用來保護數兆美元數位資產的密碼鎖,是為了一個「沒有量子電腦」的世界而設計的。
那個世界正以遠超過多數加密圈人士想像的速度終結,而整個產業的應對仍然危險地支離破碎。
NIST 已在 2024 年 8 月最終定稿首批三項後量子密碼學標準,並要求所有使用公開金鑰密碼學的機構立刻開始遷移。
比特幣(BTC)本身的市值就約 1.57 兆美元,而絕大多數這些價值,是由橢圓曲線數位簽章演算法所保護——一旦出現足夠強大的量子電腦,就可能被破解。倒數計時已經開始。
重點摘要(TL;DR)
- NIST 在 2024 年發布的後量子標準,等同為加密貨幣專案設定了一個硬性期限:必須開始從橢圓曲線密碼學遷移,否則將面臨存在性安全風險。
- 估計約有 400 萬枚 BTC 停留在暴露的 P2PK 輸出或重複使用地址中,一旦出現具密碼學實質威脅的量子電腦,即可能直接遭到攻擊。
- 多數主流區塊鏈並沒有具約束力的後量子升級路線圖,導致在邁向 2020 年代後期的過程中,整體安全局勢呈現分裂且時間壓力巨大的狀態。
1. 量子對區塊鏈的威脅是具體且可描述的,而非純理論
「量子威脅」這個詞經常被隨意使用,但就區塊鏈而言,危險其實非常明確且有完整文獻記載。
多數區塊鏈安全的核心有兩個演算法——用來授權交易的橢圓曲線數位簽章演算法(ECDSA),以及用於比特幣工作量證明挖礦的 SHA-256。這兩者面臨的量子風險層級截然不同。
1994 年提出的 Shor 演算法,可以在量子電腦上以多項式時間分解大整數,並求解離散對數問題。
2023 年發表在 arXiv 的一篇論文中,**薩塞克斯大學(University of Sussex)**的研究者估計,要破解比特幣 256 位元橢圓曲線加密,大約需要一台具備約 3.17 億個實體量子位元、且錯誤率足夠低的量子電腦。
相較之下,Grover 演算法對 SHA-256 這類雜湊函數僅提供平方級的加速,實際上是把比特幣挖礦安全性從 256 位元降到約 128 位元——在可預見的未來仍屬實務上安全。
這種不對稱性極為關鍵。
ECDSA 簽章是區塊鏈安全最脆弱的軟肋,而工作量證明挖礦在量子硬體下只面臨相對溫和的安全邊際縮減。
其意涵在於,威脅並非針對比特幣網路「產出區塊」的能力,而是針對個別使用者「證明自己擁有」其代幣的能力。Andreas Antonopoulos 等人早已指出,數位簽章是授權資金移轉的機制,而量子電腦最先攻擊的,正是這個環節。
延伸閱讀: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. NIST 於 2024 年公布的標準啟動了整個產業的遷移時鐘
在這個議題上,法規與標準的面向,或許比硬體時間表更加急迫。
經過為期六年的評選流程,NIST 從全球研究團隊提交的 82 個候選演算法中,於 2024 年 8 月最終選定三項後量子密碼學標準:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)、FIPS 204(ML-DSA,原 CRYSTALS-Dilithium)以及 FIPS 205(SLH-DSA,原 SPHINCS+)。
這些並非未來或可採可不採的建議指引。NIST 已明確表示,各組織應該「現在就開始規劃過渡到後量子密碼學」。
美國網路安全暨基礎建設安全局(CISA)也發布指引,要求關鍵基礎設施營運者盤點自身對密碼學的依賴程度並優先規劃遷移。受聯邦監理的金融服務機構,已開始受到查核單位要求,必須展現其對後量子風險的因應準備。
FIPS 203、204 與 205 在 2024 年 8 月的定稿,等於移除了所有拖延的藉口。任何區塊鏈專案若到了 2026 年仍未啟動後量子密碼學評估,在安全實務上都可說是處於不負責任的邊緣。
