量子计算的快速发展正在为区块链网络带来前所未有的安全威胁。本文将探讨为应对量子威胁而发展的新技术，以及比特币和以太坊如何为未来的变化做好准备。

本文经授权转载自Tiger Research Reports，作者：EKKO AN, RYAN YOON, ELSA，版权归原作者所有。

核心要点

• “Q-Day”场景预计将在5到7年内到来，即量子计算机能够攻破区块链的密码学。贝莱德在其比特币ETF申请文件中也强调了这一风险。

• 后量子密码学在通信加密、交易签名和数据存储三个层面提供抗量子攻击的解决方案。

• 谷歌、AWS等公司已开始采用后量子密码学技术，但比特币和以太坊还处于早期探索阶段。

1. 新技术带来未知挑战

如果一台量子计算机能够在几分钟内破解一个比特币钱包，区块链的安全性还能维持吗？

区块链的安全核心在于私钥的保护。要窃取比特币，攻击者必须获得私钥。而在当前技术条件下，从公开的公钥推导私钥几乎不可能，至少需要几百年的时间，即使使用超级计算机也是如此。

但量子计算机的出现改变了这一局面。经典计算机一次处理一位信息，而量子比特（qubit）可以同时处于多种状态。这意味着，理论上，拥有足够数量的量子比特的量子计算机，可能在极短时间内破解现有的密码体系。

专家预计，能够破解现代密码体系的量子计算机可能在2030年左右出现。这一时间点被称为“Q-Day”，意味著距离真正的量子攻击只有五到七年的时间。

各国监管机构和大型机构已开始关注此风险。2024年，美国国家标准与技术研究院（NIST）已发布后量子密码学标准。贝莱德公司也在其比特币ETF申请中提到，量子技术的进步可能威胁到比特币的安全性。

量子计算不再是遥不可及的理论，它已变成一个亟待应对的现实问题，不能指望未来或假设它不会成为威胁。

2. 量子计算对区块链安全的冲击

以一个简单的示例说明：Ekko 向 Ryan 发送 1 BTC。

在发起交易时，Ekko必须用私钥对这笔交易进行签名，签名唯一对应他的私钥。网络中的其他节点用Ekko的公钥验证签名的有效性。因为私钥不会在链上公开，所以只要私钥保持秘密，资产就受保护。

这种安全依赖于椭圆曲线数字签名算法（ECDSA）中的不对称性——用私钥签名，用公钥验证，私钥无法从公钥逆向推导出来。这为区块链交易提供了基础安全保障。

然而，随着量子技术的发展，这一壁垒正在逐渐消解。关键在于量子比特（qubit）：

传统计算机通过比特（0或1）进行运算，而量子比特可以同时代表多个状态，极大提升并行计算能力。拥有足够多个的量子比特后，量子计算机可以在几秒内完成传统计算需要几十年才能完成的任务。

2.1. Shor算法：资产被直接窃取

目前，绝大部分互联网安全依赖于RSA和ECC两个公钥体系。

这两者都利用难以解决的数学难题——整数分解和离散对数——来实现安全，但在量子计算面前变得脆弱。Shor算法能在高效地执行这些计算，从而破解这两种体系，推导出私钥，进而窃取资产。

具体来说，利用Shor算法，量子攻击者可以通过已公开的公钥快速推导出私钥，从而掌控对应地址的全部资产。所有曾经对该地址发出过交易的情况都存在资产被盗的风险，因为在链上，公钥在交易后变得公开可见。这意味着数百万个地址同时面临被攻破的威胁。

2.2. Grover算法：交易被拦截

区块链安全还依赖于对称加密（如AES）和哈希算法（如SHA-256）。

AES用于加密钱包和交易信息，而SHA-256则被矿工用来进行工作量证明（PoW）。这些系统假设在交易被确认之前，攻击者没有足够的时间分析交易内容或模拟伪造。

但Grover算法可以加速暴力搜索，削弱这些安全措施。它可以帮助攻击者在极短时间内找到满足条件的哈希，从而拦截交易，将资金导向攻击者控制的地址。这意味着，利用量子计算的攻击者或许能在交易被确认前，伪造交易或拦截交易资金，从而带来严重的资产风险。

3. 后量子密码学的应对方案

在量子时代，如何确保区块链的安全？

未来的区块链架构必须采用抗量子攻击的密码算法，这些技术统称为后量子密码学（PQC）。

已经由美国国家标准与技术研究院（NIST）提出了三类主要的PQ标准，全球各种区块链项目也在积极探索其应用，包括比特币和以太坊在内的主流平台都在讨论采用这些新标准以实现长期安全。

3.1. Kyber：节点间的安全通信

Kyber是一种基于格的密钥交换算法，旨在让区块链网络中的两方安全通信，交换对称密钥：

传统的RSA和ECDH因信赖Shor算法，在量子环境中变得脆弱。Kyber通过格数学（Module-LWE问题）提供抗量子性，确保数据在传输中不被窃听或破译。这涵盖了HTTPS连接、API通讯、钱包与节点之间的交易信息传递，也适用于区块链网络内的节点间信息共享。

