Quantum computing 對加密貨幣產業而言已不再只是理論層面的擔憂。
IBM、Google、Microsoft 在硬體上不斷加速突破,再加上 National Institute of Standards and Technology(NIST)在 2024 年 8 月完成後量子密碼標準,以及各大區塊鏈幾乎完全缺乏協調一致的遷移計劃,三者結合之下,形成了一個不斷擴大的疊加式安全缺口,而且每一季都在惡化。
相關風險既具體又可量度。單是 Bitcoin (BTC) 截至 2026 年 4 月 23 日的市值就約為 1.56 兆美元。學術研究估計,大約 25% 至 40% 的流通 BTC 位於其公鑰已在鏈上曝光的地址中,一旦出現足夠強大的量子電腦,這些代幣在理論上都可能被攻擊。
TL;DR
- NIST 在 2024 年 8 月敲定三項後量子密碼標準,正式釋出訊號:從傳統密碼方案遷移是當務之急,而非遙遠的未來議題。
- Bitcoin、Ethereum 及多數主流區塊鏈仍依賴橢圓曲線密碼學,足夠強大的量子電腦可以將其破解,暴露鏈上以兆計美元的價值。
- 可信的「現在蒐集、未來解密」(harvest now, decrypt later)攻擊策略,代表對手可能已在蒐集加密的區塊鏈資料,等待量子硬體成熟後再解密。
加密貨幣的密碼學骨幹已是已知風險
幾乎所有主流加密貨幣都依賴兩種直接受量子運算威脅的密碼學原語。第一是 橢圓曲線數位簽章演算法(ECDSA),用於 Bitcoin、Ethereum (ETH) 及數百條衍生鏈的交易簽署。第二是 Bitcoin 工作量證明與地址生成所使用的 SHA-256 雜湊函數。兩者的量子攻擊向量已在多篇經同儕審查的文獻中被詳細研究。
Sussex 大學 Mark Webber 團隊在 2022 年發表的里程碑論文 estimated 指出,約 317 個「邏輯量子位元」的量子電腦,便可在一小時內破解單一 Bitcoin 交易;若要在 10 分鐘出塊時間內完成,則需要約 1,300 萬個邏輯量子位元。
這個目標超出目前硬體能力,但量子位元數量的成長速度並非遙不可及。
Webber 等人提出「317 個邏輯量子位元、一小時破解 ECDSA」的估算,以硬體規模具體框定了威脅,若依當前擴充路線,在本世代內有機會達成。
1994 年被發現的 Shor 演算法 仍是攻擊 ECDSA 的理論引擎。它能在量子電腦上以多項式時間解離散對數問題,而傳統電腦則需指數時間。隨著硬體廠商不斷宣布量子位元突破,理論漏洞與實際利用之間的落差正逐步縮小。倘若投資者仍把這看作遙遠風險,便是在錯估一項監管機構與標準制定單位早已正式承認的結構性風險。
Also Read: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
NIST 的後量子標準是監管起跑槍
2024 年 8 月 13 日,NIST published 首批三項最終版後量子密碼標準:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)、FIPS 204(ML-DSA,原 CRYSTALS-Dilithium),以及 FIPS 205(SLH-DSA,原 SPHINCS+)。
在隨附聲明中,NIST 明確要求各組織立即啟動遷移,不要等待後續標準。
這是一個重要的監管訊號。NIST 標準在美國金融基礎設施中具有事實上的合規地位,包含 Cybersecurity and Infrastructure Security Agency(CISA)在內的多個機構其後也 issued 指引,要求關鍵基礎設施營運者盤點其密碼學資產。
廣義來說,加密基礎設施在多個司法管轄區都屬於關鍵金融基礎設施,但至今沒有任何主要 Layer 1 區塊鏈在此後公布具約束力的遷移時間表。
NIST 於 2024 年 8 月發出的「立即遷移」指令,是迄今最明確的官方訊號:後量子密碼學是當前的營運議題,而非只供研究的未來主題。
