Quantum computing 不再只是加密货币行业的理论担忧。
来自 IBM、Google 和 Microsoft 的硬件里程碑不断加速,美国国家标准与技术研究院(NIST)在 2024 年 8 月正式发布了一套后量子密码学标准,而主流区块链几乎完全缺乏协调一致的迁移计划,这些因素叠加,正在形成一个按季度扩大的安全缺口。
风险是具体且可量化的。仅 比特币 (BTC) 截至 2026 年 4 月 23 日的市值就约为 1.56 万亿美元。学术研究估计,流通中的 BTC 中约有 25%–40% 存放在其公钥已在链上暴露的地址中,一旦出现足够强大的量子计算机,这些币在理论上都可能受到攻击。
TL;DR
- NIST 在 2024 年 8 月最终敲定三项后量子密码标准,正式释放信号:从经典密码体制迁移是当下的紧迫任务,而非遥远的未来议题。
- 比特币、以太坊以及大多数主流区块链仍依赖椭圆曲线密码学,一旦出现足够强大的量子计算机,这些机制将被攻破,数万亿美元的链上价值将暴露于风险之中。
- “现在收集、未来解密”(harvest now, decrypt later)的可信攻击策略意味着对手可能已经在收集加密区块链数据,准备在量子硬件成熟后解密。
加密货币的密码学基石已是公认弱点
几乎所有主流加密货币都依赖两种直接受到量子计算威胁的密码学原语。其一是 椭圆曲线数字签名算法(ECDSA),它为比特币、以太坊 (ETH) 以及数百条衍生链提供交易签名安全。其二是用于比特币工作量证明和地址生成的 SHA-256 哈希函数。这两者的量子攻击路径都已经在同行评审文献中被系统研究和刻画。
2022 年,萨塞克斯大学 Mark Webber 及其同事在一篇里程碑式论文中 估算,一台拥有约 317 个逻辑量子比特的量子计算机即可在一小时内破解一笔比特币交易;若要在 10 分钟的比特币出块时间内完成破解,则大约需要 1300 万个逻辑量子比特。
这一目标超出现有硬件水平,但量子比特规模的增长轨迹并没有远到可以让人放心的程度。
Webber 等人提出的“317 个逻辑量子比特在一小时内攻破 ECDSA”的估算,把威胁清晰地转化成硬件指标——按照当前扩展路线,这些指标在本十年内具有可达性。
发现于 1994 年的 Shor 算法 仍然是 ECDSA 威胁背后的理论“引擎”。在量子计算机上,它可以在多项式时间内求解离散对数问题,而经典计算则需要指数时间。随着硬件厂商不断刷新量子比特数量,每一次里程碑都在缩小“理论可攻破”与“实际可利用”之间的差距。仍将这视为遥远问题的投资者,正在错误定价一种结构性风险——监管机构与标准组织已在正式文件中承认这一风险。
延伸阅读: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
NIST 的后量子标准是监管发出的“起跑枪”
2024 年 8 月 13 日,NIST 发布 了首批三项最终版后量子密码学标准:FIPS 203(ML-KEM,原 CRYSTALS-Kyber)、FIPS 204(ML-DSA,原 CRYSTALS-Dilithium)以及 FIPS 205(SLH-DSA,原 SPHINCS+)。
在配套公告中,NIST 明确要求各类组织“立即开始迁移”,而不是等待更多标准出台。
这是一项重要的监管信号。NIST 标准在美国金融基础设施中事实上具有合规基准效力,包括 网络安全与基础设施安全局(CISA)在内的多个机构随后也 发布 指南,要求关键基础设施运营方评估自己的密码学资产“清单”。
广义上讲,加密货币基础设施在多个司法辖区内都被视作关键金融基础设施。但截至目前,没有任何一个主流一层公链在此背景下公布具约束力的迁移时间表。
NIST 2024 年 8 月“立即迁移”的指令,是迄今最明确的官方信号:后量子密码学是现实的运营问题,而非学术研究选题。
