跳到主要内容

Optimism 的 10 年量子时钟:为什么超级链成为第一个设定 ECDSA 退役日期的 L2

· 阅读需 14 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 1 月,Optimism 采取了其他 Layer-2 从未有过的举措:它为 ECDSA 的终结设定了日期。十年后,即 2036 年 1 月左右,超级链(Superchain)上的每个外部账户(EOA)——包括 OP Mainnet、Base、World Chain、Mode、Zora、Ink、Unichain ——都需要处于后量子签名方案的保护之下,否则将停止交易。目前还没有其他主要的 L2 发布类似的迁移计划。Arbitrum、ZKsync、Polygon zkEVM、Starknet 和 Linea 在量子威胁面前仍保持沉默。

这种沉默在战略上正变得代价高昂。

2025 年 5 月,Google 研究员 Craig Gidney 发表了一篇论文,表明使用不到 100 万个量子比特就能破解 RSA-2048 ——这比他在 2019 年估算的 2000 万个减少了 20 倍。IBM 的目标是在 2029 年前实现容错量子系统。Google 公开模拟的 Q-Day 最早可能在 2030 年到来。NIST 的淘汰时间表也与这种悲观预期一致:易受量子攻击的算法计划在 2030 年后弃用,并在 2035 年后禁止使用。财务规划人员曾因舒适而忽略的十年期估算,现在已经缩短到了与公司债券梯相同的期限。

Optimism 的路线图是 L2 阵营中第一个将这一时间线视为现实的响应。

Optimism 究竟做出了哪些承诺

该路线图由 OP Labs 发布并在以太坊研究社区广泛传播,它将迁移分解为三个工作流,这些工作流清晰地映射到超级链堆栈的各个层级。

用户级迁移。 由 ECDSA 保护的外部账户(EOA)计划被替换为后量子智能合约账户。该计划利用账户抽象和 EIP-7702,通过硬分叉更换签名方案,而无需强制用户放弃现有余额。旧钱包在较长的双重支持窗口期内仍可继续工作,期间 ECDSA 和后量子(PQ)签名的交易均被接受;2036 年 1 月之后,网络将把后量子路径视为规范路径,并停止将新的 ECDSA 签名纳入区块。

基础设施级迁移。 L2 排序器(Sequencer)和向以太坊 L1 发布数据的批处理提交器(Batch Submitter)都将停止使用 ECDSA。在短期内,这比用户账户迁移更重要,因为在有效的量子攻击者面前,受损的排序器密钥可能会重写排序或窃取在途价值。先加固这些特权密钥是教科书式的安全做法。

以太坊协同。 Optimism 明确表示,超级链无法独自完成这项工作。该路线图要求以太坊承诺一个时间表,将验证者从 BLS 签名和 KZG 承诺迁移到后量子替代方案,OP Labs 正就此与以太坊基金会进行积极沟通。这一立场与 Vitalik Buterin 在 2026 年 2 月提出的后量子路线图相契合,该路线图组建了后量子安全团队,并确定了四个脆弱层:共识层 BLS 签名、基于 KZG 的数据可用性、ECDSA 账户签名以及零知识证明。

Buterin 的计划建议用哈希方案(如 Winternitz 变体)取代 BLS,并将数据可用性从 KZG 迁移到 STARKs,通过 EIP-8141 引入递归 STARK 聚合,将数千个签名压缩为单个链上证明。该计划于 2026 年 2 月 27 日在 Kurtosis 开发网上成功运行,产出了区块并验证了新的预编译。Optimism 的路线图经过校准,旨在与以太坊方面的这项工作同步落地。

为什么“10 年”既激进又保守

十年听起来很长。但一旦考虑到其中必须发生的事情,它就不长了。

公链上的签名方案迁移不是简单的软件升级。这是一个涉及钱包、硬件签名器、托管商、交易所、硬编码签名假设的智能合约、预言机网络、桥接安全委员会、MEV 构建者以及围绕这一切的监管边界的协调问题。Coinbase、Ledger、Trezor、Fireblocks、Anchorage、MetaMask、Safe 以及每个在 Base 上持有代币化资金的机构都需要发布后量子(PQ)感知密钥管理系统,对其进行审计,并推向客户。NIST 设定的 2035 年弃用期限仅给 Optimism 留出了一年的缓冲期,介于“后量子成为标准”和“监管机构禁用旧算法”之间。这个缓冲空间并不宽裕。

