用來保護數兆美元數位資產的密碼鎖,是在沒有量子電腦的世界裡設計出來的。
那個世界正在比多數加密貨幣圈人士預期更快走向終結,而產業的回應至今仍危險地零散分裂。
NIST 已於 2024 年 8 月正式定稿首三套後量子密碼標準,並要求所有使用公鑰密碼學的機構立即開始遷移。
Bitcoin(BTC)單一資產的市值就約有 1.57 兆美元,而這些價值絕大多數都是由橢圓曲線數位簽章演算法所保護,只要有足夠強大的量子電腦,就能將其破解。時鐘已經開始倒數。
重點整理(TL;DR)
- NIST 於 2024 年發布的後量子標準,為加密專案從橢圓曲線密碼學遷移訂下硬性時限,否則將面臨存亡級的安全風險。
- 估計約有 400 萬顆 BTC 存放在暴露的 P2PK 輸出或重複使用的位址中,一旦具實際威脅的量子電腦出現,即可能直接受攻擊。
- 多數主流公鏈沒有具約束力的後量子升級路線圖,導致在邁入 2020 年代末期前,整體安全版圖既零碎又時間緊迫。
1. 量子對區塊鏈的威脅是具體且明確的,而非純理論假設
「量子威脅」這個詞常被隨意使用,但對區塊鏈來說,風險其實是精準且有充分文獻記載的。
多數區塊鏈安全的核心有兩種演算法──用於授權交易的橢圓曲線數位簽章演算法(ECDSA),以及用於比特幣工作量證明挖礦的 SHA-256──它們面臨的量子風險程度截然不同。
1994 年提出的 Shor 演算法,能在量子電腦上以多項式時間分解大整數並求解離散對數問題。
University of Sussex 研究團隊於 2023 年在 arXiv 發表的一篇論文估計,要破解比特幣 256 位元橢圓曲線加密,大約需要一台擁有 3.17 億個物理量子位元、且錯誤率極低的量子電腦。
相較之下,Grover 演算法對 SHA-256 這類雜湊函式只提供平方級的加速,實際上將比特幣挖礦安全性從 256 位元降為 128 位元,這在可預見的未來仍屬實務上安全。
這種不對稱性極為關鍵。
ECDSA 簽章是區塊鏈安全的軟肋,而工作量證明挖礦在量子硬體下只遭遇相對溫和的安全邊際縮減。
這代表威脅並非指向比特幣網絡「產出區塊」的能力,而是指向個別使用者「證明自己擁有幣」的能力。Andreas Antonopoulos 等人早已指出,數位簽章是授權資金動用的機制,而量子電腦最先攻擊的,正是這個環節。
延伸閱讀: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. NIST 於 2024 年發布的標準,啟動了整個產業的遷移時鐘
在這個故事中,監管與標準層面的緊迫性,某種程度上甚至比硬體時程更高。
經過六年評估、涵蓋全球研究團隊提交的 82 個候選演算法後,NIST 於 2024 年 8 月定稿三套後量子密碼標準:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)、FIPS 204(ML-DSA,原 CRYSTALS-Dilithium),以及 FIPS 205(SLH-DSA,原 SPHINCS+)。
這些並不是「供未來參考」的選用指引。NIST 已明確要求各組織「現在就開始規劃向後量子密碼學轉換」。
美國網路安全與基礎建設安全局(CISA)也發布指引,要求關鍵基礎建設營運者盤點自身的密碼相依性並優先進行遷移。受聯邦框架監管的金融服務機構,已開始受到稽核單位施壓,須證明其對後量子風險的準備情況。
2024 年 8 月 FIPS 203、204 與 205 的定稿,實際上已消除任何拖延的最後藉口。到 2026 年仍未啟動後量子密碼風險評估的區塊鏈專案,基本上已偏離負責任安全實務的合理範圍。
區塊鏈產業在此處的處境相當特殊:一方面,它是管理著比多數國家央行更龐大價值的金融系統;另一方面,又是缺乏外部監管強制要求密碼升級的「自我治理」科技生態系。
