Quantum computing 對加密貨幣產業而言已不再只是理論上的擔憂。
IBM、Google、Microsoft 的硬體里程碑不斷加速、美國國家標準與技術研究院(NIST)於 2024 年 8 月完成首批後量子密碼標準定稿,而各大區塊鏈又幾乎完全缺乏協調一致的遷移計畫,這三者疊加,正在形成一個每個季度都在擴大的複合式安全缺口。
風險規模既具體又可量化。光是 比特幣 (BTC),截至 2026 年 4 月 23 日的市值就約 1.56 兆美元。學術研究估計,約有 25%–40% 流通中的 BTC 位於其公鑰已在鏈上曝光的地址中,一旦出現足夠強大的量子電腦,這些幣在理論上都可能被攻擊。
TL;DR
- NIST 在 2024 年 8 月定稿三項後量子密碼標準,明確宣示:從傳統密碼方案遷移是「當前」而非「未來」的緊急優先事項。
- Bitcoin、Ethereum 與多數主流區塊鏈仍依賴橢圓曲線密碼學;足夠強大的量子電腦可將其破解,讓鏈上價值面臨以兆計美元的風險。
- 可信的「先蒐集、後解密」(harvest now, decrypt later)攻擊策略,意味著攻擊者今天就可能在大量收集加密區塊鏈資料,等待未來量子硬體成熟後再行解密。
加密貨幣的密碼學骨幹已是公開的風險點
幾乎所有主要加密貨幣都依賴兩種直接受到量子運算威脅的密碼學基元。第一是 橢圓曲線數位簽章演算法(ECDSA),它保護 Bitcoin、Ethereum (ETH) 及數百條衍生鏈上的交易簽署安全。第二是 Bitcoin 在工作量證明與地址產生中使用的 SHA-256 雜湊函數。這兩者的量子攻擊向量,都已在同行評審文獻中被詳細分析。
2022 年,英國薩塞克斯大學 Mark Webber 等人發表的關鍵研究 估計,一台擁有約 317 個「邏輯量子位元」的量子電腦,就能在一小時內破解單筆比特幣交易;若要在比特幣 10 分鐘出塊時間內完成,則約需 1,300 萬個邏輯量子位元。
這個目標遠高於現有硬體水準,但量子位元數成長的軌跡,並沒有遠到可以掉以輕心。
Webber 等人的估計指出:317 個邏輯量子位元即可在一小時內破解 ECDSA,將量子威脅轉化為以硬體指標衡量的具體目標,而依現行擴展路線圖,這在本十年內並非遙不可及。
1994 年被提出的 Shor 演算法,至今仍是威脅 ECDSA 的理論核心。它能在量子電腦上以多項式時間解離散對數問題,而經典電腦則需指數時間。隨著各家硬體廠商不斷刷新量子位元里程碑,理論脆弱性與實際攻擊之間的落差正快速縮小。把這視為遙遠風險的投資人,實際上是在錯估一項監管機構與標準組織已正式承認的結構性風險。
延伸閱讀: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
NIST 的後量子標準是監管「起跑槍」
2024 年 8 月 13 日,NIST 發布 了首批三項定稿的後量子密碼標準:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)、FIPS 204(ML-DSA,原 CRYSTALS-Dilithium),以及 FIPS 205(SLH-DSA,原 SPHINCS+)。
在隨附的新聞稿中,NIST 明確要求各機構「立即開始遷移」,不要再等待後續標準。
這是一個重要的監管訊號。NIST 標準在美國金融基礎設施中,實際上具有準強制的遵循效力;包括 美國網路安全暨基礎設施安全局(CISA)在內的多個機構,其後也發布 指引,要求關鍵基礎設施營運者盤點自身的密碼學資產。
廣義而言,加密貨幣基礎設施在多個司法轄區內都屬於關鍵金融基礎設施的一部分,但至今沒有任何主要第一層區塊鏈,因應這些標準而公布具約束力的遷移時間表。
NIST 於 2024 年 8 月發出的「立即遷移」指令,是迄今最明確的官方訊號:後量子密碼已是當前的營運議題,而非遙遠的研究話題。
