后量子区块链: 8 个竞相构建抗量子加密技术的项目
当 Coinbase 在 2026 年 1 月成立后量子咨询委员会时,它证实了安全研究人员多年来的警告:量子计算机将破解当前的区块链加密技术,抗量子加密的竞赛已经开始。QRL 的 XMSS 签名、StarkWare 基于哈希的 STARKs 以及以太坊的 200 万美元研究奖金,代表了旨在 2026 年占据市场领导地位的前沿项目。问题不在于区块链是否需要抗量子能力,而在于当 “Q-Day”(量子日)到来时,哪种技术方案将占据主导地位。
后量子区块链板块分为两大类:对现有链(如比特币、以太坊)进行改造,以及原生抗量子协议(如 QRL、Quantum1)。每一类都面临不同的挑战。改造必须保持向后兼容性,协调分布式升级,并管理暴露的公钥。原生协议从一开始就使用抗量子加密技术,但缺乏网络效应。这两种方法都是必要的——传统区块链承载着必须保护的数万亿资产,而新链可以从创世之初就针对抗量子能力进行优化。
QRL:首个抗量子区块链
Quantum Resistant Ledger (QRL) 于 2018 年启动,是首个从成立之初就实施后量子加密技术的区块链。该项目选择了 XMSS(扩展门克尔签名方案),这是一种基于哈希的签名算法,通过哈希函数而非数论提供抗量子安全性。
为何选择 XMSS? SHA-256 等哈希函数被认为具有抗量子性,因为量子计算机无法显著加速哈希碰撞(Grover 算法提供的是平方级加速,而非像 Shor 算法针对 ECDSA 那样提供指数级加速)。XMSS 利用这一特性,从哈希值的默克尔树(Merkle trees)中构建签名。
权衡: XMSS 签名体积巨大(约 2,500 字节,而 ECDSA 仅为 65 字节),这使得交易成本更高。每个地址的签名容量有限——在生成 N 个签名后,必须重新生成树。这种有状态的特性需要仔细的密钥管理。
市场地位: 与比特币或以太坊相比,QRL 仍然属于小众市场,处理的交易量极小。然而,它证明了抗量子区块链在技术上是可行的。随着 Q-Day 的临近,QRL 作为经过实战检验的替代方案可能会受到关注。
未来展望: 如果量子威胁比预期来得更快,QRL 的先发优势将变得非常重要。该协议在后量子签名方面拥有多年的生产经验。寻求抗量子资产的机构可能会将 QRL 作为一种 “量子保险” 进行配置。
STARKs:具有抗量子能力的零知识证明
StarkWare 的 STARK(可扩展、透明的知识参数)技术作为其零知识证明架构的一个附带收益,提供了抗量子能力。STARKs 使用哈希函数和多项式,避免了容易受到 Shor 算法攻击的椭圆曲线加密。
为何 STARKs 至关重要: 与 SNARKs(需要可信设置并使用椭圆曲线)不同,STARKs 是透明的(无需可信设置)且具有抗量子性。这使其成为扩展解决方案(StarkNet)和后量子迁移的理想选择。
当前应用: StarkNet 为以太坊 L2 扩展处理交易。其抗量子能力目前是潜在的——虽然不是核心特性,但随着量子威胁的增长,这是一项宝贵的属性。
集成路径: 以太坊可以集成基于 STARK 的签名以实现后量子安全,同时在过渡期间保持与 ECDSA 的向后兼容性。这种混合方法允许逐步迁移。
挑战: 尽管压缩技术正在改进,但 STARK 证明的体积仍然很大(数百 KB)。验证速度很快,但证明生成的计算成本很高。这些权衡限制了高频应用的吞吐量。
展望: STARKs 可能会成为以太坊后量子解决方案的一部分,无论是作为直接的签名方案,还是作为迁移传统地址的包装器。StarkWare 的生产记录和以太坊的集成使得这条路径极具可能性。
以太坊基金会的 200 万美元研究奖金:基于哈希的签名
以太坊基金会在 2026 年 1 月将后量子加密指定为 “首要战略任务��”,并设立了 200 万美元的研究奖金,用于征集实际的迁移方案。重点是基于哈希的签名(SPHINCS+、XMSS)和基于晶格(lattice-based)的加密(Dilithium)。
SPHINCS+: 一种由 NIST 标准化的无状态哈希签名方案。与 XMSS 不同,SPHINCS+ 不需要状态管理——你可以使用一个密钥签署无限的消息。签名体积更大(约 16-40 KB),但无状态特性简化了集成。
Dilithium: 一种基于晶格的签名方案,与基于哈希的替代方案相比,它提供更小的签名(约 2.5 KB)和更快的验证速度。其安全性依赖于被认为具有量子抗性的晶格问题。
以太坊的挑战: 迁移以太坊需要解决历史交易中暴露的公钥问题,在过渡期间保持向后兼容性,并最大限度地减少签名体积膨胀,以避免破坏 L2 的经济模型。