在這裡,區塊鏈產業的處境相當矛盾:一方面,它等同於一個管理資產規模超過多數國家央行的金融系統;另一方面,它又是高度自我治理的技術生態,沒有外部監管機關強制要求密碼升級。
這種組合意味著:NIST 所設定的急迫時間表,若沒有社群共識的推動,很可能無法轉化為實際行動,而歷史經驗顯示,這樣的共識向來難以形成。
延伸閱讀: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. 比特幣約有 400 萬枚 BTC 存放在直接暴露的地址中
並非所有 比特幣(BTC)都承受同樣程度的風險。實際曝險程度高度取決於資金的存放方式,以及公鑰是否已在鏈上被揭露。研究者將比特幣輸出分為三大類,其量子風險輪廓有明顯差異。
Pay-to-public-key(P2PK)輸出會在鏈上直接暴露公鑰。
這其中包含創世區塊的代幣,以及許多早期中本聰時期的輸出。對於從未被花費過的 P2PKH(pay-to-public-key-hash)輸出而言,公鑰仍藏在雜湊值後面,在地址第一次被用來發送資金前,並不直接暴露於量子攻擊。
然而,任何曾經發生過外發交易的地址,其公鑰都已在網路上廣播,且永久暴露。
德勤研究者在 2022 年發表於 arXiv 的一篇研究指出,大約有 400 萬枚 BTC 存放在公鑰已公開暴露的地址中。
以當前價格估算,約有 3,150 億美元等值的比特幣,位在一個「只要出現具實質密碼破解能力的量子電腦,就能從鏈上資料直接推導出私鑰」的狀態,既不會有事前預警,也沒有事後補救空間。
地址重複使用的慣例,讓這個問題被大幅放大。
Chainalysis 的資料一再顯示,許多散戶甚至機構持有者,會在多筆交易中反覆使用同一地址,卻不知道自己已讓公鑰永遠暴露在鏈上。
好消息是:任何遵守「每個地址只使用一次」這項早已存在多年的最佳實務者,其量子曝險都會大幅降低。壞消息則是,鏈上證據清楚顯示,網路中仍有相當比例的使用者並未遵守這個做法。
延伸閱讀: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. 以太坊的帳戶模型帶來結構上截然不同的曝險
以太坊(ETH)的量子風險輪廓,與比特幣顯著不同,關鍵在於它採用帳戶式架構,而不是比特幣的 UTXO 模型。
在以太坊中,只要外部擁有帳戶(EOA)發出任何一筆外發交易,其公鑰就會被揭露。這代表幾乎所有曾經發送過交易的「活躍以太坊錢包」,其公鑰都已永久暴露。
以太坊基金會是主流區塊鏈中,對量子議題公開參與度最高的組織之一。
以太坊共同創辦人 Vitalik Buterin 在 EIP-7560 中提出一條邁向原生帳戶抽象的路徑,讓錢包能使用量子安全的簽章機制,而不必為每位使用者進行一次硬分叉。
他在 2024 年 1 月關於「無狀態客戶端之路」的部落格文章中也指出,以後量子替代方案取代 ECDSA,是協議安全路線圖上的「中期優先事項」。
如果能順利執行,以太坊的帳戶抽象路線圖,可能讓遷移到後量子簽章變得相對平滑,而不必強迫每位使用者親自操作;但實際執行時間表仍然模糊,且尚未有具約束力的 EIP 定案。
真正的難題在於,即便有 EIP-7560,現有的 EOA 仍需要把資金遷移到採用後量子簽章機制的新型智慧合約錢包。
對於已遺失助記詞或其他恢復方式的持有人,以及那些長期沉睡帳戶中的資金而言,要在量子威脅真正浮現前完成遷移,實務上可能根本做不到。
延伸閱讀: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. 候選後量子演算法對區塊鏈應用有已知的取捨與代價
取代 ECDSA 並非簡單的「直接替換」。NIST 標準化的後量子演算法在效能與資料大小上都有顯著成本,對於極度重視交易資料緊湊度的區塊鏈系統而言,將帶來實際的工程挑戰。
