量子计算的快速发展正在为区块链网络带来前所未有的安全威胁。本报告将深入探讨应对量子威胁的各种技术措施，并分析比特币与以太坊等主流区块链如何为这一挑战做好准备。

本文经授权转载自Tiger Research Reports，作者：EKKO AN、RYAN YOON、ELSA，版权归原作者所有。

核心要点

• “Q-Day”情景，即量子计算机能够破解区块链核心密码学的风险，预计将在未来5到7年内到来。贝莱德在其比特币ETF申请文件中也明确指出了这一点。

• 后量子密码学在三个安全层面提供抗量子攻击的保护：通信传输、交易签名以及存续记录。

• 谷歌、AWS等科技巨头已开始采用后量子密码学技术，而比特币和以太坊的相关讨论仍处于初期阶段。

1. 新兴技术引发的“陌生问题”

如果一台量子计算机能够在几分钟内破解一个比特币钱包的私钥，这将对区块链的安全性造成怎样的影响？

区块链的安全基础在于私钥的保护。当前，要窃取某个比特币地址里的资产，攻击者必须得到对应的私钥。在现有的加密体系中，链上只显示公钥，而从公钥推导私钥在没有重大计算突破的情况下几乎不可能，耗时达数百年之久。

然而，量子计算机带来了全新威胁。不同于经典计算机顺序处理0和1，量子比特能够同时代表多个状态，这一特性使得通过公钥反推私钥变得可行。据估计，能破解现代密码体系的量子计算机可能在2030年左右实现。这个时间点被称为“Q-Day”，意味着距离大规模威胁的到来只有五到七年时间。

主要监管机构和行业机构已开始正视这一风险。2024年，美国国家标准与技术研究院（NIST）已提出后量子密码学（PQC）标准方案。贝莱德在比特币ETF申请中也明确指出，量子技术的突破可能威胁比特币的安全性。

量子计算已不再是遥远的未来问题，而是一个现实存在且需要提前准备的技术挑战。

2. 量子计算对区块链安全的具体挑战

理解区块链交易的安全机制，可以用一个简单例子：Ekko向Ryan发起一笔比特币（BTC）转账。

在交易中，Ekko必须用他的私钥签名交易，这个签名唯一且仅由他的私钥生成。网络中的节点利用 Ekko 的公钥来验证签名的有效性，确保这笔交易确实由私钥持有者发起。只要私钥保持机密，伪造签名几乎不可能。

这种“用私钥签名，用公钥验证”的机制，依赖于椭圆曲线数字签名算法（ECDSA）中的数学不对称性：正向计算简单（由私钥得公钥），反向破解极其困难（由公钥推私钥）。

然而，随着量子计算的崛起，这一保障正被逐步削弱。量子比特的强大能力使得走出这一屏障成为可能，关键在于以下两类算法：

2.1. Shor算法：资产被窃取的威胁

如今主要的互联网安全体系依靠RSA和ECC两大公钥密码体系，借助数论中的整数分解和离散对数问题来保障安全。这些体系在目前的计算能力下被认为是“足够安全”的，破解大多需要数十年的时间。

但，Shor算法可以在量子计算机中高速执行大整数分解和离散对数运算，从而破解这两种体系。利用Shor算法，攻击者可以从公开的公钥快速推导出私钥，进而控制对应地址的资产。一旦私钥被攻破，已有交易地址中的资产都面临被窃取的严重威胁，尤其是那些已曝光公钥的地址，因为公钥在链上是公开的。

2.2. Grover算法：交易拦截与伪造

区块链的安全性还依赖于对称密钥加密（如AES）和哈希算法（如SHA-256）。

目前，钱包文件加密和交易数据的保护多依赖AES技术，矿工验证交易的工作也依赖SHA-256哈希。传统上，这些系统假设攻击者没有足够时间在区块确认前分析或伪造交易。

然而，Grover算法能加快搜索过程，明显降低AES和SHA-256的安全强度，使得攻击者能在更短时间内分析内存池中的交易数据，伪造或拦截交易，威胁资金安全。攻击者借助量子计算机，有可能实时截获资金转移，导致资金流向自己指定的地址。这对交易所和普通转账都构成极大风险，资产安全面临严峻挑战。

3. 后量子密码学（PQC）：未来的解决方案

在即将到来的量子时代，如何确保区块链的安全？

未来的区块链必须采用抗量子攻击的新型密码算法，这些算法统称为后量子密码学（PQC）。美国国家标准与技术研究院（NIST）已提出多种候选方案，比特币和以太坊社区也在积极讨论将其作为长期安全保障的基础。

3.1. Kyber：节点间安全通信的保护

Kyber是一种算法，旨在实现网络上双方向的安全对称密钥交换。

传统的RSA和ECDH方案在量子环境下可能被Shor算法攻破。Kyber通过基于格的数学难题（Module-LWE）提供抗量子攻击的密钥交换方案。这一结构能有效防止数据在传输过程被窃听或破解，确保HTTPS、API交互以及钱包与节点之间的通信安全。在区块链内部，节点间共享交易数据时也能使用Kyber，防止第三方监控或截获信息。

