就在上週,Google Quantum AI 團隊發表了一篇重磅論文,指出在超導架構、特定糾錯與硬體假設下,未來量子電腦可利用少於 50 萬個實體量子位元,在數分鐘內破解目前加密貨幣及區塊鏈廣泛採用的 256 位元橢圓曲線密碼(ECDLP-256),所需量子位元數量較此前預估減少約 20 倍。
這直接指向比特幣、以太坊等幾乎所有主流公鏈簽名方案的核心 ECDSA。消息一出,「量子電腦要破解比特幣私鑰」的說法便開始在網路上不脛而走。
事實上,我們有必要先冷靜下來,把這件事說清楚——威脅是真實的,但它距離「明天你的錢包就不安全」還非常遙遠。
更重要的是,整個產業其實早就開始行動了。
一、量子計算到底在威脅什麼?
要理解這個問題,我們先從最基礎的地方說起,也就是你的 Crypto 資產,到底是怎麼被保護的?
眾所周知,在比特幣或以太坊上,每個帳戶背後都有一對金鑰:私鑰和公鑰。其中,私鑰是一串隨機生成的大數,極度機密,相當於你保險箱的密碼;公鑰則由私鑰透過橢圓曲線乘法運算推導而來,而你的錢包地址,則是公鑰再經過雜湊函數壓縮後得到的字串。
這套體系的安全基礎,恰恰就在於這個過程是單向的。
說到底,從私鑰算出公鑰很容易,但從公鑰反推出私鑰,在傳統電腦上所需耗費的時間遠超宇宙年齡,這也是「橢圓曲線離散對數難題」(ECDLP)的本質——正向計算簡單,逆向破解幾乎不可能。
但量子電腦打破了這個假設,它能在多項式時間內解決整數分解與離散對數問題。換句話說,一台足夠強大的量子電腦,理論上可以從你的公鑰反推出私鑰。
那問題來了,公鑰什麼時候會暴露?
你每次向區塊鏈發起一筆交易,都需要用私鑰對交易資料進行簽名,同時廣播你的公鑰以供驗證,這意味著只要你發過交易,你的公鑰就已經公開在鏈上了。
Google 這篇論文的意義,正是將「從公鑰破解私鑰」這件事,從理論上可行但近乎荒誕,推進到量子硬體路線圖上可以規劃的目標。譬如,根據論文估算,破解 256 位元 ECDLP 大約需要 50 萬個實體量子位元的容錯量子電腦,比之前預估大幅降低。
歸根結底,量子計算並不是在破解區塊鏈,它首先瞄準的,是區塊鏈中仍建立在橢圓曲線離散對數難題之上的簽名體系。
所以,威脅是真實存在的,但嚴格來說,「迫在眉睫」這個說法並不準確,業界主流估計給出的時間窗口,最快仍在 2030 年前後(延伸閱讀《原生帳戶抽象 + 抗量子威脅:EIP-8141 為何還沒成為以太坊 Hegotá 的頭牌?》)。
二、各條公鏈在做什麼準備?
當然,客觀而言,這裡有一個關鍵差別,很多報導都沒有說清楚,那就是很多比特幣地址並不會一開始就直接把公鑰暴露在鏈上。
以 P2PKH、P2WPKH 這類常見形式為例,地址本身通常只是公鑰的雜湊值,公鑰往往要等到「第一次花費」時才會暴露。這就意味著,如果你的地址從未發出過交易,鏈上只有你的錢包地址,並沒有公鑰。
因此,量子計算最直接的攻擊面,更多偏向於那些已經發過交易的地址公鑰。當然,這個細節也直接引出了使用者層面現在能做的第一件事,我們稍後再談。
產業並非沒有意識到這個問題,事實上,後量子密碼遷移的準備工作,已經在多條戰線同步推進。
以太坊的應對思路,是把帳戶層與簽名方案解耦。譬如 EIP-7702 和帳戶抽象(AA)的推進,讓以太坊帳戶可以透過智慧合約邏輯來定義什麼叫合法簽名。這意味著,未來某一天當後量子簽名方案被引入時,不需要重寫協議底層,只需要更換帳戶的簽名驗證模組。
更進一步,以太坊基金會密碼學研究員 Antonio Sanso 在 EthCC9 大會上也更新了以太坊抗量子安全的最新進展,指出量子電腦可能會在 2030 年代中期對 ECDSA 簽名演算法構成實際威脅。以太坊目前已完成約 20% 的抗量子準備工作,並計畫在 2028 年至 2032 年間,透過 Lean Ethereum 升級實現全面量子抗性。
