密码学协议和技术
查看所有标签
将 USB 线插入 Nothing CMF Phone 1。等待 45 秒。带走设备上每个热钱包的助记词。
这不是一个理论上的威胁模型。这是 Ledger 的 Donjon 研究团队于 2026 年 3 月 11 日发布的实测演示,目标是联发科 (MediaTek) 的天玑 7300 (Dimensity 7300, MT6878) —— 这是一款采用 4nm 工艺的片上系统 (SoC),广泛应用于全球约四分之一的安卓手机中,也是 Solana 旗舰手机 Seeker 所采用的芯片。该漏洞存在于芯片的引导 ROM (boot ROM) 中,即在安卓系统加载前运行的只读代码。它无法被修复,也无法通过操作系统更新来缓解。唯一的解决办法是更换新芯片。
对于数千万将智能手机视为加密钱包的信任用户来说,这一刻“移动优先的自托管”叙事与硅片的物理特性发生了碰撞。
2025 年 12 月 30 日,一笔无人可见的稳定币转账在以太坊上悄然发生。
没有发送者,没有接收者,也没有金额。只有一次有效的状态转换、一笔 0.13 美元的 Gas 费和一张加密收据。该代币是 cUSDT —— Tether 的机密封装版本 —— 而其运行轨道正是 Zama 最新上线的机密区块链协议(Confidential Blockchain Protocol)。四个月后的 2026 年 4 月,Zama 已经拥有了上市代币、不断增加的 EVM 部署计划,以及一个关于未来互联网运作方式的异常大胆的构想。
他们称之为 HTTPZ。
这个类比是有意为之的。正如在 Let's Encrypt 和 Cloudflare 让证书变得免费且自动化之后,Web 从 HTTP(明文)转向了 HTTPS(传输中加密)。Zama 认为下一次飞跃是计算本身的端到端加密 —— 这样服务器、验证者和中间机构在处理你的数据时将完全无法看到它。如果说 HTTPS 是线路上的挂锁,那么 HTTPZ 就是 CPU 周围的挂锁。
这是一个极具吸引力的口号。问题在于,驱动这一愿景的数学基础 —— 全同态加密(FHE)—— 是否终于快到足以摆脱“科研好奇心”的标签,并开始成为基础设施。
如果你今天就能为你的比特币提供抗量子保护——无需硬分叉,无需软分叉,也无需为治理共识等待七年——只要你愿意为每笔交易支付约 200 美元,你会怎么想?
这正是 StarkWare 一篇新论文提出的方案,该论文已悄然成为 2026 年最重要的比特币研究成果之一。4 月 9 日,StarkWare 研究员 Avihu Levy 发表了《QSB:无需软分叉的抗量子比特币交易》(QSB: Quantum Safe Bitcoin Transactions Without Softforks)。在 24 小时内,CoinDesk、《The Quantum Insider》和《Bitcoin Magazine》都将其视为约 400 万枚 BTC(按 4 月价格计算超过 2800 亿美元)的潜在“逃生舱”,这些比特币目前存放在容易受到量子攻击的地址中。
限制是现实存在的,但带来的宽慰也是真实的。两者共同重塑了资深比特币持有者对“量子之日”(Q-Day)的思考方式。
如果价值 2000 亿美元的稳定币市场即将选出的赢家,不是基于速度、费用或流动性,而是基于一种目前在任何生产环境中都不存在的密码学,那会怎样?