NIST 標準化的主要簽章機制 CRYSTALS-Dilithium(ML-DSA),在最低安全級別下,其公鑰大小為 1,312 bytes,簽章大小為 2,420 bytes。對照之下,ECDSA 的壓縮公鑰僅 33 bytes,簽章約 72 bytes。
發表於 IACR Cryptology ePrint Archive、分析後量子簽章在區塊鏈應用的論文指出,若天真地直接以後量子簽章取代 ECDSA,將會導致…… 使用 Dilithium 會讓比特幣交易大小增加約 20 倍,對區塊容量與手續費市場造成嚴重影響。
若在相同區塊大小限制下,以 CRYSTALS-Dilithium 取代比特幣目前使用的 ECDSA 簽章,實際交易吞吐量將減少約 80% 至 90%,在沒有伴隨區塊大小或結構調整的情況下,這種單純替換將在經濟上造成嚴重衝擊。
像 SPHINCS+(SLH-DSA)這類的雜湊型簽章,在安全性假設上最為強健(只依賴雜湊函數的安全性),但其簽章尺寸更大,在最高安全等級下簽章長度可達 49,856 位元組。
格基(lattice-based)方案在目前 NIST 標準中提供了最佳的尺寸與效能平衡,但它們引入的是較新、且尚未像橢圓曲線密碼學那樣經過數十年密碼分析「實戰考驗」的數學困難性假設。
以太坊社群也已探索將 STARK 作為後量子交易驗證的一條潛在路徑,期望能利用現有在 ZK-STARK 基礎建設上的投資。
延伸閱讀: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
6.「現在蒐集,未來解密」攻擊已經是實際存在的威脅
量子威脅中最常被低估的一點,是攻擊者並不需要等到量子電腦廣泛可用才開始準備攻擊。
所謂「現在蒐集,未來解密」(harvest now, decrypt later,HNDL)策略,是指現在先錄下加密或簽章資料,等未來量子硬體具備能力時再解密。這種作法在非加密貨幣情境中,已經是國家級對手明確紀錄在案的顧慮。
美國國家安全局(NSA)已發布指引,特別警告 HNDL 攻擊,指出對手正在主動歸檔攔截到的通訊,打算在未來十年內具備解密能力時再進行破譯。
對區塊鏈系統而言,相對應的情況相當令人警醒:所有曾在比特幣或以太坊上廣播過的交易,都永久記錄在任何人都可存取的公開帳本上。任何想要蒐集已曝露公鑰以利未來量子攻擊的一方,已經擁有長達 15 年的資料可以利用。
所有已經在比特幣與以太坊上廣播過的交易,都是永久的公開紀錄。具有足夠動機的對手,早就已經蒐集了多年的公鑰資料。「現在蒐集,未來解密」對加密貨幣的攻擊,其「蒐集階段」在結構上已經完成。
這種動態意味著,即使能破解 ECDSA 的量子電腦能力可能還有 10 到 15 年才會出現,區塊鏈社群也不能等到那個門檻逼近時才開始遷移。
進行協議升級共識、錢包軟體更新、使用者教育以及實際資金遷移所需的前置時間,是以「年」為單位,而不是幾個月。
CISA 估計,大型組織在複雜系統上進行後量子遷移,應預期需要五到十年時間。
延伸閱讀: 35% Of European Investors Would Ditch Their Bank For Crypto Access
7. 已有多個區塊鏈專案在建構後量子基礎設施
情況並非一片黯淡。越來越多區塊鏈專案把後量子安全當作一等公民的設計考量,這些做法也預示了傳統鏈未來可能的遷移路徑樣貌。
QRL(Quantum Resistant Ledger)於 2018 年上線,從一開始就採用 eXtended Merkle Signature Scheme(XMSS)建構,這是一種雜湊型簽章演算法,NIST 也已將其標準化為 SP 800-208。
Algorand(ALGO)已發布後量子遷移藍圖,並對 Falcon(NIST 的替代候選之一、屬於格基簽章方案)進行內部研究。
Cardano(ADA)的研究部門 IOHK,則透過 IOHK 研究資料庫發表了經同儕審查的後量子時代區塊鏈協議研究成果。