這三項定稿標準皆基於被認為對古典與量子電腦都困難的數學問題。ML-KEM 建立在模組誤差學習(MLWE)問題上;ML-DSA 與 SLH-DSA 則分別是格基與雜湊基方案。第四項標準 FALCON(現為 FN-DSA,FIPS 206)則在後續數月完成定稿。區塊鏈產業對這些發布近乎完全噤聲,輕則是治理失能,重則已構成對資產持有者的重大風險。
延伸閱讀: Ethereum Nears $2,450 Showdown As Bulls And Bears Split On Next Move
3. 「先蒐集、後解密」威脅已在進行中
最常被低估的一種量子威脅向量,其實今天完全不需要先進量子硬體。所謂「先蒐集、後解密」(harvest now, decrypt later,HNDL)策略,是指攻擊者現在就大量蒐集並儲存加密資料與簽署交易,等待未來量子硬體成熟後再行解密。對設計上公開且不可變的區塊鏈網路來說,HNDL 並非假設情境。
所有曾在 Bitcoin 或 Ethereum 廣播過的交易,永久儲存在全球成千上萬個節點中。任何實體,包括國家級行為者,都可以極低成本歸檔完整交易歷史。Global Risk Institute 在 2023 年的一份報告評估,能夠破解現行加密的「具量子相關性」機器,在 2030 年前出現的機率為 17%,到 2034 年則上升到 50%。
對於在鏈上紀錄屬永久性的資產而言,這樣的機率絕不能被視為微不足道。
Global Risk Institute 2023 年的時間表指出:到 2034 年出現具密碼學相關性的量子電腦的機率為 50%,已落在許多現有持有者的投資時間範圍內。
在區塊鏈情境下,HNDL 的核心問題並不主要是過去已確認的交易,因為一筆已確認的比特幣交易本就會揭露其公鑰與轉帳金額。
更深層的風險在於重複使用的地址、多重簽章機制中已曝光的公鑰,以及任何讓攻擊者可藉由已蒐集的公鑰,在未來推導出私鑰並清空錢包的設計。由於許多錢包 UX 天生鼓勵地址重複使用,實際上已曝光的地址池規模相當可觀。
延伸閱讀: 26 Trojan Crypto Wallet Apps Infiltrated Apple's App Store, Kaspersky Warns
有多少比特幣地址已經「裸露」在量子威脅之下?
比特幣面對量子威脅的具體暴露面,可以透過鏈上分析加以量化。Deloitte 荷蘭研究人員於 2023 年在 arXiv 發表的一項研究發現,約有 400 萬枚 BTC,亦即當時流通量約 25%,被存放在 Pay-to-Public-Key(P2PK)地址,或是其公鑰已在鏈上曝光的重複使用 Pay-to-Public-Key-Hash(P2PKH)地址中。
P2PK 格式被用於早期許多比特幣輸出,包括 中本聰 挖出的區塊;該格式直接在 scriptPubKey 中儲存完整公鑰,讓量子攻擊者可直接取得輸入,對 ECDSA 金鑰執行 Shor 演算法。
重複使用的 P2PKH 地址,則在持有者第一次花費該輸出時就會曝光公鑰,而多數比特幣使用者在長年不良錢包 UX 的引導下,早已習慣地址重複使用。
Deloitte 2023 年的鏈上分析指出,約有 400 萬枚 BTC 儲存在會直接暴露公鑰的地址格式中,構成比特幣網路上最直接、最立即的量子攻擊面。
Ethereum 的暴露面同樣龐大。凡是曾發出至少一筆交易的 Ethereum 錢包,其公鑰在定義上就已曝光。以太坊基金會在其公開路線圖中承認量子脆弱性,並在「future-proofing」章節中將後量子遷移列為長期目標,但尚未給出明確時間表或測試網實作。對一條承載數千億美元用戶資產的網路而言,在一條「到 2034 年量子電腦出現機率 50%」的曲線前,僅以「長期目標」回應明顯不足。
延伸閱讀: Bitmine Surpasses 4% Of Circulating ETH As Accumulation Continues
量子硬體里程碑正在壓縮時間表
自 Shor 於 1994 年提出論文以來,量子運算對密碼學的理論威脅就已存在。但在過去 24 個月中,硬體發展的速度產生了質變,大幅壓縮了理論能力與實際部署之間的落差,足以迫使各方重新嚴肅檢視時間表。