這種組合意味著,NIST 所揭示的緊迫時間表,若無廣泛的社群共識推動,未必會自動轉化為具體行動,而歷史經驗顯示,要達成這種共識一向極其困難。
延伸閱讀: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. 比特幣約有 400 萬顆 BTC 存放在直接暴露的位址
並非所有 Bitcoin(BTC)都承受同樣程度的風險。暴露程度高度取決於資金的存放方式,以及公鑰是否已在鏈上曝光。研究人員已辨識出三類比特幣輸出,其量子風險輪廓有實質差異。
Pay-to-public-key(P2PK)輸出會在鏈上直接曝露公鑰。
這其中包括創世區塊的幣,以及許多早期中本聰時期的輸出。對於從未被花費過的 P2PKH(pay-to-public-key-hash)輸出來說,公鑰隱藏在雜湊值之後,因此在該位址尚未對外發送資金前,不會直接暴露於攻擊。
然而,只要位址曾被用來發出交易,其公鑰就會廣播至全網並永久暴露。
Deloitte 研究人員於 2022 年發表在 arXiv 的一項研究指出,約有 400 萬顆 BTC 存放於已公開公鑰的位址中。
以目前價格估算,約有 3,150 億美元的比特幣,正躺在這些位址裡,只要具實際威脅的量子電腦現身,就能直接從鏈上資料推導出私鑰,既無預警也無補救空間。
重複使用位址的習慣更是大幅放大這個問題。
Chainalysis 的資料一再顯示,許多散戶甚至機構持有人會在多筆交易中反覆使用同一位址,無意間讓自己的公鑰永久暴露在鏈上。
好消息是,只要遵守「每個位址只用一次」這項早已存在許久的最佳實務,就能大幅降低量子暴露風險。壞消息則是,鏈上證據清楚顯示,網絡中仍有相當大一部分參與者並未遵守這項原則。
延伸閱讀: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. 以太坊帳戶模型造成結構上截然不同的暴露型態
Ethereum(ETH)面臨的量子風險輪廓與比特幣明顯不同,這主要源自其帳戶制架構,而非比特幣所採用的 UTXO 模型。
在以太坊中,每一個外部持有帳戶(EOA)只要一簽出往外的交易,公鑰就會被暴露。這代表幾乎所有曾發送過交易的活躍以太坊錢包,其公鑰都已永久公開。
以太坊基金會是在量子議題上公開參與度最高的主流公鏈組織之一。
以太坊共同創辦人 Vitalik Buterin 在 EIP-7560 中提出原生帳戶抽象路線,讓錢包可以採用量子抗性簽章機制,而不必為每位使用者進行硬分叉。
他在 2024 年 1 月發表的〈The Road to a Stateless Client〉部落格文章中也指出,以後量子替代方案取代 ECDSA,是協議安全路線圖的一項「中期優先事項」。
若能落實以太坊的帳戶抽象路線,理論上可讓網絡較平順地遷移到後量子簽章,而不必強迫每位使用者手動操作;但實際執行時程仍相當模糊,也尚未有具約束力的 EIP 被最終定案。
挑戰在於,即便有 EIP-7560,現有的 EOA 仍須主動將資金轉移至採用後量子方案的智慧合約錢包。
對於已遺失助記詞或恢復資訊的使用者,或對那些長期休眠帳戶中的資金而言,在量子威脅真正浮現前完成遷移,恐怕在實務上幾乎不可能。
延伸閱讀: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. 候選後量子演算法對區塊鏈使用情境有已知的取捨
替換 ECDSA 並不是簡單的「直接換掉」動作。NIST 標準化的後量子演算法在效能與資料大小上都有明顯代價,對一向極度優化交易資料體積的區塊鏈系統而言,會帶來真實且棘手的工程挑戰。
