近年 IBM 與 Google 等企業的進展已將量子運算從理論推向現實,重新點燃加密社群對其潛在影響的討論。IBM 最新的量子處理器已經擁有超過 400 個量子位元(qubit),並聲稱本世紀末前有明確路徑打造全面規模的量子機械。Google 也同樣樂觀,強調量子運算邁向大規模應用的工程難題是「可克服」的,並且里程碑正不斷推進。
這些進展在加密社群中早已引發熱議:論壇與專家積極討論量子電腦何時會強大到足以威脅比特幣和其他區塊鏈的基礎加密技術。有些人,例如 Solana 聯合創辦人 Anatoly Yakovenko,甚至警告 2030 年前有「五五波」機率發生重大量子突破,並督促比特幣社群「加快腳步」做好防禦準備。其他人則持保留態度,指出真正「有用」的量子電腦可能還需 15 到 20 年,如 NVIDIA 執行長黃仁勳最近所預測。
可以確定的是,量子運算已不再是抽象且遙遠的想像,而是一項正在發展、對資安產生實質衝擊的新科技。這對加密世界來說既有威脅,也帶來新契機。一方面,足夠先進的量子電腦可以破解過去「牢不可破」的加密防線,危及數位資產;另一方面,邁向抗量子加密的競賽則激發更多創新,最終或促使及時調整的區塊鏈生態系更為堅韌。
本文將深入探討這一議題的各個層面:為何量子運算對加密貨幣構成獨特威脅、它可能如何破解比特幣的加密、專家認為危機何時(或未來多久)才會發生,以及業界正在如何提前因應。我們也將探討假設情境,例如如果比特幣明天遭量子攻擊,會發生什麼事;並分析長遠影響:誰會受益、誰會受害,「不可破解」一旦成為過去式,加密經濟又將如何變革?
值得強調的是,這不是恐嚇式預言,而是理性分析潛在風險的檢視——可能還需要數年甚至數十年才會發生,但現在就得積極規劃。只有理性看待威脅,不被炒作所迷惑,加密開發者與用戶才能從現在就開始行動,確保在量子運算大規模來臨時,整個加密生態能夠彈性調整而非瓦解。
量子運算如何運作(超越行銷詞彙)
量子運算與現今普遍使用的傳統電腦有本質上不同。傳統電腦使用二進位位元(0 或 1),但量子電腦則利用量子位元(qubit)運作,這些 qubit 因「疊加態」現象可同時存在多個狀態。簡單來說,qubit 就像在空中翻轉的硬幣——不僅僅是正面或反面觀測前甚至可以同時處於兩者狀態。qubit 也能「糾纏」在一起,即使相隔距離,一顆 qubit 狀態會受到另一顆影響。這讓量子電腦得以同時處理大量可能性。當將許多 qubit 串聯並適當干擾它們的機率波時,可令特定運算速度指數級增長,遠超傳統電腦。
在這個領域常常會聽到許多華麗詞彙,必須避免對其一知半解。例如,「量子霸權(quantum supremacy)」指的是量子電腦能執行傳統電腦在合理時間內無法解決的工作。Google 就曾聲稱 2019 年用旗下 53 個 qubit 的 Sycamore 處理器完成一項只需幾分鐘,而傳統超級電腦可能要一萬年才能處理的任務(雖然 IBM 主張用最佳化方法可更快,但這一成就仍具意義)。
相關名詞「量子優勢(quantum advantage)」則更強調實用:意指量子電腦在實際、有用問題上超越傳統電腦的能力。換言之,霸權是概念驗證,優勢則會在量子電腦開始解決現實世界重要問題(如材料模擬或複雜優化)時發生。
當前的量子電腦仍處於萌芽階段。它們容易發生雜訊與錯誤,qubit 很容易因去相干(decoherence)而失去疊加態,且總數依然有限。以 2022 年發表的 IBM Osprey 處理器為例,內含 433 個 qubit,當時是新紀錄。學界估計,要破解現代加密(例如比特幣)恐需高達百萬個可矯正錯誤的 qubit(後文會詳述)。下圖即為 IBM Osprey 量子處理器(示意圖)——它是一大躍進,但距離威脅比特幣加密仍很遙遠。
即使 IBM 量子硬體部門主管也坦言,要實現「真正實用」的量子電腦,勢必須採用全新架構,將多顆晶片模組化連結組成更大系統。
這是 IBM 於 2022 年推出的 433 qubit「Osprey」量子處理器的 3D 渲染圖。這類量子處理器雖展現 qubit 數目上的重大進步,專家指出,必須擁有數百萬顆糾錯 qubit 才有機會破解保護比特幣和其他加密貨幣的密碼學。(圖片來源:IBM/Connie Zhou via Reuters)
因此,儘管量子運算進步飛快,它絕非魔法。現在還沒出現隨手可攜、秒解密碼的量子筆記型電腦。過往所有「量子霸權」示範(包括 Google 與中國團隊)都僅針對極為專門領域,真正在現實世界上的影響極小。「量子優勢」在真正實用應用的落地,樂觀預估也還需數年。
就現況而言,量子電腦多仍屬實驗室與雲端原型機,主要用於解決特定小眾問題。但可預見的是,其效能正在持續提升,一旦解決傳統電腦無法處理的實用問題,必將為許多產業(包括加密貨幣)帶來深遠影響。
為什麼比特幣的加密可能不會永久安全
比特幣經常被稱為「無法駭入」,其核心加密技術至今確實維持安全。比特幣安全機制的核心在於橢圓曲線數位簽章演算法(ECDSA),這是一種自 1980 年代以來存在的加密技術,允許用戶證明資產所有權。其運作方式如下:你持有一組稱為私鑰的秘密數值,經數學運算(基於橢圓曲線)後可產生公鑰。
公鑰可以公開(並經雜湊成你的比特幣地址),私鑰則只有你知道。當你要花費比特幣時,用私鑰生成數位簽章,網路會用公鑰驗證該簽章,從而確認該筆交易。
關鍵在於,這是一條單向道路:擁有公鑰後,傳統電腦無法有效逆向求出對應的私鑰。正如比特幣研究員 Nic Carter 所說,比特幣的整體安全建立在「單向數學問題」之上——對傳統電腦來說單向易算、反向不可行。實際上,強行爆破解 256 位元的私鑰需動用傳統電腦計算數百億年——事實上不可能。
量子運算則可能顛覆這種非對稱性。1994 年,數學家 Peter Shor 發現了一種適合量子電腦運算的算法(即 Shor 演算法),能高效地解決 ECDSA 所依賴的數學難題。Shor 演算法於質因數分解和計算離散對數時,比現有任何傳統算法都快數量級。正是橢圓曲線上的離散對數(確保 ECDSA 安全)與此相關。簡言之,未來量子電腦搭配 Shor 演算法,恐可以根據公鑰直接導出私鑰,完全破解 ECDSA 安全機制。
攻擊者僅需受害者公開的公鑰——而在比特幣上,這通常會於用戶每次發送交易時呈現在區塊鏈上。一旦量子攻擊能計算出私鑰,就能隨意動用該錢包內的資產。過往「牢不可破」的加密將隨之瓦解。資安公司 Naoris Protocol 執行長 David Carvalho 說明,若真發生這種事外觀上「一切都像合法進入……你甚至不會察覺」遭竊者其實是量子小偷,因為竊賊能產生跟真正所有人一模一樣的有效簽名。
受到威脅的不僅是簽章演算法。比特幣同樣依賴密碼雜湊(如 SHA-256)進行挖礦與生成地址。雖然雜湊函數不如公開金鑰加密那樣直接受量子算法威脅,但也非全然免疫。量子電腦或可利用 Grover 演算法加速尋找哈希碰撞或特定前像。Grover 算法能為這類暴力搜尋問題帶來平方級的加速。
在比特幣挖礦場景下(本質上即為暴力破解)… race to find a SHA–256 hash below a certain target),搭配葛羅佛演算法(Grover’s Algorithm)的量子電腦理論上可以比傳統電腦更快挖礦。幸運的是,葛羅佛的優勢並不像蕭爾演算法(Shor’s Algorithm)那樣毀滅性。它實際上會讓雜湊演算法的強度減半:SHA–256 的 256–bit 輸出,遇到量子攻擊時,其安全性約降至 128–bit 左右。128–bit 的安全層級依然相當強大——舉例來說,128–bit 的 AES 加密在現今被認為屬於軍事等級。
然而,若量子硬體強大到位,即使只有這種平方級的加速,也可能讓具備量子電腦的攻擊者在比特幣挖礦方面取得壓倒性優勢,進而引發 51% 攻擊或其他干擾。儘管這種威脅不像破壞簽名那麼立即(因為挖礦難度和其他因素可以調整),但它仍是擔憂的一部分。
總結來說,比特幣的加密技術是在只有傳統電腦的年代設計的。設計者預設某些數學問題在實際上是無法解決的(像是根據公開金鑰推算出私密金鑰)。但量子運算完全顛覆了這個假設。一旦有足夠的量子位元組和適當的演算法,原本不可行的問題可能就變得可行。正如密碼學家 Ethan Heilman 所說,「比特幣必須能夠在跨世代尺度上保護使用者的資金」——也就是說,它不僅要抵抗當今的電腦,還要抗衡未來的電腦。
殘酷的事實是,保護比特幣及許多其他加密貨幣的加密系統「在量子進展下可能終究無法永存」。這也是為什麼這項議題從過去只是理論討論,到現在隨著量子實驗室逐步逼近能破解 ECDSA 及其他舊式密碼技術的設備時,備受嚴正關注。
The “Quantum Attack” Scenario: What If It Already Happened?