可以说，Kyber为量子时代重建了网络传输的安全保证。

3.2. Dilithium：交易签名验证

Dilithium是一款新型数字签名算法，用于确认交易由私钥持有者创建，确保资产归属。

当前，区块链的所有权依赖于“用私钥签名、公钥验证”的ECDSA体系。该体系容易被Shor算法破解，攻击者只需获取公钥即可逆向推导私钥，造成资产被盗风险。

Dilithium使用基于格的结构，结合Module-SIS和LWE难题，即使攻击者获得公钥也无法推倒私钥，从而有效抵御量子攻击。这确保了资产所有权的安全与交易真实性。

3.3. SPHINCS+：确保长期存储安全

SPHINCS+采用多层哈希树结构，通过路径验证签名，保证即使在量子环境下也安全。

每一笔交易在被加入区块后，都像一份不可篡改的“数字指纹”。任何微小的变化都会导致指纹完全不同，从而实现完整性保障。通过哈希值组成的多层结构，即便几十年后，攻击者也难以伪造或篡改交易记录。

虽然签名尺寸较大，但适合需要长久可验证性的金融或政府档案，量子计算机也难以复制这样的“指纹”。

总结：在一次标准1 BTC转账中，后量子密码学技术可建立三重防护：Kyber保障通信安全，Dilithium确保签名真实性，SPHINCS+维护交易记录不可篡改性。

4. 比特币与以太坊：不同路径的共同目标

比特币强调不可变性，以保护区块链的“不可更改”。以太坊则更注重适应性，允许通过结构性变革实现快速升级。这种差异深受历史事件的影响，塑造了其应对量子威胁的不同策略。

4.1. 比特币：最小调整确保链的稳定性

比特币在2010年经历了一次价值溢出漏洞事件。一名黑客利用漏洞制造了1840亿枚比特币，社区通过软分叉迅速使这笔异常交易失效。这次事件后，社区确立了“已确认的交易不能更改”的原则，维护了比特币的信任基础，亦使结构性变更困难重重。

在应对量子威胁时，比特币社区坚持在不破坏现有链的基础上，逐步迁移。开发者们支持渐进式升级，利用“混合迁移”方案，让用户同时拥有传统的ECDSA地址和未来的量子安全地址。例如，Ekko的资金如果存放在原有比特币地址上，他可以在Q-Day临近时，将资产逐步迁移到新算法地址，以确保安全。这种方式降低了硬分叉风险，但实际操作中仍面临亿万钱包的迁移、私钥遗失的风险，以及社区意见分歧等难题。

4.2. 以太坊：借助弹性架构实现快速转型

2016年，DAO攻击后，为挽回损失，以太坊进行了历史上著名的硬分叉，结果导致以太坊（ETH）和以太坊经典（ETC）分裂。此事件增强了以太坊的偏好适应性，成为其快速变革的核心动力。

以太坊之前所有账户都基于外部账户（EOA），仅通过ECDSA签名。未来，为实现抗量子的目标，社区引入EIP-4337，允许账户作为智能合约自行定义签名验证逻辑。这样，账户可以逐步采用新算法，无需全网硬分叉。同时，诸如EIP-7693、EIP-8051 和 EIP-7932等提案，也在推动支持多签名算法和链上测试，以实现平滑过渡。

实践中，用户能够在保持现有钱包的同时逐步迁移到基于Dilithium等抗量子算法的钱包，整个过程在账户层面逐步完成。相比比特币的静态演进，以太坊的架构更具弹性和创新性，能更有效应对未来的量子威胁。

5. 当争论仍在继续，世界已在行动

全球互联网基础设施正逐步迈向新一代安全标准。

Web2平台的响应行动尤为迅速。谷歌从2024年4月起，开始在Chrome浏览器中默认启用后量子密钥交换技术，并部署到数十亿设备上。微软也宣布计划在2033年前将整个组织迁移到支持PQ的方案。AWS已在2024年底启动了混合PQ方案的应用。

相比之下，区块链界的准备仍处于早期阶段。比特币的BIP-360仍在讨论中，某些升级提案（如EIP-7932）已提交数月，但尚无测试网络。这使得相关社区面临是否以及如何迁移的巨大选择。维特币的坚持“不可更改”的原则固然确保了网络的稳定性，却也限制了快速应变的能力。

多份报告指出，约20%至30%的比特币地址已公开其公钥，虽当下安全，但一旦量子计算机实用化，这些资产将暴露风险。若在那时试图通过硬分叉解决，极可能引发链的分裂。不同的方案和预案正在讨论，但关键在于如何以最安全的方式完成平稳过渡，这是最大难题。未来的量子威胁，既是技术考验，也是治理难题。

总结：Web2界已在积极布局，区块链界的行动还在起步。谁能在确保安全的前提下成功完成转型，将成为未来的焦点。

相关推荐：量子时代来临：加密市场能否经受住考验？