2023 年 12 月,Google DeepMind 的量子團隊 published 的研究結果顯示,一個 70 量子位元系統首次達成低於門檻的錯誤更正,這是在大規模執行 Shor 演算法所需邏輯量子位元數量之前的關鍵前提條件。
在 2024 年 11 月,Google announced 了 Willow 量子晶片,宣稱其在不到五分鐘內完成了一項特定基準計算,而傳統超級電腦則需要 10 正秭年才能完成。
IBM 目前發表於其 quantum development site 的路線圖,目標是在 2033 年前達成具實用規模的量子運算,擁有數千個邏輯量子位元。
Google 於 2024 年 11 月發表的 Willow 晶片,以及 IBM 公布以 2033 年前達成數千個邏輯量子位元為目標的路線圖,構成了具體的硬體里程碑,將量子威脅的時間表,從「數十年之後」壓縮為「在本世代十年之內」。
Microsoft 透過其 Azure Quantum research division 宣布的拓撲量子位元路線,旨在達成比現有超導量子位元架構低數個數量級的錯誤率,可能加速通往對密碼學具實質影響的量子機器之路。單一硬體發布並不足以構成威脅迫在眉睫的證據。
然而,綜合來看,多個獨立研究計畫的進展速度,明顯快於 2023 年以前多數區塊鏈治理文件中所採用的基準假設。
Also Read: TRON Connects $85B USDT Network To LI.FI In Cross-Chain DeFi Push
遷移問題在技術與政治上都極為困難
即便區塊鏈產業今天就決定遷移到後量子密碼學,技術與治理上的挑戰依然巨大。作為主要網路中去中心化程度最高者,比特幣面臨此問題的最嚴峻版本。
更改比特幣的簽名機制需要進行軟分叉或硬分叉,兩者皆要求礦工、節點營運者、錢包開發者與交易所之間達成超級多數的協調;而歷史經驗顯示,連遠較簡單的升級都需要數年時間才能完成。
2017 年的 SegWit 啟用,作為一項相對輕微的結構調整,便花了逾兩年激烈爭論,才達到所需的 95% 礦工訊號門檻。簽名機制的遷移在類別上更具破壞性,因為它會波及整個生態系中的每一個錢包、交易所熱錢包、硬體錢包韌體,以及各式客製化託管解決方案。
IETF Crypto Forum Research Group 研究人員在 2021 年的一篇論文中 noted,ECDSA 已深度嵌入網際網路基礎設施,並將協調式遷移形容為「史上最複雜的密碼學轉換之一」。
SegWit 的先例顯示,比特幣治理運作的時間尺度以「年」計算;這意味著一項尚未啟動的後量子遷移,可能無法在威脅窗口到來前完成。
以帳戶為基礎的以太坊模型在彈性上稍優。以太坊基金會的後量子路線圖中,包括「抗量子 account abstraction」的概念,讓錢包可以在不對既有帳戶進行底層硬分叉的情況下,遷移到新的簽名機制。
然而,這種作法要求每一位使用者主動遷移自己的錢包,而歷史上的以太坊升級參與數據 shows,被動使用者在沒有強制汰舊機制時,始終無法確實採用帶有破壞性變更的升級。
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
正在打造的後量子區塊鏈,仍屬小眾
少數區塊鏈專案已嚴肅看待量子威脅,從一開始就在其基礎層導入後量子密碼學。這些專案目前仍屬小眾,但它們是業界最明確的概念驗證:具量子抗性的區塊鏈在技術上是可行的。
QRL (Quantum Resistant Ledger) 於 2018 年主網上線,是第一個使用 eXtended Merkle Signature Scheme(XMSS)的生產區塊鏈;XMSS 是一種基於雜湊的簽名演算法,已被 NIST 納入其評估程序。QRL 協議在任何層級都不使用橢圓曲線密碼學。IOTA 則在其 Rebased 架構下,moved 朝納入後量子簽名機制的方向前進,包括 Ed448 以及格基(lattice-based)構造。Algorand 已發表關於後量子狀態證明的 research,並在其密碼工具組中加入基於 Falcon 的簽名選項。
