随着量子计算的发展迫使密码学家重新思考数字安全的数学基础,加密货币行业面临一个独特而紧迫的问题:如何在不破坏现有网络的前提下,将锁定在椭圆曲线密码学背后、价值数十亿美元的资产,迁移到量子抗性签名方案,而不会损害这些网络的安全性?
对加密货币的量子威胁:真实但尚不迫近
比特币 (BTC) 和 以太坊 (ETH) 都依赖一种名为 ECDSA 的签名算法,该算法基于 secp256k1 椭圆曲线,用来证明资金所有权。每一笔交易的安全性,都建立在一个数学假设之上:对经典计算机而言,从公钥反推出对应私钥在计算上是不可行的。
数学家 Peter Shor 在 1994 年发表的 Shor 算法打破了这一假设。
在足够强大的量子计算机上运行时,它会将椭圆曲线离散对数问题的求解复杂度降低到多项式时间——也就是说,它可以足够快地提取私钥,从而掏空任何公钥已在链上暴露的钱包。
执行这种攻击所需的硬件目前尚不存在。现有估算认为,要攻破 secp256k1,大约需要 2,330 至 2,500 个逻辑量子比特,这相当于约 1,300 万个物理量子比特才能在一天内完成攻击。而当今最先进的量子处理器仅拥有略高于 100 个量子比特。
另一种常被提及的量子威胁——Grover 算法——针对的是哈希函数而非签名。它只提供平方级加速,将 SHA-256 的安全强度从 256 比特降低到 128 比特——这仍然意味着需要 2 的 128 次方次运算,依旧处于“不可破解”的范畴。
比特币的工作量证明机制并不容易受到量子计算的威胁,但其签名方案则不同。
关于时间表,乐观派和悲观派存在明显分歧。
黄仁勋(Nvidia CEO)认为,有用的量子计算机“可能在二十年后”才会出现。
Adam Back(Blockstream CEO、密码朋克)则否定了近期威胁的说法,认为 2028 年的时间线并不现实。
另一边,Shohini Ghose(Quantum Algorithms Institute CTO)警告称,社区的警觉程度远远不够,并指出,从量子计算被提出的那一刻起,所有现有公钥密码体系在概念上就已经变得脆弱。
Global Risk Institute 在 2024 年对 32 名专家进行的调查,将在十年内出现“对密码学有实际威胁的量子计算机”的概率评估为 19% 至 34%,高于 2023 年的 17% 至 31%。多数专家的观点在 2030 年代初至中期这一时间窗附近趋于一致。
延伸阅读: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
后量子密码学究竟是什么
后量子密码学(Post-Quantum Cryptography,PQC)指的是一类旨在同时抵御经典计算机和量子计算机攻击的密码算法。
与依赖量子力学本身进行密钥分发的量子密码不同,PQC 完全运行在传统硬件之上。这一区别对区块链至关重要,因为这意味着现有节点和钱包可以在无需专用量子设备的情况下采用这些方案。
五大类主流 PQC 算法源自数十年的学术研究。
它们在数学构造上采取完全不同的路径,用以构造量子计算机难以高效求解的问题;同时,各自也在签名大小、计算速度和安全假设方面存在不同权衡。
延伸阅读: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
基于格的密码学:最有希望的路线
基于格的方案在后量子领域占据主导地位。最突出的两种算法——用于密钥封装的 CRYSTALS-Kyber(现标准名为 ML-KEM)和用于数字签名的 CRYSTALS-Dilithium(现标准名为 ML-DSA)——其安全性源自“带误差的模块学习问题(Module Learning With Errors,MLWE)”。简单来说,就是要从一个定义在结构化数学格上的带噪线性方程组中恢复秘密向量。
底层运算主要归结为多项式运算和哈希计算,这让基于格的方案运行速度快,且易于在各类硬件平台上实现。
在最低安全等级下,ML-DSA 生成的签名大约为 2,420 字节,公钥为 1,312 字节,大约是当前 ECDSA 64 字节签名的 38 倍。
这种尺寸的增长对于多数互联网应用尚可接受。但对于每一个字节都会直接影响吞吐量和手续费的区块链而言,则构成了严峻的工程约束。
延伸阅读: Hyperliquid Hits 44% Of All Perp DEX Volume
基于哈希的签名:最保守但代价高昂
基于哈希的密码学在所有 PQC 家族中提供了最为保守、稳健的安全保证。SPHINCS+(现标准名为 SLH-DSA)仅依赖哈希函数本身的性质,而不包含任何可能在未来被数学突破攻破的代数假设。
该方案构造了密码学家所谓的“超树”(hypertree)——由一次性 Winternitz 签名通过 Merkle 树分层连接而成的结构,从而实现了在无状态条件下,用单一密钥对完成无限次签名。
代价也同样惊人。