简而言之，Kyber为未来网络的传输层安全构建了坚实基础。

3.2. Dilithium：交易签名的量子抗性验证

Dilithium是一种基于格的数字签名方案，用于确认交易确由合法私钥持有者创建，确保资产所有权的真实性。

现行的ECDSA签名机制在面对Shor算法时存在巨大风险。攻击者只需访问公钥，即能推导出私钥，从而伪造交易。此外，公钥在链上是公开的，增加了资产被盗的潜在风险。Dilithium利用格的结构，避免了私钥泄露的问题，确保即使攻击者分析了公钥和签名，也无法推断出私钥，提高了资产安全性。

应用Dilithium可以有效防止签名伪造和私钥被提取，保护用户资产和交易真实性。

3.3. SPHINCS+：确保数据的长久不可伪造性

SPHINCS+采用多层哈希树结构，每个签名都通过特定路径验证，确保签名不可逆、难以伪造。

一旦交易被加入区块，记录将变得永久且难以篡改。这就好比数字指纹：任何的微小变化都会导致指纹的完全不同。无论是几十年前的交易，还是未来的资产转移，只要分析指纹就能验证记录的真实性。这对于需要长期保存不可篡改记录的金融数据或政府档案尤其重要。虽然签名尺寸较大，但其长久有效的抗量子能力，使其成为未来关键安全方案之一。

总结：在一次标准的比特币转账中，后量子密码学提供了三重防护：Kyber确保数据传输安全，Dilithium保障交易签名的真实性，SPHINCS+维护记录的完整性。

4. 比特币与以太坊：两条不同的路径

比特币强调“不可更改”，而以太坊则注重“灵活变革”。这些设计哲学源于历史事件，深刻影响了各自应对量子威胁的策略路径。

4.1. 比特币：通过渐进式升级保持现有链的完整性

2010年的价值溢出事件震动了比特币社区，一名黑客利用漏洞，创造了1840亿枚BTC。社区立即通过软分叉，有效使该交易失效。这次事件后，“已确认的交易绝不可更改”成为比特币的核心原则。这种坚持维护链的不可变性，赢得了用户的信任，但也限制了快速变革的可能性。

在面对量子威胁时，比特币开发者也偏向渐进式升级。他们探索混合迁移方案——即在不破坏链整合性的前提下，逐步引入支持未来抗量子的地址。这样，用户可以在临界点逐步迁移资金：把原有的ECDSA地址资金迁移到支持PQC的地址，避免强制性硬分叉带来的风险。通过这种“共识下的逐步过渡”，既保证安全，又维护链的完整性。

挑战在于：大规模钱包、私钥的迁移问题尚未完全解决，部分私钥可能因遗失而无法转移。而且，不同利益方的意见分歧，也可能引发链分叉的风险。

4.2. 以太坊：借助灵活结构实现快速适应

以太坊的核心灵活性源于2016年的DAO事件。为逆转被盗的巨大资产，社区进行了硬分叉，形成了两个链：以太坊（ETH）和以太坊经典（ETC）。此后，以太坊不断借助升级与改造，实现了高度适应性。

创新的EIP-4337方案允许账户在链上定义自家的签名验证逻辑，不再依赖全网一致的硬分叉。这样，未来可以在账户层面引入支持抗量子的签名算法，例如Dilithium，无需全链升级。这为应对量子威胁提供了更快速、更灵活的路径。

现已有多个提案推动支持PQC的测试和应用：包括支持混合签名方案（EIP-7693）、链上验证多签（EIP-7932）等。未来，用户可以逐步将传统钱包迁移到支持新签名方案的账户，整个过程更为平滑无缝。

总的来看，比特币选择稳步演进，保持当前架构；而以太坊则通过架构创新，寻求快速适应未来量子环境。这两条路径都指向“抗量子”的共同目标，但各自侧重点不同。

5. 世界已然变革，区块链仍在讨论

全球互联网基础设施已开始向后量子安全迈进。

Web2巨头行动迅速：谷歌从2024年4月起，在Chrome浏览器默认启用基于后量子密钥交换的协议，覆盖数十亿设备。微软宣布在2033年前全面实施支持PQC的迁移计划。AWS也在2024年底推出支持混合PQC的方案。

相比之下，区块链的变化还在探索之中。比特币的BIP-360还在讨论中，而以太坊的EIP-7932已提交数月，但尚未完成公开测试。一些专家担心：在量子计算威胁真正到来之前，是否能完成安全迁移？

据德勤的一份报告，大约20%到30%的比特币地址目前已暴露公钥。虽然目前依然安全，但一旦2030年左右量子技术成熟，这些地址就可能成为攻击目标。如果当时贸然硬分叉，恐怕会引发链上分裂。比特币的不可变原则，虽然增强了信任，但在应对快速变化方面也带来难题。

最终，量子计算带来的不仅是技术难题，更对治理提出挑战。Web2界已开始布局，区块链的应对策略仍在争论。未来的关键在于：谁能在确保安全的基础上，平稳、有序地完成过渡。时间不会等待，但安全必须优先考虑。

相关推荐：量子时代来临：加密市场还能坚持多久？