CRYSTALS-Dilithium(ML-DSA),做為 NIST 標準化的主要簽章方案,在最低安全等級下,其公鑰長度為 1,312 bytes,簽章為 2,420 bytes。相較之下,ECDSA 的壓縮公鑰為 33 bytes,簽章約 72 bytes。
一篇發表於 IACR Cryptology ePrint Archive、分析區塊鏈應用後量子簽章的論文指出,若天真地直接以後量子簽章取代 ECDSA 使用 Dilithium 將令比特幣交易大小增加約 20 倍,對區塊容量和手續費市場造成嚴重影響。
若以 CRYSTALS-Dilithium 取代比特幣目前使用的 ECDSA 簽章、但維持相同區塊大小,實際可處理的交易吞吐量將減少約 80% 至 90%,在沒有同步調整區塊大小或結構的情況下,這種單純替換在經濟上會極具破壞性。
像 SPHINCS+(SLH-DSA)這類雜湊式簽章在安全假設上最為強健(僅依賴雜湊函式安全性),但其簽章體積更大,在最高安全等級下簽章長度可達 49,856 bytes。
晶格基(lattice-based)方案在目前 NIST 標準中提供了最佳的大小與效能平衡,但也引入了相對較新的數學困難性假設,尚未像橢圓曲線密碼學那樣經過數十年的密碼分析驗證。
以太坊社群亦已探索將 STARK 作為後量子交易驗證的一條可能路徑,藉此利用既有的 ZK-STARK 基礎設施投資。
延伸閱讀: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6.「先收集,後解密」攻擊已經是現實威脅 ** 量子威脅中最常被低估的一面,是攻擊者無需等到量子電腦廣泛可用才開始準備攻擊。
所謂「先收集,後解密」(harvest now, decrypt later,HNDL)策略,是指出於未來解密目的,現在就錄製加密或已簽署的資料,待量子硬體能力足夠時再解密;在非加密貨幣的場景中,這已是獲得紀錄的國家級威脅。
美國國家安全局(NSA)曾發布指引,專門警告 HNDL 攻擊,並指出對手正積極封存所攔截的通訊內容,打算在未來十年間將其解密。
對區塊鏈系統而言,這個類比相當令人警惕:比特幣或以太坊上曾經廣播的每一筆交易,都被永久記錄在人人可訪問的公共帳本上。任何想為未來量子攻擊收集暴露公鑰的一方,已經擁有長達 15 年的資料可供利用。
所有曾在比特幣與以太坊上廣播的交易,都是永久的公共紀錄。具有足夠動機的攻擊者,早已收集了多年來的公鑰資料。「先收集,後解密」攻擊在加密貨幣上的收集階段,從結構上已經完成。
這種態勢意味著,即便量子電腦距離能實際破解 ECDSA 仍有 10 或 15 年之遙,區塊鏈社群也不能等到接近這個門檻時才開始遷移。
共識驅動的協議升級、錢包軟體更新、用戶教育以及實際資金遷移,都需要以「年」而非「月」來計算的準備時間。
CISA(美國網路安全與基礎設施安全局)估計,大型組織在複雜系統上的後量子遷移,應預期需要 5 至 10 年。
延伸閱讀: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. 多個區塊鏈專案已在打造後量子基礎設施 ** 情況並非一面倒地悲觀。越來越多區塊鏈專案把後量子安全視為一級設計考量,它們的作法替傳統鏈日後的遷移路徑提供了前瞻示例。
QRL(Quantum Resistant Ledger)於 2018 年上線,從零開始就採用擴展 Merkle 簽章機制(XMSS),這是一種雜湊式簽章演算法,NIST 也已將其標準化為 SP 800-208。
Algorand(ALGO)已發表後量子遷移路線圖,並在 Falcon 上進行內部研究;Falcon 是一種晶格基簽章方案,也是 NIST 的替補候選演算法。
Cardano(ADA)的研究機構 IOHK,則透過 IOHK 研究資料庫發表了多篇經同儕審查的後量子區塊鏈協議研究。
