Buterin 警告量子计算机可能会比预期更早威胁以太坊的密码学，并探讨网络如何提前采取安全措施以应对这一风险。

关键要点

• Buterin 认为，在2030年前，量子计算机攻破现有密码体系的可能性约为20%，他建议以太坊应提前开始准备应对措施。

• 一个主要风险涉及ECDSA。一旦公钥在链上公开，未来的量子计算机理论上可以利用它恢复私钥，从而造成资金损失。

• Buterin 提出的量子紧急应对策略包括回滚区块、冻结外部账户（EOA），以及将资金迁移到抗量子的智能合约钱包。

• 缓解方案包括采用抗量子的智能合约钱包、由NIST认可的后量子签名算法，以及在无需引发混乱的情况下实现快速切换的密码学基础设施。

在2025年底，Vitalik Buterin 做出了不同寻常的举动——他为一种经常在科幻小说中讨论的风险赋予了明确的概率数字。

据预测平台Metaculus，Buterin表示“在2030年前出现可以攻破今日密码学的量子计算机的概率大约为20%”，而中位预估则更接近2040年左右。

几个月后，他在布宜诺斯艾利斯的Devconnect会议上警告，作为比特币与以太坊的基础的椭圆曲线密码学，“可能会在2028年美国总统选举前受到攻破”。他还敦促以太坊在未来四年内完成迁移至抗量子方案的计划。

在他看来，2020年代出现实质影响密码学安全的量子计算机的概率并非微不足道；如果这一可能成为现实，那么这一风险就应纳入以太坊的研发路线图，而不应被视为遥远的未来问题。

你知道吗？ 截至2025年，根据Etherscan数据显示，以太坊链上已存在超过3.5亿个独立地址，这反映出网络的快速增长，尽管只有少部分地址持有大额资金或仍然活跃。

为什么量子计算会威胁到以太坊的密码学

以太坊的安全性主要依赖于椭圆曲线离散对数问题（ECDLP），而ECDSA签名算法基于secp256k1椭圆曲线。简要介绍：

• 私钥是一个随机大数字。

• 公钥由私钥计算得出，是对应的曲线点。

• 地址是基于公钥的哈希值。

在传统计算中，从私钥推导公钥很容易，但反向求解（从公钥反推出私钥）几乎不可能，这种不对称性使得私钥在256位设置下被认为是不可猜测的。

然而，量子计算有效地威胁到这一不对称性。1994年提出的Shor算法证明，足够强大的量子计算机可以在多项式时间内求解离散对数问题和大整数分解问题，这将使RSA、Diffie-Hellman及ECDSA等方案变得脆弱。

国际互联网标准机构（IETF）和美国国家标准与技术研究院（NIST）都已确认：一旦存在具有实际破坏力的量子计算机（CRQC），传统的椭圆曲线系统将无法保证安全。

Buterin 在以太坊的研究论坛中强调了这一点：对于那些未曾将资金转出或未暴露公钥的用户，其安全性仍受保障，因为此时链上只显示公钥哈希。但一旦用户发起交易，其公钥就会在链上公开，未来的量子攻击者即可利用这一暴露的公钥试图恢复私钥，危及账户安全。

因此，核心风险不是量子计算机攻破以太坊的某些特定数据结构，而是攻击者利用已暴露的公钥进行私钥恢复和资金窃取的可能性，特别是针对曾经公开公钥的已存账户和智能合约资产。

Buterin 的观点与风险界定

Buterin 最近提出的观点主要包括两个方面：

1. 概率估算：他引用Metaculus的预测，认为在2030年前出现可以攻破当前密码体系的量子计算机的概率约为20%。他强调，即使是“尾部风险”，其发生的潜在可能性也是值得提前准备的理由。
2. 时间框架：他在Devconnect会议上指出，“椭圆曲线签名可能在2028年前被攻破”，暗示极端情况下的潜在时间点。尽管当前量子计算机尚不足以攻破以太坊和比特币，但一旦具备能力，改造网络需要数年时间，因此，等待明显的威胁出现再行动，本身就存在风险。

他的思路类似于安全工程中的“提前布防”策略：不会因未来存在20%的风险就放任不管，但会在风险尚未变成灾难前，提前采取措施加固系统。

你知道吗？ IBM 最新的研究路线图显示，其新一代量子芯片Nighthawk和Loon，计划在2029年前演示容错量子计算技术。此外，IBM 还展现了在常规硬件上实现关键量子纠错算法的能力，标志着量子计算迈入实用阶段。

“量子紧急情况”硬分叉方案的内部解读

早在这些公开警示之前，Buterin 就在2024年发布的以太坊研究帖子中提出了《在量子紧急情况下通过硬分叉保护资金》的思路，设想在面对突发的量子突破时，系统应采取的措施：

检测攻击并回滚

检测到大规模量子攻击时，网络可以将链状态回滚至攻击发生前的安全区块，切断后续影响的扩散。

冻结传统账户（EOA）交易

暂停所有基于ECDSA的外部账户的交易，防止公钥暴露后的继续破坏，保障尚未受到威胁的资金安全。

引入抗量子智能合约钱包

允许用户通过零知识证明（如STARK）验证他们对受攻击地址的控制权，证明他们控制的密钥未被暴露，从而将资金迁移至新设计的后量子钱包中。该钱包会采用新的抗量子签名方案，确保未来安全。

批量验证以提升效率

为降低燃料成本，设计允许批量提交STARK证明，批量完成资金迁移，同时保护用户隐私。这项措施主要作为最后手段进行，应提前在协议中预留接口。

这些措施强调提前准备的重要性，将抗量子技术和紧急应对机制融入基础设施设计，从而确保在真正威胁降临时，能快速应对，最大程度保护用户资产安全。

专家对时间表的看法

那么，硬件和加密专家又如何看待以太坊面临的量子威胁时间点？

目前，谷歌的“Willow”量子处理器预计将在2024年底推出，配备105个物理量子比特，具备一定的纠错能力，但其研究人员强调：“Willow 并不足以攻破现代加密算法”。

据分析师估算，要用量子计算机破解256位椭圆曲线加密，至少需要数千万甚至上亿个纠错量子比特，远远超出目前技术水平。预计实现这一目标至少还需要10年以上时间。

学术界也持类似观点。一项研究表明，用表面码保护的量子比特，要在一小时内破解256位椭圆曲线加密，可能需要数千万至数亿个纠错比特，远远超出现有硬件能力。

在大规模应用方面，NIST 和MIT等机构多年来警告：一旦出现具备实际威胁的量子计算机，几乎所有广泛部署的公钥系统（如RSA、Diffie-Hellman、ECDSA）都将被攻破。这影响到数据的回溯性和未来的伪造风险。

因此，NIST 正在推动后量子密码标准的制定，已在2024年确认了三大替代方案：ML-KEM、ML-DSA 以及SLH-DSA，旨在为未来提供抗量子安全的密码技术。

关于“Q日”何时到来，学界尚无一致共识“大多估计在十到二十年范围”，一些研究则认为“激进的假设”下，椭圆曲线等公钥系统的抗性可能在2020年代后期被突破，具备一定乐观可能性。

政策机构如白宫和NIST也高度重视这一风险，推动联邦系统在2030年代逐步迁移至后量子安全方案。这说明，尽管还未到“Q日”临近，但大规模量子威胁的潜在时间窗口已被充分认为是未来数十年的重要风险之一。

你知道吗？ 2024年，美国NIST 和白宫发布报告估算，联邦系统迁移到后量子密码的成本约为71亿美元，覆盖其庞大的国家基础设施和系统架构，这只是国家层面的投入，未来私营企业的替换成本更高。

如果量子技术加速发展，太坊需要做出哪些改变？

在协议和钱包设计层面，目前主要关注以下几个方面：

账户抽象与智能合约钱包

通过ERC-4337等技术，将用户从单纯的外部账户（EOA）迁移至可升级的智能合约钱包，增强签名算法的更换能力，减少紧急硬分叉的必要。已有项目在以太坊上演示了采用Lamport或扩展Merkle签名方案的抗量子钱包设计。

后量子安全的签名方案

以太坊将需选择并测试至少一种后量子签名算法（来自NIST的ML-DSA、SLH-DSA 或哈希基构造），解决密钥与签名的大小、验证成本以及智能合约的兼容性等权衡问题。

其他密码学组件的敏捷升级

除了用户密钥，链上还大量使用BLS签名、KZG承诺和rollup证明系统等。这些方案依赖于离散对数问题，因此需要为它们提供抗量子替代方案，以确保全链安全性的持续有效性。

在社会治理和协调方面，Buterin 提出的量子紧急分叉方案还强调，任何关键的响应措施都需要官方协调。如，全面回滚、冻结账户或大规模升级都涉及技术复杂性和政治责任。为此，建议提前建立“自动触发”机制，比如量子金丝雀（nuclear alarm）或者门控合约，确保在第一时间做出反应。

此外，逐步迁移的策略也很重要：让用户可以在没有“急刹车”式硬分叉的情况下，逐步过渡到抗量子技术。这样可以减少系统中断和潜在的操作冲突。

个人或机构的具体应对建议包括：优先升级支持后量子签名的钱包，减少地址重用，密切关注官方公告和技术进展，准备在稳健工具就绪时实行迁移。

总之，应像工程师应对洪水或地震一样对待量子风险，提前规划、逐步实施，而不是被迫在灾难发生时仓促应对。

相关推荐：美联储降息预期升温：比特币（BTC）能否再次突破91000美元，创出新高？

本文不构成投资建议或推荐。任何投资决策都涉及风险，读者应自行评估信息真实性和风险后慎重行动。