相反,相对于目前任何其他主要 L2 的处境,十年又是激进的。Arbitrum、ZKsync、Polygon zkEVM、Starknet、Scroll、Linea 和 Mantle 尚未发布类似的计划。这种沉默部分源于研究就绪度问题——递归 STARK 聚合和基于格(lattice-based)的验证器并非现成可用——部分源于营销考量,因为宣布 2036 年的截止日期会迫使其他成员进行尚未准备好的对话。Optimism 率先承担了这一政治成本,使其路线图成为一种领先资产,竞争对手如果不效仿就无法与之匹敌。

对比技术栈:比特币的冻结、Solana 的 Falcon、以太坊的 STARKs

与目前摆在桌面上的其他方案相比,Optimism 的计划显得非常务实。

比特币的 BIP-361。 由 Casa CTO Jameson Lopp 共同撰写,标题为“后量子迁移与旧版签名淘汰”,BIP-361 提议在激活后的五年内冻结保存在旧版地址中的比特币。该提案与 BIP-360 配套,后者引入了一种量子安全的 Pay-to-Merkle-Root (P2MR) 地址类型。A 阶段将在 BIP-360 激活三年后,阻止钱包向旧版地址类型发送资金。B 阶段将在两年后,在共识层使旧版签名失效 —— 未迁移的代币将变得无法使用。目前超过 34% 的比特币在链上暴露了公钥,比特币研究人员估计,如果今天激活 B 阶段,超过 740 亿美元的 BTC 将被冻结。Adam Back 表示反对,主张采用可选升级而非强制冻结,社区争论尚未解决。这与 Optimism 形成了鲜明对比:比特币的计划以因不作为而被没收告终,而 Optimism 的计划则以保留余额的智能账户迁移告终。

Solana 的 Falcon 测试。 Solana 使用最广泛的两个验证者客户端 —— Anza 和 Firedancer —— 都已经发布了 Falcon-512 的测试实现,这是 NIST 标准化的后量子签名方案中体积最小的一种。Jump Crypto 明确表示,签名大小是高吞吐量区块链的约束条件:签名越大意味着带宽占用越多、存储需求越高以及验证速度越慢。Falcon 紧凑的占用空间非常契合实际需求,但后量子验证的计算负载仍高于 Ed25519,且在 Solana 上大规模运行 Falcon 的吞吐量成本尚未公布。Anatoly Yakovenko 认为未来几年内量子技术破解比特币加密的可能性为 50%,这是所有 L1 创始人中最激进的公开姿态。Solana 的方法是研究与验证;Optimism 的方法是发布与承诺。

以太坊的 STARK 聚合。 Vitalik Buterin 的路线图在结构上与 L1/L2 计划不同,因为以太坊的共识层使用的是 BLS 签名而非 ECDSA,而 BLS 面临的量子威胁与 ECDSA 不同。替代路径 —— 基于哈希的签名配合基于 STARK 的聚合 —— 在数学上很简洁,但在操作上很沉重,因为 STARK 聚合需要一个目前尚未在生产环境中存在的递归证明系统。路线图预想在四年内进行大约七次硬分叉,其中 2026 年的 Glamsterdam 和 Hegotá 将包含并行执行和状态树更改,为后期的 PQ 分叉奠定基础。

Optimism 的计划继承了以太坊发布的任何成果,并叠加上其自身的超级链(Superchain)级别签名聚合升级和基于 CRYSTALS-Dilithium 的验证器模块。其优势在于 L2 不需要自己解决 BLS 问题;它们只需要在 L1 解决方案落地时准备好接入即可。

机构视角:代币化基金需要长期的安全叙事

Optimism 路线图背后未言明的商业驱动力是流向 Base 的机构资本。贝莱德(BlackRock)的 BUIDL、阿波罗(Apollo)的 ACRED 和富兰克林邓普顿(Franklin Templeton)的 BENJI 代币化基金目前都是具有多年托管期限的数十亿美元规模的部署。他们的合规官和首席风险官不接受“十年后”这种随意的抽象概念 —— 他们在选择场所时,部分是基于长尾安全性评估。被要求持有代币化国债十年的基金,不能停留在其签名方案在 2030 年代有可信的过时风险的基础设施上。