这就是 Circle 刚刚做出的赌注。2026 年 4 月,USDC 的发行方为其即将推出的 Layer-1 区块链 Arc 发布了一份全栈、分阶段的后量子安全路线图。Arc 将在主网启动时推出可选的抗量子钱包和基于 NIST 标准化格密码学的签名。目前没有其他主流 L1 —— 无论是比特币、以太坊还是 Solana —— 目前在发布时提供这一功能。Arc 的目标是成为第一个将“后量子”作为正式交付功能而非多年后治理辩论课题的区块链。
这一时机的选择并非巧合。在 Circle 发布公告的六天前,谷歌量子 AI(Google Quantum AI)发布了一项研究,将破解比特币椭圆曲线密码学所需的量子比特数削减了 20 倍。谷歌目前表示,该行业需要在 2029 年之前完成迁移。对于一个瞄准贝莱德(BlackRock)、Visa、汇丰银行(HSBC)以及十年期机构承诺的稳定币链来说,“我们以后再想办法”并不是一个可靠的答案。
Arc 不是一个典型的“加密风投链”。它是一个稳定币操作系统,由拥有全球第二大受监管稳定币的公司构建。
USDC 的市值约为 775 亿美元,仅次于 Tether。Arc 的测试网于 2025 年 10 月上线,目前已有贝莱德、Visa、汇丰银行、AWS 和 Anthropic 作为参与方。Visa 正在评估用于跨境结算的稳定币支持支付路径。贝莱德的数字资产团队正在探索其代币化基金在链上外汇和资本市场的应用案例。这些不仅仅是试点项目的脚注 —— 它们是定义 2026 年“企业级区块链”实际意义的机构。
该区块链的技术栈专为这些受众量身定制:
Circle 首席执行官 Jeremy Allaire 在 2026 年 4 月 14 日的一次首尔活动中确认,目前正在积极考虑推出原生的 Arc 代币,主要用于治理、验证者激励和经济对齐 —— 但不作为 Gas。Gas 依然使�用 USDC。
核心逻辑很明确:如果你的合规团队会阅读密码学章节,Arc 就是你应该在其上构建的链。
在过去十年的大部分时间里,“量子对比特币的威胁”只是一个晚宴上的思想实验。但在 2026 年 3 月,情况发生了变化。
谷歌量子 AI 发布的研究表明,破解保护比特币、以太坊以及几乎所有主流加密货币的 ECDSA 密码学,所需的量子比特数比之前的估计减少了大约 20 倍。具体而言:不到 50 万个物理量子比特,运行时间以分钟计。
论文中更引人注目的数字是交易窗口风险。在理想条件下,谷歌估计,一台准备就绪的量子计算机有 41% 的概率能在比特币交易确认之前,从公钥中推导出私钥。这是对内存池(mempool)的实时攻击,而不是需要数年时间的后续破解。
谷歌将这一发现与一个具体的截止日期挂钩。在彭博社报道的一篇后续论文中,该公司表示,其自身的系统 —— 暗示也包括使用相同椭圆曲线的更广泛金融基础设施 —— 需要在 2029 年之前迁移到后量子方案。谷歌谨慎地指出,这并不是预测量子计算机将在 2029 年破解密码学,而是一种立场,即它计划在量子计算机做到这一点之前做好准备。
三个月,三篇主要的量子计算论文,一个一致的方向:时间线正在缩短。
比特币的反应是将 BIP 360 合并到正式的改进仓库中,该提案引入了一种名为 Pay-to-Merkle-Root 的抗量子地址格式。合并并不等同于部署。对比特币进行核心级签名迁移在现实中还需要数年时间。以太坊有活跃的 EIP 讨论,但尚未商定时间线。Solana 则完全没有正式的量子路线图。
而 Arc 正在主网上线。
Circle 的 2026 年 4 月路线图概述了四个阶段,一直持续到 2030 年。
第一阶段:主网启动 —— 抗量子钱包和签名。 Arc 将实施 CRYSTALS-Dilithium(现已标准化为 ML-DSA)和 Falcon 作为其主要的后量子签名方案。两者都由 NIST 在 2024 年 8 月作为 FIPS 204 的一部分最终确定。两者都是基于格(lattice-based)的,这意味着它们的安全性建立在结构化格问题的计算难度之上 —— 这是一类目前尚无已知有效量子算法可以解决的问题。至关重要的是,第一阶段将这些功能作为“可选”而非强制提供。开发人员可以在准备就绪时迁移他们的钱包;该链在第一天不会破坏现有的工具。这是一个刻意的、兼容性优先的选择,承认了开发生态系统的现实:一个在启动当天就使所有现有库失效的区块链,无论其密码学多么先进,都无法获得机构采用。