这三项最终标准都基于被认为对经典与量子计算机都“困难”的数学问题。ML-KEM 基于“带误差模学习”(MLWE)问题,ML-DSA 和 SLH-DSA 分别属于基于格及基于哈希的方案。第四项标准 FALCON(现为 FN-DSA,FIPS 206)在随后的数月中完成定稿。区块链行业对这些发布几乎集体失声,轻则是治理失职,重则可能已构成对资产持有人的重大风险。
延伸阅读: Ethereum Nears $2,450 Showdown As Bulls And Bears Split On Next Move
3. “现在收集、未来解密”威胁已经在进行中
被严重低估的一类量子威胁,并不要求今天就具备先进量子硬件。这种策略被称为“现在收集、未来解密”(harvest now, decrypt later,HNDL):对手方现在就尽可能收集并存储加密数据和签名交易,等量子硬件成熟后再集中解密。对于天生公开且不可篡改的区块链网络而言,HNDL 绝非假设场景。
每一笔曾在比特币或以太坊上广播的交易,都永久保存在全球数千个节点中。任何实体,包括国家级行为体,都可以以极低成本完整归档全部交易历史。全球风险研究院 在 2023 年的一份报告中 评估,到 2030 年出现“具密码学相关能力”的量子计算机的概率为 17%,到 2034 年则提升至 50%。
对于链上记录“永不消失”的资产来说,这些概率远谈不上可忽略。
全球风险研究院 2023 年的时间线给出了到 2034 年出现“密码学相关量子计算机”的概率为 50%,这完全落在许多当前持有人的投资期限之内。
在区块链语境下,HNDL 的特定担忧并不主要集中在历史交易本身,因为一笔已确认的比特币交易本身就公开了公钥和转账金额。
更深层的风险在于:被重复使用的地址、已暴露公钥的多重签名方案,以及任何可以让对手利用已收集的公钥,在未来推导出私钥 并掏空钱包的系统。考虑到许多钱包的交互设计鼓励地址重复使用,暴露地址池的规模相当可观。
延伸阅读: 26 Trojan Crypto Wallet Apps Infiltrated Apple's App Store, Kaspersky Warns
已经有多少比特币地址处于暴露状态?
比特币在量子层面的脆弱“暴露面”可以通过链上分析进行量化。德勤荷兰 研究人员在 2023 年发表在 arXiv 的一项研究中 指出,约 400 万枚 BTC(当时流通总量的约 25%)被持有在“支付到公钥”(P2PK)地址或被重复使用的“支付到公钥哈希”(P2PKH)地址中,而这些地址的公钥已经在链上暴露。
P2PK 格式曾用于早期比特币输出(包括 中本聪 挖出的区块),其 scriptPubKey 中直接存储完整公钥,这为量子攻击者提供了运行 Shor 算法所需的直接输入。
被重复使用的 P2PKH 地址,一旦所有者第一次花出余额,公钥就会暴露。由于钱包体验长期欠佳,许多比特币用户习惯性重复使用地址,使得这种暴露在十多年中不断累积。
德勤 2023 年的链上分析识别出约 400 万枚 BTC 被锁定在直接暴露公钥的地址格式中,这代表了比特币网络中最直接、最易被量子攻击利用的“前线攻击面”。
以太坊的暴露面同样巨大。任何发送过至少一笔交易的以太坊钱包,从定义上就已经暴露了其公钥。以太坊基金会 在其公开路线图的“future-proofing” 部分 承认 了量子脆弱性,并把后量子迁移列为长期目标,但尚未给出明确时间表或测试网实施方案。对于一个承载数千亿美元用户资产的网络而言,在“到 2034 年概率 50%”的量子时间线上,仅以“长期目标”回应显然远远不够。
延伸阅读: Bitmine Surpasses 4% Of Circulating ETH As Accumulation Continues
量子硬件里程碑正在压缩时间表
自从 Shor 在 1994 年发表论文以来,量子计算的理论威胁就已经存在。过去 24 个月真正发生变化的是硬件发展的速度,它正在以一种需要严肃重新评估时间线的方式,压缩“理论能力”与“实际部署”之间的差距。
2023 年 12 月,Google DeepMind 的量子团队 published 结果显示,一个 70 量子比特系统首次实现了低于纠错阈值的误差校正,这是在大规模运行 Shor 算法所需逻辑量子比特数量之前的关键前提条件。
