Buterin发出警告，指出量子计算机可能比预期更早对以太坊的密码体系构成威胁，并提出了网络提前应对的策略。

教学

核心要点

• Buterin认为，到2030年前，量子计算机攻破现有密码学的概率大约为20%，因此以太坊应提前布局相关安全措施。

• ECDSA的风险尤为关键。一旦链上公钥暴露，未来强大的量子计算机理论上可以利用它恢复私钥，从而窃取资金。

• 他的量子紧急应对方案包括回滚区块、冻结外部账户（EOA），以及将资金迁移至抗量子保护的智能合约钱包。

• 缓解方案方面，建议采用基于后量子算法的签名方案、智能合约钱包、密码学灵活的基础设施，以及支持无缝切换的技术架构。

2025年末，Vitalik Buterin做出了一项不同寻常的表态：他根据预测平台Metaculus的数据显示，认为在2030年前出现能攻破当今密码技术的量子计算机的概率约为20%，而中位预测则更倾向于2040年左右。几个月后，他在布宜诺斯艾利斯的Devconnect上警示，作为以太坊和比特币核心密码机制的椭圆曲线密码学，“可能在2028年前在下一届美国总统选举之前被攻破。”他还敦促以太坊在四年内完成向抗量子安全技术的全面迁移。

在他看来，2020年代内出现影响实际安全的量子计算机的概率并非微不足道。若真存在此类威胁，那么这一风险应列入以太坊的研发路线图，而不应再被视为遥远的未来问题。

你知道吗？ 截至2025年，Etherscan数据显示，以太坊的独立地址已超过3.5亿，彰显网络持续增长的同时，也存在地址重用和安全暴露的风险。

为何量子计算会威胁以太坊密码体系

以太坊主要依赖椭圆曲线离散对数问题（ECDLP）来确保签名安全，使用的主要算法是secp256k1。简要来说：

• 私钥是一个随机的、长度较大的数字。

• 公钥由私钥通过椭圆曲线计算得出。

• 地址则是对公钥的哈希值。

在经典计算机上，从私钥推算公钥非常容易，但反向破解被认为极其困难，导致私钥具有高度的保密性。然而，量子计算的出现威胁到这种不对称加密的安全性。1994年提出的Shor算法显示，一台拥有足够量子比特的强大量子计算机可以在多项式时间内解决离散对数问题，攻击RSA、Diffie-Hellman以及ECDSA等加密方案。

国际标准化组织（如IETF）和美国国家标准与技术研究院（NIST）均承认：一旦出现具有实际影响的量子计算机，这些基于椭圆曲线的公钥体系就会变得脆弱。

Buterin在以太坊研究社区强调：如果用户从未向某地址发起交易，那么链上只会显示其公钥哈希，仍具有一定的抗量子安全性。但一旦发起交易，公钥就会暴露，未来量子计算机就可能利用已知的公钥恢复私钥，从而完全突破账户安全。此风险主要影响那些曾经发出交易或被公开暴露公钥的地址。

Buterin的风险界定与应对策略

Buterin的最新表述包含两个重点：

1. 概率估算：他引用Metaculus的预测，认为在2025年前出现攻破现有密码体系的量子计算机的概率大约为20%。虽然中位预测显示更长时间（2040年左右），但20%的“尾部风险”值得提前重视。

2. 具体时间点：他在Devconnect现场表示，“椭圆曲线将在2028年前被攻破”，并提出“应在未来四年内推动全网迁移到抗量子方案”。这谦虚而现实地反映了技术和政策的双重挑战。

