每九分钟破解一个私钥。排名前 1,000 的以太坊钱包在不到九天内被洗劫一空。破解保护着超过 1,000 亿美元链上价值的加密算法所需的量子比特数量减少了 20 倍。这些并非末日论推特串的臆测 —— 它们源自谷歌量子 AI(Google Quantum AI)于 2026 年 3 月 30 日发布的 57 页白皮书,该白皮书由以太坊基金会研究员 Justin Drake 和斯坦福大学密码学家 Dan Boneh 共同撰写。
十年来,“量子风险”一直与小行星撞击处于相同的认知范畴 —— 真实、灾难性,但足够遥远,以至于没有人需要采取行动。谷歌的这篇论文重新定位了这一威胁。它绘制了针对以太坊的五条具体攻击路径,指名道姓了钱包和合约,并向工程师提供了一个数字 —— 少于 500,000 个物理量子比特 —— 这直接对应了 IBM、谷歌以及半打资金充足的初创公司已发布的路线图。换句话说,Q-Day(量子日)刚刚收到了一个明确的日历邀请。
一篇改变威胁模型的 57 页论文
这篇题为《保护椭圆曲线加密货币免受量子漏洞影响》(Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities)的论文,是主要量子硬件实验室首次进行枯燥的工程化工作,将 1994 年 Shor 算法的理论攻击转化为针对椭圆曲线离散对数问题 (ECDLP) 的逐步蓝图。ECDLP 保护着比特币、以太坊以及几乎所有使用 secp256k1 或 secp256r1 签署交易的链。
有三点使得这篇论文比之前的估计更具震撼力。
首先是量子比特数。早期的学术研究认为破解 256 位 ECDLP 需要数百万个物理量子比特。谷歌的作者将其降低到不到 500,000 个 —— 由于改进了电路综合、更好的纠错开销以及更紧凑的魔法态路由,这一数字减少了 20 倍。IBM 已公开承诺到 2029 年制造出 100,000 量子比特的机器。谷歌尚未公布类似的目标,但其内部路线图的增长斜率被广泛认为与之相似。50 万个量子比特不再是一个需要虚指到 2050 年代的数字。
其次是运行时间。论文估计,一旦拥有足够性能的机器,从公钥恢复单个私钥大约需要 9 分钟的量子运行时间 —— 不是几天,也不是几小时。这个数字非常重要,因为它决定了攻击者在检测和响应之间的窗口期内可以清空多少高价值目标。
第三,也是对以太坊而言最重要的一点,作者并没有止步于“ECDSA 已被破解”。他们梳理了协议栈,并识别出五个截然不同的攻击面,且每个攻击面都列出了受害对象。
针对以太坊的五条攻击路径
论文将以太坊的量子风险组织为五个向量,刻意避开了“所有加密货币在同一天灭亡”这种偷懒的描述。
1. 外部账户 (EOA) 泄露。 一旦以太坊地址签署了哪怕一笔交易,其公钥就会永久保留并在链上可见。量子攻击者在大约 9 分钟内推导出私钥,然后清空钱包。谷歌的分析识别了 ETH 余额前 1,000 名的钱包 —— 它们总计持有约 2,050 万枚 ETH —— 作为经济上最合理的攻击目标。以每个私钥 9 分钟的速度计算,攻击者在不到 9 天内就能清空整个名单。
2. 管理员控制的智能合约接管。 以太坊的稳定币经济和大多数生产环境中的 DeFi 协议都依赖于由 EOA 控制的多签、升级密钥和铸造者角色。论文列举了 70 多个由管理员控制的合约,包括主流稳定币背后的升级或铸造密钥。窃取这些密钥不仅是盗取余额 —— 它还能让攻击者铸造、冻结或改写合约逻辑。谷歌估计,受这些脆弱密钥影响的下行稳定币和代币化资产约为 2,000 亿美元。
3. 权益证明 (PoS) 验证者密钥泄露。 以太坊的共识层使用 BLS 签名,这些签名同样基于椭圆曲线假设,且同样会被 Shor 算法破解。原则上,恢复足够多验证者私钥的攻击者可以进行双重签名、敲定冲突区块或阻碍最终确定性。这里的风险不在于 ETH 被盗,而在于区块链本身的完整性。
4. Layer 2 结算泄露。 论文将分析扩展到了主流的 Rollup。乐观 Rollup (Optimistic rollups) 依赖于由 EOA 签署的提议者和挑战者密钥;ZK Rollup 依赖于用于排序和证明的操作员密钥。泄露这些密钥虽然不会破坏底层的有效性证明,但能让攻击者窃取排序器费用、审查退出请求,或者在最坏的情况下,卷走持有 L2 存款的桥接器资金。