Coinbase 在超级链中对 Base 的战略定位因此成为 OP Labs 路线图的隐形受益者。当 BUIDL 的下一次授权审查到来时,能够拿出已发布、有日期、有技术规范的 PQ 迁移计划的区块链,将击败所有无法做到的链。同样的逻辑也适用于 Apollo 的 ACRED 持有者(他们需要交易级机密性和长期安全性),以及 Franklin 的 BENJI 投资者(他们已经在一个监管框架内运作,NIST 的 2030 年弃用时间表是其网络安全态势的关键考量因素)。

换句话说:Optimism 的 PQ 路线图不仅仅是一份工程文档。它是一份印有 2036 年印章的机构销售材料。

其他参与者无法回避的悬而未决的问题

Optimism 的公告为 2026 年和 2027 年的其他 L2 生态系统设定了议程。以下几个问题现在已无法回避:

  • Arbitrum、ZKsync、Polygon zkEVM 和 Starknet 是否会发布有明确日期的 PQ 路线图? 这样做的成本现在低于在下一次机构授权审查中成为那个没有路线图的 L2 的成本。
  • EVM 是否会获得 NIST 标准化的 PQ 验证器预编译(precompile)? Vitalik 的路线图暗示是的,但在 EVM 上进行 CRYSTALS-Dilithium 签名验证的 Gas 成本经济学尚未公布。如果验证器 Gas 成本过高,Optimism 的智能账户迁移将需要不同的加密底层。
  • EIP-7702 将如何与 PQ 智能账户交互? EIP-7702 允许 EOA 临时委托给智能合约代码,这是 Optimism 倚重的迁移工具。交互模型需要处理在双重支持窗口期间,用户的 ECDSA 密钥被攻破的情况。
  • 跨链桥会发生什么? Optimism 通往以太坊 L1 的官方桥继承了以太坊结算层接受的任何内容。第三方桥(LayerZero, Wormhole, Axelar, Across)运营着自己的签名委员会,且尚未发布 PQ 计划。如果一个桥的签名密钥易受量子攻击,即使两端都是 PQ 安全的,它也是一个容易被攻击的目标。
  • 超级链(Superchain)是集中于单一 PQ 方案,还是多元化? Falcon、Dilithium、SPHINCS+ 和 Winternitz 各有不同的体积/速度/安全权衡。多方案的超级链会带来操作复杂性;单方案的超级链则承载了方案本身的风险。

在 2026 年,这些问题都没有完美的答案。但所有这些问题都必须在 2036 年之前得到解决。

这对开发者和运营者的意义

对于在 Superchain 上构建的团队来说,实际的启示是开始将后量子(Post-Quantum)视为一个真实的架构限制,而不仅仅是一个研究好奇心。钱包提供商应规划 ECDSA / PQ 双重密钥管理接口。智能合约开发者应避免在托管逻辑、多签钱包或治理模块中硬编码签名方案假设。集成了 OP Mainnet、Base 或 World Chain 的托管商和交易所应将 PQ 迁移列入其五年路线图,而不是十年路线图。NIST 弃用时间表的 36 个月后版本将在触及 Optimism 硬分叉之前,先影响到机构采购。

对于基础设施运营者来说,问题不在于是否迁移,而在于何时开始。Superchain 的双重支持窗口意味着,在十年后期相当于 Phase B 的强制执行生效之前,没有运营上的强制机制。但机构买家的尽职调查问卷是一个周期短得多的强制机制。

BlockEden.xyz 为 Optimism、Base 以及更广泛的 Ethereum L2 生态系统运营生产级 RPC 基础设施。随着 Superchain 在未来十年向后量子签名过渡,我们的团队正与合作伙伴一起追踪这一迁移进程——确保你所构建的链在 Q-Day 及其之后保持可验证性。探索我们的 API 市场,在专为长远规划而设计的基础设施上进行部署。

来源

Share on Twitter