他的比喻类似安全工程师：不会因为未来十年有20%的可能性发生地震就立即疏散，但会在还剩时间时加固基础设施。

你知道吗？ IBM的最新量子芯片Nighthawk和Loon已在2029年前实现容错量子计算，并展示了高效的量子纠错算法，预示着量子技术的快速推进。

关于“量子紧急应对”硬分叉方案的详细解读

早在公共预警出现之前，2024年，Buterin就提出了“在量子风险紧急情况下的硬分叉”方案。这包括：

检测攻击与回滚

当检测到大规模量子攻击后，网络将回滚到安全的区块，阻断连环盗窃行为。

冻结传统EOA账户

暂停所有基于ECDSA的外部账户转账，防止公钥暴露后被攻击。

智能合约中实现保护

引入新型证明机制（如零知识STARK），用户通过提供证据证明其私钥安全或控制权，从而将资金迁移到抗量子的智能合约钱包。一旦验证通过，控制权将正式转移，并启用后量子签名方案。

批量证明与燃气优化

考虑到STARK证明较大，设计支持批量证明，集中提交证明包，提升效率，降低成本。这也是“最后手段”的资金恢复方案，其前提是相关协议和标准已提前部署完毕。

总之，提前建设支持量子抗性的基础设施，成为未来生态系统的设计目标，而非临时应急方案。

专家关于时间线的看法

硬件方面，谷歌的Willow芯片已在2024年底推出，拥有105个物理量子比特，具备一定的错误校正能力，但据其团队表示，还无法突破现代加密技术。专家估计，达到攻破RSA级加密所需的量子比特规模仍需数十年时间（可能至少10年）。

学术研究也得出类似结论：利用表面码保护的量子比特，要在一小时内破解256位椭圆曲线加密，所需的物理量子比特数可能达到数千万到上亿级别，这远超当前技术能力。

加密界的研究和政策也普遍认为：一旦出现具有实际威胁的量子计算机，它们将能够破解RSA、椭圆曲线签名等广泛使用的系统。这也是NIST耗时十余年的后量子密码标准制定的原因，预计在2024年确认三个主流算法，用于未来的密钥分发和签名。

目前，行业内对“Q日”的具体时间尚无一致共识，大部分专家认为这一节点大致在10到20年范围内，仍存在一定的不确定性。美国、白宫和NIST等机构都在积极推动联邦系统逐步迁移到后量子密码技术，预计2025至2035年期间的转型成本约达71亿美元。

从风险评估的角度，Buterin提出的“2030年前20%的概率”和“2028年前可能实现”的预期，反映了对于未来威胁的高度关注，以及由时间带来的复杂性。

如果量子技术进一步加速，Ethereum应做出哪些调整

在协议设计和钱包架构层面，已有多个方向聚焦：

账户抽象与智能合约钱包

通过ERC-4337等标准，将用户从简单的外部账户迁移到可升级的智能合约钱包，方便未来支持多签、可更换签名方案，无需紧急硬分叉。目前已有项目在演示抗量子的哈希签名（如Lamport签名）或扩展Merkle签名（XMSS）方案。

引入后量子签名算法

以太坊需选择一到多个“抗量子”签名算法（如基于哈希的签名或NIST标准候选），同时解决其在密钥大小、签名尺寸、验证速度和智能合约集成中的权衡问题。

基础架构的加密灵活性

除了用户密钥，诸如BLS签名、KZG承诺和rollup的证明系统也依赖特定密码学假设，为这些环节设计替代方案，确保整个生态的抗量子能力。

在治理和社会层面，Buterin强调应建立自动触发的迁移规则，如“量子金丝雀（Quantum Canary）”机制：即在恶意攻击发生时自动启动紧急措施。同时，应将后量子迁移当作一个渐进的过程，逐步推广，避免仓促切换，减少操作风险。对于个人和机构，建议提前升级支持后量子的钱包，减少地址重用，监控官方后量子签名标准的落地实现，为未来的迁移做好准备。

总之，面对量子风险，我们应以工程思维将其纳入系统设计，就像应对洪水或地震一样，从长远考虑持续进行基础设施的抗风险优化。

相关推荐：美联储降息预期升温，比特币（BTC）是否有望再创新高突破91,000美元？

本内容不构成投资建议，任何投资风险由读者自行承担。请保持谨慎，理性决策。