5. 历史数据可用性的永久伪造。 这是密码学家认为最令人不安的路径。最初的以太坊可信设置(以及支持 EIP-4844 blobs 的 KZG 仪式)依赖于特定假设,即足够强大的量子机器可以通过公开产物重建设置秘密。其结果不是盗窃,而是获得了永久伪造历史状态证明的能力,且这些证明看起来永远有效。没有任何密钥轮换可以修复已经发布的数据。
这五条路径共同使超过 1,000 亿美元面临直接风险,如果对链完整性的信心崩溃,风险规模将呈数量级增长。
以太坊比比特币面临更大的风险
该研究论文得出了一个微妙但重要的结论:尽管两条链都使用相同的 secp256k1 曲线,但以太坊的量子风险敞口比比特币更深。
原因在于某种“反向账户抽象”。比特币的 UTXO 模型(特别是 Taproot 升级后)支持从公钥哈希派生的地址——这意味着公钥只有在转账支出时才会被披露。对于从不重复使用地址的用户来说,其暴露窗口仅限于从广播到确认之间的短短几秒钟。存储在未消费、未触碰地址中的资金在结构上是量子安全的。
以太坊则没有这种特性。外部账户(EOA)一旦签署第一笔交易,其公钥就会永久保留在链上。没有任何“新鲜地址”模式可以隐藏它。一个即便只交易过一次的钱包,也会成为一个静态目标,其脆弱性不会随时间而减弱。前 1,000 个钱包中持有的 2,050 万枚 ETH 不仅在理论上存在风险,而且已经永久地在公共账本上留下了指纹,等待着足够强大的机器来破解。
更糟糕的是,以太坊在不放弃账户的情况下无法轮换密钥。将资金发送到新地址会创建一个具有新公钥的新账户,但任何仍与旧地址关联的事物——ENS ��名称、合约权限、归属头寸、治理白名单——都不会随资金一起迁移。迁移成本不仅是移动代币的 Gas 费,还包括解绑旧地址所积累的每段关系的成本。
2029 年期限与以太坊的多分叉路线图
与谷歌的论文同步,以太坊基金会于 2026 年 3 月推出了 pq.ethereum.org,作为后量子研究、路线图、开源客户端代码库和每周开发网结果的权威中心。目前已有超过 10 个客户端团队正在运行专注于后量子原语的互操作性开发网,社区已达成共识,目标是在 2029 年之前完成 L1 协议层升级——同年也是谷歌设定将其自身身份认证服务从 ECDSA 迁移出去的期限。
路线图被分阶段安排在即将到来的四个硬分叉中,而不是一次性的“大爆炸”式分叉。大致如下:
- 分叉 1 —— 后量子密钥注册表:一个原生注册表,允许账户在发布其 ECDSA 密钥的同时发布一个后量子公钥,从而在不破坏现有工具的情况下实现可选的 PQ 共同签名。
- 分叉 2 —— 账户抽象钩子:基于 EIP-8141 的“框架交易”抽象,账户可以指定不再假设使用 ECDSA 的验证逻辑,为迁移到基于格的方案(如 ML-DSA/Dilithium)或基于哈希的方案(SLH-DSA/SPHINCS+)提供原生路径。
- 分叉 3 —— PQ 共识:验证者 BLS 签名被替换为后量子聚合方案。由于签名大小对区块传播的影响,这是整个路线图中工程量最大的部分。
- 分叉 4 —— PQ 数据可用性:针对 Blob 承诺采用新的可信设置或透明设置,使其不依赖于椭圆曲线加密(ECC)假设,从而消除历史伪造风险。
Vitalik Buterin 在 2026 年 2 月底发出了紧迫信号,他写道:“验证者签名、数据存储、账户和证明都需要更新”——他在一句话中点名了所有四个分叉,并含蓄地承认,零星的升级将不足以应对挑战。
挑战并不在于密码学本身。美国国家标准与技术研究院(NIST)已经对 ML-KEM、ML-DSA 和 SLH-DSA 进行了标准化。挑战在于如何在不破坏成千上万个硬编码了 ECDSA 假设的 DApp,且不让钱包中数以十亿计、所有者从未迁移的沉睡 ETH 陷入困境的情况下,在一个价值超过 3,000 亿美元的实时网络中推行这些原语。
“被冻结”还是“被盗”的抉择
以太坊和比特币都面临着一个纯技术路线图无法解决的治理问题:那些存储在易受攻击地址中且所有者从未迁移的代币该怎么办?
