隨著量子運算的進展迫使密碼學家重新思考數位安全的數學基礎,加密貨幣產業面臨一個獨特且迫切的問題:要如何在不破壞既有網路安全性的前提下,將鎖在橢圓曲線密碼學背後、價值數十億美元的資產,遷移到 quantum-resistant signature schemes?
量子對加密貨幣的威脅:真實存在但尚未迫在眉睫
Bitcoin (BTC) 和 Ethereum (ETH) 都依賴一種稱為 ECDSA 的簽章演算法,建構在 secp256k1 橢圓曲線之上,用來證明資金的所有權。每一筆交易的安全性都取決於一個單一的數學假設:對傳統電腦而言,從公開金鑰推導出對應的私鑰在計算上是不可行的。
數學家 Peter Shor 在 1994 年首次發表的 Shor 演算法,擊碎了這項假設。
若能在足夠強大的量子電腦上執行,它會將橢圓曲線離散對數問題的難度降到多項式時間——也就是說,它可以以足夠快的速度萃取私鑰,耗盡任何其公開金鑰已在鏈上曝光的錢包資金。
實際能執行該攻擊的硬體目前尚不存在。當前估計顯示,要破解 secp256k1,大約需要 2,330 到 2,500 個邏輯量子位元,相當於約 1,300 萬個實體量子位元,才能在一天內完成攻擊。如今最先進的量子處理器也只有略高於 100 個量子位元。
另一個常被提及的量子威脅 Grover 演算法,攻擊的是雜湊函式而非簽章。它只帶來平方級的加速,將 SHA-256 的安全強度從 256 位元降到 128 位元——仍然需要 2 的 128 次方次運算,依然牢牢處在實務上不可破解的領域。
比特幣的工作量證明機制並不受到量子運算威脅;受到威脅的是它的簽章方案。
對時間表的看法,在樂觀派與悲觀派之間有明顯分歧。
Jensen Huang,Nvidia 執行長,認為實用的量子電腦「大概還有二十年」。
Adam Back,Blockstream 執行長與 cypherpunk,則否定短期警告,主張將時間點設在 2028 年是不切實際的。
另一邊,Shohini Ghose,Quantum Algorithms Institute 技術長,則警告社群警覺性不足,指出自從量子運算被提出的那一刻起,所有既有的公開金鑰密碼學在概念上就已變得脆弱。
Global Risk Institute 在 2024 年對 32 位專家的調查,給出在十年內出現具密碼學關聯性的量子電腦的機率為 19% 到 34%,較 2023 年的 17% 到 31% 上升。多數專家將最可能的時間窗落在 2030 年代前中期。
延伸閱讀: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
什麼是「後量子密碼學」?
後量子密碼學(Post-Quantum Cryptography,PQC)指的是一系列被設計用來同時抵禦傳統與量子電腦攻擊的密碼演算法。
與依賴量子力學本身進行金鑰分配的量子密碼學不同,PQC 完全在傳統硬體上運作。對區塊鏈而言,這個差異極為關鍵,因為這表示現有節點與錢包可以在不使用專用量子設備的情況下採用這些方案。
經過數十年的學術研究,已經出現了五大類主要的 PQC 演算法族群。
每一類都採用根本不同的數學路徑,構造出量子電腦無法有效求解的問題,同時在簽章大小、計算速度與安全假設上各有取捨。
延伸閱讀: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
格基密碼學:領先的主流方案
格基(lattice-based)方案在後量子領域中占據主導地位。兩個最突出的演算法——用於金鑰封裝的 CRYSTALS-Kyber(現已標準化為 ML-KEM)與用於數位簽章的 CRYSTALS-Dilithium(現為 ML-DSA)——其安全性來自「模組化帶誤差學習問題」(Module Learning With Errors, Module-LWE)。簡化來說,這涉及從一組帶雜訊的線性方程組中,復原定義在結構化數學格上的秘密向量。