對比特幣的量子攻擊中,一個令人不寒而慄的場景是:一切可能在毫無徵兆且完全安靜的狀態下發生。如果一台有能力破解比特幣金鑰的量子電腦今天問世,有可能有的比特幣錢包資金開始移動,卻沒人會立刻察覺這些交易其實是詐騙行為。Carvalho 在一次訪問中警告:「如果有能力破解現代加密的量子電腦今天上線,比特幣可能就已經在遭受攻擊——而沒有人知道。」
原因在於量子竊賊無需入侵網路或造假貨幣;他們只要破解目標帳戶的私鑰,就可以產生有效交易。在區塊鏈上,這些交易與其他用戶用自有金鑰簽署的轉帳完全看不出區別。
想像你早上醒來,看到一個十年沒動過的早期比特幣地址,忽然把所有 BTC 全部轉到了一個陌生的錢包。鏈上的分析師或許會好奇,是不是失聯已久的持有人回來了,但在量子竊盜的情節裡,極有可能是攻擊者計算出那個地址的私鑰並清空了它。區塊鏈仍然照常運作,區塊被挖出、交易被確認,只是有些比特幣的所有權在背後悄悄易手。正如 Carvalho 所說:「這些幣會移動,看起來就像是原持有人決定花費它們。」帳本上既不會有簽名失敗,也不會有明顯紅旗。
哪些比特幣最危險?專家指出,最老、最長時間未被動用的錢包是首要目標。後量子初創公司 Quranium 創辦人 Kapil Dhiman 指出,比特幣最早期的地址(包括中本聰傳說中的儲備)在當今標準下,加密做法較不安全。
舉例來說,許多早期幣存放在 P2PK 地址,公開金鑰直接暴露在鏈上(而現代的 P2PKH 格式在花費前會用雜湊遮蔽公鑰)。“中本聰的比特幣基本上就坐等被打劫,”Dhiman 在接受 Cointelegraph 採訪時表示,意指那大約 100 萬個相信是比特幣創辦人挖出的 BTC。如果那些長期未動的幣突然異動,市場信心將會崩潰——大家會認為,不是中本聰回歸,就是量子攻擊得逞,無論哪種結果都極為震撼。
除了中本聰外,任何重複使用地址或曾曝光公鑰的錢包都屬於脆弱範疇。Deloitte 一份研究估計,截至 2022 年,大約有 25% 的流通比特幣在遇到針對簽章演算法的量子攻擊時可被歸類為「不安全」。這包括用舊式地址存的幣,以及任何重複使用過(因而公鑰已曝光)之地址。相對地,約有 75% 的比特幣在「安全」地址中(至少在該幣尚未被花費之前)。但隨著時間推移,所有安全地址在主人花費時最終必然曝光,因為這時交易簽章會公開公鑰。
如果秘密量子竊盜真的開始,立即災難可能是混亂一片。用戶可能發現大額錢包被掏空而驚慌拋售導致價格暴跌。但追查歸因會很困難——這真的是量子駭客,還是傳統方式偷到金鑰的駭客?天生設計下,量子攻擊的證據可以光明正大地潛伏其中。「當你意識到有量子電腦在作祟時,它早就已經控制很久了。」Carvalho 警告道,也就是說,等到公眾懷疑時,對方可能已經默默竊取了一大筆財富。
他用了一個發人深省的比喻:二戰盟軍破解了德軍恩尼格瑪密碼機之後,仍緊守秘密,甚至有時任由某些攻擊發生,為的是不讓德軍察覺密碼已經失陷。國家級行為者若擁有量子電腦,也很可能會首選秘密竊用比特幣加密——而不是張揚自己的能力。
重要的是,如今這一切仍然只是理論。沒有人公開證據顯示有人已經擁有能實現這類壯舉的量子電腦——「科學、研究與軍事圈的共識認為目前並沒有這回事,」Carvalho 指出。但他同時謹慎提醒:「這並不是第一次頂尖加密技術在不為外界知曉的情況下被破解。」只要沒有敵人公然演示破解之舉,我們就只能假定比特幣仍是安全的。
但僅僅是量子攻擊可以無聲無息發生的可能性,就已值得最嚴格的警覺。這也是為什麼某些安全專家對量子威脅不再當作科幻小說,而是視為急需解決的工程難題——正如一位研究者所言,「一定要備好應對方案。」等到比特幣神秘消失時再來救火,恐怕為時已晚。
Timeline: How Close Are We to a Quantum Threat Reality?
價值數十億美元的問題:量子電腦究竟何時會真正強大到威脅比特幣加密技術?專家給出的答案差距巨大——從「也許十年、二十年後」到「我們這輩子都不會看到」再到「比你想像的早」。主流科學界多認為威脅至少還有十年以上,但這中間存在許多但書和少數不同聲音。
一個有用的參考點是國家安全單位與標準制定機構的動向。美國國家標準與技術研究院(NIST)一向主導後量子加密標準的定訂,建議各組織在 2035 年前轉換到抗量子算法,作為預防措施。這不是因為他們認為 2035 年就會有具備攻擊能力的量子電腦,而是考量到所謂「現在蒐集、未來解密」的風險:對手可能現在正錄製加密資料(或蒐集區塊鏈上的公鑰),等擁有量子機器時再解密。
NIST 的時程意味著到了 2030 年代,量子電腦可能將逼近突破某些密碼的門檻,長期資料安全走向不再有保障。但也有密碼圈內人士提醒,比特幣未必有像通訊加密這麼高度的緊迫性。Ledger 技術長 Charles Guillemet 指出,NIST 2035 的建議主是針對前向保密性(確保今日的機密能抵擋未來解密),而比特幣的交易壓根不追求隱私。因此在他看來,比特幣面臨的主要威脅是即時金鑰竊取(而非日後解開舊訊息),爭取到一些緩衝時間。
觀察量子硬體現況:IBM 的藍圖預計到 2033 年能造出幾千個量子位元的處理器,但這離破解比特幣 256–bit 金鑰所需的數百萬量子位元還很遠。迄今最大規模的公開量子晶片是 IBM 於 2022 年發表的 433 量子位元「Osprey」,接著 IBM 目標在 2023–2024 年間以「Condor」晶片破千大關,之後持續倍增。Google 方面,則宣稱希望在十年尾聲(大約 2029 年左右)建造出首台可用的糾錯型量子電腦,也就是能藉由錯誤修正持續可靠運行量子算法的機器。
這些時程很具野心,但沒有保證會實現。值得注意的是,光幾千顆量子位元還遠遠不夠破解比特幣,這些量子位元還要有高品質(低錯誤率)、演算法也需高度最佳化。某學界研究估算,若用蕭爾演算法想在 24 小時破解一組比特幣私鑰,可能需要大約一千三百萬個量子位元。現今的 433 甚至 1000 都只是滄海一粟。
產業專家經常提醒大家不要過度炒作。在 2025 年初,Nvidia 執行長黃仁勳——whose ...(內容未完)
(如有需要可再提出,後段續譯!)GPUs 被用於部分量子控制系統—所謂「非常有用的量子電腦」大概還有 20 年才會出現。黃進一步說明:「如果你說 15 年,那會比較早;如果你說 30 年,那可能就是比較晚。就選 20 年吧。」這顯示前路遙遠。同樣地,加密先驅 Adam Back 也對「比特幣會在 2028 年被破解」的說法嗤之以鼻,直言「不可能」,甚至還考慮過押注反對這種預測。Back 預估,大概 20 年後才值得擔心。
另一位知名比特幣支持者 Samson Mow 表示,量子運算確實是一種「真實風險,但時間大概還有十年」,並補充說他認為「如果那種威脅真的發生,一切其他東西都會在比特幣之前就先失效」。這些觀點反映出比特幣開發社區的普遍立場:謹慎監控而非立即恐慌。
然而,也有一批聲勢較大的群體呼籲應提高緊迫感。正如前述,Solana 的 Anatoly Yakovenko 認為 2030 年前出現突破的機率各半,並表示像 AI 這類相關技術進展得「令人震驚」——暗示量子技術也可能早於預期帶來驚喜。在 2023 年中,傳出 Google 量子 AI 路線圖洩漏,暗示未來數年量子位元(qubit)數量有可能陡增,引發外界猜測。
在國安領域,我們也不能忽視機密進展的可能性:政府實驗室並不會公佈所有突破,尤其那些具有情報價值的部分。密碼學家 Michele Mosca 之所以提出「Q 日」(Q–day)這個概念——也就是量子電腦能破解現有密碼體系的那一天,部分原因就是這個。他和其他專家警告,Q 日可能會突然提前到來,讓那些以為時間還早的人措手不及。
總的來說,截至 2025 年,大多數預估認為量子威脅會在 2030 年代或更晚才會對主流密碼學構成實質危害。例如 Bernstein 分析師的一份報告仍然認為這個威脅「數十年後」才會到來。但只要有一次重大突破,這種共識就可能改變。2022 年底,中國研究員聲稱發現一種新的因式分解方法——如果這方法能擴展的話,透過量子混合技術破解 RSA 金鑰所需條件可能大幅降低,這讓業界大吃一驚。
這個特定說法後來遭到健康質疑,而且大概率不會成為真正的攻擊方式,但事件提醒了大家:突破可能來自任何地方,我們很可能低估了現實的可能性。正如理論計算機科學家 Scott Aaronson 所說,最合適的態度是「沒錯,現在就該擔心這問題,並且有個計畫」。早期規劃能確保即使量子解密能力比預期還早出現,加密圈也不至於措手不及。
Post–Quantum Cryptography: What Solutions Exist?