截至 2026 年,至少已有三條生產中的區塊鏈網路(QRL、Algorand 與 Cardano (ADA))發表了具體的後量子研究或路線圖;相較之下,比特幣與以太坊仍停留在早期討論階段,尚未有具約束力的協議承諾。
以太坊生態系已從先前在基於 STARK 的 ZK rollup 證明系統上的大量投資中受惠。
像 StarkWare(STRK)這樣的專案已證明,只依賴雜湊函數安全、因此具備量子抗性特質的 STARK 證明,可以在大規模情境下用於交易有效性證明。這是否能轉化為以太坊第一層的量子抗性交易授權,則是另一個尚未解決的問題,但相關基礎設施的投資並不會白費。
延伸閱讀: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
8. 比特幣社群面臨前所未有的治理困境
比特幣遷移到後量子密碼學,主要不是技術問題,而是治理問題。比特幣協議只能透過開發者、礦工、企業與使用者之間的「粗略共識」來變更;這個過程歷來即便對不具爭議的升級也往往耗時多年,對具爭議的提案甚至導致鏈分叉。
Bitcoin Core 開發社群已經開始就後量子方案展開初步討論。2024 年,比特幣開發者郵件論壇上的一則討論串,探討了是否能透過軟分叉引入新的後量子簽章類型,類似 Segregated Witness 引入新交易類型的方式。
核心難題在於,任何後量子簽章方案要嘛需要一次硬分叉(而比特幣社群一向傾向拒絕),要嘛需要精心設計的軟分叉,在維持與既有 ECDSA 錢包向下相容的前提下,允許新增具量子抗性的輸出類型。
比特幣的治理模式,需要在全球分散且理念多元的社群之間達成粗略共識,這種結構可能與密碼學遷移所要求的急迫性不相容,而專家認為這項遷移必須在未來五年內啟動。
任何比特幣後量子計畫中最具爭議的一環,是那些未完成遷移的持幣地址該如何處理。如果量子電腦具備破解 ECDSA 的能力,暴露在外的地址中的幣就會面臨被竊取的風險。
有研究者提議,在遷移期限過後,對 P2PK 輸出中的幣設定協議規則予以凍結或銷毀,以避免其被擁有量子能力的攻擊者竊取。
這等同於實質沒收未完成遷移持有人所屬的幣,其中可能包括 中本聰估計持有的 110 萬枚 BTC,因此在比特幣社群內被視為極具政治性、敏感度極高的提案。
延伸閱讀: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
9. 量子硬體的時間表正以快於主流預期的速度加速
預測量子硬體能力的發展確實困難,而區塊鏈社群有時也以時間表的不確定性作為不行動的理由。但過去三年實際硬體里程碑的走勢,使得持續自滿愈來愈難以合理化。
Google 在 2024 年 12 月宣布,其 Willow 量子處理器已達成錯誤率低於容錯量子運算門檻的水準,而研究人員先前對此門檻的預期還要再過數年才可能達成。
Willow 展示了 105 個實體量子位元(physical qubits),其錯誤率均低於門檻;隨著量子位元增加,錯誤率呈指數級下降,而非像傳統那樣隨位元數增加而累積錯誤,這正是量子錯誤更正的關鍵挑戰。
IBM 的量子路線圖目標是在 2033 年前達到 100,000 個實體量子位元,且自 2020 年以來,該公司一直穩定達成甚至超越其每年的路線圖里程碑。
Google 的 Willow 晶片在 2024 年 12 月達成低於門檻的錯誤更正能力,遠早於多數專家預期。從 105 個量子位元到突破比特幣 ECDSA 所估計需用的 3.17 億個量子位元之間的距離仍然很大,但這次錯誤更正的突破,已移除擴展規模時最根本的障礙。
關鍵區分在於「實體量子位元」與「邏輯量子位元」。要破解比特幣的 ECDSA,需要能可靠執行 Shor 演算法的邏輯量子位元,而每個邏輯量子位元都需數百到數千個實體量子位元用於錯誤更正。