其底層運算可化簡為多項式運算與雜湊計算,使格基方案快速且容易在各種硬體平台上實作。
在最低安全等級下,ML-DSA 產生的簽章約為 2,420 位元組,公開金鑰為 1,312 位元組,大約是目前 ECDSA 精簡 64 位元組簽章的 38 倍。
這樣的大小增加對大部分網路應用而言仍可接受。但對區塊鏈來說,交易中的每一個位元組都會直接影響吞吐量與手續費,這就成了一個嚴峻的工程限制。
延伸閱讀: Hyperliquid Hits 44% Of All Perp DEX Volume
雜湊基簽章:最保守但代價高昂
雜湊基密碼學在所有 PQC 家族中,提供最保守、最穩健的安全保證。現已標準化為 SLH-DSA 的 SPHINCS+,完全仰賴雜湊函式本身的性質,沒有任何可能被未來數學突破擊潰的代數假設。
該方案建構出密碼學家所稱的「超樹」(hypertree)——由一次性 Winternitz 簽章串接多層 Merkle 樹構成的分層結構——從而允許單一金鑰配對進行無限制、無狀態的簽章。
代價相當嚴重。
SLH-DSA 產生的簽章大小,依所選參數組合不同,大約從 7,856 位元組到 49,856 位元組不等,而簽章流程大約比格基替代方案慢 100 倍。
其有狀態變體 XMSS 則能產生較為精簡的簽章,約落在 2,500 到 5,000 位元組,但需要嚴格追蹤哪些一次性金鑰已被使用。一旦重複使用金鑰,就會徹底摧毀所有安全保證。
對區塊鏈而言,雜湊基方案形成一個悖論:它們擁有所有 PQC 家族中最強的安全假設,但其簽章尺寸可能讓其在高吞吐量鏈上難以實用。
延伸閱讀: Circle Wants The EU To Let Stablecoins Settle Trades
代碼基與其他路線:優勢與潰敗
代碼基密碼學以 Classic McEliece 為典型代表,建立在解碼隨機線性碼的困難度之上——這個問題最早於 1978 年被提出,並在四十年的持續密碼分析下依舊屹立不搖。
它的公開金鑰非常巨大,從 261 KB 到 1.3 MB 不等,但密文卻很小,只有 128 到 240 位元組。較新的代碼基方案 HQC 則在 2025 年 3 月被 NIST 選為備用金鑰封裝機制。
多變量多項式密碼學則依賴在有限體上求解多變量二次方程組的 NP 困難性。
此家族的領先候選 Rainbow 在 2022 年 2 月遭研究員 Ward Beullens 徹底攻破,他使用一般筆電在 53 小時內就復原出秘密金鑰。
基礎的 UOV 方案尚存,一種精簡分支 MAYO 則在 2024 年 10 月進入 NIST 第二輪的額外簽章競賽。
等距同構(isogeny)基密碼學遭遇更為戲劇性的崩潰。曾提供所有 PQC 候選中最小金鑰(約 330 位元組)的 SIKE,在 2022 年 8 月被 KU Leuven 的 Wouter Castryck 與 Thomas Decru 發表的經典金鑰恢復攻擊摧毀,該攻擊利用數學家 Ernst Kani 在 1997 年提出的一項定理。
SIKEp434 在單一 CPU 核心上一小時內即告淪陷。雖然像 SQISign 與 CSIDH 這類新方案的研究仍在持續,但沒有任何等距同構基演算法留在 NIST 的主流標準化競賽中。
延伸閱讀: A $30M Pharma Company Just Bought $147M Of One Crypto Token
NIST 歷時八年的標準化長征
NIST 於 2016 年 12 月啟動其後量子密碼標準化流程,並在 2017 年 11 月前收到 69 項候選提交。接著歷經三輪公開密碼分析,在此過程中成功揭露 Rainbow 與 SIKE 的致命缺陷。
此流程最終在 2024 年 8 月 13 日告一段落,並發布首批三項最終標準。