後量子密碼學:有哪些解決方案?
好消息是,密碼學社群並非坐等 Q 日到來。所謂「後量子密碼學」(post–quantum cryptography, PQC)這個研究領域,已在開發可以抵禦量子計算機攻擊的新演算法。這類所謂的「後量子演算法」和「量子密碼學」(通常指量子密鑰分配等利用量子物理現象的技術)不同,它們在傳統電腦上運行,但可讓量子攻擊者難以破解。
2016 年,美國國家標準與技術研究院(NIST)發起公開競賽,尋找最佳後量子演算法。幾輪評選後,2022 年正式宣布第一批標準化的 PQC 演算法,包括:
- CRYSTALS–Kyber:一種基於格(lattice)的金鑰包裝機制,用於加密或建立共享祕密。
- CRYSTALS–Dilithium:一種基於格的數位簽章方案。
- FALCON:另一種基於格的簽章(簽章體積更小,但實作較複雜)。
- SPHINCS+:一種無狀態、基於雜湊的簽章方案(不用追蹤已用過的金鑰)。
截至 2024 年,NIST 已將這些演算法(Kyber 用於一般加密,Dilithium 和 FALCON 用於簽章,SPHINCS+ 作為替代簽章)標準化並於 FIPS 203–205 公布。簡單來說,如果比特幣將 ECDSA 和 SHA–256 換成這些新演算法組合之一,便能抵禦現有已知的量子攻擊。
舉例來說,以後可以不用橢圓曲線簽章,而採用像 Dilithium 這樣的格基簽章,或像 SPHINCS+ 這樣的雜湊基簽章。這些演算法仰賴被認為對量子算法有抵抗力的數學問題(例如格問題的困難度或加密雜湊函數的安全性),所以 Shor 與 Grover 等算法無法在合理時間內破解。
然而,把後量子密碼學實作到區塊鏈上並不容易。PQC 通常帶來一些取捨,如密鑰或簽章體積更大、效能較慢等等。比如 Dilithium 簽章就有幾 KB 大小(相比之下,ECDSA 只要 64 bytes 很精簡),這會讓鏈上交易變大。SPHINCS+ 這類雜湊基方案,簽章更大且驗證更慢,但基於已知且可靠的雜湊安全性。雖然有這些缺點,但轉換其實行得通。我們已經看到某些加密專案一開始就定位自己為量子安全。
舉個例子,Quantum Resistant Ledger(QRL)這條鏈,一上線就內建後量子簽章機制(XMSS——一種和 SPHINCS+ 類似的擴展型雜湊基簽章)。QRL 特別選用 XMSS 來對抗未來量子攻擊,即使這意味著每個錢包地址簽章次數有限,用完要換金鑰(這是有狀態雜湊基簽章的特性)。另一個專案 QANplatform(雖非上文提及,但業內知名)聲稱用格基密碼學保障智慧合約平台安全。
Quranium(由 Kapil Dhiman 領導)採用 NIST 認可的無狀態雜湊基數位簽章為其 L1 區塊鏈安全把關。此外,稍早提到的 Naoris Protocol(David Carvalho)則打造後量子基礎設施,甚至曾在美國 SEC 提案中被引用討論量子安全標準。這些新興專案規模還不大,但已成為 PQC 在鏈上落地的實驗場,同時也作為一種「保險」:萬一大網絡進展緩慢,量子破解提前到來,理論上大家可將資產轉移到像 QRL 這樣的量子安全鏈上(前提是市場秩序不亂)。
主流鏈也在積極研究解法。例如以太坊就曾討論和原型實作量子安全密碼學。以太坊開發人員研究了格基簽章,甚至後量子版的 zk–SNARKs(透明化的零知識證明)。以太坊基金會有一篇研究文討論如何讓格基 BLS 簽章適用於後量子情境。不過這些都還沒正式上線,主網用的 ECDSA 及 BLS(驗證人用)原則上和比特幣一樣易受威脅,但相關基礎架構已經鋪設中。
除了數位簽章,還有一個問題是如何讓挖礦或共識機制具備量子防禦能力。例如如果 Grover 演算法真的變得實用,比特幣可以把雜湊算法升級成更長(比如 SHA-512)以增強 proof-of-work。也有人建議量子電腦來臨前,應將比特幣從 PoW 換成 PoS,因為 PoS 沒那麼依賴算力競爭(雖然 PoS 也有自己的密碼假設需要考量)。這些想法目前仍屬推測階段,而比特幣社群對這類根本性改動通常非常保守。
另一個有趣的防線,是直接用量子密碼學。比如量子密鑰分配(QKD)利用量子現象讓兩方產生共享密鑰,能確保有人竊聽一定會被發現。QKD 不適用於去中心化的公鏈(沒有點對點通道),但機構可以用它來保護區塊鏈系統中的溝通通路。
2022 年,摩根大通與東芝展示了用 QKD 保障安全的區塊鏈網絡,以躲避量子攔截通訊。他們等於在區塊鏈上多疊了一層量子安全通訊。目前這類方案主要適合私有帳本或銀行聯網,但對公有加密幣來說,重點還是在演算法自身升級為 PQC。
所以總結一下現有解法:憑藉 NIST 及相關專家多年的努力與審查,目前已有一套後量子演算法工具組可供佈署。我們看到第一批行業先行者正把這些武裝應用到新平台上;而對於現有主流項目如比特幣,也有各類漸進升級的方案(後面會討論)。換句話說,技術拼圖都已到位,要讓加密產業在後量子時代保持安全,最大難題其實可能是社會與執行層面——如何協調數百萬使用者和關鍵基礎建設的同步切換。就如某位資安新創 CEO Chris Erven 所言:「量子安全技術已該成為全球資安策略的核心」——必須預先佈署,而不能拖到最後才臨時補救。
Comparing Crypto and TradFi Progress
加密產業與傳統金融的進度對比
在因應量子威脅的腳步上,傳統金融與政府部門或許比加密產業走得更快。大型銀行、企業與機構有著高度集中管理的優勢——他們可以下令……security upgrades top–down. Cryptocurrencies, by contrast, are decentralized by design, which makes coordinated transitions more complicated.