第二阶段:私有状态加密。 下一层级使用对称加密包装公钥,以保护余额和交易数据免受量子时代的监控。这解决了“现在收集,以后解密”的问题:捕获了今天区块链数据的对手,一旦密码学相关的量子计算机出现,就可以解密历史交易图谱。对于支付元数据具有商业敏感性的稳定币金融来说,这并非理论问题。
第�三阶段:验证者安全。 共识消息、证明以及验证者之间的通信将获得后量子签名。这弥补了攻击者可能针对共识层而非个人用户交易的漏洞。
第四阶段:链下基础设施。 最终阶段将覆盖范围扩展到通信协议、云环境、硬件安全模块和访问控制。全栈意味着真正的全方位覆盖。
路线图的分阶段结构本身就是一个差异化点。Arc 并没有像某些营销文案那样夸大其词地声称“从第一天起就实现量子安全”。它声称自己是第一个将抗量子性作为一等设计维度、逐步部署且拥有可靠时间表的 L1。
以下是 Arc 向其测试网参与者提出的论点:密码学敏捷性(cryptographic agility)现在已成为机构风险评估中的一个重要条目。
对于像贝莱德(BlackRock)这样规模的资产配置者,在评估使用哪条链来承载具有十年愿景的代币化货币市场基金时,不能假设保护该基金的 ECDSA 签名在 2035 年仍然是安全的。保守的采购决策是选择一条已经拥有路线图的链,而不是一条以后才想办法解决问题的链。
这创造了一种在以往的 L1 竞争中并不存在的“量子溢价”动态。Arc 在机构稳定币结算方面的直接竞争对手包括:
每一个项目都有其真正的优势。但目前还没有一个能像 Arc 那样,将 USDC 原生 Gas 费、Circle 的银行和金融科技分发渠道(Visa、Stripe、Coinbase)、亚秒级最终确认性以及将抗量子性作为设计要求结合在一起。对于在权衡性能和合规性的同时优化密码学风险的机构来说,这是一个差异化的组合。
怀疑论者的观点也是合理的。目前,针对 ECDSA 的量子攻击仍然是一种假设。在 2023 年发布并采用标准密码学的链尚未被利用,明天也不会被利用。Arc 在量子领域的押注可能要到 2030 年才会显现其重要性 —— 如果按照目前量子研究人员预测的时间表,它确实重要的话。选择性迁移意味着安全性仅对选择它的用户有效,至少在第一阶段是这样。
反驳的理由则更简单:密码学迁移是一个滞后指标。当需求变得显而易见时,再进行悄无声息的改造就太晚了。Arc 正在为这种肥尾(fat-tail)风险结果进行定价。
对于开发者来说,实际意义在于后量子钱包原语(post-quantum wallet primitives)—— 曾经只是学术上的好奇心 —— 即将成为具有真实流量的主网功能。
Arc 的选择性设计意味着工具链必须进化:SDK 需要将签名方案的选择作为一级参数公开,区块浏览器��需要能够清晰地渲染 ML-DSA 签名,HSM(硬件安全模块)需要支持 Dilithium 密钥,而 API 必须能够在不分裂开发者体验的情况下,同时处理传统交易和后量子交易。在 Arc 上构建的团队需要考虑用户或智能合约期望哪种签名类别,以及如何在不破坏现有余额或授权流程的情况下在它们之间迁移用户。
对于区块链基础设施提供商 —— RPC、索引和数据服务 —— 这种转变虽然不那么剧烈,但仍然是真实存在的。节点运营商必须支持新的签名验证路径。索引器必须识别后量子交易类型。编写 Agent 或 DeFi 后端的 API 使用者必须应对一个并非所有签名都是相同形状的 ECDSA 数据块的世界。
更广泛的观点是,密码学多样性正走向应用层。在过去的十年里,开发者可以默认使用 “secp256k1 或 Ed25519”。在接下来的十年里,后量子方案将层叠其上,而那些能为开发者提供平滑过渡的区块链将捕获机构级的工作负载。