以 Kyber 為基礎的 FIPS 203,以 ML-KEM 之名處理金鑰封裝;以 Dilithium 為基礎的 FIPS 204,作為名為 ML-DSA 的數位簽章標準;以 SPHINCS+ 為基礎的 FIPS 205,則提供稱為 SLH-DSA 的替代雜湊基簽章標準。
第四項標準 FIPS 206 則以 FALCON 演算法為基礎,於 2025 年 8 月進入草案核准程序,預期會在 2026 年底或 2027 年初完成定案。
FALCON 產生的簽章約為 666 位元組——大約是 ECDSA 的 10 倍,而非 Dilithium 所需的 38 倍。 — 使其成為目前最精簡的後量子簽章方案,以及區塊鏈應用的最強候選人。
NIST 專案負責人 Dustin Moody urged 各組織應儘快開始轉換。
NSA 的 CNSA 2.0 架構要求:到 2030 年,軟體簽署必須完全採用後量子演算法;到 2033 年,網路基礎設施也必須全面導入。NIST 本身也計畫在 2035 年前完全淘汰橢圓曲線密碼學。美國政府預估這次遷移的總成本約為 71 億美元。
延伸閱讀:Polymarket Bans Insider Trading
比特幣的 BIP-360:量子防護罩與治理障礙
比特幣目前最重要的量子抗性提案是 BIP-360,由 MARA 的 Hunter Beast、Ethan Heilman 以及 Isabel Foxen Duke co-authored。
該提案於 2024 年 6 月提出,並在 2025 年初合併進官方 BIP 儲存庫,創建了一種新的輸出類型:Pay-to-Merkle-Root(P2MR),使用帶有 bc1z 位址的 SegWit 版本 2 輸出。P2MR 移除了 Taproot 中易受量子攻擊的 key-path 花費路徑,為未來增加具體 PQC 簽章機制(如 ML-DSA 或 SLH-DSA)的軟分叉建立模組化基礎。
2026 年 3 月 20 日,BTQ Technologies 在其 Bitcoin Quantum Testnet v0.3.0 上 deployed 首個可運作的 BIP-360 實作,包含完整的 P2MR 共識規則、五種 Dilithium 後量子簽章 opcode,以及端到端錢包工具。
該測試網吸引了超過 50 名礦工,並處理了逾 10 萬個區塊。
Chaincode Labs 在 2025 年 5 月的一份分析中指出,比特幣的 PQC 相關計畫仍處於早期且偏探索的階段。
簽章大小問題是最大障礙之一。典型的比特幣交易使用 ECDSA 約 225 位元組。若將其中約 72 位元組的簽章換成 Dilithium2 的 2,420 位元組簽章加上 1,312 位元組公鑰,每個輸入將額外增加約 3,700 位元組——約為目前整筆交易大小的 16 倍。
研究人員預估,在許可式測試網上吞吐量將下降 52–57%,在無許可網路上可能降至 60–70%,手續費則將上升兩到三倍。FALCON-512 較為精簡的簽章可將影響降至約每筆交易 7 倍,使其成為區塊鏈部署的最強候選方案。
比特幣保守的治理文化讓挑戰更加複雜。SegWit 花了約 8.5 年才被廣泛採用,Taproot 則耗時 7.5 年。
具爭議性的 QRAMP 提案,打算設定一個最後期限,之後舊位址格式中的幣將無法花費,凸顯前方治理上的雷區。
同時,約 650 萬枚 BTC sit 於易受量子攻擊的位址中,其中包含估計約 110 萬枚位於中本聰已曝光的 P2PK 位址。
延伸閱讀:Larry Fink Says Tokenization Is Where The Internet Was In 1996
以太坊的帳戶抽象提供更乾淨的路徑
以太坊在 2026 年初明確 moved 方向。