QRL 在 2018 年主網上線,證明僅使用基於雜湊簽名的生產區塊鏈是可行的,但其不到 1 億美元的市值,說明了技術健全性與市場採用之間的巨大落差。
這些專案面臨的挑戰不在技術可信度,而在網路效應。比特幣與以太坊之所以占據主導地位,源於其流動性、開發者生態、機構級託管基礎設施與監管熟悉度;而這些都難以由一條雖具量子安全性但缺乏流動性的鏈複製。對整個生態系而言,更現實的遷移路徑,是在既有鏈上加裝後量子簽名選項,而這正是像 NIST FIPS 204(ML-DSA)這類專案被刻意設計來支援的流程。問題在於,啟動這項改裝所需的政治意願,能否在硬體威脅到來前形成。
Also Read: PENGU Token Gains 5.7% As Pudgy Penguins Expands Beyond NFTs
交易所與託管基礎設施面臨截然不同的量子風險
承擔量子風險的不只是散戶持幣者。中心化交易所與機構級託管機構,面臨一種在某些面向上更為嚴重的威脅,因為它們的安全模型同樣建構在 ECDSA 基礎之上,但價值高度集中。
一間大型交易所在其比特幣與以太幣熱錢包中持有數十億美元資產,基於營運必須,必須讓私鑰可供自動化系統存取,以進行交易簽名。這些私鑰儲存在硬體安全模組(HSM)與建構在經典密碼假設上的金鑰管理系統中,在後量子世界將成為攻擊目標。Chainalysis 數據 shown ,自 2012 年以來,交易所遭駭所造成的累計損失已超過 100 億美元,而這些攻擊全都是在沒有量子電腦的情況下完成。將量子衍生的金鑰回復納入威脅模型,使得託管安全問題顯著複雜化。
Chainalysis 的數據記錄,自 2012 年以來,僅利用傳統攻擊手法的交易所駭侵事件,就已造成超過 100 億美元損失,這為在量子金鑰回復出現後,託管脆弱性將大幅惡化提供了基準。
在機構級加密託管領域占主導地位的 HSM 供應商,包括 Thales、AWS CloudHSM 與 Entrust,都已意識到後量子遷移的必要性。NIST 的遷移指引明確討論了 HSM 汰換的時間表。然而,為一家在全球擁有數百萬客戶錢包的大型交易所,全面輪換其金鑰管理基礎設施,在營運上極其複雜,目前沒有任何一家主要交易所公開承諾執行此事,或揭露相關時程。由於在量子準備度方面缺乏監管揭露要求,投資人無從透過公開文件評估託管機構的量子風險。
Also Read: They Bet On Their Own Elections, Kalshi Just Handed Them 5-Year Bans
國家級行為者與量子加密攻擊的地緣政治層面
量子對加密貨幣構成的威脅並非單純技術問題,它具有一個投資人與政策分析人士在公共論述中大致忽略的地緣政治維度。國家級量子計畫,特別是中國、美國,以及程度稍弱的俄羅斯與歐盟,其資金規模遠超私人部門研究,而其能力則多屬機密。
中國的國家量子運算計畫已被納入第十四個五年規劃(2021–2025)及其後續規劃中;據喬治城大學 Center for Security and Emerging Technology 報告 reported,中國在該規劃期間對量子研究的國家投資總額超過 150 億美元。中國人民銀行(PBoC) 自身的研究部門,也已發表多篇關於金融密碼學量子攻擊時間表的論文。若某一機密量子計畫在公開學術計畫之前就達到對密碼學具關鍵影響的能力,第一個跡象可能會是暴露的比特幣地址被默默掏空,而在鑑識分析辨識出攻擊向量之前,這類事件在表面上將與高階傳統駭侵無法區分。
喬治城大學 CSET 的研究記錄顯示,中國在單一五年規劃週期內對量子領域的國家投資超過 150 億美元,這樣的資金規模,可能讓其在公開學術時間表之前,率先獲得機密能力。