自上而下進行的安全升級。相較之下,加密貨幣在設計上就是去中心化的,這讓協調一致的升級變得更加複雜。
Take the banking sector: JPMorgan Chase has been notably proactive. In addition to the quantum key distribution experiment mentioned earlier, JPMorgan has a “Future Lab” for quantum technologies. Marco Pistoia, who leads that lab, said the bank is preparing “for the introduction of production–quality quantum computers” precisely because they could “change the security landscape of technologies like blockchain and cryptocurrency in the foreseeable future”. JPMorgan isn’t waiting for an emergency; they’re testing defenses now. Similarly, the global banking network SWIFT has launched training programs and workshops on post–quantum security for its member institutions.
以銀行業為例:摩根大通(JPMorgan Chase)一直表現得異常積極。除了前面提到的量子密鑰分發實驗,摩根大通還設有一個針對量子技術的「未來實驗室」。該實驗室負責人Marco Pistoia表示,該行正在為「生產等級量子電腦的到來做準備」,因為這些電腦「很可能在可預見的未來改變區塊鏈和加密貨幣等技術的安全格局」。摩根大通並不等到緊急狀況發生才行動,他們現在就已經在測試防禦措施。同樣地,全球銀行網路SWIFT也已經為其會員機構推出後量子時代的安全訓練課程和工作坊。
Companies like IBM and Microsoft are already offering quantum–safe encryption options in their cloud products, so that companies can start encrypting data with algorithms like Kyber or Dilithium ahead of time. The U.S. government passed the Quantum Computing Cybersecurity Preparedness Act (in late 2022), which requires federal agencies to begin planning to migrate their systems to post–quantum cryptography. In 2015, even the NSA (which historically helped curate US encryption standards) announced plans to transition to quantum–resistant algorithms – a strong signal to industry and academia to get moving.
像IBM、微軟這類企業,已經在雲端服務中提供量子安全的加密選項,讓企業可以提前使用Kyber或Dilithium這類演算法加密資料。美國政府在2022年底通過了《量子計算資安準備法案》,要求聯邦機構開始規劃將系統移轉到後量子密碼學。在2015年,甚至連一向參與美國加密標準制定的NSA,也宣布計劃轉向量子抗性算法——這是一個非常明確的信號,促使產業界和學界及早行動。
Now compare that to the state of most cryptocurrency networks: Bitcoin, Ethereum, and the majority of altcoins still use RSA, ECDSA, or EdDSA signatures and standard hashing (SHA–2, SHA–3, etc.). There has been no urgent migration yet. Part of the reason is that, as we discussed, many in the community believe the threat is not imminent. Another part is the challenge of consensus: to change Bitcoin’s signature algorithm, for example, literally every participant in the network needs to agree (or at least a supermajority, if done via soft fork).
再來看看大多數加密貨幣網路的現狀:比特幣、以太坊以及多數山寨幣仍然採用RSA、ECDSA或EdDSA簽章及標準雜湊(如SHA–2、SHA–3等)。目前並未有緊急的遷移行動。部分原因,如先前討論過的,是由於許多社群成員認為威脅尚未迫在眉睫。另一部分則是共識的挑戰:例如更換比特幣的簽章演算法,幾乎需要網路上的每一位參與者都同意(或者至少經過軟分叉方式取得絕大多數同意)。
That’s a slow process involving proposals, coding, testing, and convincing the global user base. “Traditional finance is actually ahead,” as Naoris’ Carvalho observed. “They have central control, budgets and a single authority that can push upgrades. Crypto doesn’t have that. Everything takes a consensus.” In other words, Jamie Dimon can tell JPMorgan’s security team “we’re switching all internal communications to post–quantum encryption next year” and it’ll likely happen.
這是一個相當緩慢的過程,包括提案、撰寫程式碼、測試,以及說服全球使用者。「傳統金融其實已經領先了,」Naoris的Carvalho指出,「他們有集中的控制權、有預算、有單一主管機關來推動升級。加密產業沒有這樣的機制,每件事都需要共識。」換句話說,Jamie Dimon可以對摩根大通的資安團隊下達指令:「我們明年起所有內部通信都改用後量子加密」,這件事很可能就能實現。
There’s no analogous figure in Bitcoin who can unilaterally decree a crypto upgrade – by design, it’s nobody’s call alone. We’re seeing some movement in the crypto space though. The fact that Bitcoin developers are drafting quantum–mitigation proposals now (in 2023–2025) shows the gap is understood. And some crypto companies are getting involved in the broader PQC effort. For instance, blockchain security firms and academic collaborations are exploring crypto–agility – designing protocols that can swap out cryptographic primitives more easily in the future. The ideal scenario is to make blockchain networks as nimble as web browsers, which can (in theory) roll out new cryptography via updates when needed. But getting millions of decentralized nodes to update is a bigger undertaking than updating, say, Google Chrome or Firefox on user devices.
比特幣不存在能夠單方面決定升級的角色——這正是其設計初衷。 不過,我們還是能看到一些加密圈的動向。比特幣開發者現正在(2023–2025年之間)撰寫量子威脅緩解提案,這顯示社群已經意識到了這個差距。一些加密公司也積極參與更廣泛的PQC(後量子密碼學)行動。例如,區塊鏈安全企業與學界合作,正在嘗試所謂的crypto–agility(加密敏捷性)——設計協議時,讓未來更容易替換密碼學原語。理想狀況就是讓區塊鏈網絡像網頁瀏覽器那樣靈活,需時可以透過升級引進新加密技術。但是,要讓數百萬個去中心化節點升級,可比讓Google Chrome或Firefox用戶端自動更新難多了。
Another point of contrast is the risk surface. Traditional finance relies heavily on encryption for secure communication (TLS for banking websites, VPNs, secure messaging, etc.), all of which could be undone by a quantum attacker. So banks face not only the threat of cryptocurrency theft but also potentially the exposure of sensitive customer data and financial transactions if encryption breaks. This gives them a broad incentive to upgrade everything encryption–related.
另個明顯差異在於風險面。傳統金融極度依賴加密來確保通信安全(如銀行網站用的TLS、VPN、安全訊息傳遞等),這些加密一旦被量子攻擊破解便全線崩潰。所以銀行不僅擔心加密貨幣遭竊,還可能面臨敏感用戶資料與金融交易外洩的風險,只要加密遭破壞一切都沒了。這迫使他們必須對所有加密相關項目做全面升級。
Cryptocurrencies have a narrower but more acute risk: the integrity of the currency itself. A quantum attack on crypto doesn’t reveal confidential information (since blockchains are public), but it could undermine ownership and trust in the system. In some sense, the crypto risk is “all or nothing” – either your coin’s algorithm gets broken and chaos ensues, or it doesn’t. Banks meanwhile might survive some breaches but face massive privacy or financial losses if they drag their feet on PQC.
加密貨幣的風險範圍比較窄,但後果更嚴重:那就是貨幣本身的信任和完整性。針對加密貨幣的量子攻擊不會洩露機密資訊(區塊鏈本來就是公開的),但會徹底摧毀所有權和系統信心。某種程度上,加密貨幣的風險是「一翻兩瞪眼」——不是算法被突破全線崩潰,就是安然無事。銀行則即便有些資安攻擊,也還可能撐得住,但如果PQC部署太慢,會有極大的隱私和財務損失風險。
Interestingly, some collaborations are emerging between tradfi and crypto on this issue. JPMorgan’s quantum–safe blockchain network could be seen as a private blockchain use case, but the tech could potentially inform public chains too. IBM, being a major player in both enterprise blockchain and quantum computing, might eventually help bridge solutions into the open–source blockchain world. And governments might impose standards – for example, one could imagine a future regulation that says any cryptocurrency used by banks or traded on regulated exchanges must be quantum–resistant by a certain date. That would light a fire under the decentralized projects to adapt or face delisting.
有趣的是,傳統金融和加密產業在這個議題上已開始合作。例如摩根大通的量子安全區塊鏈網路,雖然目前屬於私有區塊鏈應用,但這項技術未來也有機會帶到公有鏈領域。IBM同時在企業區塊鏈和量子運算領域具重要地位,未來有可能協助將解決方案導入開源區塊鏈世界。此外,政府也可能頒布相關標準——例如,未來可能規範銀行採用或在合規交易所上市的任何加密貨幣,必須在某個期限前具備量子抗性。這會促使去中心化項目必須加快跟上,否則就會被下架。
In summary, the traditional finance world has started the post–quantum transition in earnest, leveraging their centralized structure to do so. The crypto world lags behind not due to ignorance but due to the inherent difficulty of making protocol changes in a decentralized environment and a perhaps justified sense that the danger isn’t right at the doorstep yet. The challenge ahead is accelerating crypto’s migration pace without undermining the qualities (decentralization, stability) that make it valuable. It’s a delicate balance of not crying wolf too early versus not sticking one’s head in the sand. The next section will delve into how Bitcoin might approach this in practice, which illustrates just how complex that governance process can be.
