跳到主要内容

Web3 量子启示录时间线:哪些区块链能在 Q-Day 幸存?

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

三分之一的受访密码学专家现在认为,到 2035 年,量子计算机有 50% 或更高的几率破解当今的区块链加密。美联储发布的一份论文警告称,今天记录的比特币交易已经容易受到未来解密的攻击。谷歌已设定 2029 年的内部期限,将其自身的身份验证基础设施迁移到量子安全算法。标记为 “Q-Day” 的时钟——即具有密码学意义的量子计算机 (CRQC) 使当前的公钥密码学过时的时刻——已不再仅仅是理论。对于 Web3 而言,问题不在于它 是否 会到来,而在于 当它到来时,哪些链已经准备就绪

“现在收获,以后解密” 已经开始

大多数关于量子风险的讨论都集中在一个戏剧性的未来事件上:Q-Day,即量子计算机针对 ECDSA 或 EdDSA 运行 Shor 算法并实时窃取私钥的那一天。但更阴险的威胁已经活跃起来。

“现在收获,以后解密” (HNDL) 描述了一种策略,即对手(通常是国家级行为者)在今天获取加密数据,以低廉的成本存储,并等待量子硬件成熟到足以破解加密。美联储 2025 年的研究论文以比特币为例,得出的结论是,即使区块链网络成功部署了后量子密码学,之前记录的交易仍然永久性地容易受到 HNDL 攻击。

区块链上暴露的每一个公钥都是一个等待被收获的数据点。比特币的 UTXO 模型在代币支出时暴露公钥。以太坊的账户模型在第一次外向交易时就会暴露它们。一旦量子计算机成熟,任何公钥曾在链上出现过的钱包都会成为目标——无论该协议此后是否进行了升级。

这种违规行为看起来不像是一次黑客攻击。它在今天看起来是无声的,随后在数年后引发大规模盗窃。

2026 年量子硬件的现状

当今的量子计算机与具有密码学意义的量子计算机之间的差距正在缩小,其速度超过了大多数区块链开发者的假设。

谷歌的 Willow 芯片于 2024 年底亮相,展示了 105 个超导量子比特,随着量子比特数量的增加,实现了指数级的误差降低——首次跨越了关键的 “低于阈值” 障碍。它在不到五分钟的时间内完成了一项基准计算,而最快的经典超级计算机则需要 1000 万亿亿年才能完成。

IBM 的量子路线图目标是到 2026 年实现 4,158 个量子比特(Kookaburra 多芯片处理器),到 2029 年实现容错的 200 逻辑量子比特机器 (Starling),以及 Blue Jay 系统——到 2033 年运行大约 10 万个物理量子比特,执行十亿门级程序。

与此同时, 2025 年的一项研究突破显著降低了破解 RSA-2048 所需的估计逻辑量子比特要求,降至约 1,399 个逻辑量子比特,将专家的预测时间表提前了数年。应用于 ECDSA(比特币的签名方案)时,这些数字对攻击者甚至更为有利——破解椭圆曲线密码学所需的量子比特比破解 RSA 更少。

这些不是理论预测。IBM 正在交付硬件,谷歌正在发布基准测试。问题不再是 “它能否被制造出来?”,而是 “误差校正提高得有多快?”

NIST 已有答案,但区块链尚未采用

2024 年 8 月,NIST 敲定了前三个后量子密码学 (PQC) 标准:

  • FIPS 203 (ML-KEM) —— 基于模块格的密钥封装,源自 CRYSTALS-Kyber
  • FIPS 204 (ML-DSA) —— 基于模块格的数字签名,源自 CRYSTALS-Dilithium
  • FIPS 205 (SLH-DSA) —— 无状态基于哈希的数字签名,源自 SPHINCS+

第四个标准 HQC(另一种密钥封装机制)于 2025 年 3 月入选,草案预计于 2026 年发布。这些算法旨在抵御经典攻击和量子攻击。

然而,整个区块链行业的采用率仍然微乎其微。根据密码学采用跟踪数据,传统算法占所有采用事件的 98.7%,而后量子算法仅出现在 0.35% 中。标准已经存在,但实现进度严重落后。

各区块链量子准备情况评分表

并非所有区块链都面临同样的风险,也不是所有区块链都做好了同样的准备。

以太坊:积极主动的领导者

在所有主流链中,以太坊采取了最积极的立场。以太坊基金会于 2026 年 3 月推出了 pq.ethereum.org,作为整合路线图、开源库、EIP 和研究的中心枢纽。关键要素包括:

  • 专门的后量子团队,拥有 200 万美元的研究奖金
  • 2029 年目标:完成核心 Layer 1 协议升级
  • 涵盖执行层、共识层和数据层的多层迁移策略
  • 账户抽象:使用户能够过渡到量子安全的身份验证,而无需经历破坏性的 “转换日 (flag day)”
  • Vitalik Buterin 估计 CRQC 在 2030 年之前出现的概率为 20%,并将抗量子性列为 “不可协商” 的要求

以太坊的 “忒修斯之船” 方法——通过多次硬分叉逐渐替换密码学组件——可以说是行业内最复杂的迁移计划。每周测试网络已经开始运行。

比特币:治理难题

比特币在威胁严重程度与迁移准备程度之间面临着最鲜明的反差。其 ECDSA 签名直接受 Shor 算法的威胁。据估计,有超过 400 万 BTC(按当前价格计算价值超过 2800 亿美元)存放在公钥已暴露的地址中——其中包括中本聪(Satoshi Nakamoto)最初的代币。