這三項最終標準皆基於被認為對傳統與量子電腦都困難的數學問題。ML-KEM 建立在模組化錯誤學習(MLWE)問題上;ML-DSA 與 SLH-DSA 分別是格基與雜湊基方案。第四項標準 FALCON(現稱 FN-DSA,FIPS 206)則在隨後數月完成。區塊鏈產業對這些文件幾乎毫無回應,最低限度是治理失職,更嚴重則是對資產持有人構成實質風險。
Also Read: Ethereum Nears $2,450 Showdown As Bulls And Bears Split On Next Move
3. 「現在蒐集、未來解密」威脅已在運作中
最遭低估的量子威脅向量之一,今日根本不需要先進量子硬體。這種策略稱為「harvest now, decrypt later」(HNDL),即對手現在先蒐集並儲存加密資料與已簽署交易,待量子硬體成熟後再解密。對設計上公開且不可變的區塊鏈網路來說,HNDL 絕非假設情境。
每一筆曾在 Bitcoin 或 Ethereum 廣播的交易,都永久儲存在全球成千上萬個節點上。任何實體,包括國家級行為者,都可以以極低成本歸檔完整交易歷史。Global Risk Institute 在 2023 年的報告 assessed 指出,到 2030 年出現「具量子相關性」且可破解現行加密的機器機率為 17%,到 2034 年則為 50%。
對於鏈上記錄永存的資產而言,這樣的機率絕不容忽視。
Global Risk Institute 2023 年威脅時間表預估,2034 年前出現具密碼學相關性的量子電腦的機率為 50%,這落在許多當前持有人的投資視野之內。
在區塊鏈情境中,HNDL 的主要憂慮並非過去的已確認交易,因為一筆已確認的 Bitcoin 交易本身就揭露了公鑰與轉帳金額。
更深層的風險在於重複使用地址、多重簽章方案中已曝光的公鑰,以及任何讓對手能利用蒐集到的公鑰,日後推導出私鑰 並清空錢包的系統。鑑於許多錢包 UX 設計讓地址重複使用成為常態,已曝光地址的規模相當可觀。
Also Read: 26 Trojan Crypto Wallet Apps Infiltrated Apple's App Store, Kaspersky Warns
有多少 Bitcoin 地址已經曝光?
Bitcoin 在量子面向下的具體攻擊面,可以透過鏈上分析量化。Deloitte Netherlands 研究人員於 2023 年在 arXiv 發表的研究 found 顯示,約有 400 萬枚 BTC——當時流通量的約 25%——存放於 Pay-to-Public-Key(P2PK)地址,或是已重複使用且公鑰已在鏈上曝光的 Pay-to-Public-Key-Hash(P2PKH)地址。
早期 Bitcoin 輸出(包含 Satoshi Nakamoto 挖出的區塊)使用的 P2PK 格式,會在 scriptPubKey 中直接存放完整公鑰,這等於將量子攻擊者運行 Shor 演算法破解 ECDSA 所需的輸入直接放在鏈上。
只要重複使用的 P2PKH 地址被花費一次,公鑰便會曝光;多年來欠佳的錢包 UX 鼓勵用戶重複使用地址,使得大量 Bitcoin 用戶落入這一情況。
Deloitte 2023 年的鏈上分析指出,約有 400 萬枚 BTC 存放在直接曝光公鑰的地址格式中,構成 Bitcoin 網路在量子攻擊下最立即、最脆弱的攻擊面。
Ethereum 的攻擊面同樣龐大。任何曾發送過至少一筆交易的 Ethereum 錢包,依定義其公鑰已經曝光。Ethereum Foundation 在公開路線圖中已 acknowledged 量子風險,並將後量子遷移列為「future-proofing」章節下的長期目標,但尚未指定具體時間表或測試網實作。對一條承載數千億美元用戶資產的網路而言,「長期目標」難以對應「到 2034 年有 50% 機率」的風險曲線。
Also Read: Bitmine Surpasses 4% Of Circulating ETH As Accumulation Continues
量子硬體里程碑正在壓縮時間表
自 Shor 在 1994 年發表論文以來,量子運算帶來的理論威脅早已存在。過去 24 個月真正變化的是硬體發展速度,這種加速正將「理論能力」與「實際部署」之間的落差壓縮到必須嚴肅重估時間表的程度。
