算更威脅區塊鏈共識機制：

工作量證明（PoW）：量子演算法有機會大幅提升解hash難題速度，可能引致：

• 只需更少硬件就能發動51%攻擊
• 更快開採出區塊，帶來鏈重組
• 破壞網絡安全基礎的「運算公平性」假設

權益證明（PoS）：雖然對計算優勢抵抗力較高，但當底層簽署算法被攻破時亦存在風險，令攻擊者有機會：

• 造假驗證者簽名
• 操控驗證過程
• 製造矛盾驗證，導致共識終極失效

以太坊基金會密碼學研究團隊估計，容錯量子電腦如有6,600個邏輯量子位已威脅secp256k1安全，20,000個以上則徹底不安全。按現時糾錯要求，等同需要數以百萬計的實體量子位——若按現時發展速度，約15至20年後或會達標。

後量子密碼學：技術基礎

NIST 標準化及選拔過程

美國國家標準與技術研究院（NIST）於2016年展開後量子密碼（PQC）標準化，評估來自多個範疇共69個候選算法。經過嚴密安全及效能分析，NIST於2022年選出多個決賽者：

密鑰包裝（密鑰協議）類：

• CRYSTALS-Kyber（首選）
• BIKE、Classic McEliece、HQC及SIKE（備選）

數碼簽名類：

• CRYSTALS-Dilithium（首選）
• FALCON（適合追求小型簽名應用）
• SPHINCS+（適合追求散列式安全保證應用）

這些標準為抗量子區塊鏈的構建奠定基礎，官方標準文件料於2025年底前完成。

抗量子技術方案

多類密碼技術能對量子威脅發揮不同程度的保護，並各有其優缺點：

格點基礎密碼學

格點技術以在高維格點中尋找最短或最近向量的難題作保安基礎，即使量子電腦亦難以破解。

技術特點：

• 安全基礎：最短向量問題（SVP）、帶錯誤學習問題（LWE）
• 運算效率：中至高（加解密及驗證效能佳）
• 鎖匙／簽名體積：中（多為KB級而非byte）
• 實作成熟度：高（獲NIST選作主要標準）

CRYSTALS-Kyber即NIST指定標準，優點包括：

• 鎖匙容量1.5-2KB，區塊鏈儲存可接受
• 加解密速度接近傳統算法
• 對傳統及量子攻擊均有高安全裕度
• 對資源有限裝置運算要求合理

NIST評估指Kyber-768（128位抗量子安全級別）於現代處理器中，產生鎖匙約需0.3ms，密鑰封裝0.4ms，解封約0.3ms，足以滿足高吞吐區塊鏈網絡。

雜湊基簽名技術

雜湊基簽名安全性來自於密碼雜湊函數的抗量子特性，具極高安全保證，但實用上有限制。

**技術特點：

• 安全基礎：雜湊函數的碰撞抗性
• 運算效率：高（簽名及驗證速度佳）
• 鎖匙／簽名體積：大，尤其是有狀態版本
• 實作成熟度：極高（安全性清晰）

XMSS（擴展Merkle簽名方案）、SPHINCS+等實現證實安全性，當中SPHINCS+獲NIST選為備用簽名標準。然而挑戰包括：

• 簽名體積高達8-30KB，遠大於現有ECDSA簽名
• 有狀態方案有複雜狀態管理及簽名次數限制
• XMSS等方案簽名次數有限制

故此類方案較適合簽名頻率低或安全性高於效率要求的區塊鏈應用。

程式碼基及多變量密碼學

這些替代技術使安全假設更多元，若格點或雜湊基技術被破解仍有備用方案。

程式碼基技術特點：

• 安全基礎：症狀碼解碼問題
• 運算效率：中
• 鎖匙／簽名體積：極大（常為數十至數百KB）
• 實作成熟度：中等（有數十年密碼分析，應用仍有限）

多變量技術特點：

• 安全基礎：求解多元多項式方程組
• 運算效率：驗證快但簽名慢
• 鎖匙體積大，簽名體積相對細
• 實作成熟度：中等（學界高度關注）

此等方法由於效率所限，現時在區塊鏈應用上未算主流，但屬於專家建議維持密碼學多元化的關鍵一環。

抗量子區塊鏈計劃：落地路徑

原生抗量子網絡

幾個區塊鏈專案自設計起已實踐抗量子密碼學，值得借鏡其落地挑戰與經驗：

Quantum Resistant Ledger (QRL)