總結來說,傳統金融業已經認真啟動了後量子時代的轉型,並善用其中心化架構推進升級。加密世界之所以落後,並非是無知,而是去中心化環境下進行協議變更本就困難重重,再加上「威脅還沒到家門口」的合理心態。接下來的挑戰是如何加快加密貨幣的升級步伐,又不損及其核心價值(去中心化、穩定性)。這是一場不能太早喊狼來了、也不能鴕鳥心態埋頭不理的微妙平衡。下一段將深入探討比特幣實務上可能的做法,這也正好體現了其治理過程的複雜程度。
What If Bitcoin Migrates? The Governance Challenge
如果比特幣升級會怎樣?治理難題
Let’s say the Bitcoin community collectively decides, “Yes, we need to upgrade our cryptography to be quantum–safe.” How would that actually happen? This is where the governance challenge kicks in. Upgrading Bitcoin is often compared to repairing an airplane mid–flight – any change must be carefully designed not to break the system as it runs. For a quantum–resistant Bitcoin, developers have proposed a few routes, each with pros and cons.
假設比特幣社群集體決定「是的,我們得將加密技術升級至量子安全」。那實際上要怎麼推動?這正是治理難題的開始。比特幣升級常被比喻成「飛機半空維修」——一切改動必須小心設計,確保系統運轉不中斷。針對量子抗性的比特幣,開發者提出了幾種策略,各有利弊。
One key proposal making rounds is known as BIP–360, also nicknamed “Bitcoin Post–Quantum” or “QuBit” (not to be confused with qubit, the quantum bit). BIP–360 is a draft Bitcoin Improvement Proposal by a pseudonymous author “Hunter Beast” that sketches a multi–stage plan to introduce quantum–resistant addresses and signatures to Bitcoin. The idea is to do it gradually to avoid chaos. Here’s a simplified rundown of the plan:
目前討論度最高的提案之一是BIP–360,也被稱為「Bitcoin Post–Quantum」或「QuBit」(別和量子位元 qubit 混淆)。BIP–360是一份由化名「Hunter Beast」提出的比特幣改進草案,其核心是分階段導入量子抗性地址與簽章,目標是循序漸進避免市場混亂。計畫大致如下:
Stage 1: Introduce a new address format, called P2QRH (Pay–to–Quantum–Resistant–Hash), that can support various post–quantum signature algorithms. Users could start creating new addresses of this type and sending Bitcoin to them. These addresses would be backwards–compatible (they’d look like any other address to old nodes, likely via some versioning), so this can be done as a soft fork.
階段一:導入全新位址型態P2QRH(Pay–to–Quantum–Resistant–Hash,付給量子抗性雜湊),可支援多種後量子簽章算法。用戶能開始生成並使用這類新地址收發比特幣。這類新地址具備向下相容性(舊節點視角下它們外觀與其他地址無異,可能透過版本號區分),意味著實現這一點只需軟分叉。
Stage 2: Once P2QRH addresses exist, give people an incentive to use them. QuBit proposes a block weight discount (16x cheaper in terms of fees) for transactions from quantum–resistant addresses. This is similar to how SegWit’s rollout gave discounts to encourage adoption. Cheaper fees would nudge wallets and users to migrate funds to the new address type over time.
階段二:P2QRH地址問世後,給予使用誘因。QuBit提案中建議對來自量子抗性地址的交易給予區塊容量(block weight)折扣(手續費降至原來的1/16),類似當年為推動SegWit所採用的優惠策略。低手續費會逐漸驅動錢包軟體和用戶將資金遷移到新地址。
Stage 3: Develop a Taproot–compatible version of these addresses, and eventually make a soft fork that begins to require quantum–resistant signatures for new transactions. At this point, perhaps after many years of voluntary adoption, the community might agree to “sunset” the old ECDSA–based addresses.
階段三:開發與Taproot相容的此類地址,並在最終透過軟分叉,要求新交易必須使用量子抗性簽章。在這個階段,也許是多年自願採用後,社群可望達成共識,讓舊有ECDSA地址「退場」。
Stage 4: In the far future, once it’s confirmed that quantum threat is imminent, a final soft fork could disable old signature types entirely, making Bitcoin fully post–quantum for all transactions going forward.
階段四:在遙遠的未來,一旦量子威脅確定迫在眉睫,最後再進行一次軟分叉,全面停用舊簽章型態,使比特幣自此完全進入後量子時代。
This phased approach is meant to tackle governance pragmatically: don’t force everyone to switch on a dime (which would be a hard fork and contentious), but rather introduce the new system, encourage its use, and slowly make it the default. By using soft forks, backward compatibility is maintained – old nodes would see a P2QRH transaction as anyone–can–spend (if not aware of the new rules) but thanks to miner enforcement, it would still be secure. It’s complex engineering, but Bitcoin has navigated tricky upgrades like SegWit in the past.
這種分階段設計,是一種務實的治理手法:不是強迫大家立刻切換(那會是激烈、具爭議性的硬分叉),而是漸進推出新系統,先鼓勵採用,最後逐步成為預設方案。採用軟分叉能保留相容性——舊節點若不認識P2QRH交易,會視之為「任意花費」,但礦工端有明確檢查規則,還是很安全。這雖然是複雜工程,不過比特幣過去也曾成功推動SegWit等艱難升級。
There are some trade–offs and open questions. Quantum–resistant signatures are big, so if a lot of people start using them, it could effectively reduce how many transactions fit in a block (hence discussions of a block size increase have floated around in conjunction). QuBit’s current iteration suggests that using PQ signatures might effectively lower throughput somewhat, but it considers that an acceptable price for security. There’s also the matter of which quantum–safe algorithms to choose.
這之中也有各種取捨與未解課題。量子抗性簽章體積很大,若大量用戶採用,等於每個區塊能塞的交易會變少(所以社群也討論過提升區塊大小)。目前的QuBit提案認為,使用PQC簽章或許會降低吞吐量,但這是為了安全可接受的代價。還有選擇何種量子抗性算法的問題。
QuBit smartly doesn’t lock in one algorithm; it supports a few (like SPHINCS+–256F and FALCON–1024) and lets users pick. This hedges against any single new algorithm later being found flawed – a wise move given PQC is relatively new and not battle–tested like RSA/ECC. Still, more exotic options like lattice signatures could introduce their own uncertainties (e.g., if a breakthrough math attack on lattices happened, that could be an issue; it’s not likely, but it’s the kind of thing cryptographers consider).
QuBit很聰明地沒有只選定單一算法,而是支援多種(如SPHINCS+–256F、FALCON–1024),讓用戶自己挑選。這等於對沖將來某一算法被發現有漏洞的風險——這很明智,因為PQC演算法相較RSA/ECC還很新、不夠久經沙場。不過,例如格基(lattice)簽章這類更冷門的選項,也可能會有新型的不確定風險(比如某天有數學突破攻擊格基密碼,也會出大事;雖然機率不高,密碼學家還是要考慮這種風險)。
An alternative strategy is more brute–force: a hard fork to mandate post–quantum crypto across the board. This would be simpler in execution (just change the rules at block X so that only PQ signatures are valid going forward), but politically and practically it’s far harder. Hard forks can split the chain if not everyone agrees –
另一種比較「武斷」的做法,是直接透過硬分叉強制全網切換到後量子加密。這個方法實作上較簡單(只需規定從區塊編號X開始僅能用後量子簽章),但實務和政治層面都更加困難。硬分叉很容易造成鏈分裂,只要不是所有人都同意——think of Bitcoin Cash splitting off in 2017 over a disagreement.
想想 2017 年 Bitcoin Cash 因為意見分歧而分叉的情況。
If a significant minority of users or miners refuses a quantum–hard–fork (perhaps because they disagree on timing or algorithm choice), you could end up with two competing Bitcoins, which would be a nightmare for value and trust. So, most see a hard fork for quantum as a last resort, perhaps only if an emergency dictates it and there’s near–unanimous consent out of sheer necessity.
如果有相當數量的用戶或礦工拒絕進行量子硬分叉(也許是因為不同意時間點或演算法的選擇),最終可能會出現兩個互相競爭的比特幣,這對價值與信任而言將是一場噩夢。因此,大多數人認為針對量子的硬分叉是最後的手段,或許只有在緊急情況下,出於不得不的必要性且幾乎全體同意時才會採取。
We should also consider the user aspect: ordinary Bitcoin holders would need to move their coins to new addresses at some point to be safe. As long as they have their private keys, they can always spend from an old address into a new one. But some coins are lost or held by people who aren’t paying attention. Those coins might remain forever in vulnerable addresses.