以太坊基金会自己的常见问题解答(FAQ)用直白的措辞描述了这一选择:要么无所作为,要么冻结。无所作为意味着在“Q 日”(量子日),攻击者将清空每一个公钥已知的沉睡地址——包括创世时代的钱包、早期的 ICO 购买者、丢失密钥的持有者,以及 Vitalik 本人对公共物品融资的历史贡献中很大一部分资金。冻结则意味着通过社会共识采取行动,使任何在截止日期前未完成迁移的地址的取款请求失效。
比特币的 BIP 361,“后量子迁移与传统签名日落”,在三阶段框架中阐述了同�样的难题。联合作者 Ethan Heilman 公开估计,比特币全面迁移到量子抗性签名方案,从达成大致共识之日起需要七年时间——这意味着 BIP 361 需要在 2026 年实质性合并才能赶上 2033 年的期限,而要赶上 2029 年则需要更早。
这两条链都没有大规模作废代币的先例。以太坊确实在 2016 年回滚了 DAO 黑客攻击,但那是针对单一事件的撤销,而不是根据密码学姿态刻意冻结数百万个无关的钱包。这一决定将不可避免地被视为一次全民投票,测试“不可篡改性”还是“资金安全”才是区块链更深层的承诺。
对开发者而言,这在当下意味着什么
2029 年的截止日期似乎还很遥远,但决定一个项目是准备就绪还是措手不及的决策,将在 2026 年和 2027 年做出。一些实际影响立即浮现。
智能合约架构师应审计 ECDSA 假设。 任何硬编码 ecrecover、嵌入不可变签名者地址或依赖 EOA 签名提案者密钥的合约都需要升级路径。今天部署的没有管理员权限的合约看起来很优雅;但在后量子时代,它们可能变得无法恢复。
托管商现在就需要开始进行密钥轮换。 管理着数十亿美元资产的托管服务商无法在一个 “Q-Day” 周末内轮换所有钱包。轮换、按风险等级隔离以及预先部署抗量子(PQ)就绪的冷存储是 2026 年要解决的问题,而不是 2028 年的问题。
跨链桥运营商面临着最迫切的紧迫性。 跨链桥将价值集中在少数多签密钥背后。�第一个具有经济理性的量子攻击不会针对随机选择的钱包 —— 它将针对生态系统中价值最高的单个密钥。跨链桥应该是第一批实施混合 PQ + ECDSA 签名的。
应用团队应跟踪 “四分叉路线图”。 后量子(PQ)序列中的每个以太坊硬分叉都将引入新的交易类型和验证语义。如果钱包、索引器、区块浏览器和节点运营商规划了升级窗口,它们将平稳降级;否则,它们将面临灾难性的崩溃。
BlockEden.xyz 在 Ethereum、Sui、Aptos 以及其他十几个链上运行生产级 RPC 和索引基础设施,并跟踪每个网络的后量子迁移路线图,让应用开发者无需操心。探索我们的 API 市场,在专为生存于未来十年加密技术转型(而不仅仅是当前阶段)而设计的基础设施上进行构建。
威胁建模中的寂静革命
Google 论文最深远的贡献可能在于社会学层面,而非技术层面。十年来,“抗量子” 只是一个主要贴在没人使用的项目上的营销口号。主流公链将后量子(PQ)迁移视为下一代研究人员的问题。而来自 Google、Justin Drake 和 Dan Boneh 的这 57 页报告,在一篇出版物中彻底改变了这种姿态。
三个月内发布了三篇量子加密论文。共识已经形成:当前量子硬件与加密相关机器之间的资源差距,其缩减速度快于当前链协议与后量子就绪之间的差距。这两条曲线的交点 —— 根据预测的准确性,大约在 2029 年到 2032 年之间 —— 是加密基础设施面临的有��史以来最重要的截止日期。
那些将 2026 年视为严肃工程工作年,而非仅提供模糊保证的公链,在未来依然能够屹立不倒。而那些等到关于 “Vitalik 钱包被盗” 的头条新闻出现才行动的人,将没有时间做出反应。