在不同参数集下,SLH-DSA 生成的签名大约在 7,856 字节到 49,856 字节之间,签名过程的速度大约比基于格的替代方案慢 100 倍。
有状态的变种 XMSS 则能生成更加紧凑的签名,范围约在 2,500 至 5,000 字节之间,但需要非常严格地跟踪哪些一次性密钥已经被使用。一旦重复使用同一密钥,将破坏全部安全性。
对于区块链而言,基于哈希的方案存在一个悖论:它们的安全假设在所有 PQC 家族中最为强健,但其巨大的签名尺寸可能让它们在高吞吐量链上几乎难以实用。
延伸阅读: Circle Wants The EU To Let Stablecoins Settle Trades
基于码和其他路径:优势与挫败
基于码的密码学(code-based cryptography)以 Classic McEliece 为代表,其安全性基于“解码随机线性码”的困难性——这一问题最早在 1978 年被提出,至今已经经受了四十多年持续的密码分析考验。
这类方案的公钥巨大,约在 261 KB 至 1.3 MB 之间,但密文却很小,仅为 128 到 240 字节。较新的基于码方案 HQC 已在 2025 年 3 月被 NIST 选为备用密钥封装机制。
多元多项式密码学则依赖在有限域上求解多元二次方程组这一 NP 难问题。
该家族中原本的领先候选 Rainbow 在 2022 年 2 月遭遇灾难性攻破——研究员 Ward Beullens 在一台普通笔记本电脑上仅用 53 小时就恢复出了秘密密钥。
奠基方案 UOV 仍然存续,而基于其的紧凑变种 MAYO 则在 2024 年 10 月进入了 NIST 第二轮额外签名算法竞争。
基于同源(isogeny)的密码学遭遇的打击更为剧烈。曾以约 330 字节的最小密钥尺寸脱颖而出的 SIKE,在 2022 年 8 月被 KU Leuven 的 Wouter Castryck 和 Thomas Decru 发表的一项经典密钥恢复攻击“摧毁”,该攻击利用了数学家 Ernst Kani 在 1997 年提出的一条定理。
SIKEp434 在单个 CPU 核心上仅用一小时就被攻破。虽然研究仍在如 SQISign 和 CSIDH 等新方案上继续推进,但没有任何基于同源的算法仍留在 NIST 的主标准化竞赛中。
延伸阅读: A $30M Pharma Company Just Bought $147M Of One Crypto Token
NIST 长达八年的标准化马拉松
NIST 于 2016 年 12 月启动了“后量子密码标准化”进程,到 2017 年 11 月共收到 69 份候选方案提交。随后进行了三轮公开密码分析,其中 Rainbow 和 SIKE 在此过程中暴露出致命缺陷而被淘汰。
这一进程最终在 2024 年 8 月 13 日迎来阶段性终点——首批三项最终标准正式发布。
基于 Kyber 的 FIPS 203 负责密钥封装,标准名为 ML-KEM;基于 Dilithium 的 FIPS 204 负责数字签名,标准名为 ML-DSA;基于 SPHINCS+ 的 FIPS 205 则提供了名为 SLH-DSA 的哈希签名替代标准。
第四项标准 FIPS 206 基于 FALCON 算法,于 2025 年 8 月进入草案审批阶段,预计将在 2026 年末或 2027 年初最终定稿。
FALCON 生成的签名大约为 666 字节——大约是 ECDSA 的 10 倍,而非 Dilithium 所需的 38 倍。 —— 这使其成为最紧凑的后量子签名方案,也是区块链应用的最有力候选者。
NIST 项目负责人 Dustin Moody urged 各机构尽快开始迁移。
NSA 的 CNSA 2.0 框架要求在 2030 年前,软件签名必须完全采用后量子算法;到 2033 年,网页基础设施也必须全面采用后量子算法。NIST 本身计划在 2035 年前彻底弃用椭圆曲线密码学。美国政府预计本次迁移的总成本约为 71 亿美元。
延伸阅读: Polymarket Bans Insider Trading
比特币的 BIP-360:量子防护与治理难题
比特币最重要的量子抗性提案是 BIP-360,由 MARA 的 Hunter Beast、Ethan Heilman 和 Isabel Foxen Duke co-authored 共同撰写。
该提案于 2024 年 6 月提出,并在 2025 年初合并进入官方 BIP 代码库,引入了一种名为“Pay-to-Merkle-Root”(P2MR)的新输出类型,使用带有 bc1z 地址的 SegWit v2 输出。P2MR 移除了 Taproot 中易受量子攻击的 key-path 花费路径,为未来通过软分叉引入 ML-DSA 或 SLH-DSA 等具体 PQC 签名方案建立了模块化基础。