2018年推出，QRL為最早原生抗量子的區塊鏈之一，採用XMSS簽名方案。

技術實現：

• 採用256位SHAKE-128雜湊函數的XMSS簽名方案
• 支援多種簽名方案的地址格式
• 一次性簽名方案需謹慎密鑰管理
• 多重簽名功能加強安全性

從QRL實現可看到雜湊基技術優劣。網絡數據顯示簽名體積平均約為2.5KB，遠高於比特幣~72字節簽名。這導致網絡儲存及頻寬需求大增，QRL鏈增長速度約為比特幣的3.5倍。

儘管存在上述挑戰，QRL於區塊鏈環境下已超過2百60萬個區塊無安全事故，有效展示有狀態雜湊基簽名的可行性。

IOTA的過渡策略

IOTA最初採用了Winternitz一次性簽名（WOTS）來抵禦量子攻擊，但隨著多個協議版本的推進，其實現方法已經不斷演進。

技術演進：

• 最初的WOTS實現（針對量子威脅，但帶來可用性挑戰）
• 為了Chrysalis升級而轉用Ed25519簽名（優先考慮效能）
• 預計於即將到來的Coordicide升級裡整合NIST PQC標準

IOTA的經驗說明，在量子抗性實現中，安全性、效率及可用性之間的平衡具有實際挑戰。官方文件承認，最初的量子抗性方案導致使用體驗明顯降低，尤其是在地址重複使用的限制上，因此，在研發更易用的量子抗性方案期間，曾暫時回退至傳統加密技術。

QANplatform

QANplatform採用符合NIST建議的格基（lattice-based）方法，具體實現CRYSTALS-Kyber用於密鑰交換及CRYSTALS-Dilithium用於簽名。

技術方案：

• 整合NIST PQC決賽演算法
• 採用同時支援傳統與後量子方法的混合加密模型
• 量子抗性智能合約平台
• Layer-1實現，專注開發者易用性

QANplatform測試網的效能數據顯示，格基方案在實務上可行，交易驗證時間約1.2秒，跟許多傳統加密方法相當。他們的混合路線可讓過渡更平順，解決量子抗性加密普及時的採用門檻問題。

主流網絡的量子抗性策略

主要加密貨幣網絡因其規模、保護價值和協調需求，在轉向量子抗性加密時面對重大挑戰。

比特幣的做法

比特幣奉行保守的開發哲學，強調穩定和向後兼容，這對加密轉型產生挑戰。

現況及建議：

• 尚未有任何針對後量子簽名的正式《比特幣改進提案》（BIP）被採納
• Taproot升級雖提升了私隱性，但未解決量子風險
• 建議方案包括：
  • 提供用戶自選的量子抗性地址格式
  • 雙重驗證的分階段過渡期
  • 若量子威脅突然浮現時的緊急硬分叉機制

比特幣社群歷來偏好優先穩定多於功能創新，像Taproot這類相對簡單的升級也花費多年的討論。這種治理模式對部署量子抗性構成挑戰，因為相關改動須更大規模地調整協議。

BitMEX Research分析指出，約有250萬顆BTC（超1300億美元）仍然儲存在直接暴露公鑰的pay-to-public-key（p2pk）地址，這部分是比特幣供應中最易受量子攻擊的環節。

以太坊的路線圖

以太坊在協議演進上展現更高的進取性，量子抗性已成為其長遠路線圖的考慮之一。

計劃中的做法：

• 將後量子簽名納入以太坊技術路線圖的“終局”（Endgame）階段
• 研究兼容現有零知識證明系統的格基簽名
• 探索以賬戶抽象實現加密靈活性
• 有可能在全網實施前讓用戶自行選擇是否採用量子抗性