我們還應該考慮用戶層面:普通的比特幣持有者遲早需要將他們的幣轉移到新地址以確保安全。只要他們擁有私鑰,他們隨時可以將舊地址的資金轉移到新地址。但是,有些比特幣遺失或被不關心的人持有,這些幣可能永遠留在易受攻擊的地址上。
One proposal (floated academically) is that if quantum computing arrives and some coins haven’t moved, there could be a “vaulting” or recovery process to protect them (perhaps miners temporarily freeze obvious quantum–theft attempts or something). However, that gets into very contentious territory of potentially violating Bitcoin’s fungibility or allowing special cases, which the community would be loath to do. Realistically, if someone doesn’t upgrade their coins after years of warning and then they get stolen by a quantum attacker, it would just be part of the fallout.
有一種學術上提出的建議是,如果量子運算來臨且某些比特幣一直沒有移動,可以實施「保管」或回收流程來保護這些幣(也許礦工可以暫時凍結明顯的量子竊盜企圖等)。然而,這會碰觸到爭議極大的領域,因為這可能違反比特幣的同質性或開啟特例,這是社群極不樂見的。現實中,如果有人經過多年警示後仍未升級其比特幣,結果被量子攻擊者竊取,那也只能當作是這波事件的後果之一。
It’s worth mentioning that Ethereum and other smart contract platforms face a similar governance challenge. Ethereum’s culture is more open to upgrades (they hard–fork regularly for improvements), so it might execute a quantum–safe transition faster if needed. There’s even the possibility of using Ethereum’s programmability to allow both old and new signature types to coexist until a cutoff.
值得一提的是,Ethereum 和其他智能合約平台也面臨類似的治理挑戰。Ethereum 的文化對升級更為開放(會定期進行硬分叉提升功能),因此如果有需要,理論上完成量子安全轉移的速度有可能更快。甚至有可能利用 Ethereum 的可編程性,使得舊簽章類型和新型簽章可以在一段時間內並存,直到執行切換。
Some altcoins like Nano, Stellar, etc., use different signature schemes (like ed25519) which are equally vulnerable to quantum, so they’d need upgrades too. It’s a broad ecosystem issue. Coordination across chains isn’t strictly necessary (each network can handle itself), but imagine the scenario where one major coin goes PQ and others haven’t yet – there could be market shifts and arbitrage around perceived security.
有些山寨幣如 Nano、Stellar 等,雖採用不同的簽章機制(如 ed25519),但同樣無法抵抗量子攻擊,因此也需要升級。這是整個生態圈的共同課題。各鏈之間並非一定要協調(每個網路可以自行處理),但若想像一下主流幣種中有的導入後量子安全、有的還沒做,市場可能會基於安全感受產生資金流動和套利空間。
In short, migrating a cryptocurrency to quantum–safe crypto is as much a social process as a technical one. It requires developers to write the code, yes, but then also miners to adopt it, businesses to update their systems, wallet providers to create user–friendly tools (so people can convert their funds to new addresses easily), and exchanges to recognize the new address formats. It’s a multi–year effort. The governance challenge is keeping everyone aligned and moving roughly in step rather than fracturing.
簡而言之,將加密貨幣遷移到量子安全的密碼學既是技術問題,也是社群協作的過程。它需要開發者寫代碼、礦工升級佈署、企業更新系統、錢包業者設計易用工具(讓用戶能輕鬆將資金轉到新地址),還有交易所認可新的地址格式。這是一項需時數年的工程。治理上的挑戰在於讓所有參與者保持大致一致,避免出現分裂。
So far, Bitcoin’s community has shown it can rise to challenges when truly needed (e.g., the response to bugs or scalability issues), though not without drama. The looming quantum threat might actually serve as a unifying issue – nobody in crypto wants to see the coins broken. As long as the timeline is understood, one would hope even usually feuding factions of the community would come together to defend their collective interest: the integrity of the network.
到目前為止,比特幣社群在真正需要時展現過團結應變的能力(例如對漏洞或擴容問題的處理),儘管過程不乏爭議與戲劇化。來勢洶洶的量子威脅反而有可能成為凝聚共識的契機——加密貨幣圈沒有人想看到幣毀於一旦。只要時程規劃清楚,希望即使平時意見分歧的派系,也會共同守護網路的整體利益與完整性。
Winners, Losers, and Economic Consequences
勝利者、失敗者與經濟後果
What would the crypto landscape look like if quantum computing reached the point of breaking contemporary encryption? It’s a scenario that could produce some clear winners and losers, at least in the short term, and broadly shake economic confidence in digital assets.
如果量子計算能力已經能夠破解現有加密技術,加密貨幣生態系會變成什麼樣子?這種情境下,短期內很可能會有明顯的贏家與輸家,也會嚴重動搖大眾對數位資產的經濟信心。
First, let’s consider the worst–case event: a sudden quantum attack becomes feasible and is unleashed on an unprepared network like Bitcoin. The immediate loser would be trust. Confidence in the security of cryptocurrency could evaporate overnight. Prices of major coins would likely plummet as holders scramble to sell before their funds get stolen. Remember, Bitcoin’s market cap (and that of other cryptos) is not just held by cypherpunk hobbyists anymore; it’s held by hedge funds, ETFs, companies like Tesla, and even nation–states (El Salvador, for one).
首先,想像最壞情況:量子攻擊突然變得可行,而且針對毫無準備的比特幣網路發動。最直接的受害者將是「信任」。加密貨幣的安全信心可能在一夜之間蒸發。主要幣種價格也會因幣主們搶著賣出以免被盜而暴跌。要知道,比特幣(還有其他加密貨幣)的市值早已不僅限於密碼龐克愛好者,還有對沖基金、ETF、如特斯拉這類企業,甚至國家(如薩爾瓦多)都持有。
A collapse in Bitcoin’s price triggered by a security failure could send shockwaves through traditional markets as well, given the growing institutional exposure. We might see a broader financial contagion if, say, big investors have to write down crypto holdings or face liquidity issues. Panicked sell–off is the phrase that comes to mind.
比特幣若因安全失效而崩盤,波及層面甚至可能延伸至傳統金融市場,因為目前的機構曝險規模已經不小。若大投資者不得不對加密資產減值或面臨流動性危機,可能引發更廣泛的金融傳染效應。「恐慌性拋售」就是最貼切的形容。
In that chaos, who would be the “winners”? Obviously, the attacker (if it’s an entity) gains potentially massive amounts of stolen crypto – but spending it or cashing out may be tricky if everyone’s watching the addresses and exchanges blacklist the stolen funds. More interestingly, any assets or projects that are quantum–resistant could suddenly be in high demand. For instance, a niche coin like QRL (Quantum Resistant Ledger) might surge as people flock to something they perceive as safe. Companies offering post–quantum encryption solutions could see a boom in business (their services needed to secure exchanges, wallets, etc.). It’s also possible that alternative stores of value like gold or fiat currencies might get a relative boost as crypto temporarily loses shine.
在這一片混亂中,誰會是「贏家」?顯而易見,攻擊者(如果是一個團體或組織)可能竊得大量加密貨幣,但如果全市場盯緊這些地址、交易所將贓款列為黑名單,要變現也不容易。更值得注意的是,任何主打量子安全的資產或項目,可能會突然大受青睞。例如像 QRL(Quantum Resistant Ledger)這類小眾幣種,可能因為被認為安全而暴漲。有在提供後量子加密解決方案的公司,也可能因交易所、錢包等急需其服務而業績暴增。另外,傳統的價值儲存物如黃金或法幣,也可能因加密貨幣暫時失色而獲得投資人青睞。
However, longer term, the term “winners” is hard to assign because if confidence in cryptography is broadly shaken, everyone is in trouble. As cryptographer Michele Mosca warned, if quantum cracked our cryptosystems unexpectedly, “confidence in digital infrastructures would collapse.”
但從長遠來看,誰能稱為「贏家」其實很難說,因為如果密碼學整體信心受損,大家都會陷入困境。正如加密學家 Michele Mosca 警告的那樣,如果量子運算始料未及地破解了我們的密碼體系,「數位基礎設施的信心將會崩潰。」
We’d shift from orderly migration to “crisis management,” which “won’t be pretty,” he said. That extends beyond crypto: think of secure communications, banking, the internet. So one could argue the only real winners would be those who foresaw it and prepared, thus avoiding disruption. Among crypto players, that could mean communities that upgraded in time or designed with quantum in mind from the start.