1 月 23 日,Ethereum Foundation 正式將後量子安全提升為最高戰略優先事項,並成立由密碼工程師 Thomas Coratger 領導的專責 PQ 團隊。
資深研究員 Justin Drake 宣布,經過多年低調的研究與開發後,管理層已正式將 PQ 安全列為基金會最高戰略優先事項,並補充說時程正加速,現在是「全力 PQ」的時候。基金會為此提供 200 萬美元資金,分別投入 Poseidon Prize 與 Proximity Prize 以支持 PQC 研究。
Vitalik Buterin 於 2026 年 2 月 26 日 unveiled 一套全面的量子抗性路線圖,鎖定以太坊技術堆疊中四大脆弱環節:共識層的 BLS 簽章將改以具量子抗性的雜湊式簽章並搭配 STARK 聚合;KZG 承諾將改為量子安全的 STARK;外部帳戶(EOA)的 ECDSA 簽章將透過原生帳戶抽象來處理;應用層的零知識證明則會從 Groth16 遷移到 STARK。
關鍵的啟用機制是 EIP-8141,又稱「Frame Transactions」,由 Buterin 等人共同撰寫。它將以太坊帳戶從固定的 ECDSA 簽章中解耦,允許每個帳戶自行定義驗證邏輯——不論是量子安全簽章、多重簽章,或金鑰輪換皆可。
與比特幣可能需要硬分叉不同,EIP-8141 透過原生帳戶抽象 achieves 這一點,提供一條從橢圓曲線密碼學通往後量子安全系統的「下匝道」,而不必一次性強迫整個網路遷移。該提案預計於 2026 年底的 Hegotá 硬分叉中實施。
延伸閱讀:Strategy Opens $44B In New ATM Capacity
Algorand 與 QRL 領跑量子就緒區塊鏈
Algorand (ALGO) 於 2025 年 11 月 3 日在主網上 executed 第一筆在公有鏈上完成的後量子交易,使用 NIST 遴選的 FALCON-1024 簽章。
由 圖靈獎 得主 Silvio Micali 創立的 Algorand 團隊中,包含 FALCON 底層 GPV 架構的共同作者 Chris Peikert,以及 NIST FALCON 提案的直接貢獻者 Zhenfei Zhang。該鏈的 State Proofs 自 2022 年起便使用 FALCON 簽章,使其整個區塊鏈歷史在跨鏈驗證時具備量子安全性。
Algorand 展現出,在 2.8 秒區塊時間下達成每秒 10,000 筆交易,仍可與後量子簽章並行運作。
QRL(Quantum Resistant Ledger)則自 2018 年 6 月 launched 起,從創世區塊就採用 XMSS 雜湊式簽章,具備量子抗性。
在七年無安全事故的運行之後,QRL 2.0(Project Zond)正遷移到無狀態的 SPHINCS+,並加入 EVM 相容性。
Solana (SOL) 於 2025 年 1 月引入可選用的 Winternitz Vault,而 Solana Foundation 則在 2025 年 12 月與 Project Eleven 合作開放公眾測試網,將 Ed25519 替換為 Dilithium。IOTA 則在 2021 年顯著地放棄量子抗性,從 Winternitz 簽章改為 Ed25519 以提升效能——此決策凸顯量子準備與當前吞吐需求之間的實務張力。
延伸閱讀:Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
「先收集,後解密」是真實威脅——但對區塊鏈情況更微妙
「先收集,後解密」(harvest now, decrypt later)策略——也就是對手先收集今日的加密資料,待量子電腦強大到足以解密時再行破解——已是推動各國政府與情報機構加速行動的公認威脅。NSA 網路安全主管 Rob Joyce 警告,向量子安全加密過渡將是一場漫長而密集的社群協作。