2024 年 11 月,Google announced 了 Willow 量子芯片,声称其在不到五分钟内完成了一项特定基准计算,而经典超算需要 10 正秭年才能完成同样的计算。
IBM 当前在其 quantum development site 上发布的路线图,目标是在 2033 年前实现拥有数千个逻辑量子比特的“实用级”量子计算。
Google 于 2024 年 11 月发布的 Willow 芯片公告,以及 IBM 公开的、以 2033 年前实现数千逻辑量子比特为目标的路线图,代表了具体的硬件里程碑,把“量子威胁”的时间表从“遥远的几十年后”收窄到了“当前十年之内”。
微软通过其 Azure Quantum research division 宣布的拓扑量子比特路径,旨在实现比当前超导量子比特架构低几个数量级的错误率,从而有望加速通往对密码学具有现实威胁的量子机器的进程。单个硬件公告并不能证明量子威胁已经迫在眉睫。
然而,把这些进展综合起来看,多条独立研究路线的整体推进速度,已经明显快于 2023 年前多数区块链治理文件中所采用的基准假设。
Also Read: TRON Connects $85B USDT Network To LI.FI In Cross-Chain DeFi Push
迁移问题在技术和政治上都异常困难
即便区块链行业今天就决定迁移到后量子密码算法,技术与治理层面的挑战仍将十分巨大。比特币作为主要网络中去中心化程度最高的一个,在这方面面临的问题最为严峻。
要改变比特币的签名方案,必须通过一次软分叉或硬分叉,而这两种方式都要求矿工、节点运营者、钱包开发者和交易所之间达到超级多数级别的协调;而历史经验表明,即便是简单得多的升级,也往往需要数年时间才能达成这一共识。
2017 年的 SegWit(隔离见证)激活只是一次相对小幅的结构性改动,却在充满争议的讨论中花了两年多时间,才达到了所需的 95% 矿工信号门槛。签名方案的迁移则要破坏性得多,几乎会波及生态系统中的每一个钱包、交易所热钱包、硬件钱包固件和定制托管方案。
IETF 密码论坛研究组(IETF Crypto Forum Research Group)研究人员在 2021 年的一篇论文中 noted,ECDSA 已深度嵌入互联网基础设施,并将协调迁移描述为“史上最复杂的密码学过渡之一”。
SegWit 的先例表明,比特币的治理节奏以“年”为单位,而非“月”或“周”;这意味着如果后量子迁移尚未真正启动,它很可能无法在威胁窗口到来之前完成。
以账户模型为基础的以太坊在这方面略具灵活性。以太坊基金会的后量子路线图中包含“量子抗性 account abstraction”的概念,即钱包可以在不对现有账户执行底层硬分叉的前提下,迁移到新的签名方案。
然而,这种路径要求每个用户都主动迁移自己的钱包,而以太坊历次升级的参与数据 shows 表明,被动用户在没有强制性弃用机制的情况下,往往很难真正跟进破坏性变更。
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
后量子区块链正在被构建,但仍属小众
少数区块链项目足够重视量子威胁,从一开始就在其基础层中内建了后量子密码学。这些项目依旧处于小众地位,但在技术上,它们是业内“量子抗性区块链可行”的最明确概念验证。
QRL(Quantum Resistant Ledger) 于 2018 年上线主网,成为首个在生产环境中使用 eXtended Merkle Signature Scheme(XMSS) 的区块链——这是一种基于哈希的签名算法,已被 NIST 纳入评估流程。QRL 协议在任何一层都不使用椭圆曲线密码学。IOTA 则在其 Rebased 架构下,moved 向引入包含 Ed448 与基于格构造在内的后量子签名方案发展。Algorand 发表了关于后量子状态证明的 research,并在其密码工具集中加入了基于 Falcon 的签名选项。