BlockEden.xyz 在 Sui、Aptos、Ethereum、Solana 以及 20 多条链上提供企业级 RPC 和 API 基础设施。随着像 Arc 这样以稳定币为中心的链将后量子原语引入主网,跨签名方案和共识引擎的可靠数据访问已成为基本要求。探索我们的 API 市场,在为未来做好准备的基础设施上进行构建。
Arc 是第一条抗量子区块链吗? 不是第一个讨论这一话题的 —— QANplatform、Algorand 和其他一些项目已经发布了部分后量子功能。但 Arc 是第一个拥有重大机构背景、将抗量子性作为主网设计要求、并制定了直到 2030 年的分阶段路线图,且采用 NIST 标准化方案(ML-DSA, Falcon)的主要 L1。
量子计算机距离真正破解比特币还有多远? 具体时间尚不明确,但正在迅速缩短。谷歌 2026 年 3 月的一篇论文将估计所需的量子比特降至 50 万个物理量子比特以下。目前的量子系统处于几千个的水平。大多数专家认为,最早的可靠日期在 2030 年代初期,谷歌建议的迁移截止日期是 2029 年。
Arc 有代币吗? 发布时没有。USDC 是原生 Gas 费。首席执行官 Jeremy Allaire 在 2026 年 4 月 14 日确认,Circle 正在积极探索用于治理和质押的原生 Arc 代币,该代币独立于 Gas 费。
“选择性(opt-in)”抗量子性在实践中意味着什么? 用户和开发者可以在创建钱包时选择 ML-DSA 或 Falcon 签名。现有的 ECDSA 钱包继续有效。第一阶段的迁移是自愿的,这保护了兼容性,但也意味着起初只有具备量子安全意识的用户才能获得安全收益。
哪些机构在测试网上? 贝莱德(BlackRock)、Visa、汇丰银行(HSBC)、AWS 和 Anthropic 均已公开名单,此外还有区域性稳定币发行商。每个机构都在运行生产级别的工作负载 —— 跨境支付(Visa)、代币化基金运营(BlackRock)、银行集成(HSBC)。
坦诚地说,Arc 是一场赌注:赌未来十年将由流入区块链的机构资本所定义,并且这些机构将越来越多地像评估信用风险和对手�方风险那样,对加密风险进行定价。
如果这个赌注是对的,那么那些率先交付后量子密码学(post-quantum cryptography)的链——在危机发生之前、在首席信息安全官(CISO)询问之前——将拥有持久的护城河。如果错了,Arc 仍然是一个高性能的稳定币 L1,拥有原生 USDC 作为 Gas 费,并具备顶级机构的采用率。其下行空间是有限的;而上行空间则是处于受监管链上金融中心的结构性地位。
无论如何,讨论的核心已经发生了转移。量子抗性不再是 2030 年代的理论担忧。它已成为 2026 年的路线图项目、2027 年的 RFP(征求建议书)问题,以及此后不久的审计要求。Circle 刚刚将其推到了讨论桌的中心。
想象一个这样的区块链:验证者在不对用户提示词(Prompt)、模型权重或输出结果有任何了解的情况下,对 AI 推理的正确性进行投票。这些数据并非被遮掩或哈希处理,而是被加密了。验证者自己的软件也无法解密其正在投票的内容。
这正是 Mind Network 在共识层所做的押注,也是自零知识汇总(ZK-rollups)出现以来,对“公共区块链”最彻底的架构革新。最近 Web3Caff Research 的一份长篇深度报告将其定义为具有类别定义意义的举动:这是首次尝试在共识层内部运行全同态加密(FHE),而非将其作为应用层功能。如果成功,验证者将变成密码学黑盒——他们处理密文,生成密文,且永远不会接触到其所保护数据的明文。
如果失败,它将加入那份由于运行速度太慢而无法服务于真实用户的漫长名单,成为又一个空有其表的密码学技术。
以下是该架构的实际运作方式、它与大多数开发者熟悉的 ZK 世界有何不同,以及其中潜藏的失效模式。
每九分钟破解一个私钥。排名前 1,000 的以太坊钱包在不到九天内被洗劫一空。破解保护着超过 1,000 亿美元链上价值的加密算法所需的量子比特数量减少了 20 倍。这些并非末日论推特串的臆测 —— 它们源自谷歌量子 AI(Google Quantum AI)于 2026 年 3 月 30 日发布的 57 页白皮书,该白皮书由以太坊基金会研究员 Justin Drake 和斯坦福大学密码学家 Dan Boneh 共同撰写。