以太坊研究員Justin Drake提出“加密靈活性（cryptographic agility）”的理念，即讓網絡可在不影響現有dApp情況下更換簽名方案。這種策略承認，量子抗性不僅要用新演算法，也需要能因應標準演化的協議架構。

以太坊測試網的效能測試顯示，採用CRYSTALS-Dilithium簽名會令交易大小增加約2.3KB，標準交易的Gas費用提升40-60%，雖有影響，但以太坊的擴展路線圖下仍屬可管理範圍。

實施挑戰與解決方案

技術限制

導入量子抗性加密對區塊鏈網絡會帶來多方面挑戰：

儲存與頻寬需求

後量子加密方法普遍需要更大的密鑰和簽名。

這種增大會影響：

• 區塊空間效率
• 網絡頻寬要求
• 節點儲存需求
• 交易費用

可能解決方式有：

• 簽名匯總（signature aggregation）技巧
• 層二（Layer-2）方案把簽名數據放到鏈外
• 遞增式的儲存修剪機制
• 優化編碼格式

效能與效率

後量子演算法一般運算開銷更高。

對高吞吐量的區塊鏈網絡來說，這些差異會影響：

• 交易驗證時間
• 區塊生成速度
• 節點硬件需求
• 能源消耗

優化方法包括：

• 特定演算法的硬件加速
• 批次驗證技術（batched verification）
• 並行處理架構
• 針對演算法的優化

以太坊基金會的研究指出，對格基簽名法的硬件優化有望把效能差距收窄至當前ECDSA的2到3倍之內，對大多數區塊鏈應用而言尚可接受。

治理與協調挑戰

公有鏈去中心化特質，令加密遷移尤其困難：

協議升級協調

與中心化系統能強制安全升級不同，區塊鏈網絡需廣泛共識，包括：

• 核心開發者
• 節點營運者
• 挖礦者／驗證者
• 錢包服務商
• 交易所及託管機構

實務經驗（如比特幣、以太坊）顯示，有爭議的協議變化可能觸發鏈分裂（fork），造成安全和價值碎片化。比特幣的SegWit升級由提案到推動足足花了近18個月，雖然是解決重要問題。

遷移策略

有效的量子抗性過渡须審慎設計路徑：

用戶自選：

• 容許用戶自願把資產遷移至量子抗性地址
• 透過費用減免、增值功能作早期遷移誘因
• 設立明確最後期限、遷移時程

混合模型：

• 過渡期同時支援傳統與後量子簽名
• 允許雙重驗證簽名
• 逐步提升驗證要求

緊急預案：

• 應對量子威脅迅速浮現時設緊急升級計劃
• 建立危機協議共識機制
• 設立安全溝通渠道協調應對

前路與業界最佳實踐

目前行業動向

行業內已出現多種針對加密貨幣量子風險的應對方案：

跨鏈標準制定

現時業界日益推動合作，例如：

• Cryptocurrency Quantum Resistance Alliance（CQRA）：14個區塊鏈項目協調實施標準
• NIST加密技術組針對分布式賬本發布實施指引
• Post-Quantum Cryptography Alliance（PQCA）開發開源區塊鏈融合集成工具

這些努力旨在建立互通標準，讓不同網絡能統一部署量子抗性，避免安全方案四分五裂。

企業方案與混合模式

商業方案正在彌補協議層變動前的安全缺口：

• Quip Network推出“量子金庫”方案，用於即時保護
• ID Quantique及Mt Pelerin打造針對機構的硬件式量子金庫
• StarkWare研究用於二層擴展的後量子零知識證明

這些方案驗證了量子抗性能逐步於現有系統增強，無須馬上更改協議本身。

利益相關者的實務建議

不同區塊鏈參與者可按自身角色做如下準備：

個人持幣者

即時保障措施包括：

1. 地址衛生：避免重複使用及暴露公鑰的地址
2. 定期更換密鑰：定期把資產轉移到新地址
3. 多簽安全：採用多重簽名方案授權轉賬
4. 冷錢包保管：將大部分資產保持在從未曝光公鑰的冷地址
5. 分散持有：分散持幣於不同加密體系

