保护数万亿美元数字资产的密码学“锁”,是为一个没有量子计算机的世界设计的。
这个世界正在比大多数加密圈人士预期更快地走向终结,而行业的应对依然危险地碎片化。
NIST 已在 2024 年 8 月最终确定首批三项后量子密码学标准,并要求一切使用公钥密码学的组织立即启动迁移。
单是 比特币(BTC)就拥有约 1.57 万亿美元市值,而绝大部分价值是由椭圆曲线数字签名算法保护的——一台足够强大的量子计算机可以将其攻破。倒计时已经开始。
TL;DR
- NIST 2024 年的后量子标准,为加密项目摆脱椭圆曲线密码学设下硬性时间表,否则将面临生存级安全风险。
- 估计约 400 万枚 BTC 存在于暴露的 P2PK 输出或重复使用地址中,一旦出现具备密码学意义的量子计算机,将可能被直接攻破。
- 大多数主流区块链尚无具约束力的后量子升级路线图,导致 2020 年代后期的安全格局既碎片化又时间紧迫。
1. 区块链的量子威胁是具体且已被刻画清楚的,而非纯理论
「量子威胁」这个词经常被宽泛使用,但对区块链而言,危险是非常具体且有详尽文献支撑的。
大多数区块链的安全核心有两个算法——用于授权交易的椭圆曲线数字签名算法(ECDSA),以及用于比特币工作量证明挖矿的 SHA-256。这两者面对的量子风险水平截然不同。
1994 年提出的 Shor 算法,可以在量子计算机上以多项式时间分解大整数并求解离散对数问题。
萨塞克斯大学研究者在 2023 年发表在 arXiv 的一篇论文中估算,要攻破比特币 256 位椭圆曲线加密,大约需要一台拥有 3.17 亿个物理量子比特、且误差率足够低的量子计算机。
相比之下,Grover 算法仅对 SHA-256 这类哈希函数提供平方级加速,等效上把比特币挖矿安全性从 256 位降到 128 位,在可预见的未来仍然是实用安全的。
这种不对称极其重要。
ECDSA 签名是区块链安全的「软肋」,而工作量证明挖矿在量子硬件面前只是安全裕度小幅下降。
这意味着威胁并不在于比特币网络产出区块的能力,而是个体用户证明自己持币所有权的能力。Andreas Antonopoulos 等人早已指出,数字签名是资金被授权动用的机制,而量子计算机最先攻击的正是这里。
延伸阅读:XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. NIST 2024 标准为整个行业设定了迁移时钟
在这件事上,监管和标准层面的紧迫性,可能比硬件时间表更高。
经过为期六年的评估流程、对来自全球研究团队提交的 82 个候选算法进行遴选,NIST 于 2024 年 8 月最终确定三项后量子密码学标准:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)、FIPS 204(ML-DSA,原 CRYSTALS-Dilithium)以及 FIPS 205(SLH-DSA,原 SPHINCS+)。
这些并非供将来参考的可选指南。NIST 已明确要求各组织「现在就开始规划向后量子密码学的过渡」。
美国网络安全与基础设施安全局(CISA)也发布指引,要求关键基础设施运营方梳理其密码依赖并优先规划迁移。受联邦框架监管的金融机构,已经正面临审查方施压,要求证明其对后量子时代的准备情况。
2024 年 8 月 FIPS 203、204、205 的最终敲定,消除了继续拖延的最后借口。到了 2026 年,任何尚未启动后量子密码评估的区块链项目,都已经偏离负责任安全实践的边界。
区块链行业在这里有一种奇特的身份:一方面它是管理价值规模超越多数国家央行的金融体系,另一方面又是缺乏外部监管强制升级密码算法的自我治理技术生态。
这种组合意味着:除非社区形成共识,否则 NIST 时间表所蕴含的紧迫性未必能转化为实际行动,而历史经验证明,共识向来难以达成。
延伸阅读:Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. 比特币约有 400 万枚 BTC 存在于直接暴露的地址中
并非所有 比特币(BTC)都同样危险。暴露程度高度取决于资金存储方式以及公钥是否已在链上暴露。研究者已划分出三类比特币输出,其量子风险剖面明显不同。
付款到公钥(P2PK)输出会在链上直接暴露公钥。
其中包括创世区块的币以及许多中本聪早期时代的输出。对于从未花费过的 P2PKH(付款到公钥哈希)输出,公钥被隐藏在哈希之后,在地址真正被用来发送资金前,并不会直接暴露。
然而,一旦某个地址曾用于发起交易,其公钥就已经广播到网络并被永久暴露。