研究重点: 这项 200 万美元的奖金旨在寻找实际的迁移路径——如何进行网络分叉、转换地址格式、处理传统密钥,以及在为期数年的过渡期间维持安全性。
时间线: 以太坊开发人员估计,从研究到生产部署需要 3-5 年。这表明,假设 Q-Day 不会提前到来,以太坊主网的后量子激活将在 2029-2031 年左右。
比特币 BIPs:后量子迁移的保守方法
讨论后量子密码学的比特币改进提议 (BIPs) 正处于草案阶段,但共识建立过程缓慢。比特币的保守文化抵制未经测试的密码学,更倾向于经过实战检验的解决方案。
可能采��取的方法:由于保守的安全特性,倾向于采用基于哈希的签名 (SPHINCS+)。比特币将安全性置于效率之上,愿意接受更大的签名以降低风险。
Taproot 集成:比特币的 Taproot 升级提供了脚本灵活性,可以在不进行硬分叉的情况下容纳后量子签名。Taproot 脚本可以在 ECDSA 的基础上包含后量子签名验证,从而实现选择性迁移 (opt-in migration)。
挑战:暴露地址中存有 665 万枚 BTC。比特币必须做出抉择:强制迁移(销毁丢失的代币)、自愿迁移(面临量子盗窃风险)或接受损失的混合方法。
时间线:比特币的推进速度比以太坊慢。即使 BIPs 在 2026-2027 年达成共识,主网激活可能也要等到 2032-2035 年。这一时间线的前提是 Q-Day 并非迫在眉睫。
社区分歧:一些比特币极大化主义者否认量子威胁的紧迫性,将其视为遥远的威胁。另一些人则主张立即采取行动。这种紧张关系减缓了共识的建立。
Quantum1:原生抗量子智能合约平台
Quantum1(新兴项目的假设案例)代表了从创世阶段就设计为抗量子的新一代区块链。与 QRL(简单支付)不同,这些平台提供具有后量子安全性的智能合约功能。
架构:结合了基于格的签名 (Dilithium)、基于哈希的承诺和零知识证明,以实现隐私保护且抗量子的智能合约。
价值主张:构建长期应用(寿命超过 10 年)的开发者可能更倾向于原生抗量子平台,而非经过改造的链。既然要在 2030 年迁移,为什么今天还要在以太坊上构建呢?
挑战:网络效应有利于成熟的链。比特币和以太坊拥有流动性、用户、开发者和应用。无论技术多么优越,新链在获得关注方面都面临巨大挑战。
潜在催化剂:针对主流链的量子攻击将引发向抗量子替代方案的逃离。Quantum1 类型的项目是应对现有链失效的保险单。
Coinbase 顾问委员会:机构协调
Coinbase 成立后量子顾问委员会,标志着机构开始关注量子准备工作。作为一家负有信托义务的上市公司,Coinbase 不能忽视客户资产面临的风险。
顾问委员会角色:评估量子威胁,建议迁移策略,与协议开发者协调,并确保 Coinbase 的基础设施为后量子过渡做好准备。
机构影响力:Coinbase 持有价值数十亿美元的客户加密货币。如果 Coinbase 推动协议采用特定的后量子标准,这种影响力将至关重要。交易所的参与会加速采用——如果交易所仅支持后量子地址,用户迁移的速度会更快。
时间线压力:Coinbase 的公开参与表明,机构的时间线比社区讨论所承认的要短。上市公司不会为了 30 年后的风险而成立顾问委员会。
布局领导地位的 8 个项目
竞争格局总结:
- QRL:先行者,生产级 XMSS 实现,利基市场
- StarkWare/StarkNet:基于 STARK 的抗量子特性,以太坊集成
- 以太坊基金会:200 万美元研究奖金,专注于 SPHINCS+/Dilithium
- Bitcoin Core:BIP 提案,支持 Taproot 的选择性迁移
- Quantum1 类平台:原生抗量子智能合约链
- Algorand:探索用于未来升级的后量子密码学
- Cardano:研究集成基于格的密码学
- IOTA:Tangle 架构中的抗量子哈希函数
每个项目都在不同的权衡之间进行优化:安全性 vs 效率、向后兼容性 vs 白手起家、NIST 标准化算法 vs 实验性算法。
对开发者和投资者的意义
对于开发者:构建 10 年以上长期应用的开发者应考虑后量子迁移。以太坊上的应用最终将需要支持后量子地址格式。现在的规划可以减少未来的技术债。
对于投资者:在抗量子链和传统链之间进行多元化投资可以规避量子风险。QRL 和类似项目具有投机性,但如果量子威胁比预期来得更快,它们将提供非对称的上行潜力。
对于机构:后量子准备是风险管理,而非投机。持有客户资产的托管机构必须规划迁移策略,与协议开发者协调,并确保基础设施支持后量子签名。
对于协议:迁移窗口正在关闭。2026 年才开始后量子研究的项目要到 2029-2031 年才能部署。如果 Q-Day 在 2035 年到来,那么只剩下 5-10 年的后量子安全期。启动太晚可能会导致时间不足。