十年来,“量子风险”一直与小行星撞击处于相同的认知范畴 —— 真实、灾难性,但足够遥远,以至于没有人需要采取行动。谷歌的这篇论文重新定位了这一威胁。它绘制了针对以太坊的五条具体攻击路径,指名道姓了钱包和合约,并向工程师提供了一个数字 —— 少于 500,000 个物理量子比特 —— 这直接对应了 IBM、谷歌以及半打资金充足的初创公司已发布的路线图。换句话说,Q-Day(量子日)刚刚收到了一个明确的日历邀请。
这篇题为《保护椭圆曲线加密货币免受量子漏洞影响》(Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities)的论文,是主要量子硬件实验室首次进行枯燥的工程化工作,将 1994 年 Shor 算法的理论攻击转化为针对椭圆曲线离散对数问题 (ECDLP) 的逐步蓝图。ECDLP 保护着比特币、以太坊以及几乎所有使用 secp256k1 或 secp256r1 签署交易的链。
有三点使得这篇论文比之前的估计更具震撼力。
首先是量子比特数。早期的学术研究认为破解 256 位 ECDLP 需要数百万个物理量子比特。谷歌的作者将其降低到不到 500,000 个 —— 由于改进了电路综合、更好的纠错开销以及更紧凑的魔法态路由,这一数字减少了 20 倍。IBM 已公开承诺到 2029 年制造出 100,000 量子比特的机器。谷歌尚未公布类似的目标,但其内部路线图的增长斜率被广泛认为与之相似。50 万个量子比特不再是一个需要虚指到 2050 年代的数字。
其次是运行时间。论文估计,一旦拥有足够性能的机器,从公钥恢复单个私钥大约需要 9 分钟的量子运行时间 —— 不是几天,也不是几小时。这个数字非常重要,因为它决定了攻击者在检测和响应之间的窗口期内可以清空多少高价值目标。
第三,也是对以太坊而言最重要的一点,作者并没有止步于“ECDSA 已被破解”。他们梳理了协议栈,并识别出五个截然不同的攻击面,且每个攻击面都列出了受害对象。
论文将以太坊的量子风险组织为五个向量,刻意避开了“所有加密货币在同一天灭亡”这种偷懒的描述。
1. 外部账户 (EOA) 泄露。 一旦以太坊地址签署了哪怕一笔交易,其公钥就会永久保留并在链上可见。量子攻击者在大约 9 分钟内推导出私钥,然后清空钱包。谷歌的分析识别了 ETH 余额前 1,000 名的钱包 —— 它们总计持有约 2,050 万枚 ETH —— 作为经济上最合理的攻击目标。以每个私钥 9 分钟的速度计算,攻击者在不到 9 天内就能清空整个名单。
2. 管理员控制的智能合约接管。 以太坊的稳定币经济和大多数生产环境中的 DeFi 协议都依赖于由 EOA 控制的多签、升级密钥和铸造者角色。论文列举了 70 多个由管理员控制的合约,包括主流稳定币背后的升级或铸造密钥。窃取这些密钥不仅是盗取余额 —— 它还能让攻击者铸造、冻结或改写合约逻辑。谷歌估计,受这些脆弱密钥影响的下行稳定币和代币化资产约为 2,000 亿美元。
3. 权益证明 (PoS) 验证者密钥泄露。 以太坊的共识层使用 BLS 签名,这些签名同样基于椭圆曲线假设,且同样会被 Shor 算法破解。原则上,恢复足够多验证者私钥的攻击者可以进行双重签名、敲定冲突区块或阻碍最终确定性。这里的风险不在于 ETH 被盗,而在于区块链本身的完整性。
4. Layer 2 结算泄露。 论文将分析扩展到了主流的 Rollup。乐观 Rollup (Optimistic rollups) 依赖于由 EOA 签署的提议者和挑战者密钥;ZK Rollup 依赖于用于排序和证明的操作员密钥。泄露这些密钥虽然不会破坏底层的有效性证明,但能让攻击者窃取排序器费用、审查退出请求,或者在最坏的情况下,卷走持有 L2 存款的桥接器资金。
5. 历史数据可用性的永久伪造。 这是密码学家认为最令人不安的路径。最初的以太坊可信设置(以及支持 EIP-4844 blobs 的 KZG 仪式)依赖于特定假设,即足够强大的量子机器可以通过公开产物重建设置秘密。其结果不是盗窃,而是获得了永久伪造历史状态证明的能力,且这些证明看起来永远有效。没有任何密钥轮换可以修复已经发布的数据。