德勤研究者在 2022 年发表的一篇研究中估计,大约有 400 万枚 BTC 存放在公钥已暴露的地址中。
以当前价格计算,大约 3150 亿美元价值的比特币正躺在这样一类地址中:一旦出现具备密码学意义的量子计算机,就可以直接根据链上数据推导出私钥,既无预警,也无补救。
地址重复使用大大放大了这一问题。
Chainalysis 的数据一再显示,许多散户乃至机构持有者会在多笔交易中重复使用地址,在不知情的情况下让自己的公钥永久暴露在链上。
好消息是,只要遵循「每个地址只用一次」这一早已确立的最佳实践,就能大幅降低量子暴露。坏消息是,网络中相当一部分参与者显然并没有遵守这一实践。
延伸阅读:Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. 以太坊的账户模型带来结构上不同的暴露方式
与比特币相比,以太坊(ETH)的量子风险剖面截然不同,其根源在于以太坊采用账户模型,而比特币采用 UTXO 模型。
在以太坊中,每一个外部账户(EOA)在签名发送第一笔出账交易时,就会暴露其公钥。这意味着几乎所有曾主动发起过交易的以太坊钱包,其公钥都已永久暴露。
以太坊基金会是对量子问题公开参与度最高的主流区块链组织之一。
以太坊联合创始人 Vitalik Buterin 在以太坊改进提案 7560 中提出了一条通往原生账户抽象的路径,让钱包可以使用抗量子签名方案,而无需对每位用户强制硬分叉。
他在 2024 年 1 月关于「通往无状态客户端之路」的博文中也指出,用后量子替代 ECDSA 是协议安全路线图中的一个「中期优先事项」。
如果能顺利执行,以太坊的账户抽象路线图有望在不强迫每个用户手动操作的情况下,实现向后量子签名的相对平滑迁移,但执行时间线仍不明确,且尚无具约束力的 EIP 最终确定。
挑战在于,即便有 EIP‑7560,现有 EOA 仍需要把资金迁移到使用后量子方案的新合约钱包中。
对于找回种子短语路径已丢失的持币者,或是对长期休眠账户中的资金来说,在量子威胁真正到来前完成迁移,很可能在实践上是不可能的。
延伸阅读:Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. 候选后量子算法在区块链使用场景下存在已知取舍
替换 ECDSA 并非简单的「即插即用」。NIST 标准化的后量子算法带来了显著的性能与尺寸开销,这对围绕紧凑交易数据极致优化的区块链系统来说,是非常真实的工程挑战。
作为 NIST 标准化的主力签名方案,CRYSTALS‑Dilithium(ML‑DSA)在最低安全级别下的公钥大小为 1,312 字节,签名大小为 2,420 字节。对比之下,ECDSA 的压缩公钥仅 33 字节,签名大约 72 字节。
一篇发表在 IACR Cryptology ePrint Archive、分析区块链应用中后量子签名的论文指出,对 ECDSA 的朴素替换将会…… 使用 Dilithium 将比特币的交易大小增加大约 20 倍,对区块容量和手续费市场会造成严重影响。
在保持相同区块大小的情况下,用 CRYSTALS-Dilithium 替换比特币的 ECDSA 签名,会使有效交易吞吐量降低约 80%–90%,如果不同时调整区块大小或区块结构,这种简单替换在经济上会带来严重冲击。
像 SPHINCS+(SLH-DSA)这样的基于哈希的签名在安全性假设上最强(只依赖哈希函数的安全性),但体积更大,在最高安全等级下,单个签名可达 49,856 字节。
基于格的方案在当前 NIST 标准中提供了最佳的体积–性能平衡,但它们引入的数学困难性假设相对更新,尚未像椭圆曲线密码学那样经历数十年的密码分析检验。
以太坊社区也在探索将 STARK 用作后量子交易认证的一条潜在路径,以利用现有的 ZK‑STARK 基础设施投资。
延伸阅读: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6. “先收集,后解密”攻击已经是现实隐患 ** 量子威胁中最被低估的一面,是攻击者在量子计算机广泛可用之前,就已经可以开始为未来攻击做准备。
“先收集,后解密”(Harvest Now, Decrypt Later,HNDL)策略,是指现在开始录制被加密或签名的数据,等量子硬件具备能力后再进行解密。这一策略在非加密货币场景中,已经被记录为国家级行为体的现实关切。
美国国家安全局在其发布的指引中,专门就 HNDL 攻击发出警告,指出对手正在积极归档截获到的通信内容,打算在未来十年内对其解密。