2026 年 3 月 20 日,BTQ Technologies 在其 Bitcoin Quantum Testnet v0.3.0 上 deployed 首个可运行的 BIP-360 实现,包含完整的 P2MR 共识规则、五个基于 Dilithium 的后量子签名操作码以及端到端钱包工具。
该测试网吸引了超过 50 名矿工,处理了超过 100,000 个区块。
Chaincode Labs 在 2025 年 5 月的一份分析中指出,比特币的 PQC 探索仍处在早期与探索阶段。
签名尺寸问题尤为突出。典型的比特币交易在使用 ECDSA 时大小约为 225 字节。其中大约 72 字节是签名。如果将其替换为 Dilithium2 的 2,420 字节签名再加上 1,312 字节的公钥,那么每个输入将增加约 3,700 字节——大约是当前整笔交易大小的 16 倍。
研究人员预计,在许可制测试网上吞吐量将下降 52%–57%,在无许可网络上可能会下降 60%–70%,费用则会上升两到三倍。FALCON-512 由于签名更紧凑,可将影响缩减至每笔交易约 7 倍,使其成为区块链部署的最有力候选者。
比特币保守的治理文化进一步放大了挑战。SegWit 花了大约 8.5 年才被广泛采用,Taproot 则耗时 7.5 年。
具有争议的 QRAMP 提案——即设定一个最后期限,届时旧地址格式中的币将无法再被花费——则凸显了前方治理之路如同雷区。
与此同时,约 650 万枚 BTC sit 在易受量子攻击的地址中,其中包括估计有 110 万枚 BTC 的中本聪暴露的 P2PK 地址。
延伸阅读: Larry Fink Says Tokenization Is Where The Internet Was In 1996
以太坊的账户抽象提供了更清晰的路径
以太坊在 2026 年初 moved 出现了明确行动。
1 月 23 日,以太坊基金会(Ethereum Foundation) 正式将后量子安全提升为最高战略优先级,成立了由密码工程师 Thomas Coratger 领导的专门 PQ 团队。
高级研究员 Justin Drake 宣布,经过多年相对低调的研究开发之后,管理层已经正式将 PQ 安全确立为基金会最高战略优先级,并表示时间表正在加速,现在是时候“全面 PQ”(full PQ)。基金会为这一工作提供了 200 万美元资金,分配给 Poseidon Prize 和 Proximity Prize,用于支持 PQC 研究。
Vitalik Buterin 于 2026 年 2 月 26 日 unveiled 了一份全面的量子抗性路线图,针对以太坊技术栈中的四大脆弱区域:共识层 BLS 签名将被带有 STARK 聚合的基于哈希签名替代;KZG 承诺将被量子安全的 STARK 替代;外部账户(EOA)的 ECDSA 签名将通过原生账户抽象来处理;应用层零知识证明将从 Groth16 迁移到 STARK。
关键的实现机制是 EIP-8141,即“Frame Transactions”,由 Buterin 等人共同撰写。它将以太坊账户从固定的 ECDSA 签名中解耦,使每个账户可以自行定义验证逻辑——无论是采用量子安全签名、多重签名,还是密钥轮换。
与比特币可能需要硬分叉不同,EIP-8141 通过原生账户抽象 achieves 这一点,为从椭圆曲线密码学迁移到后量子安全体系提供了一条“下车匝道”,而不必一次性强制整个网络同步迁移。该提案计划在 2026 年底的 Hegotá 硬分叉中上线。
延伸阅读: Strategy Opens $44B In New ATM Capacity
Algorand 与 QRL 领跑量子就绪区块链
Algorand (ALGO) 于 2025 年 11 月 3 日在主网上 executed 了首笔运行在公开区块链上的后量子交易,使用的是 NIST 选定的 FALCON-1024 签名。
Algorand 由 图灵奖 得主 Silvio Micali 创立,其团队成员包括 FALCON 所基于的 GPV 框架合著者 Chris Peikert,以及 NIST FALCON 提案的直接贡献者 张振飞(Zhenfei Zhang)。该链的 State Proof 自 2022 年起就使用 FALCON 签名,使其整个区块链历史在跨链验证方面已具备量子安全性。
Algorand 证明了每秒 10,000 笔交易、2.8 秒出块时间可以与后量子签名共存。
QRL(Quantum Resistant Ledger)在 2018 年 6 月 launched 上线,自创世区块起就使用 XMSS 基于哈希的签名,具备量子抗性。
在运行七年且无安全事故后,QRL 2.0(Project Zond)正在迁移到无状态的 SPHINCS+ 并加入 EVM 兼容性。