2023 年 12 月,Google DeepMind 的量子團隊 published 結果顯示,一個 70 量子位元系統首次達成低於門檻的錯誤更正,這是在大規模運行 Shor 演算法所需的合乎條件邏輯量子位元數量之前,一個關鍵的先決條件。
在 2024 年 11 月,Google announced Willow 量子晶片,聲稱其在不到五分鐘內完成了一項特定基準運算,而經典超級電腦則需要 10 澗年才能完成。
IBM 目前在其 quantum development site 上發布的路線圖,目標是在 2033 年前實現擁有數千個邏輯量子位元的「實用級」量子運算。
Google 於 2024 年 11 月發佈的 Willow 晶片,以及 IBM 公布的、以 2033 年前達成數千邏輯量子位元為目標的路線圖,代表了具體的硬件里程碑,將量子威脅時間表從「數十年之後」縮短至「本世代內」。
Microsoft 透過其 Azure Quantum research division 宣布的拓撲量子位元路線,目標是達成比現有超導量子位元架構低數個數量級的錯誤率,從而有望加速實現對密碼學具實質影響的量子電腦。單一硬件公告本身並不足以證明威脅已迫在眉睫。
然而,綜合來看,跨多個獨立研究計劃的進展速度,明顯快於大多數在 2023 年前撰寫的區塊鏈治理文件中所採用的基準假設。
Also Read: TRON Connects $85B USDT Network To LI.FI In Cross-Chain DeFi Push
遷移問題在技術與政治上都十分棘手
即使區塊鏈產業今天就決定全面遷移到後量子密碼學,技術與治理層面的挑戰仍然相當巨大。作為主要網絡中去中心化程度最高的一個,比特幣面臨的是這個問題最嚴峻的版本。
要變更比特幣的簽章機制,需要進行軟分叉或硬分叉;兩者都必須在礦工、節點營運者、錢包開發者及交易所之間,達成超級多數的協調,而以過往經驗而言,即便是遠為簡單的升級,也往往需要多年時間才能實現。
2017 年的 SegWit 啟用,只是相對輕微的結構性改動,卻也花了兩年多的激烈辯論,才達成所需的 95% 礦工訊號門檻。簽章機制的遷移則會帶來質的不同程度衝擊,影響到生態系中每一個錢包、交易所熱錢包、硬件錢包韌體,以及各種自訂託管解決方案。
IETF 密碼論壇研究小組(IETF Crypto Forum Research Group)於 2021 年的一篇論文中noted,ECDSA 在整個網際網路基礎設施中的深度結構整合,並將協調遷移形容為「史上最複雜的密碼學轉換之一」。
SegWit 的先例說明,比特幣治理的運作時間尺度以「年」為單位;這意味著,一個尚未啟動的後量子遷移,有可能無法在量子威脅視窗真正到來前完成。
以帳戶為基礎的以太坊模型,則提供了稍高一點的彈性。以太坊基金會的後量子路線圖中,包含「抗量子 account abstraction」的概念,讓錢包能遷移到新的簽章機制,而無需對現有帳戶進行底層硬分叉。
然而,這種做法要求每一位使用者都主動遷移自己的錢包,而歷次以太坊升級的參與數據 shows,被動用戶一貫無法在沒有「強制淘汰機制」的情況下,及時採用具破壞性的變更。
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
後量子區塊鏈正在被打造,但仍屬小眾
少數區塊鏈專案已嚴肅看待量子威脅,從一開始就將後量子密碼學納入底層協議之中。這些專案目前仍屬小眾,但在技術上,它們是業界最清晰的概念證明,說明打造「抗量子」區塊鏈在技術面是可行的。
QRL(Quantum Resistant Ledger) 在 2018 年推出主網,成為第一條在生產環境中使用 eXtended Merkle Signature Scheme(XMSS) 的區塊鏈,這是一種被 NIST 納入評估流程的雜湊式簽章演算法。QRL 協議在任何層面都不使用橢圓曲線密碼學。IOTA 則在其 Rebased 架構下,moved 朝納入後量子簽章機制邁進,包括 Ed448 及以格基為基礎的構造。Algorand 已發表關於後量子狀態證明的 research,並在其密碼工具集中加入了基於 Falcon 的簽章選項。
