跳到主要内容

Vitalik 的量子警钟:为什么以太坊最大的威胁不是竞争对手 —— 而是计算机

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 4 月 20 日,Vitalik Buterin 走上香港会议展览中心的舞台,参加年度 Web3 嘉年华,并发表了他职业生涯中技术针对性最强的主旨演讲之一。大多数媒体的头条都集中在他对克隆链 L2 的直言不讳的否定上。但在演讲中——以及在此前数月的潜心研究和基金会公告中——隐藏着一个影响深远的信息:量子计算已经从理论关注转变为 Ethereum(以太坊)的活跃工程优先级,而且准备窗口期比业界预想的要短。

这就是这个故事的背景:为什么这很重要,Ethereum 正在构建什么来应对它,以及这对当今链上构建的每个协议、钱包和开发人员意味着什么。

“如果你只是简单地复制 Ethereum,那是毫无意义的”

要理解量子讨论,你首先需要理解 Vitalik 设定的框架。他首先清晰地阐述了 Ethereum 的身份:它不是一个在每秒交易数(TPS)基准上竞争的支付网络,而是一台 世界计算机——一个全球共享的可验证数据和自主数字资产层,在这里,安全权掌握在用户而非平台手中。

从这个框架出发,对模仿型 L2 的批评也就顺理成章了。“如果你只是简单地复制 Ethereum,将其规模扩大 100 倍,使其更加中心化,仅此而已——那是毫无意义的,”Vitalik 说。一个有价值的 L2 应该解决特定的应用需求,并开发 Ethereum L1 刻意留白的链下组件。原始吞吐量是一种商品;而可验证性的保证则不是。

同样的逻辑也适用于抗量子性。如果支撑账户安全的密码学原语可以被破解,那么 Ethereum 的整个价值主张——“世界计算机” 论点——就会崩溃。一个被量子攻破的 Ethereum 就不再是 Ethereum 了。

改变时间线的 Google 论文

多年来,业界一直将量子计算视为一个 15 到 20 年后的担忧。在 2026 年 3 月,Google Quantum AI 发表了一篇重新校准威胁模型的论文,这一舒适的期限被大幅缩短。

论文发现,破解 256 位椭圆曲线加密(Ethereum 用于账户所有权的签名方案)可以通过少于 1,200 个逻辑量子比特 和大约 9,000 万个托福里门(Toffoli gates)实现。这与之前的估计相比,物理量子比特的需求减少了约 20 倍。转化到硬件层面,Google 和 Cloudflare 已将他们的量子威胁截止日期提前到了 2029 年

准确地说:目前还没有能够做到这一点的量子计算机。但错误修正和量子比特质量改进的轨迹意味着,2029 年不再是一个遥远的幻想——而是一个工程期限。

Google 的披露配有负责任的披露机制:一个零知识证明框架,允许验证和讨论该漏洞,而无需提供分步攻击路线图。这种谨慎的处理方式表明研究界对此非常重视。加密货币行业也应该如此。

“抗量子 Ethereum” 究竟意味着什么

Ethereum 的安全性取决于量子计算机威胁到的两个密码学支柱:

  1. ECDSA 签名 —— 由每个外部拥有账户 (EOA) 用于授权交易。在足够强大的量子计算机上运行的 Shor 算法可以从已知的公钥推导出私钥。
  2. BLS 签名 —— 由信标链共识中的验证者使用。属于同一类漏洞。

目前已知的量子算法无法破解哈希函数(SHA-256、Keccak)或零知识证明系统(基于哈希承诺的 SNARKs、STARKs)。紧迫的问题在于签名。

leanXMSS + leanVM 方案

Ethereum 研究社区已达成共识,将 leanXMSS 作为抗量子验证者签名的首选方案。XMSS(扩展梅克尔签名方案)建立在哈希函数而非椭圆曲线之上——Grover 算法会削弱这种结构,但无法破解(通过加倍有效安全参数可以进行补偿)。

问题在于:抗量子签名的体积明显大于 ECDSA 签名。天真地部署会导致区块大小和网络带宽激增。解决方案是 leanVM,这是一个极简的零知识虚拟机,它可以聚合许多抗量子签名并以约 250 倍的比例 进行压缩。这能确保网络在过渡后依然快速——更大签名的开销由聚合证明吸收,而不是在点对点网络层中传播。

对于用户账户,建议的路径是 EIP-8141(正考虑用于 2026 年下半年的 Hegotá 硬分叉)。该提案扩展了账户抽象,允许个人 EOA 选择加入自定义签名验证方案——包括抗量子替代方案——而无需等待单一的协议级迁移。换句话说,用户和钱包可以开始独立、渐进地迁移到后量子安全,而不会破坏任何现有功能。

以太坊基金会的专项团队

2026 年 1 月,以太坊基金会正式组建了专门的后量子安全团队 (Post-Quantum Security team) —— 由研究人员和客户端工程师组成,专注于在所有主要客户端实现中推进这一转型。这不是一个实验室里的研究项目;而是一个协调各方准备生产代码的跨团队协作机构。