不過,目前面臨的主要技術挑戰是簽名體積問題。像最輕量級的後量子簽名演算法 Falcon,其簽名大小仍是 ECDSA 的 10 倍以上,若直接在 Solidity 中驗證 lattice-based 簽名,Gas 成本極高。因此,研究團隊確立了兩條核心技術路徑:
- 一是透過帳戶抽象,允許使用者將錢包簽名演算法升級為抗量子方案,無需修改底層協議;
- 二是引入 LeanVM 處理複雜雜湊運算,並結合零知識證明驗證地址助記詞所有權,保障遷移過程中的資產安全;
Antonio 表示,將自 2026 年 2 月起主持雙週 ACD 後量子專項會議,目前 Lighthouse 和 Grandine 等共識客戶端已上線實驗性後量子測試網。
除此之外,比特幣社群的風格則明顯更保守。最近進入 BIPs 倉庫的 BIP360 提出了一種新的輸出類型 P2MR(Pay-to-Merkle-Root),它的設計目標之一,就是去掉 Taproot 中量子脆弱的 key-path spend,為未來可能的後量子簽名遷移預留更友善的結構。
當然,一項提案進入 BIPs 倉庫,並不代表它已經形成社群共識,更不意味著即將被採用。因此只能說,比特幣社群內部已經開始圍繞量子暴露面與潛在輸出類型變化,展開更具體的提案討論,這也很符合比特幣一貫的風格,都是先把問題界定清楚,再非常緩慢地形成共識。
值得注意的是,早在 2024 年,美國國家標準與技術研究院(NIST)就已正式發布三項後量子密碼標準,這意味著區塊鏈生態已經有了明確的遷移目標,不再需要等待「哪個演算法更好」這類討論收斂,工程實作其實早就開始了。
三、普通使用者應該怎麼做?
雖然量子電腦的威脅是多年以後的事,但以後的事不代表現在就不用管,有些好習慣,今天養成,代價幾乎為零。
首先就是避免地址重複使用,這也是最直接、最有效的自我保護措施。
原因也正如上文所說——如果你是比特幣等 UTXO 鏈使用者,每次發起交易,你的公鑰就會暴露在鏈上。那如果你每次都使用同一個地址,公鑰長期公開,一旦量子算力成熟,攻擊者就能從容地從你的公鑰反推出私鑰。
目前像 imToken 等主流錢包都已預設提供 HD 錢包功能。好的習慣是每次轉帳都使用新地址收款,不要把一個地址當成永久身分標識反覆使用;而對於那些從未發出過交易的地址,由於公鑰從未暴露,目前的量子威脅幾乎不適用。
其次是關注錢包的後量子升級路線。
如果你主要使用的是以太坊等帳戶模型鏈,那麼重點就不是機械式地不斷更換新地址,而是關注你所使用的錢包和所處公鏈,未來是否提供明確的遷移路徑。
因為對帳戶模型鏈來說,量子時代更大的問題往往不是單次暴露,而是活躍帳戶、公鑰歷史、鏈上身分與應用權限的長期綁定。一旦未來真的進入遷移窗口,誰的帳戶更可升級、誰的錢包能更平滑地替換簽名邏輯,誰就更安全。
最後,從人性的角度也可以預見,隨著話題熱度上升,市面上會出現越來越多聲稱「量子安全」的錢包或協議,我們必須警惕這些打著「量子安全」旗號的錢包、協議和基礎設施產品。
面對這類說法,最該問的不是宣傳文案,而是三個更硬的問題:
- 它依賴的演算法是不是 NIST 已定稿的標準?
- 它的安全性有沒有經過獨立審計和充分的實作驗證?
- 它宣稱的量子安全,到底是鏈級遷移、帳戶級升級,還是只是應用層包裝?
畢竟真正的後量子安全,最終要覆蓋的不只是一個 App 的標籤,而是從簽名、驗證到鏈上相容性的整條路徑。
總的來看,量子計算對區塊鏈的威脅是真實存在的,Google 這份最新白皮書的重要性,也確實在於它把威脅從遙遠理論往可規劃風險推近了一步。
但這仍然不是「明天錢包就會被攻破」的訊號,更準確的理解應該是:後量子遷移已不再只是一個屬於學術圈的話題,而是會在未來多年逐步進入協議升級、錢包設計與使用者資產管理的現實問題。
寫在最後
對產業來說,接下來真正重要的,不是誰先喊出量子來了,而是誰能先把遷移路徑設計清楚。
對使用者來說,也不是現在就要陷入恐慌,而是先把最基本的風險認知建立起來:哪些資產先暴露、哪些操作會放大暴露面、哪些錢包與公鏈更有可能在未來提供平滑升級。
我們需要的,是及早行動,而不是過度焦慮。
與大家共勉。