跳到主要内容

以太坊的抗量子蓝图:深入解析 2029 年迁移计划,旨在守护 4000 亿美元链上资产

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

每个以太坊钱包、验证者签名和零知识证明都建立在同一个数学假设之上:对于任何计算机来说,分解大数和求解离散对数在实践中都是极其困难的。量子计算机最终将打破这一假设。当这一天到来时,按价值计算,大约 25% 的比特币——以及相当比例的以太坊——可能会在一个下午内暴露在风险之中。

以太坊基金会并没有坐等那个下午的到来。2026 年 3 月 25 日,它推出了 pq.ethereum.org,这是一个专门的后量子安全中心,将多年的研究整合为一个单一的、可操作的路线图。超过 10 个客户端团队已经在运行每周一次的互联互通开发网(devnets),核心第 1 层(Layer 1)升级的目标日期定为 2029 年。

这是任何去中心化网络尝试过的最雄心勃勃的密码学迁移——而且它已经在进行中。

为什么量子威胁到链上的一切

经典计算机需要数十亿年才能从公钥反推以太坊私钥。运行 Shor 算法的足够强大的量子计算机可以在几小时内完成。

这种脆弱性并非理论上的空谈。ECDSA(椭圆曲线数字签名算法)验证着每一笔以太坊交易,而它在针对椭圆曲线离散对数设计的改进型 Shor 算法面前将无能为力。一旦量子攻击者能够大规模运行这种攻击,公钥就会变得像私钥一样敏感。任何公钥已在链上曝光的钱包——包括所有发送过交易的地址——都将成为攻击目标。

目前的量子硬件还远未达到这种能力。今天的机器运行在“嘈杂中型量子”(NISQ)时代,错误率仍然太高,无法针对 256 位密钥执行 Shor 算法。破解 ECDSA-256 将需要数百万个逻辑(纠错)量子比特;而 2026 年最先进的机器只有几千个物理量子比特,且纠错技术仍处于起步阶段。

但时间表正在压缩。谷歌加速了其量子路线图,多个国家项目正投入数十亿美元开发容错架构。行业专家现在估计,在密码学相关的量子计算机(CRQC)出现之前,还有 5 到 15 年的时间窗口。滑铁卢大学的 Michele Mosca 博士曾估计,到 2026 年公钥密码学被攻破的概率为七分之一——虽然这个日期已经平安度过,但底层的趋势并未改变。

关键的见解不在于量子何时到来,而在于迁移需要多长时间。升级一个被数百万个钱包、数千名验证者和数百个第 2 层(Layer 2)网络使用的去中心化协议是一个耗时多年的工程项目。以太坊后量子团队直言不讳地总结了这一困境:“密码学相关的量子计算机虽然不会迫在眉睫,但迁移一个去中心化的全球协议需要多年的协调、工程设计和形式化验证。”

“特修斯之船”策略

以太坊并不打算在某个单一的“量子日”切换开关,而是计划在网络继续运行的同时,逐一更换其密码学构建模块——包括执行层、共识层和数据层。以太坊基金会将此称为“特修斯之船”方案:当每一块木板都被更换完成时,这艘船已焕然一新,但它从未停止航行。

Vitalik Buterin 在 2026 年 2 月的路线图文章中概述了技术细节,识别了四个关键的脆弱环节:

  1. 验证者签名(共识层): 以太坊 90 万名以上的验证者目前使用 BLS 签名来证明区块,这些签名将被替换为基于哈希的签名方案(如 Winternitz)。STARKs 将把多个后量子签名聚合为单个紧凑的证明,从而使共识开销保持在可控范围内。

  2. 钱包签名(执行层): 这是面向用户的挑战。通过账户抽象(Account Abstraction, EIP-8141),钱包可以采用量子安全的签名验证,而无需等待协议层级的硬分叉。用户可以按自己的节奏迁移——不需要设定统一的“切换日”。

  3. 数据可用性: 当前的 KZG 多项式承诺方案将需要量子安全的替代方案。这是工程量最大的迁移,因为它涉及 Rollup 使用的以太坊数据可用性采样(DAS)流水线。

  4. 零知识证明: 许多 ZK-rollups 和应用程序使用的 SNARK 构造依赖于椭圆曲线配对。转型为基于 STARK 或基于格(lattice-based)的替代方案在技术上是可行的,但需要全生态系统的协调。

该路线图构想了一系列有针对性的硬分叉:

  • 分叉“I”(验证者准备): 为验证者配备辅助的量子抗性公钥,作为紧急故障保护。
  • 分叉“J”(Gas 效率): 降低验证后量子签名的 Gas 成本,因为这些签名明显比 ECDSA 签名大。
  • 分叉“L”(状态压缩): 将区块链状态压缩为零知识证明,以抵消由更大的后量子(PQ)密码学足迹带来的数据膨胀。

账户抽象:优雅的逃生门

以太坊量子策略中最优雅的部分也是最容易被忽视的:账户抽象(Account Abstraction)。

通过 ERC-4337 和即将推出的 EIP-8141 “验证框架(validation frames)”,交易的验证逻辑由用户空间的智能合约代码定义,而非硬编码在协议中。这意味着用户可以部署一个钱包合约,要求使用 CRYSTALS-Dilithium 签名、SPHINCS+ 签名或任何未来 NIST 标准化的后量子方案——而以太坊的核心协议无需原生理解其中任何一种。

这创建了一条自愿的、选择性加入的迁移路径。早期采用者今天就可以转向量子安全钱包。持有高价值资产的机构可以优先进行迁移。而数百万从未考虑过密码学原语的普通用户,可以在其钱包提供商升级时实现透明迁移。

