超越理论：肖尔算法如何将量子风险转变为紧迫行动

Vitalik Buterin 在布宜诺斯艾利斯的 Devconnect 上直言不讳。虽然大多数区块链开发者仍将量子计算视为遥远的科幻问题，但他传达了一个严峻的信息：保障比特币和以太坊的椭圆曲线面临着真实且可量化的威胁。这一警告的核心是一种根本改变局势的算法：Shor 算法，这是一种针对多年来在数学上似乎无法解决的密码学问题的量子解法。

数学分析令人警醒。根据 Buterin 引用的 Metaculus 平台预测，2030 年之前存在大约 20% 的概率会出现能够破解当前密码学的量子计算机——中位数估计则更接近 2040 年。这些都不是恐慌性猜测，而是研究界的共识预测。正如 Buterin 所说：“量子计算机今天还不能破解加密货币，但行业必须在量子攻击变得实际可行之前，开始采用后量子密码学。”

Shor 算法：从理论威胁到实际风险

理解为何区块链领导者突然从谨慎关注转向积极应对，关键在于理解 Shor 算法的实际作用。该算法由数学家 Peter Shor 于 1994 年提出，证明了只要量子计算机足够强大，就可以在多项式时间内解决离散对数问题——以及相关的因式分解问题。

这个技术术语意义重大。如今的 ECDSA（椭圆曲线数字签名算法）被认为是安全的，因为经典计算机需要指数级时间才能逆向数学关系。而 Shor 算法则打破了这种保护。它将看似密码学上不可能的问题转变为可计算的问题，但前提是硬件必须是量子计算机。

对于比特币和以太坊这两个都依赖 secp256k1 椭圆曲线的系统，影响是直接的：一旦 Shor 算法在强大硬件上运行，所有权的数学基础就会崩溃。你当前由数学不对称性保护的私钥，将可以从你的公钥中推导出来——让每个暴露的地址都成为潜在目标。

无人愿意面对的时间表：2030 年前 20% 的概率

在 Devconnect 上，Buterin 以一个具体的声明加强了他的立场，将讨论从理论层面拉回现实：“研究表明，在 2028 年美国总统大选之前，量子攻击 256 位椭圆曲线的可能性就会变得可行。”也就是说，距离今天不到两年。

Buterin 引用的 20% 概率在 3 万亿美元的市场中并不微不足道。即使是低概率的灾难性风险，也需要严肃的工程应对。他将其比作工程师设计建筑：地震可能今年不太可能发生，但从长远来看，其概率足够高，值得提前规划基础结构。

一个关键的细节影响时间表。如果你从未动用过某个地址的资金，区块链上只会显示你的公钥哈希——这仍然是抗量子的形式。但一旦你发起交易，你未哈希的公钥就会在链上暴露。这一区别极为重要：意味着所有休眠地址可以更长时间保持安全，但一旦 Shor 算法上线，活跃账户的时间就变得紧迫。

为什么 ECDSA 在遇到 Shor 算法时会崩溃

漏洞集中在不对称性。在你的钱包中：

• 私钥是一个大随机数
• 公钥是由私钥数学推导出的椭圆曲线上的一点
• 地址是公钥的哈希

在经典硬件上，从私钥推导公钥是轻而易举的。反向——从公钥恢复私钥——由于离散对数问题的数学结构，几乎不可能。这种单向不对称性使得 256 位密钥几乎无法猜测。

Shor 算法可以破解这种不对称性。通过在多项式时间内解决离散对数方程，它将经典计算机需要数万亿年才能完成的任务缩短到小时或分钟——前提是拥有足够的量子比特。

这个算法并不新鲜。变化的是工程技术的进步，使其变得实际可行。

量子计算加速：谷歌 Willow 和倒计时

Buterin 的紧迫感反映了量子硬件的真正加速。2024 年 12 月，谷歌宣布了 Willow 处理器——拥有 105 个超导量子比特，在不到五分钟内完成了一项计算任务，而这项任务用当今最快的超级计算机大约需要 10 万亿年。

更重要的是：Willow 展示了“低于阈值”的量子误差校正技术，通过增加量子比特数，误差率反而降低，而不是叠加。这代表了几十年来的研究目标终于实现，暗示从现有系统到实用量子计算机的路径上已经有了具体的里程碑。

然而，谷歌量子 AI 主管 Hartmut Neven 提供了重要背景：目前 Willow 还不能破解现代密码学。破解 RSA 级别的安全需要数百万个物理量子比特——远远超出当前能力。学术界普遍认为，要在一小时内破解 256 位椭圆曲线密码学，可能需要数千万甚至上亿个物理量子比特。

不过，IBM 和谷歌的公开路线图都指向 2029-2030 年实现容错量子计算机。数学上的时间窗口与量子硬件的发展时间线已开始重叠。

以太坊的最后防线：硬分叉方案

在这些公开警告之前，Buterin 已经提出以太坊的应急方案。2024 年一篇关于以太坊研究的文章概述了“在量子紧急情况下，如何硬分叉以挽救大部分用户资金”——如果量子突破让生态系统措手不及，这是一种应急措施。