这五条路径共同使超过 1,000 亿美元面临直接风险,如果对链完整性的信心崩溃,风险规模将呈数量级增长。
该研究论文得出了一个微妙但重要的结论:尽管两条链都使用相同的 secp256k1 曲线,但以太坊的量子风险敞口比比特币更深。
原因在于某种“反向账户抽象”。比特币的 UTXO 模型(特别是 Taproot 升级后)支持从公钥哈希派生的地址——这意味着公钥只有在转账支出时才会被披露。对于从不重复使用地址的用户来说,其暴露窗口仅限于从广播到确认之间的短短几秒钟。存储在未消费、未触碰地址中的资金在结构上是量子安全的。
以太坊则没有这种特性。外部账户(EOA)一旦签署第一笔交易,其公钥就会永久保留在链上。没有任何“新鲜地址”模式可以隐藏它。一个即便只交易过一次的钱包,也会成为一个静态目标,其脆弱性不会随时间而减弱。前 1,000 个钱包中持有的 2,050 万枚 ETH 不仅在理论上存在风险,而且已经永久地在公共账本上留下了指纹,等待着足够强大的机器来破解。
更糟糕的是,以太坊在不放弃账户的情况下无法轮换密钥。将资金发送到新地址会创建一个具有新公钥的新账户,但任何仍与旧地址关联的事物——ENS ��名称、合约权限、归属头寸、治理白名单——都不会随资金一起迁移。迁移成本不仅是移动代币的 Gas 费,还包括解绑旧地址所积累的每段关系的成本。
与谷歌的论文同步,以太坊基金会于 2026 年 3 月推出了 pq.ethereum.org,作为后量子研究、路线图、开源客户端代码库和每周开发网结果的权威中心。目前已有超过 10 个客户端团队正在运行专注于后量子原语的互操作性开发网,社区已达成共识,目标是在 2029 年之前完成 L1 协议层升级——同年也是谷歌设定将其自身身份认证服务从 ECDSA 迁移出去的期限。
路线图被分阶段安排在即将到来的四个硬分叉中,而不是一次性的“大爆炸”式分叉。大致如下:
Vitalik Buterin 在 2026 年 2 月底发出了紧迫信号,他写道:“验证者签名、数据存储、账户和证明都需要更新”——他在一句话中点名了所有四个分叉,并含蓄地承认,零星的升级将不足以应对挑战。
挑战并不在于密码学本身。美国国家标准与技术研究院(NIST)已经对 ML-KEM、ML-DSA 和 SLH-DSA 进行了标准化。挑战在于如何在不破坏成千上万个硬编码了 ECDSA 假设的 DApp,且不让钱包中数以十亿计、所有者从未迁移的沉睡 ETH 陷入困境的情况下,在一个价值超过 3,000 亿美元的实时网络中推行这些原语。
以太坊和比特币都面临着一个纯技术路线图无法解决的治理问题:那些存储在易受攻击地址中且所有者从未迁移的代币该怎么办?
以太坊基金会自己的常见问题解答(FAQ)用直白的措辞描述了这一选择:要么无所作为,要么冻结。无所作为意味着在“Q 日”(量子日),攻击者将清空每一个公钥已知的沉睡地址——包括创世时代的钱包、早期的 ICO 购买者、丢失密钥的持有者,以及 Vitalik 本人对公共物品融资的历史贡献中很大一部分资金。冻结则意味着通过社会共识采取行动,使任何在截止日期前未完成迁移的地址的取款请求失效。
比特币的 BIP 361,“后量子迁移与传统签名日落”,在三阶段框架中阐述了同�样的难题。联合作者 Ethan Heilman 公开估计,比特币全面迁移到量子抗性签名方案,从达成大致共识之日起需要七年时间——这意味着 BIP 361 需要在 2026 年实质性合并才能赶上 2033 年的期限,而要赶上 2029 年则需要更早。
这两条链都没有大规模作废代币的先例。以太坊确实在 2016 年回滚了 DAO 黑客攻击,但那是针对单一事件的撤销,而不是根据密码学姿态刻意冻结数百万个无关的钱包。这一决定将不可避免地被视为一次全民投票,测试“不可篡改性”还是“资金安全”才是区块链更深层的承诺。
2029 年的截止日期似乎还很遥远,但决定一个项目是准备就绪还是措手不及的决策,将在 2026 年和 2027 年做出。一些实际影响立即浮现。