对区块链系统而言,对应的现实同样令人警醒:比特币或以太坊上曾经广播过的每一笔交易,都被永久记录在任何人都可访问的公共账本上。任何想要为未来量子攻击收集暴露公钥的一方,如今已经拥有 15 年的历史数据可供利用。
所有曾经广播的比特币和以太坊交易都是永久的公共记录。具有足够动机的对手,早已收集了多年的公钥数据。“先收集,后解密”针对加密货币的收集阶段,在结构上已经完成。
这意味着,即使量子计算机距离能够破解 ECDSA 还有 10 到 15 年,区块链社区也不能等到那个时间点临近才开始迁移。
围绕共识驱动的协议升级、钱包软件更新、用户教育以及实际资金迁移所需的准备时间,是以“年”为单位,而不是“月”。
CISA 的估算认为,对复杂系统而言,大型组织应预期后量子迁移需要 5–10 年时间。
延伸阅读: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. 已有多条区块链正在构建后量子基础设施 ** 形势并非一片黯淡。越来越多的区块链项目从设计之初就将后量子安全视为一等公民,它们采取的路径也为传统公链的迁移方案提供了预览。
QRL(Quantum Resistant Ledger,量子抗性账本)在 2018 年上线,自底层即采用扩展 Merkle 签名方案(XMSS),这是一种基于哈希的签名算法,NIST 也已在 SP 800‑208 文档中将其标准化。
Algorand(ALGO)已经发布了后量子迁移路线图,并在内部对 Falcon(一种基于格的签名方案,也是 NIST 的候选备用算法)展开研究。
Cardano(ADA)的研究机构 IOHK,通过 IOHK 研究库发布了关于后量子时代区块链协议的同行评议研究成果。
截至 2026 年,至少已有三条生产网络(QRL、Algorand 与 Cardano (ADA))发布了具体的后量子研究或路线图,而比特币与以太坊仍停留在早期讨论阶段,尚无具约束力的协议承诺。
以太坊生态在面向 ZK‑rollup 的 STARK 证明系统上已有大量既有投入。
诸如 StarkWare(STRK)等项目已展示,仅依赖哈希函数安全、因此具备量子抗性的 STARK 证明,可以在规模上用于交易有效性证明。至于这是否会进一步转化为以太坊一层的量子抗性交易授权,目前仍是一个独立且未解决的问题,但相关基础设施的投资并未浪费。
延伸阅读: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. 比特币社区正面临前所未有的治理困境 ** 比特币向后量子密码迁移,首要难题并非技术,而是治理。比特币协议只能通过开发者、矿工、企业与用户之间的“粗略共识”来变更,即便是无争议的升级,历史上也往往需要数年时间,而有争议的升级更曾导致链分叉。
Bitcoin Core 开发社区已经就后量子方案展开初步讨论。2024 年,比特币开发者邮件列表中的一则讨论线程,探索了通过软分叉引入一种新的后量子签名类型的可能性,类似 Segregated Witness 引入新交易类型的方式。
核心难点在于,任何后量子签名方案,都要么需要一次硬分叉(比特币社区在历史上普遍抵触),要么需要精心设计的软分叉,使其既能引入新的量子抗性输出,又能保持与现有 ECDSA 钱包的向后兼容。
比特币依赖在全球范围内分布且意识形态多元的社区间达成粗略共识的治理模式,可能在结构上与专家认为必须在未来五年内启动的加密迁移紧迫性不相容。
任何比特币后量子计划中,最具争议的部分都是:那些未完成迁移的币将会如何处置。如果量子计算机能够破解 ECDSA,暴露在公开地址中的币就会变得容易被窃取。
有研究者提议,在迁移截止日期后,对 P2PK 输出中的币实施冻结或销毁规则,以防止其被装备量子计算机的攻击者窃取。
这将实际等同于没收未完成迁移持有者的币,其中也可能包括中本聪估计持有的 110 万枚 BTC,因此在比特币社区中被视为高度政治敏感甚至“有毒”的提案。
延伸阅读: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. 量子硬件时间表正在以快于共识预期的速度加速 ** 预测量子硬件能力的发展确实非常困难,区块链社区有时也会把这种时间表的不确定性,当作无所作为的理由。但过去三年实际硬件里程碑的轨迹,使得继续自满愈发站不住脚。
Google 在 2024 年 12 月宣布,其 Willow 量子处理器实现了低于容错量子计算门限的错误率,而研究人员此前估计,这一里程碑距离现实还要数年。
Willow 展示了在 105 个物理量子比特上,将错误率压到门限以下,并在增加量子比特数量时实现误差的指数级衰减,而不是让误差累积——这正是量子纠错的关键挑战所在。