他指出,屆時我們將從有秩序的遷移變成「危機管理」,而這「絕對不會好看」。而且這影響還超出加密貨幣本身——包括安全通信、銀行、網路都會受到衝擊。所以可以說,唯一真正的贏家,是那些早就預見並且提前準備、避免受到干擾的人。對加密社群來說,即意謂及早升級、或設計之初就考慮量子威脅的項目與社群。
Let’s entertain a scenario where Bitcoin, through great effort, manages to migrate smoothly to post–quantum crypto before a quantum attacker arrives. In that case, Bitcoin’s network might sail through the “quantum scare” era and come out the other side robust. Its value proposition would actually strengthen (“Bitcoin survived the quantum transition!” would be quite the headline). Late–upgrading or stagnant projects could lose out. For example, if Bitcoin upgrades and some Bitcoin forks or smaller coins do not, users would likely abandon the weaker ones. One could imagine an investor rotation: moving capital from any coin perceived as lagging in quantum safety into those leading the pack. It’s a bit like Y2K for finance – companies that fixed their software in time were fine; those that ignored it risked failure.
假如比特幣能在量子攻擊者出現前,經過努力完成順利的「後量子」加密升級,那麼比特幣網路就有機會安然渡過這波「量子恐慌」時代,甚至在風暴過後變得更為強大。這反而會使比特幣的價值主張提升(「比特幣挺過了量子危機!」會成為一大標題)。至於那些升級落後或停滯的項目則可能被淘汰。例如,如果比特幣完成升級而某些分叉幣或小幣沒跟上,使用者很可能會棄守那些較弱的幣種。可以想像,資金會在幣圈內由量子安全落後的幣種流向領頭羊,有點像 Y2K 問題時,金融市場上按時修好系統的公司躲過災難,忽視它們的公司則有倒閉危險。
We also have to consider the possibility of government intervention. If a quantum crisis hit, regulators might step in harshly. They could temporarily halt trading on crypto exchanges (to prevent further losses), or even attempt to coordinate a global response – perhaps pushing a certain standard upgrade quickly. Governments that were already skeptical of crypto might use the incident as fodder: “See, this stuff wasn’t safe, and now look at the mess.” On the flip side, if the crypto community navigates the quantum challenge well, it could impress regulators about the industry’s maturity and resilience, potentially building trust.
我們也必須考慮政府介入的可能性。如果遭遇量子危機,監管單位有可能祭出強硬手段。例如可能暫停加密貨幣交易所的交易(以阻止更大損失),甚至嘗試協調全球回應——也許強制推動某種標準的升級。那些本來就質疑加密貨幣的政府,可能會藉此事件大做文章:「你看吧,這東西本來就不安全,現在全亂了套。」但反過來說,如果加密社群順利克服量子威脅,也有可能因此讓監管者對業界的成熟性和韌性留下深刻印象,甚至建立更多信任。
What about decentralized finance (DeFi) and smart contracts? Those systems rely on the underlying blockchain security. If Ethereum’s cryptography were compromised, for instance, all those DeFi contracts could be drained by quantum attackers forging transactions or stealing keys to multisigs. The entire DeFi ecosystem could unravel very fast – essentially a series of bank runs as every user tries to pull funds out before attackers do. Collateral values would plunge, liquidations cascade. It would make the DeFi hacks we’ve seen so far (usually due to bugs or key thefts) look minor by comparison. Again, projects that are proactive – say a lending platform that migrates to quantum–safe authentication for user withdrawals or a DEX that uses quantum–resistant keys for its admin controls – would fare better.
那去中心化金融(DeFi)與智能合約怎麼辦?這些系統仰賴所屬區塊鏈的底層安全性。以以太坊為例,倘若其密碼學遭量子破解,大量 DeFi 合約可能因攻擊者偽造交易或竊取多簽金鑰而被掏空。整個 DeFi 生態系統會非常迅速地瓦解——本質上是一連串的擠兌潮,每個人搶著在攻擊者下手之前把資金提走。抵押品價值會大跌,清算事件連鎖發生。與這相比,過去那些主要由程式漏洞或金鑰遭竊導致的 DeFi 攻擊,看起來都小巫見大巫。再說一次,主動出擊、及早導入量子安全機制的項目(比如貸款平台將用戶提領驗證升級為量子安全,或 DEX 用量子防禦金鑰管理權限)會明顯比較有優勢。
It’s worth noting some might find a silver lining or opportunity. For instance, crypto miners: if somehow only a few parties have quantum tech for mining, they could reap outsized rewards (until difficulty adjusts or the network responds). But realistically, if mining was dominated by a quantum computer, that chain is effectively broken because decentralization is gone. So that’s not so much a winner as a Pyrrhic victory for one entity.
值得注意的是,也許某些人會從中看到機會或轉機。例如加密貨幣挖礦者:如果一開始僅少數人掌握量子挖礦技術,他們可以快速獲得巨大報酬(直到網路調整難度或做出其他因應措施)。但現實來看,若比特幣挖礦被量子電腦一枝獨大,整條鏈就名存實亡,因為去中心化不復存在。因此,這說到底不真的是「贏家」,而只是某單一主體的慘勝。
Another angle: The insurance industry could face payouts if any insurers covered crypto losses due to theft (though many exclude such events). Alternatively, this could create a new market for “post–quantum insurance” and security services.
還可以從另一角度來看:保險業如果有承保加密貨幣被盜損失,恐怕會面臨大量理賠(儘管多數合約本就排除此類風險)。反過來,這也可能催生「後量子保險」和新一波資安服務市場。
Economically, a quantum event hitting crypto could temporarily diminish the value of the whole sector – possibly by trillions in lost market cap in a severe scenario. But human ingenuity doesn’t stop. If people still see utility in cryptocurrency (and they likely will – the need for decentralized value exchange won’t vanish), the industry will rebuild on new, stronger foundations. Perhaps we’d see “Crypto 2.0” narratives with fully quantum–secure blockchains and maybe even quantum technology harnessed for new features.
就經濟層面來說,若量子事件衝擊加密貨幣領域,全行業市值可能會短暫大幅縮水——嚴重時甚至損失數兆美元。然而,人類創新不會就此停滯。如果加密貨幣在本質上依然有用(而這點很可能持續——去中心化價值交換的需求不會消失),這個產業就會在新的、更強韌的基礎上重建。也許未來我們會看到所謂「加密 2.0」的敘事,區塊鏈全面量子安全,甚至利用量子科技創造新功能。
In summary, in a quantum disruption:
總結一下,在量子衝擊之下,
- Losers: Anyone holding unprotected crypto (which is most of us, currently), exchanges and financial institutions entangled with a falling market, and generally trust in the system. Also, technically, quantum computing companies might face backlash for unleashing chaos, though they’d also have a boom in interest for solutions.
- 失敗者:所有持有未受保護加密幣的人(目前幾乎是大家)、捲入下跌市場的交易所與金融機構、以及對整體系統的信任。此外,量子電腦公司也可能承受公眾反彈(被認為釋放了混亂),但他們的解決方案同時也會大受關注。
- Winners: Those who hedged by investing in PQC early, quantum–resistant projects, possibly early adopters of upgraded coins, and the attackers (if malicious) until they get caught or their loot is rendered worthless by emergency forks or
- 勝利者:早期築起 PQC(後量子密碼學)防線的投資者、量子安全項目、可能率先升級的人,還有惡意攻擊者——直到他們被補獲或贓品因緊急分叉成為廢幣為止。blacklisting.