QRL 在 2018 年主网上线,用纯哈希签名构建生产级区块链,证明了这种设计在工程上是可行的;但其不足 1 亿美元的市值,也凸显了“技术可靠性”与“市场采纳度”之间的巨大落差。
这些项目面临的真正挑战不是技术可信度,而是网络效应。比特币和以太坊之所以占据主导地位,是因为其流动性、开发者生态、机构托管基础设施以及监管熟悉度;这些特征很难被一个“量子安全但缺乏流动性”的新链复制。对整个生态而言,更现实的迁移路径,是在现有链上“加装”后量子签名选项,而这正是 NIST FIPS 204(ML-DSA)等项目在设计时明确考虑的场景。问题在于:在硬件威胁真正到来之前,是否会出现足够的政治意愿来推动这场“加装改造”。
Also Read: PENGU Token Gains 5.7% As Pudgy Penguins Expands Beyond NFTs
交易所与托管基础设施面临不同维度的量子风险
有量子暴露的并不只有散户持币者。中心化交易所和机构托管方面临着一种在某些方面更为尖锐的威胁:它们的安全模型与个人钱包一样,建立在 ECDSA 基础设施之上,但价值集中度却高得多。
一家大型交易所在热钱包中持有数十亿规模的比特币和以太坊出于运营必要性,必须让私钥可被自动化系统访问,以进行交易签名。这些私钥通常存放在硬件安全模块(HSM)和围绕经典密码假设构建的密钥管理系统中,一旦进入后量子世界,这些设施本身就会成为攻击目标。Chainalysis 的数据 shown,自 2012 年以来,交易所被黑所导致的累计损失已经超过 100 亿美元,而这还是在没有量子计算机参与的前提下。若把基于量子计算的密钥恢复能力纳入威胁模型,托管安全问题的难度将大幅提升。
Chainalysis 的数据记录了自 2012 年以来,完全依靠经典攻击手段造成的超过 100 亿美元的交易所黑客损失,为托管脆弱性的“基线”提供了参照——在此之上再叠加量子密钥恢复,会让问题严重程度成倍放大。
在机构级加密托管领域占据主导地位的 HSM 厂商,包括 Thales、AWS CloudHSM 和 Entrust,都已经意识到向后量子迁移的必要性。NIST 的迁移指南中也明确讨论了 HSM 替换时间表。然而,在一个拥有数百万客户钱包的全球性交易所内部,整体轮换密钥管理基础设施的操作复杂性极高,目前尚无任何大型交易所公开承诺或披露相关时间表。由于监管层面并未要求披露“量子准备度”,投资者也无法通过公开文件来评估托管机构的量子风险敞口。
Also Read: They Bet On Their Own Elections, Kalshi Just Handed Them 5-Year Bans
国家行为体与量子密码攻击的地缘政治维度
量子对加密货币的威胁并非纯技术问题,也具有地缘政治维度——这一点在公开讨论中长期被投资者和政策分析人士所忽视。各国的量子项目,尤其是中国、美国,其次是俄罗斯和欧盟,投入规模远超私营部门研究,而且很多能力是保密的。
中国的国家量子计算计划被写入“十四五”(2021–2025)及后续规划,据乔治城大学 Center for Security and Emerging Technology 的 reported 估算,在这一规划周期内,中国在量子研究上的国家投资就已超过 150 亿美元。中国央行(PBoC)旗下的研究部门也发表过关于金融密码学量子攻击时间表的论文。如果某个机密量子项目在公开学术路线图之前率先获得了“密码学相关”能力,其首个信号很可能是对暴露比特币地址的静默掏空——这一事件在表面上与一次高超的经典黑客攻击并无二致,直到事后取证分析才有可能识别出真正的攻击向量。
乔治城大学 CSET 记录的数据显示,中国在一个五年规划周期中对量子项目的国家投资就超过 150 亿美元,这一投入水平很可能在公开学术时间表之前,催生出尚未披露的机密能力。
美国政府机构在应对这一威胁方面的行动速度,已经超过了加密私营部门。Office of Management and Budget(OMB,管理与预算办公室)issued 了备忘录 M-23-02(2022 年 11 月),指示所有联邦机构在 2023 年前完成密码系统清点并启动迁移规划。国家安全局(NSA)已发布了其针对国家安全系统的后量子迁移指南。政府响应的紧迫性与私营加密基础设施的自满之间的差距非常明显,值得行业深刻反思。