開發者及項目方

技術準備工作包括：

1. 加密靈活性：設計方案可無縫更換簽名演算法
2. 混合實現：允許過渡期同時支援傳統和後量子方法
3. 協議測試：建立測試網驗證後量子算法之集成挑戰
4. 教育推廣：向用戶與持份者闡明未來遷移需要
5. 開源工具：貢獻NIST PQC標準的區塊鏈開發庫

交易所及託管機構

機構層面的重點應包括：

1. 風險評估：量化持有各類加密資產面對量子威脅的風險
2. 安全加強：實施附加的 Here is your translation formatted per your requirements (markdown links remain untranslated):

protection layers beyond blockchain-native security
區塊鏈原生安全以外的防護層

3. Customer Education: Inform users about quantum risks and protective measures

4. 客戶教育：通知用戶有關量子風險及保護措施

5. Industry Coordination: Participate in standards development for quantum-resistant addresses

6. 行業協作：參與量子抗性地址的標準制定

7. Transaction Monitoring: Develop systems to detect potential quantum-based attacks

8. 交易監控：開發系統以偵測潛在的量子攻擊

Conclusion: Beyond Fear, Uncertainty, and Doubt

結論：超越恐懼、不確定與懷疑

The quantum threat to cryptocurrency requires serious attention but not alarmism. With proper preparation and implementation of quantum-resistant cryptography, blockchain networks can maintain their security guarantees even as quantum computing advances.

量子對加密貨幣的威脅需要認真對待，但毋須過分驚慌。只要適當準備及採用抗量子密碼學，即使量子計算發展迅速，區塊鏈網絡仍然能維持其安全承諾。

Several key perspectives should guide the industry's approach:

有幾個重要觀點應引導業界應對：

Timeframes and Preparation Windows

時間表與準備時機

Current projections suggest a window of approximately 5-10 years before practical quantum attacks become feasible against current cryptographic standards. This provides sufficient time for measured, careful transitions if preparation begins now.

現時預測指出，針對現有加密標準的實際可行量子攻擊，大約尚有五至十年準備期。若現在開始準備，將有充裕時間可有序、審慎地進行轉換。

The most recent analysis from the Global Quantum Risk Assessment Working Group indicates that attacks against Bitcoin and Ethereum's current cryptographic schemes would require quantum computers with at least 6,000 logical qubits - a threshold unlikely to be reached before 2030 based on current development trajectories.

全球量子風險評估工作組最近的分析顯示，要攻破比特幣及以太坊現有的加密機制，量子電腦至少需要6,000個邏輯量子位。根據現時的發展路線推算，這個門檻在2030年前達到的機會極低。

Cryptographic Diversity as Defense

密碼學多樣性作為防禦

The diversity of post-quantum approaches provides resilience against potential vulnerabilities. By implementing multiple cryptographic methods rather than relying on a single approach, blockchain systems can create defense-in-depth against both classical and quantum threats.

多元的後量子方法能提高系統面對潛在漏洞的韌性。透過同時採用多種密碼學技術，而非依賴單一方案，區塊鏈系統可構建層層防禦，抵禦傳統及量子威脅。

Beyond merely defending against threats, quantum resistance represents an opportunity for blockchain innovation. New cryptographic methods can enable enhanced privacy features, more efficient validation mechanisms, and novel smart contract capabilities previously constrained by computational limitations.

除了防禦威脅外，抗量子能力亦為區塊鏈創新提供契機。新的密碼學方法可以帶來更強的私隱功能、更高效的驗證機制，以及過往因計算資源受限而未能實現的新型智能合約能力。

The emergence of quantum-resistant cryptography may ultimately strengthen rather than undermine blockchain technology, pushing the industry toward more robust security models and greater cryptographic sophistication. By embracing this challenge proactively, the cryptocurrency ecosystem can ensure its fundamental value proposition - trustless, censorship-resistant value transfer - remains viable in the quantum computing era.

抗量子密碼學的出現，最終有可能加強（而非削弱）區塊鏈技術，促使業界邁向更健全的安全模式及更高層次的密碼學發展。積極面對這項挑戰，虛擬貨幣生態系就能確保其核心價值－－無需信任、抗審查的價值轉移－－能在量子計算時代繼續存在。