区块链无法忽视的“缓慢逼近”威胁

量子计算机目前看起来仍像实验室玩具:成排的硬件、容易出错的量子比特,以及几乎没有真正的应用。但如果你查看主流一层(Layer-1)区块链的路线图,会发现一个新优先事项正与扩容和模块化并列:后量子安全(post-quantum security)

问题本身很简单(尽管数学并不简单):大多数主流区块链依赖椭圆曲线签名算法(ECDSA 和 Ed25519)来证明交易确实由某个私钥持有者发起。而一台足够强大的量子计算机在运行 Shor 算法时,理论上可以从公钥推导出对应的私钥,使攻击者能够伪造签名、发起假交易。

ECDSA 的可视化示意

量子风险还不止于此,还存在 “现在收集、未来解密(harvest now, decrypt later)” 的隐患。攻击者今天就能把公链上的公开数据全部复制下来,等量子硬件成熟后再进行破解。一旦量子能力突破,旧地址、长期休眠的钱包,以及部分智能合约模式,即使在网络之后切换到更安全的算法,也可能重新暴露在风险之下。

对于无法回滚、需要长期安全性的公共账本来说,量子规划正逐渐成为必须考虑的长期议题。随着美国国家标准与技术研究院(NIST)正式发布后量子密码标准、各国政府开始制定 2030 年之后的迁移时间表,Layer-1 团队已经把量子安全视为一种缓慢逼近但不可逆转的风险;少数网络甚至已经在推出第一批量子防护措施。

量子计算机在加密领域真正威胁的是什么

量子计算机并不会“魔法般地摧毁区块链”;它们攻击的是特定的密码算法。

对于加密货币而言,最大的风险来自公钥签名算法

Bitcoin、Ethereum 和许多其他区块链依赖椭圆曲线签名(ECDSA 和 Ed25519)来证明一笔交易确实来自持有私钥的用户。假如量子计算机足够强大,可以运行 Shor 算法,它就能根据公钥反推出私钥,从而伪造签名、随意转移资金。

不过,并非所有密码组件都同样脆弱。像 SHA-256 和 Keccak 这样的哈希函数要坚固得多。量子搜索算法(如 Grover 算法)只能带来二次方级别的加速,而这类风险通常可以通过增大哈希长度来抵消。因此,未来最可能需要升级的是签名算法,而不是 PoW 哈希或基本的交易完整性机制。

对区块链而言,以下部分在长期内可能必须进行密码升级,以维持预期的安全性:

  • 旧的未花费交易输出(UTXO)

  • 在账户模型链上的地址重复使用问题

  • PoS 网络中的验证者密钥

  • 依赖签名随机性的随机信标

而由于关键基础设施的密码迁移往往需要十年以上时间,Layer 1 必须在量子计算机真正具有攻击能力之前提早规划。

你知道吗?“Y2Q” 是一个非正式术语,用于描述量子计算机达到密码分析威胁级别的年份,类似于“Y2K”指的是 2000 年问题。早期估计曾将时间点定在 2030 年左右。

为什么量子安全突然挤进了 Layer-1 路线图

量子风险已经在学术圈讨论多年,但直到最近才成为 Layer-1 团队的明确路线图项目。真正的转折点,是从“理论”走向“标准和时间表”。

从 2022 到 2024 年,美国 NIST 启动并推进了首批后量子密码标准化,包括:

  • 基于格的 Kyber(密钥交换)

  • 基于格的 Dilithium(数字签名)

  • 哈希基方案 SPHINCS+

这使工程团队有了可依赖的固定目标,而不是不断变化的研究原型。

与此同时,各国政府和大型企业开始推动“密码敏捷性(crypto agility)”,并制定延伸至 2030 年代的迁移时间表。如果一个公链希望承载数十年的价值与法律协议,而无法适应这一转型,就会变成一个治理问题。

Layer-1 也会受到舆论与技术新闻的推动。每当量子硬件或算法研究取得突破,就会重新引发关于长期安全的讨论。团队开始质疑:当前签名系统能否支撑网络的全生命周期?是否应该在仍可选择的阶段就开启后量子选项,而不是等未来压力逼近?

你知道吗?英国国家网络安全中心(NCSC)建议组织在 2028 年前确定量子安全迁移路径,并在 2035 年前完成迁移

第一波行动:哪些 Layer-1 已开始准备

已有少数 Layer-1 从推测转向实际工程实现,尝试在不破坏现有系统的前提下加入量子韧性。

Algorand:状态证明 + 主网 PQ 交易

Algorand 是目前最接近生产级 PQ 实践的主流链。

  • 2022 年引入基于 FALCON(格签名)的 State Proofs,用于生成可验证且量子安全的链状态证明。

  • 最近在主网上演示了完整的 Falcon 逻辑签名 PQ 交易,将自己定位为可为其他链提供量子安全验证的枢纽。

Cardano:研究优先的长期 PQ 路线

Cardano 目前仍使用 Ed25519,但团队已明确将量子准备视为长期竞争力。

路线图包括:

  • 独立的证明链

  • Mithril 证书

  • 与 FIPS 203–206 对齐的 PQ 签名体系

目标是构建一个量子安全验证层,而非强迫所有用户同步切换。

Ethereum、Sui、Solana 与新兴“量子就绪”链

  • Ethereum:研究组正在评估 PQ 迁移任务,包括新交易类型、Rollup 实验、以及让用户可选择 PQ 密钥的 ZK 包装结构。

  • Sui:发布了专门的量子安全路线图,与学术合作伙伴提出适用于 Sui、Solana、Near、Cosmos 的升级路径,避免破坏性硬分叉。

  • Solana:已上线可选的量子安全“Vault”,使用哈希签名保护高价值资产。

此外,一些新链从第一天就宣称“量子安全”,以 PQ 签名作为基础协议的一部分。虽然多数规模很小,但显示了量子姿态已成为链竞争力的一部分。

你知道吗?最早的量子安全链之一是 Quantum Resistant Ledger(2018 上线),采用 XMSS 哈希签名。

技术深度:为什么“换个签名算法”没那么简单

升级到后量子签名理论上听起来很简单,实际在全球运行中的链上极其复杂。

PQ 算法特性不同,它们的影响遍及整个系统:

1. 算法三大类别的权衡

  • 格签名(Dilithium、Falcon):快速但密钥与签名比 ECDSA 大。

  • 哈希基签名(SPHINCS+):极度稳健,但体积庞大,部分变体只能一次性使用,影响钱包 UX。

  • 代码基、多变量方案:适用于特定用途,但较少出现在 Layer-1 计划中。

2. 对区块链架构的影响

  • 更大的签名 = 更重的区块 = 更高的带宽和存储需求

  • 轻客户端与硬件钱包需验证更多数据

  • PoS 链需要替换 VRF、委员会签名等关键部件,不能只换用户密钥

3. 迁移问题比技术更棘手

链上有大量:

  • 旧地址

  • 丢失密钥

  • 长期休眠资金

迁移路线必须回答:

  • 是否启用混合签名(传统 + PQ)?

  • 是否引入新交易类型包装旧密钥?

  • 是否设置激励或最终期限要求重新密钥化?

这些都不仅是技术问题,还涉及治理、法律、以及遗失资产的处理。

用户、开发者与投资者接下来要关注什么

量子风险并不要求立刻行动,但它正在重塑人们对网络“长期可信度”的评估方式。

对普通用户

关注生态对“密码敏捷性”的讨论:能否在无需硬分叉的情况下切换算法,是未来钱包和链的关键能力。

预计未来会看到:

  • 新账户类型

  • 混合签名钱包

  • 提示用户升级高价值账户的密钥

对开发者与协议设计者

优先考虑灵活性

  • 不要在智能合约或验证逻辑中硬编码单一签名算法

  • 使用可支持多算法的接口标准

这可让项目更容易跟随 NIST 标准进化。

对投资者与治理参与者

量子准备正在成为评估链技术成熟度的新维度:

关键问题包括:

  • 这条链是否有 公开、可执行的 PQ 路线图

  • 已经有原型或主网功能了吗?还是只有市场宣传?

  • 迁移决策的权力与流程由谁负责?

在量子攻击未来真正具备威胁时,提前升级密码体系的网络将更符合安全标准。

那些把量子风险当成治理级别问题、并提前建设退出机制的 Layer-1,本质上是在押注自己的链会存续几十年。

相关推荐:安全通讯的未来:为何去中心化如今至关重要