结构化的分叉里程碑目标是在 2029 年左右完成核心后量子基础设施的建设 —— 并非巧合,Google 和 Cloudflare 也将这一年标定为潜在的量子能力阈值。

zkEVM 的关联

抗量子性和 zkEVM 并不是孤立的路线图项目 —— 它们深度交织在一起。Vitalik 在香港概述了两个扩展目标:提高 Gas 上限和广泛推广 zkEVM

zkEVM 让以太坊能够高效地验证复杂的计算。它还为如何在大规模环境下处理后量子转型提供了一个模型:不再是让每个节点重新验证每个量子安全签名,而是通过聚合证明(如 leanVM)来处理压缩。为扩展而构建的 zkEVM 基础设施,正是使后量子转型在计算上变得可行的基础架构。

这种融合是以太坊架构一致性的一个重要信号。现在为 Rollup 证明所做的艰苦工作在后量子世界中并不会浪费 —— 它是必不可少的前提条件。

与其他链的对比

以太坊并不是唯一面临这一转型的链,但可以说它是考虑最周详的:

  • 比特币 (Bitcoin):没有原生的账户抽象,也没有正式的、具备生产时间线的后量子工作组。从未发布过公钥的 P2PKH 地址保留了一定的保护(哈希函数原像抗性)。但任何签署过交易的地址,其公钥都已在链上公开。
  • Ripple / XRP Ledger:在 Vitalik 发表香港演讲几天后的 2026 年 4 月发布了抗量子路线图,声称 XRPL 处于领先地位。他们的方法涉及可选的量子安全地址类型,概念上类似于以太坊的 EIP-8141 选择性路径,但尚处于早期阶段。
  • Solana:截至 2026 年中期,尚未发布后量子路线图。该链的验证者集和账户模型使用了类似的椭圆曲线构造。

诚实的评估是:每个使用 ECDSA 或类似基于椭圆曲线签名的主流区块链都面临着相同的潜在风险。不同之处在于每个生态系统在转型路径上投入了多少。以太坊 2026 年 1 月的团队组建、活跃的 EIP 讨论以及针对 2029 年的明确路线图,使其领先于大多数替代方案。

开发者现在应该做什么

对开发者和用户的实际影响分为三个层面:

近期 (2026 年):

  • 关注 EIP-8141 的进展。如果你管理着具有基于签名访问控制的智能合约,请了解你的合约在更大规模的迁移之前是否需要更新。
  • 如果你在 EOA 中持有大量的 ETH 或 ERC-20 资产,现在请考虑转向智能合约钱包(EIP-4337 账户)—— 这些钱包支持自定义签名验证,并且比传统的 EOA 更容易升级到量子安全方案。
  • 避免重复使用地址。从未签署过交易的地址中的资金更安全:因为公钥尚未发布到区块链上。

中期 (2027–2028 年):

  • 构建长期运行协议的应用开发者应该审计密码学依赖项。任何直接实现 ECDSA 的链上签名验证逻辑都需要迁移路径。
  • 硬件钱包提供商和托管解决方案应开始集成量子安全替代方案。2029 年的时间线提供了大约三年的时间 —— 对于企业的采购周期来说,这并不是一个非常充裕的边际。

长期 (2029 年及以后):

  • 无论个人应用是否做好准备,协议层面的转型都会发生。已经迁移到账户抽象和灵活签名方案的应用将比那些没有迁移的应用拥有更平滑的路径。

更宏观的视角:为什么 Vitalik 的定位至关重要

Vitalik 香港演讲中最重要的不是量子技术的细节,而是对单一原则的始终贯彻:以太坊的价值在于其安全保证,而不是吞吐量数据

这一原则解释了为什么以 100 倍的速度复制以太坊但减少去中心化是毫无意义的。这也解释了为什么即使今天还没有量子计算机能破解 ECDSA,抗量子性也被提升为协议的最高优先级。安全保证必须在 5 到 10 年的时间范围内保持有效,才具有意义。

对于更广泛的 Web3 生态系统来说,这是一个有益的压力测试。那些围绕原始性能指标(每秒交易量、亚美元级费用、毫秒级区块时间)建立身份的链和协议,在需要权衡安全性能时,将面临公信力测试。以太坊选择将安全性视为不可逾越的底线。

量子时钟正在滴答作响。在演变为危机之前,行业大约还有三年的从容准备时间。如果现在就开始工作,时间是充裕的。

BlockEden.xyz 为以太坊和其他 24 个区块链网络运行归档节点和 RPC 基础设施,赋能开发者在稳定、高可用的基础上进行构建。随着以太坊后量子转型在多次硬分叉中展开,我们将保持基础设施的更新,并为在应用我们平台的开发者记录这些变化。探索我们的以太坊 API 立即开始构建。

Share on Twitter