IBM 的量子路线图目标是在 2033 年之前实现 10 万个物理量子比特,该公司自 2020 年以来一直在按计划或超额完成年度里程碑。
Google 的 Willow 芯片在 2024 年 12 月实现了低于门限的误差纠正,比大多数专家预测提早了数年。从 105 个量子比特到估算的、能够破解比特币 ECDSA 所需的 3.17 亿个量子比特之间,距离仍然巨大,但这次误差纠正的突破已经移除了规模化路上的最根本障碍。
关键要区分物理量子比特与逻辑量子比特。破解比特币 ECDSA 需要能够稳定运行 Shor 算法的逻辑量子比特,而每一个逻辑量子比特都需要数百到数千个物理量子比特用于纠错。
萨塞克斯大学的估算认为,基于当前的纠错开销,约需 3.17 亿个物理量子比特。如果错误率显著改善,所需的物理量子比特数量也会按比例下降。
RAND 公司在 2023 年的一份报告中引用的学术研究人员主流观点认为,具备密码学相关能力的量子计算机最可能在 10–20 年后出现,但不确定区间足够宽,以至于 2030 年实现突破也无法被排除。
延伸阅读: CHIP Volume Now Outpaces Market Cap As Traders Pile In
**10. 加密货币持有者现在应如何降低量子风险 ** 对于个人持币者和机构而言…(原文未完)参与者们,量子威胁不是恐慌的理由,而是进行知情、主动安全防护的理由。在协议层面的后量子升级尚未部署之前,一些具体措施就已经能够显著降低风险暴露。
最重要的个人行动是停止重复使用地址,并将资金从 P2PK 输出以及曾经签过名的地址中转移出来。
将比特币转移到一个全新的 P2WPKH(原生 SegWit)地址,并且这个地址从未用于发送资金,可以把公钥隐藏在 SHA-256 和 RIPEMD-160 哈希之后,从而在短期内提供有意义的保护。
发表在 IACR ePrint Archive 的 2022 年分析 published 确认,未做哈希处理的公钥构成了比特币持有者在近期内面临的主要量子攻击面。
对于以太坊用户而言,迁移到 ERC-4337 账户抽象钱包,并在未来可以升级到后量子签名方案,将使持有者在未来的协议迁移中处于更有利的地位。
将比特币转移到一个从未使用过、且从未签过任何外发交易的原生 SegWit 新地址,可以隐藏公钥,并在未来十年内可能出现的任何量子威胁面前提供有意义的保护。
机构持有者则面临额外的义务。
Electric Capital 的开发者报告一贯 finds,加密原生公司中负责安全基础设施的团队,相对于其管理的资产规模而言,要比传统金融机构小得多。
建立内部的密码学资产清单、搞清楚各类托管方案是使用 ECDSA 还是其他替代算法,以及与硬件钱包厂商就其后量子路线图展开沟通,都是当下就可以实施、且在风险管理角度上站得住脚的举措。
包括 Ledger 和 Trezor 在内的硬件钱包厂商都已经在公开文档中 acknowledged 量子威胁的存在,但尚未在生产固件中提供后量子签名支持。
延伸阅读:BTC 在 11 周内首次突破 79,000 美元,交易量激增
结论
后量子密码学对于区块链行业而言并非遥远的理论问题,而是一个现实存在的工程与治理挑战,监管时钟已经开始倒计时,而硬件发展路径也多次超出专家预期地快速前进。
2024 年 8 月最终敲定的 NIST 标准,是来自全球顶级密码学权威机构的最清晰信号:迁移不是可选项,现在就是制定规划的时刻。
根本性的张力在于结构。比特币和以太坊分别是为 2008 年和 2015 年的威胁模型而设计的,要升级其密码学基础,就必须穿越一个以年为单位而非以月为单位运转的治理过程。
暴露地址中那 400 万枚 BTC、所有历史交易构成的永久公开记录,以及量子硬件发展的加速趋势,都指向:有序迁移的时间窗口正在收窄。
那些今天就认真对待后量子标准、建设内部专业能力、参与协议讨论、并将持有资产迁移到风险暴露更低配置的项目,将远比那些等待“确定性”才行动的项目处于更有利的地位。
传统计算领域的密码学迁移历史提供了一个令人警醒的教训:从 MD5 迁移到 SHA-2,或从 RSA-1024 迁移到 RSA-2048,即便在强监管压力且几乎不存在治理争议的情况下,行业也花费了多年持续努力。
区块链的去中心化治理模式,使得类似的迁移难度至少高出一个数量级。
这个以“做自己的银行”为傲的行业,现在需要证明自己也能成为自身的密码学标准制定机构,并且要在硬件追赶上来之前完成这件事。
延伸阅读: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates