爲什麼維塔利克相信量子計算可能比預期更早地破解以太坊的密碼學

關鍵要點

• 布特林認爲，量子計算機在2030年前打破當前密碼學的可能性有20%的非平凡概率，他認爲以太坊應該開始爲這一可能性做好準備。
• 一個主要風險涉及ECDSA。一旦公鑰在鏈上可見，未來的量子計算機理論上可以利用它來恢復相應的私鑰。
• Buterin 的量子緊急計劃涉及回滾區塊、凍結 EOA 並將資金轉移到量子抗性智能合約錢包。
• 緩解意味着智能合約錢包、NIST批準的後量子籤名和能夠在不混亂的情況下更換方案的加密靈活基礎設施。

在2025年末，以太坊聯合創始人維塔利克·布特林做了一件不尋常的事情。他將一個通常用科幻術語討論的風險進行了量化。

引用預測平台Metaculus，Buterin表示，“大約有20%的機會”在2030年前可能會出現能夠破解現今加密技術的量子計算機，而中位數預測則更接近2040年。

幾個月後，在布宜諾斯艾利斯的Devconnect上，他警告說，作爲以太坊和比特幣支柱的橢圓曲線密碼學“可能會在2028年下一次美國總統選舉之前崩潰。”他還敦促以太坊在大約四年內轉向量子抗性基礎。

根據他所說，2020年代出現一個具有密碼學相關性的量子計算機的可能性不容小覷；如果是這樣，那麼風險就應該納入以太坊的研究路線圖中。它不應被視爲遙遠未來的事情。

你知道嗎？ 截至2025年，Etherscan數據 顯示 超過3.5億個獨特的以太坊地址，這突顯了網路的廣泛增長，盡管只有一小部分地址持有有意義的餘額或仍然活躍。

爲什麼量子計算對以太坊的加密技術構成問題

以太坊大部分的安全性依賴於橢圓曲線離散對數 (ECDLP) 方程，這是橢圓曲線數字籤名算法 (ECDSA) 的基礎。以太坊使用 secp256k1 橢圓曲線進行這些籤名。簡單來說：

• 你的私鑰是一個大的隨機數。
• 你的公鑰是從那個私鑰派生的曲線上的一個點。
• 你的地址是該公鑰的哈希值。

在經典硬件上，從私鑰到公鑰是容易的，但反過來被認爲在計算上不可行。這種不對稱性使得256位密鑰被視爲有效不可猜測。

量子計算威脅到這種不對稱性。1994年提出的Shor算法表明，足夠強大的量子計算機可以在多項式時間內解決離散對數方程及相關的因式分解方程，這將破壞像Rivest-Shamir-Adleman (RSA)、Diffie-Hellman和ECDSA這樣的方案。

互聯網工程任務組和國家標準與技術研究所(NIST)都認識到，在具有密碼學相關的量子計算機(CRQC)存在的情況下，經典橢圓曲線系統將會面臨脆弱性。

Buterin 的以太坊研究文章提到潛在的量子緊急情況，強調了以太坊的一個關鍵細微之處。如果你從未使用過一個地址，那麼在鏈上只會顯示你公鑰的哈希，且這仍然被認爲是量子安全的。一旦你發送交易，你的公鑰就會被揭示，這給未來的量子攻擊者提供了恢復你的私鑰並清空帳戶所需的原材料。

所以，核心風險不在於量子計算機破壞Keccak或以太坊的數據結構；而在於未來的機器可能會針對任何曾經暴露過公鑰的地址，這涵蓋了大多數用戶錢包和許多智能合約的金庫。

Buterin所說的話以及他如何框定風險

Buterin最近的評論有兩個主要部分。

首先是概率估計。與其自己猜測，他指出Metaculus的預測，認爲在2030年前，能夠破解今天的公鑰密碼學的量子計算機的概率大約爲五分之一。這些預測將中位數場景設定在2040年左右。他的論點是，即使這種尾部風險也足夠高，足以讓以太坊提前做好準備。

第二個是2028年的框架。在Devconnect上，他 reportedly 告訴觀衆“橢圓曲線將會消亡”，引用了研究表明對256位橢圓曲線的量子攻擊可能在2028年美國總統選舉之前變得可行。一些報道將其壓縮成像“以太坊還有四年”這樣的標題，但他傳達的信息更爲微妙：

• 當前的量子計算機無法攻破以太坊或比特幣。
• 一旦存在CRQC，ECDSA及相關係統將變得結構上不安全。
• 將全球網路遷移到後量子方案需要數年時間，因此等待明顯的危險本身就是一種風險。

換句話說，他的思維方式像一個安全工程師。你不會因爲在下一個十年有20%的可能性發生重大地震而撤離一個城市，但你會在還有時間的時候加固橋梁。

你知道嗎？ IBM最新的 路線圖 將新量子芯片Nighthawk和Loon配對，目標是在2029年展示容錯量子計算。它最近還展示了一個關鍵的量子錯誤糾正算法可以高效地在傳統的AMD硬件上運行。

“量子緊急”硬分叉計劃內部情況

早在這些最近的公開警告之前，布特林就發布了一篇2024年的以太坊研究文章，標題爲“如何進行硬分叉以拯救大多數用戶的資金以應對量子緊急情況。”它勾勒了如果突如其來的量子突破使生態系統措手不及，以太坊可以採取的措施。

想象一下關於大規模量子計算機上線的公開公告，而攻擊者已經在抽取ECDSA安全的錢包。那麼接下來會怎樣？

檢測攻擊並回滾

以太坊將把鏈回滾到大規模量子盜竊變得明顯之前的最後一個區塊。

禁用傳統EOA交易

傳統的外部擁有帳戶 (EOAs) 使用 ECDSA 的將被禁止發送資金，這將切斷通過暴露的公鑰進一步盜竊的可能。

將所有內容通過智能合約錢包路由

一種新的交易類型將允許用戶通過零知識STARK證明他們控制原始種子或派生路徑——例如，針對一個脆弱地址的比特幣改進提案(BIP) 32 HD錢包前映像。

該證明還將指定用於量子抗性智能合約錢包的新驗證代碼。一旦驗證通過，資金的控制權將轉移到該合約，從那時起可以執行後量子籤名。

批量證明以提高氣體效率

由於STARK證明較大，設計上預期進行了批處理。聚合器提交證明包，這允許許多用戶同時移動，同時保持每個用戶的祕密預影私密。

關鍵是，這被視爲最後的恢復工具，而不是計劃A。布特林的論點是，爲這樣一個分叉所需的許多協議基礎設施，包括帳戶抽象、強大的零知識證明系統和標準化的量子安全籤名方案，可以並且應該被構建。

從這個意義上講，量子緊急準備成爲以太坊基礎設施的設計要求，而不僅僅是一個有趣的思想實驗。

專家對時間線的看法

如果布特林依賴於公衆預測，那麼硬件和密碼學專家實際上在說什麼？

在硬件方面，谷歌在2024年底發布的Willow芯片是迄今爲止最先進的公共量子處理器之一，擁有105個物理量子比特和經過糾錯的邏輯量子比特，能夠在特定基準測試中超越經典超級計算機。

然而，谷歌的量子人工智能主管明確表示，“Willow芯片無法破解現代密碼學。”他估計，破解RSA需要數百萬個物理量子比特，至少還需要10年的時間。

學術資源指向相同的方向。一項廣泛引用的分析發現，在一個小時內使用表面碼保護的量子比特破解256位橢圓曲線密碼學需要數千萬到數億個物理量子比特，這遠遠超出了今天可用的任何東西。

在密碼學方面，國家標準與技術研究所（NIST）以及麻省理工學院等學術團體多年來警告稱，一旦具有密碼學相關能力的量子計算機問世，它們將通過肖爾算法破解幾乎所有廣泛部署的公鑰系統，包括RSA、Diffie-Hellman、橢圓曲線Diffie-Hellman和ECDSA。這種影響既包括對已捕獲流量的解密（追溯性），也包括僞造籤名（前瞻性）。

這就是爲什麼NIST花費近十年的時間進行其後量子密碼學競賽，並在2024年最終確定了其前三個PQC標準：用於密鑰封裝的ML-KEM，以及用於籤名的ML-DSA和SLH-DSA。

目前對於確切的“Q日”沒有專家共識。大多數估計在10到20年的範圍內，盡管一些最新的研究考慮了樂觀的情景，在激進假設下，故障容忍攻擊橢圓曲線可能在2020年代末是可行的。

美國白宮和NIST等政策機構非常重視這一風險，推動聯邦系統在2030年代中期實現後量子密碼學（PQC），這意味着在此時間範圍內出現具有加密相關性的量子計算機的可能性不容小覷。

從這個角度來看，Buterin 的“2030 年前 20%”和“可能在 2028 年之前”的表述是更廣泛風險評估範圍的一部分，真正的信息是不確定性加上長期遷移的前置時間，而不是一個破解代碼的機器今天祕密在線的想法。

你知道嗎？ 一份2024年國家標準與技術研究院和白宮的報告 估計 在2025年至2035年間，美國聯邦機構將花費約71億美金將其系統遷移到後量子密碼學，而這僅僅是一個國家的政府IT系統.

如果量子進步加速，以太坊需要改變什麼

在協議和錢包方面，已經有幾個線程正在匯聚：

帳戶抽象和智能合約錢包

通過 ERC-4337 風格的帳戶抽象，將用戶從裸 EOA 轉移到可升級的智能合約錢包，使得在以後無需緊急硬分叉就能更換籤名方案變得更加容易。一些項目已經在以太坊上演示了 Lamport 風格或擴展梅克爾籤名方案 (XMSS) 風格的量子抗性錢包。

後量子籤名方案

以太坊需要選擇 ( 並對 ) 一個或多個 PQC 籤名系列進行實戰測試 (，可能來自 NIST 的 ML-DSA/SLH-DSA 或基於哈希的構造 )，並在密鑰大小、籤名大小、驗證成本和智能合約集成之間進行權衡。

其餘堆棧的加密靈活性

橢圓曲線不僅用於用戶密鑰。BLS籤名、KZG承諾以及一些卷積證明系統也依賴於離散對數的難度。一個嚴肅的量子抗性路線圖需要爲那些構建模塊提供替代方案。

在社交和治理方面，Buterin 的量子緊急分叉提案提醒我們，任何真正的響應都需要多少協調。即使有完美的密碼學，回滾區塊、凍結遺留帳戶或強制進行大規模密鑰遷移在政治和操作上也會引發爭議。這就是他和其他研究人員主張的部分原因：

• 構建可以在較小的、故意脆弱的測試資產被證明破壞後，自動觸發遷移規則的殺開關或量子金絲雀機制。
• 將後量子遷移視爲一種漸進的自願過程，用戶可以在任何可信攻擊之前很久就開始採用，而不是在最後時刻的匆忙應對。

對於個人和機構來說，近期的檢查清單更簡單：

• 優先選擇能夠在不強制遷移到全新地址的情況下升級其加密技術的錢包和托管設置。
• 避免不必要的地址重用，以便在鏈上暴露的公鑰更少。
• 跟蹤以太坊最終的後量子籤名選擇，並在強大的工具可用時準備遷移。

量子風險應該像工程師對待洪水或地震那樣處理。它今年不太可能摧毀你的房子，但在長遠來看，它的可能性足夠大，因此考慮到這一點來設計基礎是有意義的。

本文章不包含投資建議或推薦。每項投資和交易都涉及風險，讀者在做出決策時應自行進行研究。

• #區塊鏈
• #加密貨幣
• #另類幣
• #安全
• #以太坊
• #維塔利克·布特林
• #網路安全
• #去中心化金融
• #以太坊
• #以太坊價格
• #量子計算
• #如何 添加反應 ！