從長遠來看,如果加密貨幣生態系統能成功適應,最大的贏家可能就是它本身——因為這代表它展示了自我調適能力,並且在迄今最嚴峻的威脅下重新獲得了生命。然而,達到這個過程可能會帶來經濟上的劇烈震盪。俗話說,「預防勝於治療」,在這裡顯得特別貼切。藉由投資於預防(如升級演算法、實踐良好的金鑰管理習慣,例如不重複使用地址等等),加密社群可以避免事後補救的痛苦與高成本。
Quantum–Ready Projects and Future Outlook
展望未來,量子運算與加密貨幣的交會既是威脅,也帶來契機。這促使業界在強化加密系統上創新和投資。前文已經介紹過一些號稱「量子就緒」的項目(如 QRL、Naoris、Quranium)。這些現在也許還算是小眾,但已可一瞥後量子加密貨幣生態系可能的樣貌。
舉例來說,QRL 採用 XMSS 雜湊型簽章,代表即便量子電腦出現,也難以在 QRL 上偽造交易——其安全性建立在雜湊函數之上,這在面對量子攻擊時相對安全(僅受到格羅佛演算法帶來的平方級減速影響)。同樣地,Quranium 採用無狀態雜湊簽章(很可能接近 SPHINCS+ 演算法),完全不倚賴傳統橢圓曲線或 RSA。
在更廣泛的產業中,我們已見到越來越多針對後量子加密創業公司與研究團隊的資金挹注。美國及其盟友已成立如 PQCrypto 之類的倡議,推動新標準的採用。歐盟則有其「地平線計畫」下的量子安全加密專案。創投也感興趣:正在研發量子安全 VPN、加密通訊或區塊鏈應用的公司已開始募資,預期隨著我們離實用量子運算愈來愈近,需求將激升。這情形可比擬於資安產業的早期——誰先建立起「量子防火牆」,就有望率先受惠。
有趣的是,部分區塊鏈項目甚至在探討量子運算的正面應用。例如,有些前瞻性研究討論是否有一天量子電腦能以更有效率方式運行某些「工作量證明」演算法(雖然這通常被視為威脅而非優勢,因為會使挖礦更加集中化)。另一個潛在的正面應用:產生真正的亂數。量子過程天生即具有隨機性,因此部分協議可能會利用量子亂數生成器,強化共識機制或加密協定中的不可預測性(像 Cardano 團隊就提過用量子亂數改進領袖選舉流程等)。
此外,若未來量子電腦真能高效求解最佳化問題或模擬化學反應,聚焦這類領域的區塊鏈(例如計算或科學運算網路)也可能把量子運算納入生態系(可想像成與智慧合約連結的 oracle 或鏈下運算)。
對於一般加密貨幣用戶而言,未來不需恐慌,但必須有警覺與準備。現階段可行的實用建議:避免重複使用地址。正如 Nic Carter 所強調,類似不反覆使用同一比特幣地址這樣的基本衛生習慣,有助於避免你的公開金鑰長時間暴露。如果某天量子電腦真的出現,除非你執行過交易並公開金鑰,否則他人難以對你發動攻擊——你的幣如果仍待在從未支出的地址中,還算較安全(直到你花費它為止)。未來,錢包應該也會陸續支援量子安全地址選項。
舉例來說,未來或許會有可建立 P2QRH 地址的比特幣錢包(若 BIP–360 或同類方案通過),讓你一鍵遷移資產。做為用戶,持續關注這種技術發展格外重要。也許未來有一天,你會收到這樣的提示:「立即升級到量子抗性地址。」早點行動絕對優於拖延。
另一個可讓用戶為其資產「防未來」的方法,就是稍微多元化配置,持有部分天生具備量子抗性的資產。這可能是持有部分在量子安全區塊鏈上的幣,甚至是配置一部分非數位資產(作為避險)。不過,若有充分的過渡準備時間,主流加密貨幣多半會完成升級,毋須全面撤離才能確保安全。
從社群觀點來看,未來幾年勢必會見到密碼學家、區塊鏈開發者、量子物理學家彼此間更密切合作。這是一個跨學科的難題。我們或將見到以區塊鏈與後量子安全為主題的工作坊與黑客松。IEEE、IACR 等組織也早已促進相關對話。此種跨界合作至關重要,因為在區塊鏈落實 PQC(後量子密碼學)牽涉到新數學理論,也需考量實際網路條件的調適。
最後,未來有一種可能情境是:量子電腦真的問世時,加密貨幣不僅存活下來,還能蓬勃發展。若區塊鏈成功過渡到量子抗性演算法,反而會增添其可信度,因為它們等同通過了最嚴苛的韌性考驗。而且,耐人尋味的是,這將為量子加密學應用大開大門。例如零知識證明等先進協議將有機會引入量子技術(目前已有量子零知識證明的理論研究)。
我們甚至可以想像,未來某天區塊鏈會以量子技術自我防護,例如基於糾纏的共識機制(雖然現階段看來遙遠,概念上卻耐人尋味——如:可以用量子通信為節點同步帶來新型安全保證嗎?)。這些想法雖然超前,但也證明量子運算不但不是唯一威脅——若能善加利用,它還能以全新方式重塑信任。
總結來說,加密社群正積極為「量子不可避」做好準備。新興項目正以量子安全設計作為先鋒,主流區塊鏈網路也在逐步描繪遷移藍圖。一般用戶毋須深入理解 qubit 物理,也能受益;只要遵循最佳實踐,並隨保護力提升而更新軟體即可。加密貨幣一直以來的主軸就是「韌性」——從交易所遭駭、熊市、監管整頓、協議漏洞,一路挺過。量子挑戰只是這段故事的又一章。確實嚴峻,但若能及早適應並建立全球標準,產業甚至能因此變得比以往更強大、更安全。
Final thoughts
量子運算與加密貨幣如同正面衝突的兩列列車——也許不是今日明日,但遲早會碰頭。這場衝突常被戲劇化描述:「量子就是比特幣的終結者。」從本文探討來看,形勢其實更為細緻。沒錯,量子電腦終有一日會破解現今守護我們數位資產的特定密碼學基石,但這不等同數位資安或加密貨幣的終結,而是新篇章的開始——我們必須部署更強大的盾,甚至學會拿起量子工具保護自己。
「準備」就是一切。這情勢很像網際網路早期與網路攻擊興起時——認識到資安風險並投資的人奪得先機,其他人則吃盡教訓。對於加密貨幣產業,結論很清楚:絕不能自滿。我們的目標不是耸人聽聞煽動恐慌(本文盡量避免了警世語氣),而是強調一個冷靜的事實:現在就有機會確保即使強大到能破解現有機制的量子電腦登場,數位貨幣依舊「不可破解」。
這份準備需要全球標準與協作。正如 NIST 曾領導數年甚至跨國的後量子演算法甄選,區塊鏈領域或許也需要類似的行動——也許是一個聯盟或工作組,涵蓋不同專案、學術機構,甚至政府,共同推動分散帳本的量子安全解決方案。我們可能會見到類似「量子安全區塊鏈聯盟」的組織出現,分享知識與協調時程,避免發生部分幣種安全、另一些卻暴露的拼湊格局,以免引發系統性危機。
此外還需要充分的教育與溝通。開發者必須向用戶說明某些升級為何有其必要(過去因誤解拖延關鍵更新的案例屢見不鮮)。量子風險的溝通要拿捏得宜:不能過度淡化威脅,也不能過早狼來了讓人麻木。傳遞的訊息應是:「這是密碼學發展必經的演進,解方已在手,只需審慎、積極地落實。」
值得鼓舞的是,世界上最優秀的密碼學及電腦科學專家,早已投身這一課題。預期未來邁向後量子時代,常被比擬為 32 位元轉 64 位元、或 IPv4 轉 IPv6——需規劃,但過渡可控。最理想的情境,是到了 2035 年,主流用戶甚至早忘了有過量子威脅這回事,每天照常用比特幣、以太坊,只是其底層已換成格基簽章或雜湊簽章,生活如常。實現這種「無感事件」的結局,就是靠多年努力鋪墊出的成果。right now (and perhaps some luck that quantum doesn’t
arrive notably sooner than expected).
在結論中,很適合重申常被冷靜專家們提及的看法:不要驚慌——要做好準備。正如比特幣的長期持有者會以數年甚至數十年的眼光來看,網路的安全性也必須以世代為單位來思考。量子運算是一個世紀才會出現一次的技術變革。要順利因應這個挑戰,需要跨領域的合作:密碼學家設計演算法、區塊鏈工程師將其整合、企業領袖為其提供資金與落實,當然還有量子科學家提供技術的真實現況(而不僅僅是炒作)。這不是任何單一群體能獨立應對的挑戰。
密碼學的「貓捉老鼠」遊戲將像以往一樣持續下去。量子電腦會迫使密碼學進化,而密碼學也必將進化。如果區塊鏈真的要成為許多人期望的永久價值交換基礎,也必須與時俱進。最終,「不可破解變成可破解」的故事,或許也會反轉成「可破解再變回不可破解」。只要超前部署,密碼貨幣社群就能確保其根本承諾——不需中心化信任的安全性——即便面對人類史上最強大的電腦也能成立。量子運算時代將是一次大考,然後,理想上,更會是一個加密安全重生的時代。打造那個未來的時刻,就是現在。