QRL 在 2018 年主網上線,證明只使用雜湊式簽章的生產區塊鏈在技術上是可行的,但其不到 1 億美元的市值,卻凸顯了「技術健全性」與「市場採用」之間的鴻溝。
這些專案的挑戰,不在於技術可信度,而在於網絡效應。比特幣與以太坊之所以主導市場,是因為其流動性、開發者生態、機構託管基礎設施及監管熟悉度;這些優勢,並非一條「抗量子但缺乏流動性」的新鏈能輕易複製。對整體生態而言,更現實的遷移路徑,是在既有鏈上增設後量子簽章選項;這也是 NIST FIPS 204(ML-DSA)等專案在設計時明確要支援的方向。問題在於,執行這種「改裝工程」的政治意願,是否會在硬件威脅真正到來前出現。
Also Read: PENGU Token Gains 5.7% As Pudgy Penguins Expands Beyond NFTs
交易所與託管基礎設施面臨截然不同的量子風險
具有量子曝險的,並不只有散戶持幣者。中心化交易所與機構級託管方,同樣面臨一種在某些方面更為劇烈的威脅。因為它們的安全模型,和個人錢包一樣,建立在 ECDSA 基礎設施之上,但價值集中度卻高出數個數量級。
一家大型交易所若持有數十億美元的比特幣與以太坊熱錢包資金,出於營運必要,必須讓私鑰能被自動化系統存取,以便為交易簽章。這些私鑰被儲存在硬件安全模組(HSM)及以經典密碼學假設為基礎的金鑰管理系統中,在後量子世界裡,將成為攻擊目標。Chainalysis 的數據 shown,自 2012 年以來,交易所駭侵事件已累積造成逾 100 億美元損失,而這些攻擊完全是在沒有量子電腦的情況下達成。若再將「透過量子計算回復私鑰」納入威脅模型,託管安全問題將變得更加棘手。
Chainalysis 的數據記錄,自 2012 年以來,僅憑經典攻擊手法就造成超過 100 億美元的交易所駭侵損失,這為託管脆弱性提供了一個基準;若再加入量子私鑰回復能力,風險將被大幅放大。
主導機構級加密託管市場的 HSM 供應商,包括 Thales、AWS CloudHSM 與 Entrust,都已意識到後量子轉換的需求。NIST 的遷移指引也明確談及 HSM 汰換時間表。然而,在一家擁有數百萬客戶錢包的全球性交易所中,全面輪替金鑰管理基礎設施的營運複雜度極高,至今仍未見任何主要交易所公開承諾或披露相關時間表。由於監管機構並未要求就「量子準備度」進行揭露,投資者無從透過公開文件評估託管方的量子風險。
Also Read: They Bet On Their Own Elections, Kalshi Just Handed Them 5-Year Bans
國家級行為者與量子加密攻擊的地緣政治面向
量子對加密貨幣帶來的威脅,不只是單純的技術問題,也具有一個在公開討論中,投資者與政策分析人士普遍忽略的地緣政治面向。國家級量子計劃——特別是中國、 美國,以及程度稍低的俄羅斯與歐盟——其資金規模遠遠超過私營部門研究,而且相關能力往往屬於機密。
中國的國家級量子計算計劃被納入「十四五規劃」(2021–2025)及其後續規劃當中,國家在量子研究上的投資,被喬治城大學「安全與新興科技中心」(Center for Security and Emerging Technology)reported 為在五年計劃期間超過 150 億美元。中國人民銀行(PBoC)旗下的研究部門,也已發表數篇關於金融密碼學量子攻擊時間表的論文。若某個機密量子計劃在學術界公開進展之前,就已達到破解密碼學的門檻,最早的跡象很可能是「悄然掏空易受攻擊的比特幣地址」——在鑑識分析確認攻擊向量之前,這在表面上將和一場高度複雜的傳統駭侵事件毫無二致。
喬治城大學的 CSET 記錄,中國在單一五年規劃周期內的量子國家投資就超過 150 億美元;這樣的資金規模,有可能使其在公開學術時間表之前,就發展出機密的量子能力。