美國政府機構在因應此威脅方面,行動速度已超過私人加密產業。管理與預算局(Office of Management and Budget, OMB)issued 了備忘錄 M-23-02(2022 年 11 月),指示所有聯邦機構在 2023 年前完成密碼學盤點並開始遷移規劃。國家安全局(NSA)也已發布其自身的國家安全系統後量子遷移指引。政府因應的緊迫性與私人加密基礎設施的自滿之間的落差十分明顯,值得整個產業好好警惕。
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
可信產業回應的樣貌,以及我們距離有多遠
描繪區塊鏈產業在量子遷移方面一個負責任的計畫應該長什麼樣子,可以讓現況與充足準備之間的距離變得具體可見。根據 NIST 指南、學術研究,以及類似基礎設施遷移的時間表,一個可信的回應需要大約八到十年內完成五個明確階段。
第一階段是密碼學稽核:每個協議團隊、交易所與託管機構都必須盤點所有正在使用的密碼原語、金鑰長度、公鑰是否曝光,以及所有需要更動之系統的相依關係圖。第二階段是後量子演算法選擇,需在 ML-DSA、SLH-DSA 和 FN-DSA 之間做抉擇,依據特定使用情境的效能與安全權衡來決定。學界在 2022 年於 IACR Cryptology ePrint Archive 上發表了一篇易於理解的比較研究,針對 NIST 最終入圍演算法提供了效能基準。第三階段是測試網與預備環境部署。第四階段是協調後的主網啟用。第五階段則是使用者遷移的長尾,對於使用已曝光金鑰地址格式的鏈而言尤其關鍵。
IACR 於 2022 年發表的基準測試研究,針對後量子最終入圍演算法提供了具體的效能比較,讓協議團隊今天就能做出演算法選擇決策,而不必等待進一步標準化。
比特幣核心開發社群已提出兩項相關的比特幣改進提案。BIP-360 由 Hunter Beast 及其合作者於 2024 年底提出,說明一種使用 CRYSTALS-Dilithium 作為預設簽章機制的「Pay to Quantum Resistant Hash (P2QRH)」地址格式。
截至 2026 年 4 月,BIP-360 仍處於草案狀態,尚未提出任何啟用機制。以太坊的後量子路線圖(發布於以太坊基金會的路線圖頁面)則承認長期需要採用 Winternitz 一次性簽章或基於 STARKs 的驗證,但將這些歸類在「splurge」改進項目,也就是現行路線圖框架中優先度最低的一籃子事項。
考量第五節所記錄的硬體時間表,這種優先順序理應受到強力挑戰。
Read Next: 35% Of European Investors Would Ditch Their Bank For Crypto Access
結論
量子計算對加密貨幣的威脅是真實存在、有據可查,並且正沿著一條產業尚未內化的時間軸快速推進。
NIST 已於 2024 年 8 月定稿其後量子標準,並指示立即展開遷移。各國的量子國家級專案獲得的資金規模,足以讓其在公開學術基準之前就具備機密能力。大約有介於 25% 至 40% 的流通比特幣,存放於其公鑰已在鏈上曝光、可供蒐集的地址中。這些都不是臆測,而是可被引用、量化,並且以第一手文件形式公開供協議團隊、交易所合規部門與機構託管服務提供者閱讀的資訊。
產業所缺乏的不是資訊,而是緊迫感。這種模式在其他緩慢醞釀的安全危機中早已屢見不鮮。
組織往往要不是在發生災難性事件之後被迫遷離脆弱系統,就是在面臨監管截止期限時別無選擇才行動。
在量子情境中,這個災難性事件——例如某個擁有機密量子電腦的國家級行為者,悄悄掏空已曝光比特幣地址——會在毫無預警的情況下發生,而且缺乏足夠清晰的鑑識證據,難以在重大損害發生前觸發協調一致的回應。
比特幣與以太坊的治理結構並非為「危機速度」的共識而設計,這意味著,即便硬體威脅尚未真正到來,有序遷移的時間窗口正在逐步收窄。
這份分析帶來的一個建設性含意,是量子轉型其實創造了一個真正的研發機會。率先整合後量子簽章的協議團隊、公開量子就緒路線圖的交易所,以及在監管要求之前就升級其 HSM 基礎設施的託管機構,當這項威脅再也無法忽視時,將佔據實質上更強的競爭位置。研究已完成,標準已發布,剩下的是治理工作,而且必須從現在就開始。