Circle Arc 将稳定币的未来押注于抗量子密码学 —— 为什么首个后量子 L1 在比特币之前至关重要
如果价值 2000 亿美元的稳定币市场即将选出的赢家,不是基于速度、费用或流动性,而是基于一种目前在任何生产环境中都不存在的密码学,那会怎样?
这就是 Circle 刚刚做出的赌注。2026 年 4 月,USDC 的发行方为其即将推出的 Layer-1 区块链 Arc 发布了一份全栈、分阶段的后量子安全路线图。Arc 将在主网启动时推出可选的抗量子钱包和基于 NIST 标准化格密码学的签名。目前没有其他主流 L1 —— 无论是比特币、以太坊还是 Solana —— 目前在发布时提供这一功能。Arc 的目标是成为第一个将“后量子”作为正式交付功能而非多年后治理辩论课题的区块链。
这一时机的选择并非巧合。在 Circle 发布公告的六天前,谷歌量子 AI(Google Quantum AI)发布了一项研究,将破解比特币椭圆曲线密码学所需的量子比特数削减了 20 倍。谷歌目前表示,该行业需要在 2029 年之前完成迁移。对于一个瞄准贝莱德(BlackRock)、Visa、汇丰银行(HSBC)以及十年期机构承诺的稳定币链来说,“我们以后再想办法”并不是一个可靠的答案。
拥有重量级测试网流量的稳定币原生链
Arc 不是一个典型的“加密风投链”。它是一个稳定币操作系统,由拥有全球第二大受监管稳定币的公司构建。
USDC 的市值约为 775 亿美元,仅次于 Tether。Arc 的测试网于 2025 年 10 月上线,目前已有贝莱德、Visa、汇丰银行、AWS 和 Anthropic 作为参与方。Visa 正在评估用于跨境结算的稳定币支持支付路径。贝莱德的数字资产团队正在探索其代币化基金在链上外汇和资本市场的应用案例。这些不仅仅是试点项目的脚注 —— 它们是定义 2026 年“企业级区块链”实际意义的机构。
该区块链的技术栈专为这些受众量身定制:
- USDC 作为原生 Gas。 没有波动性的原生代币需要核算。费用以美元计价且可预测 —— 这是财务部门自 2017 年以来一直要求的特性。
- Malachite 共识。 由 Circle 从 Informal Systems 收购的团队开发,Malachite 是一个经过形式化验证的拜占庭容错(BFT)引擎。基准测试显示,在 100 个验证者和 1MB 区块的情况下,最终性约为 780 毫秒。
- 内置外汇(FX)引擎。 一个机构级的 RFQ(报价请求)系统,用于稳定币之间 24/7 的 PvP(同步交收)结算。
- 选择性隐私(Opt-in privacy)。 选择性屏蔽余额和交易 —— 这是对无法将每一笔工资发放都公布在公开浏览器上的企业的妥协。
Circle 首席执行官 Jeremy Allaire 在 2026 年 4 月 14 日的一次首尔活动中确认,目前正在积极考虑推出原生的 Arc 代币,主要用于治理、验证者激励和经济对齐 —— 但不作为 Gas。Gas 依然使用 USDC。
核心逻辑很明确:如果你的合规团队会阅读密码学章节,Arc 就是你应该在其上构建的链。
为什么量子威胁突然变成了一个紧迫的问题
在过去十年的大部分时间里,“量子对比特币的威胁”只是一个晚宴上的思想实验。但在 2026 年 3 月,情况发生了变化。
谷歌量子 AI 发布的研究表明,破解保护比特币、以太坊以及几乎所有主流加密货币的 ECDSA 密码学,所需的量子比特数比之前的估计减少了大约 20 倍。具体而言:不到 50 万个物理量子比特,运行时间以分钟计。
论文中更引人注目的数字是交易窗口风险。在理想条件下,谷歌估计,一台准备就绪的量子计算机有 41% 的概率能在比特币交易确认之前,从公钥中推导出私钥。这是对内存池(mempool)的实时攻击,而不是需要数年时间的后续破解。
谷歌将这一发现与一个具体的截止日期挂钩。在彭博社报道的一篇后续论文中,该公司表示,其自身的系统 —— 暗示也包括使用相同椭圆曲线的更广泛金融基础设施 —— 需要在 2029 年之前迁移到后量子方案。谷歌谨慎地指出,这并不是预测量子计算机将�在 2029 年破解密码学,而是一种立场,即它计划在量子计算机做到这一点之前做好准备。
三个月,三篇主要的量子计算论文,一个一致的方向:时间线正在缩短。
比特币的反应是将 BIP 360 合并到正式的改进仓库中,该提案引入了一种名为 Pay-to-Merkle-Root 的抗量子地址格式。合并并不等同于部署。对比特币进行核心级签名迁移在现实中还需要数年时间。以太坊有活跃的 EIP 讨论,但尚未商定时间线。Solana 则完全没有正式的量子路线图。
而 Arc 正在主网上线。
解读 Arc 后量子路线图
Circle 的 2026 年 4 月路线图概述了四个阶段,一直持续到 2030 年。