Solana (SOL) 于 2025 年 1 月引入了可选的 Winternitz Vault,Solana Foundation 又在 2025 年 12 月与 Project Eleven 合作,开启了一个将 Ed25519 替换为 Dilithium 的公开测试网。IOTA 则在 2021 年显著地放弃了量子抗性,从 Winternitz 签名转为 Ed25519 以提升性能——这一决定凸显了量子准备与当前吞吐需求之间的现实张力。
延伸阅读: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
“现在收集,将来解密”是真实威胁——但对区块链更为微妙
“现在收集,将来解密”(harvest now, decrypt later)策略——即对手今天收集加密数据,打算在未来量子计算机足够强大时再进行解密——是推动各国政府和情报机构加快行动的公认威胁。NSA 网络安全负责人 Rob Joyce 曾警告称,向量子安全加密过渡将是一场漫长而密集的全社区努力。
世界经济论坛(World Economic Forum) 量子安全倡议的 Chris Ware 指出,中国是具备在国家层面大规模实施此类攻击能力的国家之一。
然而,就区块链而言,“现在收集,将来解密”这一框架需要仔细区分。正如 a16z crypto 的 Justin Thaler 在 2025 年 12 月的一份分析中 argued 的那样,对公共区块链而言,量子威胁的核心在于“伪造签名”,而不是“解密”。
比特币账本本身已经是公开的,并不存在可以被“收集”的加密数据。
真正的危险在于直接密钥推导:一旦出现具备密码学意义的量子计算机,任何其公钥已经在链上暴露过的地址都将立刻变得脆弱,而不论其公钥是在何时暴露的。
区块链永久且不可篡改的记录使这一暴露不可逆转。像 门罗币(Monero) (XMR) 和 Zcash (ZEC) 这样对交易细节进行加密的隐私币,则确实面临更传统意义上的“现在收集,将来解密”风险。
延伸阅读: Fed Hawkish Tone Triggers $405M Crypto Outflows
现有量子硬件远不足以攻破密码系统
谷歌(Google) 于 2024 年 12 月发布的 Willow 芯片,拥有 105 个量子比特,在 unveiled 的实验中首次展示了“低于阈值”的量子纠错效果:随着系统中量子比特数量增加,错误率呈指数级下降。它在不到 5 分钟内完成了一项特定基准计算,而经典超级计算机预计需要 10 的 25 次方年才能完成同样任务。
然而正如萨塞克斯大学的 Winfried Hensinger 所指出的,该芯片规模仍远不足以执行威胁密码系统所需的那类有用计算。
IBM 的路线图targets 计划在 2029 年前通过其 Starling 处理器实现 200 个逻辑量子比特。微软(Microsoft) 于 2025 年 2 月发布的拓扑马约拉纳 1 号芯片,通过一种全新的量子比特架构,有望实现效率大幅提升的纠错机制。
但即便是最乐观的预测,这些里程碑距离在大规模上对 ECDSA 运行 Shor 算法所需的数百万物理量子比特,仍然相去甚远。
谷歌的 Craig Gidney 于 2025 年 5 月发表的一篇论文,将分解 RSA-2048 所需资源的估计值从 2000 万个噪声量子比特compressed 到不足 100 万个——二十倍的缩减大幅压缩了时间表预期。预测平台 Metaculus 也据此将其关于 “何时 Shor 算法能在实际规模上分解 RSA” 的预测年份从 2052 年提前到 2034 年。
“Q-Day” 的概念——即量子计算机首次成功攻破当前公钥密码体系的那一刻——仍然是一个不断变化的目标。数学家 Michele Mosca 的定理captures 了这种紧迫性:如果完成迁移所需的时间,加上数据的保密期限,超过了距离 Q-Day 剩余的时间,那么你已经太晚了。
Also Read: What Will It Take For Solana To Reclaim $90?
总结思考
后量子密码算法本身是可行的。NIST 标准已经发布,FALCON 提供了适合区块链部署的实用签名大小,而 Algorand 已在真实网络上验证了大规模 PQC 交易。真正困难的问题并非密码学本身,而是社会和结构性的:比特币的去中心化治理极大地阻碍了快速协议升级,签名尺寸比 ECDSA 大 10 到 38 倍将挤压吞吐量并推高手续费,而约 650 万枚处于量子脆弱地址中的 BTC 则构成了前所未有的协同难题。
行动窗口的决定因素,不是密码学上“相关”的量子计算机何时到来,而是迁移本身需要多久。
鉴于比特币历次升级通常需要 7 至 8 年,而政府层面的强制要求大多指向 2030 至 2035 年,加密货币行业在量子就绪方面的时间表已经十分紧迫。现在就开始迁移的项目,在 Q-Day 到来时将是安全的;等待观望的项目,则不会如此幸运。
Read Next: Resolv USR Crashes 72% After $25M Exploit