该方案分为几个阶段：

1. 检测与回滚：以太坊会将区块链回退到大规模量子攻击变得明显之前的最后一个区块，基本上重置过去被盗的交易。
2. 冻结易受攻击账户：对使用 ECDSA 的传统外部拥有账户（EOA）进行冻结，阻断通过暴露的公钥进行的进一步攻击。
3. 升级到抗量子钱包：引入新型交易类型，让用户通过 STARK 零知识证明证明自己控制了原始种子，然后迁移到抗量子智能合约钱包。

这是一种最后的救援工具，而非首选路径。Buterin 更强调的是现在就要构建基础设施——账户抽象、强大的零知识系统、标准化的后量子签名方案——而不是在危机中仓促应对。

构建后量子基础设施：还未为时已晚

令人振奋的是：解决方案已经存在。2024 年，NIST 完成了首批三种标准化的后量子密码算法：

• ML-KEM 用于密钥封装
• ML-DSA 和 SLH-DSA 用于数字签名

这些算法基于格数学或哈希函数，具有抗 Shor 算法攻击的数学基础。美国白宫和 NIST 在 2024 年发布的报告估算，2025 至 2035 年间，迁移美国联邦系统到后量子密码学的成本约为 71 亿美元。

在区块链方面，多个项目正在推动转型。Naoris Protocol 正在开发本地集成符合 NIST 标准的去中心化网络安全基础设施。该协议在 2025 年 9 月提交给美国证券交易委员会（SEC）时被引用为抗量子区块链基础设施的示范模型。

Naoris 采用一种名为 dPoSec（去中心化安全证明）的机制：每个网络设备都成为验证节点，实时验证其他设备的安全状态。结合后量子密码学，这种去中心化的网络结构消除了传统安全架构中的单点故障。据 Naoris 发布的数据，其测试网已处理超过 1 亿笔后量子安全交易，并实时缓解了超过 6 亿次威胁。主网预计在 2026 年初上线。

账户抽象与抗量子钱包：未来之路

多条基础设施路径正逐步融合到协议和钱包层面。账户抽象（ERC-4337）允许用户从外部拥有账户迁移到可升级的智能合约钱包，无需紧急硬分叉或地址变更即可切换签名方案。

一些项目已在以太坊上展示了 Lamport 或 XMSS 风格的抗量子钱包——概念验证系统，证明技术上存在升级路径。然而，椭圆曲线不仅仅关乎用户密钥。BLS 签名、KZG 承诺以及某些 rollup 证明系统也依赖离散对数的难题。全面的抗量子路线图需要同时提供这些组件的替代方案。

基础设施的挑战不在于密码学创新——数学原理已然成立——而在于在去中心化网络中协调部署。这需要现在就开始行动，远早于危机条件逼迫仓促实施。

谨慎声音：时间点与风险评估的差异

并非所有专家都认同 Buterin 的紧迫感。Blockstream CEO、比特币先驱 Adam Back 将量子威胁描述为“数十年之后”，并主张“稳步研究，而非仓促或破坏性协议变更”。他的核心担忧是：恐慌驱动的升级可能引入比量子威胁本身更危险的实现漏洞。

密码学家兼智能合约理论家 Nick Szabo 认为量子风险“终究不可避免”，但更关注当前的法律、治理和社会威胁。他用“琥珀”作为比喻：随着交易块的积累，攻击者篡改交易的能力——即使拥有假设的量子计算机——也会逐渐受限。经济和密码学的历史为其提供了深层保护。

这些观点并不与 Buterin 的看法冲突；它们反映了不同的时间视角和风险模型。新兴的共识是：应当现在就开始迁移，正是因为将去中心化网络迁移到新基础设施需要数年时间——即使攻击窗口还很遥远。

在量子未到来之前保护你的资产

对于加密货币持有者，实际的建议根据时间跨度不同而不同：

活跃交易者：继续正常操作，同时关注协议升级动态。一旦出现成熟的后量子工具，准备好迁移。

长期持有者：优先考虑那些积极准备抗量子方案的平台和协议。选择能够升级密码学的钱包和托管方案，而无需迁移到新地址。

减少风险的最佳实践：

• 避免地址重复使用：链上暴露的公钥越少，Shor 算法变得实际可行时的目标也越少
• 使用可升级的钱包：提供密码学灵活性的智能合约钱包比固定的 EOA 设计更具弹性
• 关注以太坊的路线图：跟踪协议的后量子签名标准化进程

2030 年前 20% 的概率意味着，80% 的可能性量子计算机在此之前不会威胁到加密货币安全。但在市值数万亿的市场中，即使只有 20% 的灾难性安全失败风险，也值得提前做好准备。

Buterin 的总结很好地把握了平衡：将量子风险视作工程师应对自然灾害的方式。不太可能今年就毁掉你的房子，但从长远来看，其概率足够高，提前设计基础结构是合理的。不同的是，对于区块链基础设施，我们仍有时间去设计这些基础——只要现在就开始行动，避免 Shor 算法从理论威胁变成现实威胁。