验证框架通过允许网络将多个单独的后量子签名打包成一个聚合证明,进一步推进了这一进程。网络只需检查一个压缩后的证明,而不是在链上独立验证每个庞大的 PQ 签名(那样做成本极高)。这就是以太坊计划如何在规模化应用中实现经济可行的后量子安全。

NIST 对 CRYSTALS-Kyber(用于密钥封装)和 CRYSTALS-Dilithium(用于数字签名)的标准化提供了密码学构建模块。以太坊的工作是让它们在 Gas 成本至关重要且向后兼容性高于一切的去中心化、无许可网络中变得切实可行。

10+ 个客户端团队,每周开发网测试

理论是廉价的。执行力决定了后量子迁移是成功还是停滞。以太坊基金会的 PQ Interop 项目是这一努力的执行层——并且已经取得了成果。

超过 10 个客户端团队,包括 Lighthouse、Grandine 和 Prysm,参与了每周的互操作性开发网(Devnet)测试。这些会议证实了不同的客户端实现可以处理后量子签名、就区块达成一致并维持共识,而不会破坏兼容性。

最新的迭代版本 pq-devnet-2 侧重于集成 leanMultisig——这是一种让后量子签名在规模化应用中变得实用的签名聚合方案。LambdaClass 的 ethlambda 客户端正在利用该项目的共享工具构建一个后量子以太坊客户端,这表明生态系统并没有在等待单一的参考实现。

从 2018 年早期的基于 STARK 的签名聚合研究开始,这项工作已经发展成为一个协调一致、多团队参与的开源项目。pq.ethereum.org 中心现在整合了:

  • 带有里程碑追踪的动态路线图
  • PQ 实现的开源仓库
  • 每个迁移阶段的形式化规范
  • 研究论文和 EIP 提案
  • 回答常见问题的 14 个 FAQ
  • 200 万美元的研究奖金,以激励外部贡献

比特币的量子盲点

以太坊的积极立场使比特币的处境显得尤为严峻。

比特币目前还没有协调一致的量子迁移计划。按价值计算,比特币供应量的约 25%——包括中本聪(Satoshi Nakamoto)估计持有的 100 万枚 BTC(按当前价格计算价值超过 900 亿美元)——存放在公钥已暴露的地址中。这些金币使用的是早期的 P2PK(付至公钥)脚本,而不是更常见的 P2PKH(付至公钥哈希)格式。量子攻击者可以直接推导出这些地址的私钥。

比特币社区在面临技术问题的同时,也面临着一个存在主义的哲学问题:是否应该冻结中本聪的金币以防止量子盗窃?关于保护还是放弃这些早期地址的辩论尚未达成共识。

方舟投资(Ark Invest)在 2026 年 3 月的分析中将量子计算定性为“比特币的长期风险,而非迫在眉睫的威胁”。这一评估在技术上是准确的,但在策略上是不完整的。风险不在于量子计算机明天就会出现,而在于迁移所需的时间可能超过预警窗口。

以太坊在组织化量子迁移方面的三年领先优势,可能被证明是区块链历史上最重要的架构决策之一。

这对开发者和用户意味着什么

对于大多数以太坊用户来说,量子过渡应该是无感的。钱包提供商将升级其签名验证逻辑,用户将继续像往常一样签署交易。这种迁移被设计为选择性加入且渐进式的,而非破坏性的。

对于开发者来说,影响则更为直接:

  • 智能合约开发者:如果构建自定义身份验证逻辑,应开始熟悉后量子签名验证。
  • L2 和 Rollup 团队:需要计划从基于 SNARK 的证明系统向基于 STARK 的证明系统过渡,这会影响证明成本和验证 Gas。
  • 基础设施提供商:应监控 PQ Interop 开发网,并为更大的签名尺寸和新的验证预编译(precompiles)做好准备。
  • DeFi 协议:拥有时间锁或多签合约的协议应审计其量子风险敞口并规划迁移路径。

2029 年的终点线 —— 以及更远的未来

以太坊基金会的 2029 年目标是针对核心 L1 协议的升级。完整的执行层迁移 —— 包括钱包过渡、智能合约升级和 Layer 2 适配的漫长过程 —— 将在此之后持续数年。

这并非计划的弱点,而是计划本身。忒修斯之船(Ship of Theseus)方案承认,像以太坊这样复杂的网络无法在一夜之间完成迁移。重要的是,紧急故障保护措施(验证者抗量子密钥)已尽早部署,自愿迁移路径(账户抽象 Account Abstraction)现在已经可用,且经济可行性(高 Gas 效率的 PQ 验证)在威胁真正出现之前就已得到解决。

没人确切知道具有密码学意义的量子计算机何时会到来。但这是历史上第一次,最大的智能合约平台拥有了一个公开的、有资金支持的、多团队协作的路线图,以确保在威胁来临时做好准备。在这样一个通常优先考虑速度而非安全的领域,以太坊的量子迁移是对工程纪律而非炒作周期的罕见押注。

这艘船在航行的同时,正一块木板接着一块木板地进行重建。其目标是建立一个能够经受住自晶体管诞生以来计算领域最根本性变革的网络。

正在以太坊或其他区块链网络上构建应用?BlockEden.xyz 提供跨多链(包括以太坊)的企业级 RPC 端点和基础设施服务,旨在确保你的应用程序在每一次协议升级中都能可靠运行。探索我们的 API 市场,为你的 Web3 技术栈提供面向未来的保障。

Share on Twitter