Chris Ware 在 世界經濟論壇的量子安全倡議中指出,中國是具備能力在國家級規模追求此類攻擊的國家之一。
然而,對區塊鏈而言,「先收集,後解密」的框架需要更細緻的理解。正如 a16z crypto 的 Justin Thaler 在 2025 年 12 月的一篇分析中 argued,量子對公有鏈的威脅重點在於「偽造簽章」而非「解密」。
比特幣帳本本身就是公開的,沒有可供「收集」以待日後解密的加密資料。
真正的危險在於直接從公開金鑰推導私鑰:一旦出現具密碼學相關規模的量子電腦,任何其公鑰已在鏈上曝光的位址都會立刻變得脆弱,與其何時曝光無關。
區塊鏈永久且不可變更的紀錄,讓這種曝光成為無法挽回的事實。像 Monero (XMR) 與 Zcash (ZEC) 這類會加密交易細節的隱私幣,則同時面臨較傳統意義上的「先收集,後解密」風險。
延伸閱讀:Fed Hawkish Tone Triggers $405M Crypto Outflows
目前量子硬體距離破解密碼學仍相去甚遠
Google 的 Willow 晶片於 2024 年 12 月 unveiled,擁有 105 個量子位元,是首次展示「低於閾值」的量子糾錯,隨著量子位元增加可指數式降低錯誤率。它在不到五分鐘內完成一項基準計算,而傳統超級電腦估計需約 10 的 25 次方年。
然而正如薩塞克斯大學的 Winfried Hensinger 所指出,該晶片規模仍遠遠不足以執行威脅密碼系統這類有實際用途的計算。
IBM 的路線圖targets 目標在 2029 年以前以其 Starling 處理器達到 200 個邏輯量子位元。Microsoft 在 2025 年 2 月發表的拓撲 Majorana 1 晶片,宣稱透過全新的量子位元架構,可大幅提升錯誤更正效率。
但即使在最樂觀的預測下,這些里程碑距離以大規模執行 Shor 演算法、攻擊 ECDSA 所需的數百萬個實體量子位元,仍相去甚遠。
Google 的 Craig Gidney 在 2025 年 5 月發表的一篇論文,compressed 將分解 RSA-2048 所需的估計資源,從 2,000 萬個降到不到 100 萬個有雜訊的量子位元——二十倍的縮減,大幅收緊了時間表預估。預測平台 Metaculus 因此將其「Shor 演算法可在實務規模分解 RSA」的預測年份,從 2052 年提前到 2034 年。
「Q-Day」這個概念——即量子電腦成功破解現行公鑰密碼系統的那一刻——仍是一個不斷移動的目標。數學家 Michele Mosca 的定理captures 了這種緊迫性:如果你的「遷移所需時間」加上「資料的保存壽命」之和,大於「距離 Q-Day 剩餘的時間」,那你其實已經太晚了。
Also Read: What Will It Take For Solana To Reclaim $90?
結語
後量子加密演算法本身是可行的。NIST 的標準已經發布,FALCON 提供了適合區塊鏈部署的實用簽名大小,而 Algorand 則已在真實網路上證明了大規模 PQC 交易的可行性。困難之處不在密碼學,而在社會與結構層面:比特幣的去中心化治理讓快速的協議變更極為困難,簽名比 ECDSA 大 10 到 38 倍會擠壓吞吐量、推高手續費,而約 650 萬枚處於量子脆弱位址中的 BTC,則帶來前所未有的協調難題。
行動的時間窗,並不是由具有密碼學相關能力的量子電腦何時出現所決定,而是由「完成遷移本身要花多久」所決定。
在比特幣歷來升級往往需要七到八年,而各國政府法規又將目標鎖定在 2030 至 2035 年之際時,加密貨幣產業邁向量子就緒的時間表,其實已經相當緊繃。現在開始遷移的專案,在 Q-Day 來臨時將會是安全的;選擇等待的,則不會。
Read Next: Resolv USR Crashes 72% After $25M Exploit