美國政府機構在回應這項威脅方面,其實走在私營加密產業前面。管理與預算局(Office of Management and Budget,OMB)issued 於 2022 年 11 月發佈的備忘錄 M-23-02,指示所有聯邦機構在 2023 年前完成密碼系統盤點並開始遷移規劃。國家安全局(NSA)亦已發佈其針對國安系統的後量子遷移指引。政府反應的迫切程度與私人加密基建的自滿之間的落差非常明顯,值得行業認真看待。
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
可信產業回應的樣貌,以及我們距離有多遠
為區塊鏈行業描繪一個負責任的量子遷移計劃,可以具體呈現目前狀態與充分準備之間的距離。根據 NIST 的指引、學術研究,以及類似基礎設施遷移的時間表,一個可信的回應需要在大約八至十年間完成五個明確階段。
第一階段是密碼審計:每個協議團隊、交易所和託管機構都必須盤點所有正在使用的密碼原語、金鑰長度、公鑰是否已暴露,以及所有需要修改的系統相依關係圖。第二階段是後量子演算法選型:根據具體使用情境的效能與安全取捨,在 ML-DSA、SLH-DSA 和 FN-DSA 之間作出選擇。一篇易讀的學術比較已由 IACR 密碼學 ePrint Archive 的研究人員於 2022 年發表,就 NIST 決賽演算法提供了基準測試。第三階段是在測試網與預備環境部署。第四階段是協調一致的主網啟用。第五階段則是冗長的用戶遷移過程,特別是對於使用已暴露金鑰位址格式的鏈。
IACR 於 2022 年發表的基準測試研究,針對後量子決賽演算法提供具體效能比較,讓協議團隊無須等待進一步標準化,就能在今天作出演算法選擇決策。
比特幣核心開發社群已提出兩項相關的 Bitcoin 改進提案。BIP-360 由 Hunter Beast 及其合作者於 2024 年底提出,說明一種使用 CRYSTALS-Dilithium 作為預設簽名方案的「Pay to Quantum Resistant Hash(P2QRH)」地址格式。
截至 2026 年 4 月,BIP-360 仍處於草案狀態,尚未提出任何啟用機制。以太坊的後量子路線圖則發佈於以太坊基金會的路線圖頁面,承認長期需要使用 Winternitz 一次性簽章或基於 STARK 的認證作為解決方案,但將這些項目歸入「splurge」類別,即目前路線圖框架中優先度最低的一籃子改進。
考慮到第五節所記錄的硬體時間線,這種優先順序安排理應受到強而有力的質疑。
Read Next: 35% Of European Investors Would Ditch Their Bank For Crypto Access
結論
量子運算對加密貨幣構成的威脅是真實存在的、有文獻支持的,而且正在一條這個行業尚未內化的時間線上快速推進。
NIST 已於 2024 年 8 月完成其後量子標準的制定並指示立即開始遷移。各國的量子計劃以極高經費規模運作,其機密能力將先於公開學術基準而出現。當前流通中的比特幣,約有 25% 至 40% 儲存在其公鑰已於鏈上暴露、可被收集的地址中。這些都不是臆測,而是可被引用、量化,並以第一手官方文件為依據的事實——協議團隊、交易所合規部門及機構託管服務供應商早已具備閱讀這些文件的時間。
行業缺乏的不是資訊,而是緊迫感。這種模式在其他緩慢醞釀的安全危機中早已見怪不怪。
組織往往要到發生災難性事件,或是面臨不得不遵守的監管期限時,才會從脆弱系統上遷移。
在量子這個案例中,災難性事件會以無聲無息的形式出現:某個擁有機密量子機器的國家級行為者,悄悄把已曝光的比特幣地址資金全部抽乾,不會事先預警,也缺乏足夠清晰的鑑識證據,去在嚴重損害發生前觸發一場協調一致的行業應對。
比特幣和以太坊的治理結構並不是為「危機速度」的共識而設計的,這代表即便硬體威脅尚未真正抵達,有序遷移的窗口也正在收窄。
本分析帶出的建設性含義,是量子轉型實際上創造了一個真正的研發機會。率先整合後量子簽章方案的協議團隊、公開發佈透明量子準備路線圖的交易所,以及在監管要求出台前就升級其 HSM 基礎設施的託管機構,當威脅變得無法再被忽視時,都將處於實質更強的競爭位置。研究已完成,標準已發佈,剩下的是治理工作——而這項工作必須現在就開始。