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
行业“可信应对”应是什么样,以及我们距离它有多远
将区块链行业的负责任量子迁移计划具体化,可以更清楚地看到当前状态与充分准备之间的落差。基于 NIST 的指导、学术研究以及类似基础设施迁移的时间表,一个可信的应对方案需要在大约八到十年内完成五个明确的阶段。
第一阶段是密码审计:每个协议团队、交易所和托管机构都必须盘点其正在使用的每一种密码原语、密钥长度、公开密钥是否已暴露,以及在需要变更时受影响系统的依赖关系图。第二阶段是后量子算法选择:在 ML-DSA、SLH-DSA 和 FN-DSA 之间进行取舍,根据具体使用场景的性能与安全权衡来决定。IACR 密码学 ePrint 归档在 2022 年发表了一篇易于理解的学术比较,对 NIST 决赛算法进行了基准测试。第三阶段是测试网和预发布环境的部署。第四阶段是协调一致的主网激活。第五阶段则是漫长的用户迁移尾部,特别是对于那些使用“已暴露密钥地址格式”的链。
2022 年 IACR 的基准测试研究在各个后量子决赛算法之间提供了具体的性能对比,使协议团队无需等待进一步标准化,就能基于现有数据做出算法选择决策。
比特币核心开发社区已经提出了两个相关的比特币改进提案。其中,Hunter Beast 及其合作者在 2024 年末提出的 BIP-360,设计了一种“支付到量子抗性哈希”(Pay to Quantum Resistant Hash,P2QRH)的地址格式,并使用 CRYSTALS-Dilithium 作为默认签名方案。
截至 2026 年 4 月,BIP-360 仍处于草案状态,尚未提出任何激活机制。以太坊的后量子路线图发布在以太坊基金会的路线图页面上,其中承认需要将 Winternitz 一次性签名或基于 STARK 的身份认证,作为长期解决方案。但这类工作被归入当前路线图框架中的 “splurge(挥霍阶段)” 类别,即优先级最低的改进桶。
结合第五部分中记录的硬件时间表,这样的优先级安排理应受到强有力的质疑和挑战。
Read Next: 35% Of European Investors Would Ditch Their Bank For Crypto Access
结论
量子计算对加密货币构成的威胁是真实存在的,有明确文献记录,并且正以一个行业尚未真正内化的时间表不断推进。
NIST 已于 2024 年 8 月最终确定其后量子密码标准,并指示立即开始迁移。各国的量子项目获得的资金规模足以让其在公开学术基准之前就拥有保密能力。当前大约有 25% 到 40% 的流通比特币存放在公钥已在链上暴露、可被收集的地址中。这些都不是猜测,而是可以引用、可量化,并且清楚写在一手文献中的事实——协议团队、交易所合规部门以及机构托管服务商早就有时间阅读这些材料。
行业所缺乏的不是信息,而是紧迫感。这种模式在其他缓慢演进的安全危机中已经屡见不鲜。
组织往往只有在发生灾难性事件,或是监管最后期限迫在眉睫时,才会从脆弱系统上迁移。
在量子情形下,那场灾难性事件,很可能是某个拥有保密量子设备的国家行为体,悄无声息地掏空已暴露公钥的比特币地址——这一过程不会有预警,也不会留下足够清晰的取证线索,来推动在重大损失发生前就形成协调一致的应对。
比特币和以太坊的治理结构并非为“危机下的高速共识”而设计,这意味着,即便硬件威胁尚未真正到来,有序迁移的时间窗口也已经在收窄。
这一分析中相对建设性的一面,是量子转型本身创造了真正的研发机会。率先集成后量子签名的协议团队、公开量子就绪路线图的交易所,以及在监管要求之前就升级其 HSM 基础设施的托管机构,在威胁变得无法忽视时,都将处于显著更有利的竞争位置。研究已经完成,标准已经发布,剩下的是治理工作——而这项工作必须现在就开始。