薩塞克斯大學的研究估計,在現有錯誤更正開銷下,需要 3.17 億個實體量子位元。若錯誤率大幅改善,所需實體量子位元數則會按比例下降。
RAND 公司 2023 年報告引用的學界共識認為,具「密碼學相關性」的量子電腦最可能還有 10 至 20 年才會出現,但不確定範圍相當寬廣,無法排除在 2030 年就出現突破的可能性。
延伸閱讀: CHIP Volume Now Outpaces Market Cap As Traders Pile In
10. 現在持有加密資產的人可以立刻做什麼來降低量子風險
對個人持幣者與機構而言,對於參與者而言,量子威脅不是恐慌的理由,而是進行知情且主動安全衛生的理由。在協議層級的後量子升級尚未部署之前,有數項具體行動已能有意義地降低曝險。
影響力最大的個人行動,是停止重複使用地址,並將資金從 P2PK 輸出,以及從曾經用來簽署交易的地址中遷出。
將比特幣移轉到一個全新的 P2WPKH(原生 SegWit)地址,且該地址從未被用來發送資金,能將公鑰隱藏在 SHA-256 與 RIPEMD-160 雜湊之後,在短期內提供有意義的保護。
2022 年在 IACR ePrint Archive 上發表的一項分析確認,未經雜湊的公鑰是比特幣持有者在近期內主要的量子攻擊面。
對於以太坊使用者來說,轉換到 ERC-4337 帳戶抽象錢包,並在未來可升級至後量子簽章方案,能讓持有者在未來的協議遷移中取得有利位置。
將比特幣轉移到一個全新、從未使用過、且從未簽署過任一筆支出交易的原生 SegWit 地址,可以隱藏公鑰,並在未來十年內可能出現的任何量子威脅下提供有意義的保護。
機構持有者則面臨額外義務。
Electric Capital 的開發者報告持續發現,加密原生公司的安全基礎設施團隊,與其管理資產規模相比,普遍小於傳統金融公司。
建立內部的密碼學資產清冊、了解哪些託管解決方案使用 ECDSA 而非替代方案、並與硬體錢包製造商溝通其後量子路線圖,都是今日即可執行、可被辯護的風險管理步驟。
包括 Ledger 與 Trezor 在內的硬體錢包製造商,皆已在公開文件中承認量子威脅的存在,但尚未在正式韌體中提供後量子簽章支援。
延伸閱讀:BTC 11 週來首度突破 79,000 美元,成交量飆升
結論
對區塊鏈產業而言,後量子密碼學並不是遙遠而理論化的問題,而是一項正在進行中的工程與治理挑戰,其監管時鐘已經啟動,而硬體發展軌跡屢次超出專家預期地快速向上。
NIST 在 2024 年 8 月完成標準制定,這是全球頂尖密碼學權威所發出的最明確訊號:遷移不是選項題,而是必答題,規劃的時間就是現在。
核心張力來自結構設計。比特幣與以太坊分別是為 2008 與 2015 年的威脅模型所設計,要升級其加密基礎,需要穿越以「年」而非「月」為時間尺度運作的治理流程。
暴露地址中那 400 萬枚 BTC、每一筆曾經廣播過的交易所構成的永久公開紀錄,以及量子硬體發展日益加速的步伐,都指向一個正在收窄的有序遷移時間窗。
今日便嚴肅看待後量子標準、建立內部專業能力、參與協議討論,並將持有資產遷移至較低曝險配置的專案,相較於那些等待「確定性」才行動的專案,將處於大幅更有利的位置。
傳統運算環境中加密演算法轉換的歷史,提供了一個令人清醒的教訓:從 MD5 遷移到 SHA-2,或從 RSA-1024 遷移到 RSA-2048,即便在強力監管壓力、且沒有治理爭議的情況下,仍花費了多年持續的產業努力。
區塊鏈的去中心化治理模型,讓類似的轉換在難度上提高了一個數量級。
這個以「成為自己的銀行」為傲的產業,如今必須證明它也能成為自己的加密標準制定機構,而且必須在硬體迎頭趕上之前辦到。
延伸閱讀: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates