當Diffie-Hellman遇上量子：為何以太坊的加密基礎正受到威脅

已經支撐數十年數字安全的密碼算法——包括Diffie-Hellman、RSA和ECDSA——正面臨生存威脅。在布宜諾斯艾利斯的Devconnect上，以太坊聯合創始人Vitalik Buterin毫不含糊地表示：能夠摧毀當前加密方案的量子電腦可能在四年內出現。根據Metaculus平台的預測，2030年前破解密碼學的量子系統概率約為20%，區塊鏈生態系正面臨前所未有的與時間賽跑。

這個威脅之所以格外嚴峻，不是空洞的假設，而是具體的數學現實。像Diffie-Hellman這樣的方案，支撐著除了區塊鏈之外的無數密碼系統，與用於保護比特幣和以太坊的橢圓曲線算法面臨相同的脆弱性。一旦出現足夠強大的量子處理器，保護私鑰的數學問題——離散對數方程，這些問題用經典計算機需要千年才能解決——就可能在幾個小時內被破解。

沒有人預料到的數學：Shor算法如何改變一切

要理解這個緊迫性，必須了解使經典密碼學成為可能的非對稱性。比特幣和以太坊依賴於使用secp256k1曲線的ECDSA（橢圓曲線數字簽名算法）。你的私鑰是一個大型隨機數。你的公鑰則是由該私鑰數學推導出來的橢圓曲線上的一個點。在傳統電腦上，這個單向轉換很簡單；反向——從公鑰推導私鑰——在計算上幾乎不可行。

這種數學上的單向性也延伸到Diffie-Hellman密鑰交換和RSA加密。這些系統的美妙之處在於它們的非對稱性：一個方向很容易，反向幾乎不可能。這種非對稱性就是安全的基礎。

1994年提出的Shor算法證明了一個令人不安的事實：一台足夠強大的量子電腦可以在多項式時間內解決這些“困難”問題——離散對數和因式分解，而非指數時間。突然間，這扇單向門就有了只有量子機器才能看到的隱藏出口。ECDSA、Diffie-Hellman和RSA都在這種攻擊下崩潰。

細節很重要。目前，你的私鑰仍然隱藏，因為鏈上只顯示你的公鑰的哈希值。但一旦你發起交易，你的公鑰就會暴露。一個未來的量子攻擊者，擁有足夠強大的處理器，可能在幾個小時甚至幾分鐘內就能從已暴露的公鑰計算出你的私鑰，而不是千年。你已經發送的每一筆交易都可能成為潛在的風險。

Google Willow：量子進展加速的信號

2024年12月，谷歌宣布了Willow，一款105量子比特的量子處理器，在不到五分鐘內完成了一個計算——這個任務用當今最強大的超級電腦大約需要10萬億年。更重要的是，Willow展示了“低於閾值”錯誤校正技術的突破，這是一個里程碑，通過增加量子比特數量來降低錯誤率，而不是放大錯誤。這是密碼學研究者追求了近三十年的一個突破。

然而，谷歌量子AI主管Hartmut Neven謹慎地澄清，Willow無法破解現代密碼學。破解256位橢圓曲線需要數千萬甚至上億個物理量子比特。與此相關的量子電腦在大多數預估中仍至少還有十年的距離——但IBM和谷歌的路線圖都瞄準2029-2030年實現容錯系統，正好與Buterin指出的時間窗口吻合。

趨勢一目了然。量子計算的進展比許多專家預測的還要快。基於Diffie-Hellman的系統、RSA和ECDSA都在倒計時中。

Vitalik的緊急應對方案：當不可能變為現實

在公開警告之前，Buterin已在Ethereum Research上發布了一份詳細的救援策略：“在量子緊急情況下如何硬分叉以挽救大多數用戶資金”。該方案假設即使採取所有預防措施，量子攻擊仍可能突破：

檢測與回滾：以太坊將回退到大規模盜竊變得明顯之前的區塊，基本上是逆轉量子攻擊者的破壞。

凍結傳統賬戶：使用ECDSA的傳統外部擁有賬戶（EOA）將被禁用，防止通過暴露的公鑰進一步盜竊。

遷移到抗量子錢包：一種新型交易類型將允許用戶通過零知識證明（如STARKs）證明對原始助記詞的控制權，然後遷移到使用後量子簽名方案的抗量子智能合約錢包。

這個緊急方案作為一種保險存在。但Buterin的真正觀點更為前瞻：必要的基礎設施——賬戶抽象、強大的零知識系統、標準化的後量子簽名——應該提前建立，而不是在危機中匆忙應對。

已經存在的解決方案

好消息是：後量子替代方案並非理論空談。2024年，國家標準與技術研究院（NIST）完成了首批三個後量子密碼標準：用於密鑰封裝的ML-KEM，以及用於數字簽名的ML-DSA和SLH-DSA。這些算法依賴晶格數學或哈希函數——這些問題尚未被證明能被量子電腦高效解決。

NIST和白宮預估，美國聯邦系統在2025至2035年間的遷移成本約為71億美元。而私營部門則行動更快。像Naoris Protocol這樣的項目正在構建原生整合後量子標準的去中心化安全基礎設施。該協議的測試網於一月上線，處理了超過1億次後量子安全交易，並實時應對了6億次威脅。其主網部署預計在本季度內完成，將推出一個“Sub-Zero Layer”，在現有區塊鏈之下運行——一個網狀網絡，讓每個設備都能實時驗證其他設備的安全狀況。

以太坊的技術清算

這次遷移不僅關乎用戶錢包。以太坊的協議在多個層面依賴橢圓曲線：BLS簽名、KZG承諾，以及一些rollup證明系統都依賴離散對數的困難性。一個全面的抗量子策略需要在所有這些層面找到替代方案。

賬戶抽象（ERC-4337）提供了一條路徑：通過將用戶從EOA轉移到可升級的智能合約錢包，可以在不強制用戶遷移新地址或觸發緊急硬分叉的情況下更換簽名方案。一些項目已經在以太坊上展示了使用Lamport或XMSS風格簽名的抗量子錢包的概念驗證。

但完整的轉型需要謹慎協調——太快可能引入更大的漏洞，太慢則會錯失遷移窗口。

懷疑論者：Back和Szabo的反駁

並非所有比特幣和以太坊的老兵都認同Buterin的時間表。Blockstream CEO、早期比特幣貢獻者Adam Back將量子風險描述為“還有幾十年”，並主張“穩步研究，而非匆忙或破壞性地改變協議”。他的擔憂很直觀：恐慌驅動的升級可能引入比量子威脅更危險的漏洞。

密碼學先驅、智能合約先驅Nick Szabo則認為量子威脅“最終不可避免”，但他強調法律、治理和社會風險更為緊迫。他用“琥珀中困住的蒼蠅”來比喻：每一個確認的區塊都使得擺脫交易變得越來越困難，即使對於強大的對手也是如此。在地質時間尺度上，量子電腦可能重要；但在下一個法律和地緣政治動盪的周期中，它們的重要性較低。

這些立場並不與Buterin的觀點矛盾；它們反映的是不同的時間範圍。普遍共識似乎是：現在就開始遷移——不是因為量子攻擊即將到來，而是因為要讓一個由數十億人組成的去中心化網絡完成轉型，需經歷多年協議演進、工具開發和用戶教育。

對從業者的建議：今天應該做什麼

對交易者來說，信息很簡單：繼續正常操作，同時保持對協議升級和錢包安全功能的關注。

對長期持有者來說，重點明確：選擇積極準備後量子未來的平台和協議。以下原則有助於降低風險：

選擇可升級的托管方案：偏好能在不更換地址的情況下遷移到新簽名方案的錢包和托管安排。

減少地址重用：每次用一個地址發送交易都會暴露你的公鑰。越少重用地址，未來量子攻擊者能針對的公鑰就越少。

關注以太坊的遷移進展：監控以太坊後量子簽名方案的路線圖，待成熟工具推出時及時遷移。

80%與20%的概率計算

2030年前20%的概率既是警示，也代表80%的概率量子電腦在此期間不會構成密碼學威脅。然而，在一個價值3萬億美元的資產體系中，即使只有20%的尾部風險，嚴肅對待安全失敗仍然是必要的。

Buterin的最後一句話抓住了正確的精神：將量子風險視作結構工程師對待地震和洪水的態度。它不太可能在今年摧毀你的房子，但在足夠長的時間範圍內，概率變得不可忽視——謹慎起見，你應該提前打好基礎。那些今天就做好準備的協議和錢包，將在量子密碼分析從理論威脅轉變為現實時，成為最具競爭力的選擇。