至 2026 年,至少有三條生產中的區塊鏈網路(QRL、Algorand 與 Cardano (ADA))已公開發表具體的後量子研究或路線圖;相較之下,比特幣與以太坊仍停留在早期討論階段,尚未有具約束力的協議承諾。
以太坊生態受惠於先前在 STARK 型 ZK-rollup 證明系統上的大量投資。
像 StarkWare(STRK)等專案已證明,只倚賴雜湊函式安全、因此具量子抗性的 STARK 證明,可以在大規模環境中用於交易有效性證明。這是否能轉化為以太坊基礎層的量子抗性交易授權仍是未解之題,但相關基礎設施投資並未白費。
延伸閱讀: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. 比特幣社群正面臨前所未有的治理兩難 ** 比特幣遷移至後量子密碼學,首要不是技術問題,而是治理問題。比特幣協議只能透過開發者、礦工、企業和用戶之間的粗略共識來變更;歷史上,即便是毫無爭議的升級都往往耗時數年,而具爭議的升級甚至導致鏈分裂。
Bitcoin Core 開發社群已展開對後量子方案的初步討論。2024 年,比特幣開發者郵件列表上有討論串探討是否能透過軟分叉引入新的後量子簽章類型,類似隔離見證(SegWit)當年以新交易類型方式導入。
核心難題在於,任何後量子簽章方案要嘛需要社群歷來極度排斥的硬分叉,要嘛需設計十分謹慎的軟分叉,讓新的量子抗性輸出與既有 ECDSA 錢包維持向後相容。
比特幣的治理模式,需要在全球分散且理念多元的社群間達成粗略共識,這種結構可能與專家認為必須在未來五年內啟動的密碼學遷移急迫性,存在根本上的不相容。
任何比特幣後量子計畫中最具爭議的一環,是未完成遷移錢包中資產的去向。若量子電腦能夠破解 ECDSA,暴露地址中的資金就會面臨被竊風險。
有研究者提議,在遷移截止日後,將協議規則設定為凍結或銷毀 P2PK 輸出中的幣,以防這些幣落入配備量子電腦的攻擊者之手。
這等於實質沒收未完成遷移持有人之資產,其中可能包括估計約 110 萬枚 BTC 的 **中本聰(Satoshi Nakamoto)**持幣,因此在比特幣社群內被視為高度敏感且政治風險極高的提案。
延伸閱讀: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. 量子硬體發展時程正以快於共識預期的速度加速 ** 預測量子硬體能力的進展極為困難,而區塊鏈社群有時會以時間表的不確定性作為不採取行動的理由。不過,過去三年實際硬體里程碑的走勢,愈來愈難以支撐這種自我安慰。
Google 在 2024 年 12 月宣布,其 Willow 量子處理器的錯誤率已低於容錯量子計算所需的門檻;研究界先前普遍認為,距離達到這個門檻仍需數年。
Willow 在 105 個實體量子位元(physical qubits)下達成低於門檻的錯誤率,隨著量子位數量增加,錯誤率呈指數級下降,而非累積放大——後者正是量子錯誤修正的關鍵挑戰。
IBM 的量子路線圖目標是在 2033 年前達到 100,000 個實體量子位元,自 2020 年起該公司每年的路線圖里程碑均達標或超標。
Google 的 Willow 晶片在 2024 年 12 月達成低於門檻的錯誤修正表現,比多數專家預測提早了數年。從 105 個量子位元到估計破解比特幣 ECDSA 所需的 3.17 億個仍有巨大差距,但這項錯誤修正突破已移除最根本的可擴展性障礙。
關鍵差異在於實體量子位元與邏輯量子位元(logical qubits)。破解比特幣 ECDSA 需要能可靠執行 Shor 演算法的邏輯量子位元,而每一個邏輯量子位元都需要數百到數千個實體量子位元進行錯誤修正。
薩塞克斯大學的估算指出,在假設現有錯誤修正開銷的情況下,需要約 3.17 億個實體量子位元。若錯誤率顯著改善,所需實體量子位元數量將按比例下降。