第一阶段:主网启动 —— 抗量子钱包和签名。 Arc 将实施 CRYSTALS-Dilithium(现已标准化为 ML-DSA)和 Falcon 作为其主要的后量子签名方案。两者都由 NIST 在 2024 年 8 月作为 FIPS 204 的一部分最终确定。两者都是基于格(lattice-based)的,这意味着它们的安全性建立在结构化格问题的计算难度之上 —— 这是一类目前尚无已知有效量子算法可以解决的问题。至关重要的是,第一阶段将这些功能作为“可选”而非强制提供。开发人员可以在准备就绪时迁移他们的钱包;该链在第一天不会破坏现有的工具。这是一个刻意的、兼容性优先的选择,承认了开发生态系统的现实:一个在启动当天就使所有现有库失效的区块链,无论其密码学多么先进,都无法获得机构采用。
第二阶段:私有状态加密。 下一层级使用对称加密包装公钥,以保护余额和交易数据免受量子时代的监控。这解决了“现在收集,以后解密”的问题:捕获了今天区块链数据的对手,一旦密码学相关的量子计算机出现,就可以解密历史交易图谱。对于支付元数据具有商业敏感性的稳定币金融来说,这并非理论问题。
第三阶段:验证者安全。 共识消息、证明以及验证者之间的通信将获得后量子签名。这弥补了攻击者可能针对共识层而非个人用户交易的漏洞。
第四阶段:链下基础设施。 最终阶段将覆盖范围扩展到通信协议、云环境、硬件安全模块和访问控制。全栈意味着真正的全方位覆盖。
路线图的分阶段结构本身就是一个差异化点。Arc 并没有像某些营销文案那样夸大其词地声称“从第一天起就实现量子安全”。它声称自己是第一个将抗量子性作为一等设计维度、逐步部署且拥有可靠时间表的 L1。
机构溢价与竞争定位
以下是 Arc 向其测试网参与者提出的论点:密码学敏捷性(cryptographic agility)现在已成为机构风险评估中的一个重要条目。
对于像贝莱德(BlackRock)这样规模的资产配置者,在评估使用哪条链来承载具有十年愿景的代币化货币市场基金时,不能假设保护该基金的 ECDSA 签名在 2035 年仍然是安全的。保守的采购决策是选择一条已经拥有路线图的链,而不是一条以后才想办法解决问题的链。
这创造了一种在以往的 L1 竞争中并不存在的“量子溢价”动态。Arc 在机构稳定币结算方面的直接竞争对手包括:
- Tempo —— 围绕传统金融消息传递的 ISO 20022 合规性进行构建。
- Pharos Network —— 专注于商业金融,在链级层面集成 KYC,刚以 10 亿美元估值完成了 4400 万美元的 A 轮融资。
- Ethereum mainnet + L2s —— 拥有最深流动性的现有领导者,但密码学假设最为陈旧。
- Solana, Aptos, Sui —— 具有强劲稳定币交易量的高性能通用链,但没有针对量子安全的技术路线图。
每一个项目都有其真正的优势。但目前还没有一个能像 Arc 那样,将 USDC 原生 Gas 费、Circle 的银行和金融科技分发渠道(Visa、Stripe、Coinbase)、亚秒级最终确认性以及将抗量子性作为设计要求结合在一起。对于在权衡性能和合规性的同时优化密码学风险的机构来说,这是一个差异化的组合。
怀疑论者的观点也是合理的。目前,针对 ECDSA 的量子攻击仍然是一种假设。在 2023 年发布并采用标准密码学的链尚未被利用,明天也不会被利用。Arc 在量子领域的押注可能要到 2030 年才会显现其重要性 —— 如果按照目前量子研究人员预测的时间表,它确实重要的话。选择性迁移意味着安全性仅对选择它的用户有效,至少在第一阶段是这样。
反驳的理由则更简单:密码学迁移是一个滞后指标。当需求变得显而易见时,再进行悄无声息的改造就太晚了。Arc 正在为这种肥尾(fat-tail)风险结果进行定价。
这对开发者和基础设施意味着什么
对于开发者来说,实际意义在于后量子钱包原语(post-quantum wallet primitives)—— 曾经只是学术上的好奇心 —— 即将成为具有真实流量的主网功能。
Arc 的选择性设计意味着工具链必须进化:SDK 需要将签名方案的选择作为一级参数公开,区块浏览器需要能够清晰地渲染 ML-DSA 签名,HSM(硬件安全模块)需要支持 Dilithium 密钥,而 API 必须能够在不分裂开发者体验的情况下,同时处理传统交易和后量子交易。在 Arc 上构建的团队需要考虑用户或智能合约期望哪种签名类别,以及如何在不破坏现有余额或授权流程的情况下在它们之间迁移用户。
对于区块链基础设施提供商 —— RPC、索引和数据服务 —— 这种转变虽然不那么剧烈,但仍然是真实存在的。节点运营商必须支持新的签名验证路径。索引器必须识别后量子交易类型。编写 Agent 或 DeFi 后端的 API 使用者必须应对一个并非所有签名都是相同形状的 ECDSA 数据块的世界。