挑战不在于技术可行性。BTQ Technologies 在其 Bitcoin Quantum Core Release 0.2 中已经演示了一个可运行的比特币实现,使用 ML-DSA (CRYSTALS-Dilithium) 替换了 ECDSA。挑战在于治理。

比特币没有协调一致的迁移计划,没有专门的资金结构,也没有商定的时间表。其缓慢的、共识驱动的治理模型——虽然是货币政策稳定性的一个特色——在面临加密技术截止日期时却成了一种负担。虽然以太坊已经花了八年时间进行准备,但比特币的去中心化开发文化尚未产生同等的组织化响应。

谷歌在 2026 年 3 月的咨询报告中明确警告比特币开发者,后量子迁移需要在 2029 年之前完成——这为这个曾花费数年才就 SegWit 达成一致的社区预留了大约三年的时间来执行根本性的加密架构重构。

Algorand:先行者

Algorand 早在 2022 年就将其基于格(lattice-based)的 FALCON 签名集成到其状态证明(State Proofs)中,使其成为首批在网络层面部署后量子加密技术的公链之一。其性能保持稳定,最终确认时间为 3.3 秒,TPS 达到 6,000。

其 2026 年路线图包括在共识模块中实现原生的 FALCON 签名验证、为存储更大量的后量子密钥提供 Ledger 硬件钱包固件更新,以及通过链上治理投票在无需硬分叉的情况下启用“量子安全账户”。

Solana:可选而非系统性

Solana 引入了 Winternitz Vault 机制——一种基于 Winternitz 一次性签名(Winternitz One-Time Signatures)的可选量子抗性功能。然而,核心网络仍然依赖于 EdDSA 和 SHA-256,这两者在量子攻击面前都是脆弱的。

2025 年 12 月,Solana 基金会与 Project Eleven 合作开启了一个公共测试网,将 Ed25519 签名替换为 CRYSTALS-Dilithium。这令人振奋,但目前仍处于测试阶段——Solana 尚未发布完整的全主网迁移时间表。

其他领域

大多数 Layer 1 和 Layer 2 公链几乎没有发布关于后量子研究的内容。绝大多数 DeFi 协议、跨链桥和 Rollups 继承了其基础层所携带的所有量子漏洞——并通过智能合约的加密假设增加了个体风险。

无人谈论的迁移难题

即使对于已有计划的公链,后量子迁移也引入了残酷的权衡:

密钥大小爆炸。 ML-DSA 签名大约为 4,600 字节,而 ECDSA 仅为 64 字节——增加了 72 倍。对于已经在争取吞吐量的区块链来说,这意味着更大的区块、更慢的传播速度和更高的存储成本。Algorand 的经验表明这是可以管理的,但在大规模应用下,对 Gas 费用和节点要求的影响是巨大的。

向后兼容性。 现有的每个钱包、每个硬件签名设备、每个多签合约以及每个跨链桥都假设了当前的密钥格式。迁移不是简单的软件更新——它是一个涉及硬件制造商、钱包开发者、交易所和托管服务商的协调一致的生态系统转型。

“丢失代币”悖论。 后量子迁移可以保护未来的交易,但那些由于所有者丢失密钥、去世或停止参与而无法迁移的钱包中的代币,将永久性地暴露在量子盗窃的风险之下。中本聪估计持有的 110 万 BTC 是最著名的例子,但每条链上都有数百万枚代币面临同样的命运。

共识机制影响。 使用签名聚合的权益证明(PoS)链(例如以太坊信标链上的 BLS 签名)面临额外的复杂性,因为后量子签名聚合的效率远低于传统的加密方案。

建设者和投资者现在应该做什么

量子威胁不是 2035 年的问题。HNDL(先收集,后解密)使其成为了 2026 年的问题。

对于开发者: 立即评估协议的加密假设。如果你正在构建任何在链上存储价值或敏感数据的项目,现在就应该针对 NIST PQC 标准进行测试。以太坊的 pq.ethereum.org 提供了开源工具。

对于投资者: 量子就绪性正在成为一个重要的风险因素。没有发布迁移计划的链带有随每个区块产生而复利的“加密债务”。Algorand 和 以太坊处于领先地位;比特币的治理差距是一个合理的担忧。

对于用户: 尽可能减少公钥暴露。在比特币上,每个地址仅使用一次。在以太坊上,请考虑到账户抽象(Account Abstraction)升级最终将提供量子安全选项——但时间进度至关重要。

对于机构: 美联储的研究并非出于学术好奇。如果你的合规框架考虑到了数据泄露风险,那么针对区块链资产的 HNDL 威胁应该包含在你的威胁模型中。

时钟并非正在滴答作响 —— 它早已启动

Web3 的量子末日不会以单一的戏剧性事件形式到来。它将表现为一种缓慢的背离:做好准备的链将继续运行;而未做准备的链将眼睁睁看着其最古老且最有价值的钱包被那些耐心收集公钥多年的对手洗劫一空。

以太坊已设定 2029 年为截止期限。比特币则根本没有设定。Algorand 已经上线了后量子原语。Solana 正在测试。大多数其他链尚未开始。

Web3 的加密基础是为前量子时代设计的。世界已经向前迈进。剩下的唯一问题是,行业是随之而动,还是等待 Q 日(Q-Day)强制给出答案。

构建具有抗量子能力的区块链基础设施始于可靠的节点访问和 API 服务。BlockEden.xyz 为 Ethereum、Sui、Aptos 以及 20 多个网络提供企业级 RPC 端点 —— 这是开发者在行业经历其最重大的加密转型时所需的基础。探索我们的 API 市场,在专为长期发展而设计的基础设施上进行构建。

Share on Twitter