RAND 公司 2023 年報告所引用的學界研究共識,是具「密碼學相關」能力的量子電腦最可能在 10 至 20 年內出現,但不確定範圍足夠大,以致無法排除 2030 年前突破的可能性。
延伸閱讀: CHIP Volume Now Outpaces Market Cap As Traders Pile In **10. 加密貨幣持有人現在應該採取哪些行動以降低量子風險 ** 對個人持有人與機構而言,participants,量子威脅並不是應該恐慌的理由,而是應該以知情、主動的「安全衛生」來面對的理由。在協議層面的後量子升級正式部署之前,有數項具體行動已能顯著降低風險曝露。
最有效的個人行動,是停止重用地址,並將資金從 P2PK 輸出,以及從曾經簽署過交易的地址中遷出。
把比特幣轉到一個全新的 P2WPKH(原生 SegWit)地址,而且該地址從未用來發送資金,可以把公鑰隱藏在 SHA-256 與 RIPEMD-160 雜湊之後,在短期內提供有意義的保護。
2022 年在 IACR ePrint Archive 上發表的一項分析證實,未經雜湊的公鑰,是比特幣持有人在短期內面臨的主要量子攻擊面。
對以太坊使用者而言,遷移到 ERC-4337 帳戶抽象錢包,讓其在未來能升級為後量子簽名方案,能讓持有人在未來的協議遷移中處於有利位置。
把比特幣轉到一個全新、從未使用過、且從未簽署過任何支出交易的原生 SegWit 地址,可以隱藏公鑰,並在未來十年內任何可能出現的量子威脅下,提供實質保護。
機構持有人則面臨額外責任。
Electric Capital 的開發者報告一再指出,相對於管理的資產規模,加密原生公司的安全基礎設施團隊,比起傳統金融機構要小得多。
建立內部的密碼學資產清單、搞清楚哪些託管方案採用 ECDSA、哪些採用其他替代方案,並與硬件錢包製造商溝通其後量子路線圖,都是今天就可以做到、且合理的風險管理步驟。
包括 Ledger 和 Trezor 在內的硬件錢包廠商,都已在公開文件中承認量子威脅的存在,但在生產環境的韌體中,尚未提供後量子簽名支援。
延伸閱讀:BTC 11 週以來首度突破 79,000 美元,成交量激增
結論
後量子密碼學對區塊鏈產業而言,並不是遙遠且純理論的議題。它是一項正在進行中的工程與治理挑戰,監管時鐘已經開始計時,而硬件發展路線更一再超出專家原本的樂觀預期。
NIST 在 2024 年 8 月定案的標準,是全球頂尖密碼學權威所釋出的最明確訊號:遷移並非可有可無,而是必須,且規劃的時間就是現在。
核心張力來自結構設計。比特幣與以太坊分別是為 2008 年與 2015 年的威脅模型而設計,要升級其密碼學基礎,就必須通過治理流程,而這些流程的時間尺度是以「年」而非「月」來計算。
曝露中的地址裡有 400 萬顆 BTC、每一筆曾經廣播過的交易都永遠記錄在公開帳本上,再加上量子硬件開發速度持續加快,這些都指向一個日益收窄的有序遷移窗口。
今天就嚴肅面對後量子標準、建立內部專業能力、參與協議討論、並將持有資產遷移到較低曝露配置的項目,在未來會比那些等待「萬事明朗」才行動的項目,擁有好得多的處境。
傳統運算領域中歷次密碼演算法轉換的歷史,提供了一個值得警惕的教訓。從 MD5 遷移到 SHA-2,或從 RSA-1024 遷移到 RSA-2048,即便在強而有力的監管壓力、且沒有治理爭議的情況下,整個產業仍然花了好幾年持續努力。
區塊鏈的去中心化治理模式,讓同等規模的轉換,難度至少高上一個數量級。
這個以「做自己的銀行」為傲的產業,如今必須證明自己也能成為自己的密碼學標準制定機構,並且要在硬件追上來之前做到。
延伸閱讀:Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates