Buterin发出警告：量子计算机可能比预期更早威胁以太坊的密码学安全，并探讨网络如何提前采取措施保障安全。

教学

关键要点

• Buterin认为在2030年前，量子计算机攻破现有密码学的概率约为20%，他建议以太坊应提前准备应对这一可能性。

• 一个核心风险在于ECDSA。一旦公钥在链上显露，未来强大的量子计算机理论上可以利用它恢复出私钥，从而盗取资金。

• Buterin提出的量子紧急预案包括回滚区块、冻结外部账户(EOA)，以及将资金迁移到抗量子攻击的智能合约钱包中。

• 缓解措施包括采用智能合约钱包、NIST认可的后量子签名方案，以及建立密码学敏捷架构，支持无缝切换到新方案，避免混乱。

到2025年底，以太坊联合创始人Vitalik Buterin做了一件不同寻常的事：他为一种通常处于科幻设想中的风险，明确给出一个概率数字。

根据预测平台Metaculus的数据显示，Buterin指出“在2030年前大约有20%的概率”会出现能够攻破当前密码体系的量子计算机，而中位预测时间则接近2040年。

几个月后，他在布宜诺斯艾利斯举办的Devconnect上警告，作为以太坊和比特币的基础椭圆曲线密码学“可能在2028年下一届美国总统选举之前被攻破。”他还敦促以太坊在大约四年内完成迁移，转向抗量子方案。

他认为，2020年代出现对密码学构成实际威胁的量子计算机的概率并非微不足道；如果此类威胁真正出现，应将其列入以太坊的研究路线图，而非视为遥远未来的问题。

你知道吗？ 截至2025年，Etherscan数据显示，以太坊上的独立地址已突破3.5亿，彰显了网络规模的扩大，尽管其中只有一小部分地址拥有显著的余额或活跃交易记录。

为何量子计算会威胁以太坊的密码学

以太坊的安全性主要建立在椭圆曲线离散对数（ECDLP）问题上，也即是基础的椭圆曲线数字签名算法（ECDSA）。其签名算法采用的是secp256k1椭圆曲线。简单理解：

• 私钥是一个由大量随机数构成的秘密值。

• 公钥是利用私钥推导出的椭圆曲线点。

• 地址是该公钥的哈希值。

在传统计算机上，从私钥推导公钥非常简单，而反向计算（由公钥推回私钥）被认为在计算上几乎不可能。这种非对称性质让256位加密密钥被视为“几乎猜不到”。

然而，量子计算机带来的威胁在于，1994年提出的Shor算法证明：只要计算机足够强大，就可以用多项式时间破解离散对数问题。这意味着RSA、Diffie-Hellman和ECDSA等加密方案都可能遭到攻破。

国际标准制定组织（如IETF）和美国国家标准与技术研究院（NIST）均已认可：一旦出现具有实际影响的量子计算能力，当前的椭圆曲线系统将无法保证安全。

Buterin在以太坊研究论坛上强调了一个关键点：如果某个钱包地址曾经操作过交易，其公钥在链上已暴露，意味着即便是在当前环境下对量子攻击仍是安全的；但如果从未用过或未公开其公钥，仍然保持安全。问题出在，发起过交易之后，公钥就会被公开，为未来的量子攻击者提供了恢复私钥的可能性。

因此，主要风险不是量子计算机能否攻破以太坊的其它数据结构，而是曾经公开过公钥的那些钱包地址，尤其是大量用户和运行中的智能合约钱包。

Buterin对风险的界定及其观点

Buterin近期的看法有两个核心要点：

1. 概率估算： 他引用Metaculus平台的预测，指出“到2030年，出现能够攻破现有公钥密码学的量子电脑的概率约为20%”。而中位预测时间在2040年前后。这意味着，即使可能性较低，也值得提前做好准备。
2. 时间限定： 他说，2028年前后可能出现对椭圆曲线的量子攻击。虽然目前的量子计算技术还无法破坏以太坊或比特币，但一旦CRQC（具备实际影响的量子计算）存在，ECDSA等系统将变得脆弱。他强调，迁移整个网络到抗量子方案需要数年时间，等待明显的风险到来本身就充满风险。换句话说，应像工程师一样，提前加固——即使风险概率只有20%，也要为最坏情况做好准备。

你知道吗？ IBM最新路线图显示，Nighthawk与Loon量子芯片计划于2029年前实现容错量子计算，且近期已展示一种能在普通AMD硬件上高效运行的关键纠错算法。

“量子紧急情况”方案的内部设计与解读

早在公共警示之前，Buterin在2024年提出过通过硬分叉应对量子威胁的方案——《如遇量子紧急情况，如何用硬分叉保护大多数用户资金》。该方案设想当量子突破突如其来，攻击者已经开始针对以ECDSA保护的地址进行盗窃时，能采取的措施：

检测攻击和回滚

当确认大规模攻击发生时，系统可以将区块链状态回滚到攻击开始前的状态，阻断进一步损失。

冻结传统EOA账户

暂停所有使用ECDSA的外部拥有账户（EOA）交易，切断攻击者继续盗取资金的可能性。

智能合约钱包与零知识证明

引入一种新型交易类型，让用户能用零知识(如STARK)证明自己控制着受攻击钱包的原始密钥或派生路径（例如BIP-32中的HD钱包原像）。

该证明还会启用一种抗量子的智能合约钱包验证代码。一旦验证成功，资金将迁移到该智能合约钱包中，从而强制使用后量子签名技术，确保未来的安全性。

批量证明与提升效率

鉴于STARK证明的体积较大，将采用批量聚合技术，打包多个转账证明。这样可以同时保护许多用户，提高燃气效率，并保证用户在不泄露私密信息的前提下完成迁移。

关键点：这应作为最后的救援方案，而非常规操作。Buterin主张提前构建支持该机制的基础架构，包括账户抽象、强大的零知识证明系统，以及标准化的后量子签名方案，从而为应急准备提供技术基础。

从这个角度看，将量子威胁融入以太坊的基础设计，成为不可或缺的需求，而非遥远的假设。

专家对时间线的看法

结合公共预测和硬件发展情况，硬件专家和加密学者在说什么？

谷歌的 Willow 量子芯片计划于2024年底推出，拥有105个物理量子比特，具备一定的纠错能力，可在特定基准下超越经典超级计算机。然而，谷歌的量子AI总监明确表示：“Willow芯片无法突破现代加密技术。”

学术研究表明，要破解256位椭圆曲线加密，可能需要数千万到数亿个物理量子比特的纠错量子比特，远超目前存在的硬件能力。这意味着，大规模破解仍需十年以上的研发时间。

在加密界，NIST和麻省理工学院多年来警告说，只要拥有具备实际影响的量子硬件，就足以用Shor算法攻破RSA、Diffie-Hellman、ECDSA等系统。这不仅影响当前的安全，也威胁到未来数据的保密性，包括被动解密历史通信和未来伪造签名的风险。

因此，NIST已经历时多年，推动后量子密码（PQC）的标准化，已经确定了三套标准（ML-KEM、ML-DSA和SLH-DSA），预计2024年正式公布。大多数专家认为，真正具备“Q日”突破能力的时间在10到20年之间，但对2020年代后期出现突破的乐观假设也被部分研究考虑在内。这意味着，联邦机构和大型企业都已在积极规划向后量子安全迁移。

总结：Buterin提到的“2030年20%概率”和“2028年前”预警，是基于当前科学研究和硬件发展趋势，对风险的合理预判。在不确定性和迁移周期的共同影响下，未来仍存在较大的变数，但提前准备显得尤为必要。

你知道吗？ 2024年，白宫和NIST的报告预估，联邦机构从2025年至2035年迁移到后量子密码的成本约为71亿美元，显示这一挑战的全球规模也在不断扩大。

如果量子技术进展加快，以太坊需要做出哪些回应？

在协议层和钱包结构上，有多条路径正在同步推进：

账户抽象和智能合约钱包

通过实现ERC-4337等账户抽象技术，将用户从裸EOA迁移至可升级的智能合约钱包。这可以让未来更换签名方案变得更容易，无需紧急硬分叉。一些项目已在以太坊上演示了基于Lamport签名或扩展Merkle签名（XMSS）的抗量子钱包方案。

后量子签名方案

以太坊未来必须选择（并测试）一到多个符合标准的后量子签名算法（比如NIST的ML-DSA、SLH-DSA或基于哈希的方案），平衡签名大小、验证速度和智能合约兼容性的问题，并逐步部署。

其它基础设施的加密敏捷性

除了用户密钥外，BLS签名、KZG承诺以及rollup证明系统等也依赖基于离散对数的密码算法。要实现系统全面的抗量子安全，需提供替代方案。

在社会治理层面，Buterin强调对量子风险的应对需要高度协调。例如，构建自动触发迁移的规则机制，或利用“量子金丝雀”检测系统，一旦检测到量子威胁就启动应急措施。这包括分阶段迁移、提前让用户采用后量子方案，以避免仓促应对带来的操作风险和政治争议。

• 建立能自动触发转移或冻结账户的终止机制，确保在风险出现时迅速反应。

• 将后量子迁移作为逐步的选择，让用户在没有急迫威胁的情况下逐步切换，不宜等待最后一刻的应急行动。

对个人和机构来说，应优先考虑对钱包和托管服务进行支持未来升级的平台，以及减少地址重用，降低链上公钥暴露度。同时，密切关注以太坊最终确定的后量子签名方案，准备在成熟工具推出后及时迁移。

总体而言，量子风险应像对待洪水或地震一样，以工程化的思维提前布局。虽然短期内不太可能导致灾难，但从长远角度看，这种可能性足够值得在设计和治理中纳入预防措施。

相关推荐：美联储降息预期激增，比特币（BTC）是否有望突破91000美元再创历史新高？

本文不构成投资建议或推荐。任何投资决策都伴随风险，建议读者务必自主研究和评估。