IOSG:量子计算冲击的是区块链底层安全结构
IOSG 在一篇由 0xjacobzhao 撰写的文章中表示,量子计算常被视为悬在区块链头顶的风险,但它并不是会让链瞬间停摆的“末日魔法”。真正被推到极限的是区块链的三项底层结构:账本永久公开、资产转移不可逆、私钥自管。
文章设想,若未来某个时间点,早期沉睡多年的 BTC 地址突然开始转移资产,而链上并未出现黑客入侵或私钥泄露迹象,只出现“合法”签名,市场才会意识到,某个具备量子算力的实体可能已经能从历史上暴露的公钥中逆推出私钥。作者认为,这类情景会把整个 Web3 生态拖入密码学重构与治理博弈。
文章称,随着容错量子计算机(CRQC)曙光初现,行业真正面对的是如何在 Q-Day 到来前完成迁移。文中给出的判断是,所谓“工程舒适窗口”只剩 5 至 8 年。
量子计算的价值与风险并存
文中将量子计算定义为一种基于量子力学原理的新型计算范式,以量子比特作为信息载体,依靠叠加、纠缠、干涉和测量来获得经典计算难以实现的效率。作者列举了两类核心算法。
- Shor 算法:1994 年提出,可直接打击大整数分解与离散对数问题,被视为 RSA、ECC 等公钥密码体系的核心威胁。
- Grover 算法:1996 年提出,不能直接摧毁密码结构,但能把暴力搜索速度提升到平方根级别,使对称加密安全边际下降。
文章指出,Shor 算法对区块链的威胁更直接,因为主流公链大量依赖椭圆曲线签名体系;Grover 算法的风险相对可控,通常可通过拉长密钥或增加哈希输出长度来恢复安全边际。
在正向应用上,量子计算被认为主要对应两类场景:量子化学、药物研发、新材料和能源等复杂量子体系模拟,以及物流、金融、供应链、芯片设计和工业调度等高复杂度优化问题。作者认为,量子模拟是确定性更高的长期应用方向,复杂优化仍处于探索阶段。
Q-Day 不是具体日期,但迁移不能等到那一天
文章把 Q-Day 定义为量子计算机首次具备实际破解主流公钥密码能力的时间点。它不是确定日期,而是受硬件进展、纠错能力、算法优化和国家项目保密性共同影响的概率区间。
按文中说法,当前主流预期大致集中在 2035 至 2045 年;较快情景可能提前到 2030 至 2035 年;2030 年前则属于低概率尾部风险。
作者还引用 Mosca 不等式 X + Y > Z 来说明迁移紧迫性:其中 X 是数据需要保密的时间,Y 是完成密码迁移所需时间,Z 是距离 Q-Day 的剩余时间。只要 X 与 Y 之和超过 Z,系统就已经落入迁移滞后区间。文章据此指出,抗量子安全不是 Q-Day 之后的应急工程,而是需要提前启动的长期基础设施迁移。
后量子密码学已成主线,NIST 已发布三项核心标准
文章称,后量子密码学(PQC)是当前全球数字基础设施最现实、最具规模化部署潜力的抗量子迁移路线。其核心特点是仍运行在经典计算架构上,但建立在量子计算机也难以高效求解的数学难题之上。
在主流技术路径上,文中将基于格的密码学和基于哈希的签名列为核心方向:
- 基于格的密码学以高维格难题为基础,代表算法为 ML-KEM 与 ML-DSA。
- 基于哈希的签名以哈希函数抗碰撞性为基础,代表标准为 SLH-DSA。
其他路线中,文章提到基于编码的 HQC 已于 2025 年 3 月被美国国家标准与技术研究院(NIST)选为第五个 PQC 算法,作为 ML-KEM 的非格基备份,草案标准预计 2026 年发布,正式标准预计 2027 年发布。多变量与同源密码学则未进入 NIST 首批标准化主线,其中 SIKE 曾被攻破。
标准化进展方面,作者提到 NIST 已在 2024 年 8 月正式发布三项核心标准:
- FIPS 203:ML-KEM
- FIPS 204:ML-DSA
- FIPS 205:SLH-DSA
文章还将产业落地框架概括为三层:混合部署、密码敏捷性以及辅助增强技术。后者包括量子密钥分发(QKD)、量子随机数生成(QRNG)以及 HSM、Secure Enclave 等硬件安全模块。
区块链不是最先被打击的对象,但最能暴露问题
在 IOSG 看来,区块链不是量子威胁的首要目标,却是最有研究价值的压力测试场景。原因在于,Web2 体系通常还能依靠证书轮换、账户冻结等中心化手段缓冲风险,而区块链会把底层密码学问题直接转化为资产损失与治理僵局。
文章把这种脆弱性归结为“三重不可逆”:账本永久公开、资产转移不可逆、私钥自管。一旦主流公链使用的椭圆曲线或 BLS 签名体系遭到 Shor 算法结构性打击,攻击者就可能从链上已暴露公钥推导私钥并伪造签名。
作者认为,量子威胁会沿“资产、协议、基础设施、应用、治理”五层架构逐级传导,其中高价值基础设施层,如交易所、托管方和跨链桥,可能先于 L1 主网协议承压。决定迁移成败的关键,也不是单个密码算法能否替换,而是全生态能否完成协调。
比特币风险取决于公钥是否已经暴露
文章指出,比特币的量子风险并不均匀分布在全部 BTC 上,而是主要取决于公钥是否已经在链上暴露。真正高风险的对象,是早期遗留输出、已暴露公钥且仍有余额的地址,以及长期休眠的高价值 UTXO。
按文中划分:
- 高风险:公钥已静态暴露的 UTXO,包括早期 P2PK、Taproot(P2TR)输出,以及已花费且复用、仍持有余额的 P2PKH/P2WPKH 地址。
- 中风险:公钥尚未暴露但未来会暴露的 UTXO,如未花费且未复用的 P2PKH/P2WPKH 地址,风险主要出现在交易广播到确认之间的短暂窗口。
- 低风险:未来迁移到量子安全地址的资产。
文章同时指出,比特币哈希组件 SHA-256、SHA256d 与 RIPEMD-160 主要承受的是 Grover 算法带来的安全边际下降,而不是像 ECDSA、Schnorr 那样遭遇 Shor 算法的结构性击穿。
比特币迁移难点不只在技术,还在治理
文章认为,比特币更现实的路径是通过软分叉引入新的量子安全输出类型,而不是一次性硬分叉淘汰 ECDSA 或 Schnorr。文中提到 BIP-360、P2MR 等草案方向,但称距离全网共识和激活仍有很长距离。
工程层面的难题之一,是签名体积明显膨胀。作者给出的对比是,现行 ECDSA 或 Schnorr 签名约为 64 至 72 字节,而候选 ML-DSA 为 2.4 至 4.6 KB,SLH-DSA 为 7 至 49 KB。文章称,这会直接推高区块权重和手续费,加剧节点存储与带宽负担,也会影响 UTXO 集和钱包体验。
更大的障碍在治理。即便量子安全地址成功上线,如何处理长期不迁移的遗留 UTXO,尤其是市场通常认为属于中本聪时代的长期休眠 BTC,仍然是终极难题。文章列出两种极端路径:
- 无所作为:这些遗留币可能成为首个拥有 CRQC 能力攻击者的目标。
- 强制冻结或作废:会直接触碰“Not your keys, not your coins”的产权原则和不可篡改叙事。
文中将更务实的中间路径概括为“遗留落日”机制,即通过多年期弃用警告、逐步增加旧输出花费的中继摩擦,最终在多方协调下通过软分叉施加限制,并提到 BIP-361 一类 legacy signature sunset 讨论。
文章据此认为,比特币的核心瓶颈不是缺少 PQ 算法,而是围绕不可篡改性、财产权以及“宣布资产为量子不安全”的合法性所展开的社会共识问题。
以太坊走向全栈抗量子迁移
相较于比特币,以太坊在文中被描述为正通过更主动的方式应对量子风险。以太坊基金会(EF)Post-Quantum 团队正通过 All Core Devs 等开放治理流程推进相关研究,重点不是一次性押注单一算法,而是提升网络的密码敏捷性。
文章认为,以太坊的量子风险主要集中在四类密码学组件:EOA 账户使用的 ECDSA/secp256k1、验证者共识中的 BLS 签名、数据可用性中的 KZG 承诺,以及部分 ZK 证明系统。
围绕这些问题,EF 设计了沿执行、共识和数据三条轨道并行推进的“Lean”路线图:
- 执行层:依靠账户抽象,如 ERC-4337 与 EIP-7702,为智能合约钱包提供签名敏捷性,并把 L2 作为 PQ 部署试验场。
- 共识层:提出用基于哈希的 leanXMSS 结合极简 zkVM 的 leanVM,对 BLS 签名进行替换。文章称 leanVM 预计可将庞大的哈希签名数据压缩约 250 倍。
- 数据层:对 Blob、DA 与 KZG 涉及的底层承诺体系做长期重构,方向是转向更适合后量子环境的 STARK 或基于格的承诺方案。
作者还指出,以太坊量子风险同样不是平均分布,EOA 是最大的价值池,交易所、桥、托管热钱包、治理或升级 key、L2 sequencer 和 admin key 等高价值 operational keys 可能先承受压力。
其他公链与原生 PQ 链被视为补充样本
文章称,所有依赖传统公钥密码学的公链理论上都面临量子风险,但真正构成系统性抗量子迁移命题的主要仍是 Bitcoin 与 Ethereum。其他网络更多提供技术路径或风险场景参照。
其中,Solana 被用来代表高吞吐链对 PQ 签名验证成本的工程探索,社区已有 Falcon-512、FN-DSA 验证 syscall 的讨论,但文章强调,这仍属于探索性补充,不替代现有 Ed25519,也不意味着 Solana 已形成官方迁移路线。
Starknet 与 STARK 则被视为更偏向 hash-based proof system 的后量子 ZK 方向,不过作者同时指出,这并不等于整个 Starknet 网络已经量子安全,钱包签名、哈希参数、桥接机制与 Ethereum L1 settlement 仍需同步迁移。
QRL、Quantus、Abelian 等原生或准原生 PQ 链,则被文中视作“从第一天构建抗量子链”的技术样本,但网络效应、流动性与应用生态仍弱于 BTC 与 ETH。
作者判断:Q-Day 之前,市场可能已开始重定价
在结尾部分,文章强调,量子计算不会终结区块链,但会对现代公钥密码体系形成系统性重置。真正的关键不是后量子算法是否存在,而是 Web3 能否在 Q-Day 前完成从 BIP、EIP 提案,到节点实现、钱包适配,再到交易所和托管机构合规升级的全链路迁移。
作者认为,尽管宏观准备期可能长达 5 至 15 年,但真正从容的工程窗口只有 5 至 8 年。市场对区块链资产密码学安全模型的重定价,也可能早于 Q-Day 本身发生,例如量子资源估算继续下修、硬件路线图显著提前,或者监管机构与大型托管方率先提出 PQC 合规要求。
文章把两大核心生态面临的考验概括为两类:比特币主要面对社会共识与财产权治理,以太坊主要面对多层协议与全栈生态的工程复杂度。就 BTC 而言,作者认为后量子治理摩擦构成“结构性尾部风险”,但并不是当下看空的理由。