智能合约架构师应审计 ECDSA 假设。 任何硬编码 ecrecover、嵌入不可变签名者地址或依赖 EOA 签名提案者密钥的合约都需要升级路径。今天部署的没有管理员权限的合约看起来很优雅;但在后量子时代,它们可能变得无法恢复。
托管商现在就需要开始进行密钥轮换。 管理着数十亿美元资产的托管服务商无法在一个 “Q-Day” 周末内轮换所有钱包。轮换、按风险等级隔离以及预先部署抗量子(PQ)就绪的冷存储是 2026 年要解决的问题,而不是 2028 年的问题。
跨链桥运营商面临着最迫切的紧迫性。 跨链桥将价值集中在少数多签密钥背后。�第一个具有经济理性的量子攻击不会针对随机选择的钱包 —— 它将针对生态系统中价值最高的单个密钥。跨链桥应该是第一批实施混合 PQ + ECDSA 签名的。
应用团队应跟踪 “四分叉路线图”。 后量子(PQ)序列中的每个以太坊硬分叉都将引入新的交易类型和验证语义。如果钱包、索引器、区块浏览器和节点运营商规划了升级窗口,它们将平稳降级;否则,它们将面临灾难性的崩溃。
BlockEden.xyz 在 Ethereum、Sui、Aptos 以及其他十几个链上运行生产级 RPC 和索引基础设施,并跟踪每个网络的后量子迁移路线图,让应用开发者无需操心。探索我们的 API 市场,在专为生存于未来十年加密技术转型(而不仅仅是当前阶段)而设计的基础设施上进行构建。
Google 论文最深远的贡献可能在于社会学层面,而非技术层面。十年来,“抗量子” 只是一个主要贴在没人使用的项目上的营销口号。主流公链将后量子(PQ)迁移视为下一代研究人员的问题。而来自 Google、Justin Drake 和 Dan Boneh 的这 57 页报告,在一篇出版物中彻底改变了这种姿态。
三个月内发布了三篇量子加密论文。共识已经形成:当前量子硬件与加密相关机器之间的资源差距,其缩减速度快于当前链协议与后量子就绪之间的差距。这两条曲线的交点 —— 根据预测的准确性,大约在 2029 年到 2032 年之间 —— 是加密基础设施面临的有��史以来最重要的截止日期。
那些将 2026 年视为严肃工程工作年,而非仅提供模糊保证的公链,在未来依然能够屹立不倒。而那些等到关于 “Vitalik 钱包被盗” 的头条新闻出现才行动的人,将没有时间做出反应。
2026 年 3 月 31 日,谷歌悄然发布了一篇研究论文,在密码学界引发强烈震动:破解保护比特币和以太坊安全的椭圆曲线加密,可能仅需约 50 万个物理量子比特——大约比谷歌 2019 年自己的估计少了 20 倍。在理想条件下,一台足够强大的量子计算机可以在约 9 分钟内从广播交易中破解私钥。考虑到比特币平均 10 分钟的出块间隔,这意味着攻击者在交易确认前盗取资金的概率高达 41%。
区块链面临的量子威胁已从理论走向紧迫现实。而稳定币发行商 Circle 早已预见到这一点。
九分钟。这是一份 57 页的 Google 量子 AI(Google Quantum AI)论文中提到的时间窗口,该论文指出,未来的量子计算机仅需这点时间就能从已公开的公钥中逆向推导出比特币私钥——这段时间短到足以包含在单个区块确认内,长到足以改写整个 1.3 万亿美元网络的风险状况。这篇由斯坦福大学和以太坊基金会的研究人员共同撰写、发表于 2026 年 3 月 30 日的论文,不仅预测了潜在的危机,还做了一件更微妙的事:它缩小了那个关键的数字。破解 ECDSA 所需的资源比先前的估计下降了 20 倍。Google 目前内部设定的后量子迁移目标是 2029 年。
Google 表示,只需不到 500,000 个量子比特即可破解比特币的加密。以太坊排名前 1,000 的钱包可能在不到 9 天的时间内被掏空。而截至 2026 年 4 月 1 日,恰好有一个生产级区块链声称已经为那个未来做好了准备。Naoris Protocol 刚刚上线了第一个后量子 Layer 1 主网——完全从零开始构建,采用了 NIST 批准的密码学和一种新颖的共识机制,将每个验证者都变成了安全哨兵。问题已不再是量子计算是否会威胁加密货币,而是该行业的其余部分能否在时钟归零前完成迁移。