更广泛的观点是,密码学多样性正走向应用层。在过去的十年里,开发者可以默认使用 “secp256k1 或 Ed25519”。在接下来的十年里,后量子方案将层叠其上,而那些能为开发者提供平滑过渡的区块链将捕获机构级的工作负载。
BlockEden.xyz 在 Sui、Aptos、Ethereum、Solana 以及 20 多条链上提供企业级 RPC 和 API 基础设施。随着像 Arc 这样以稳定币为中心的链将后量子原语引入主网,跨签名方案和共识引擎的可靠数据访问已成为基本要求。探索我们的 API 市场,在为未来做好准备的基础设施上进行构建。
问答:机构配置者真正关心的内容
Arc 是第一条抗量子区块链吗? 不是第一个讨论这一话题的 —— QANplatform、Algorand 和其他一些项目已经发布了部分后量子功能。但 Arc 是第一个拥有重大机构背景、将抗量子性作为主网设计要求、并制定了直到 2030 年的分阶段路线图,且采用 NIST 标准化方案(ML-DSA, Falcon)的主要 L1。
量子计算机距离真正破解比特币还有多远? 具体时间尚不明确,但正在迅速缩短。谷歌 2026 年 3 月的一篇论文将估计所需的量子比特降至 50 万个物理量子比特以下。目前的量子系统处于几千个的水平。大多数专家认为,最早的可靠日期在 2030 年代初期,谷歌建议的迁移截止日期是 2029 年。
Arc 有代币吗? 发布时没有。USDC 是原生 Gas 费。首席执行官 Jeremy Allaire 在 2026 年 4 月 14 日确认,Circle 正在积极探索用于治理和质押的原生 Arc 代币,该代币独立于 Gas 费。
“选择性(opt-in)”抗量子性在实践中意味着什么? 用户和开发者可以在创建钱包时选择 ML-DSA 或 Falcon 签名。现有的 ECDSA 钱包继续有效。第一阶段的迁移是自愿的,这保护了兼容性,但也意味着起初只有具备量子安全意识的用户才能获得安全收益。
哪些机构在测试网上? 贝莱德(BlackRock)、Visa、汇丰银行(HSBC)、AWS 和 Anthropic 均已公开名单,此外还有区域性稳定币发行商。每个机构都在运行生产级别的工作负载 —— 跨境支付(Visa)、代币化基金运营(BlackRock)、银行集成(HSBC)。
十年赌注
坦诚地说,Arc 是一场赌注:赌未来十年将由流入区块链的机构资本所定义,并且这些机构将越来越多地像评估信用风险和对手方风险那样,对加密风险进行定价。
如果这个赌注是对的,那么那些率先交付后量子密码学(post-quantum cryptography)的链——在危机发生之前、在首席信息安全官(CISO)询问之前——将拥有持久的护城河。如果错了,Arc 仍然是一个高性能的稳定币 L1,拥有原生 USDC 作为 Gas 费,并具备顶级机构的采用率。其下行空间是有限的;而上行空间则是处于受监管链上金融中心的结构性地位。
无论如何,讨论的核心已经发生了转移。量子抗性不再是 2030 年代的理论担忧。它已成为 2026 年的路线图项目、2027 年的 RFP(征求建议书)问题,以及此后不久的审计要求。Circle 刚刚将其推到了讨论桌的中心。
资料来源
- Circle 为 Arc 区块链提供未来保障,抵御量子计算威胁 (CoinDesk)
- Arc 的区块链安全后量子路线图
- Circle 发布 Arc 区块链量子抗性路线图 (Cryptonews)
- “一项基准要求”:Circle 表示即将推出的 Layer 1 Arc 将具备量子抗性 (The Block)
- 随着比特币、以太坊面临威胁,Circle 的 Arc 网络披露量子抗性计划 (Decrypt)
- Arc 简介:专为稳定币金融打造的 L1 区块链 (Circle)
- 什么是 Arc?由 USDC 发行方 Circle 打造的稳定币链 (CoinGecko)
- Circle (CRCL) 启动 Arc 区块链测试网,Visa、贝莱德 (BlackRock)、汇丰银行 (HSBC) 参与 (CoinDesk)
- 通过负责任地披露量子漏洞来保护加密货币 (Google Research)
- 谷歌论文在 2029 年时间表前警告加密货币面临量子风险 (Bloomberg)
- 比特币开发者请注意。谷歌表示后量子迁移需在 2029 年前完成 (CoinDesk)
- “不再是演习”:谷歌最新的量子突破引发新一轮辩论 (The Block)
- NIST 发布首批 3 个定稿的后量子加密标准 (NIST)
- Circle “正在探索” Arc 网络代币发行及向权益证明 (PoS) 的转变 (Decrypt)