区块链基础设施和节点服务
查看所有标签
多年以来,代币化欧洲股票面临的最大问题并非监管、流动性或托管,而是数据。链上构建者可以对雀巢(Nestlé)或桑坦德银行(Santander)的包装资产进行代币化,但他们不得不参考来自美国数据源、聚合器或来源不明的合成馈送价格。任何机构对手方都会问同一个问题——“你引用的是谁的数据盘?”——而得到的回答从来都不能令人满意。
2026 年 4 月 16 日,这个回答改变了。运营瑞士证券交易所(SIX Swiss Exchange)和西班牙证券交易所(BME Spanish Exchanges)的 SIX 集团宣布与 Chainlink 直接集成,将瑞士和西班牙蓝筹股的股票参考数据(总市值合计达 2 万亿欧元)原生带入链上。该协议立即对 75 多个公链和私有链上的 2,600 多个应用程序开放,悄然拆除了代币化欧洲资本市场的最后一道结构性障碍。
7.4 秒。这就是在运行 Cysic 全新 Venus 证明器(prover)的 24-GPU 集群上,为整个以太坊主网区块生成零知识证明(ZK proof)所需的时间。一年前,同样的任务需要 200 张高端显卡和 10 秒时间才能达到实时同步(real-time parity)。这一差距的缩小——在硬件成本降低约一个数量级的同时,突破了以太坊 12 秒的插槽时间(slot time)——是本季度加密基础设施中最静默的拐点。而这一切正值 Fusaka 的 PeerDAS 升级开启数据可用性(DA)闸门之际,使得证明生成成为了以太坊通往“百 Rollup 未来”之间唯一的瓶颈。
2026 年 4 月 8 日,Cysic 开源了 Venus,这是一个基于 Zisk 构建的硬件优化证明后端,而 Zisk 最初是由 Polygon Hermez 开发的 zkVM。此次发布并没有配合常见的代币解锁宣传,而是直接发布在 GitHub 上,并附带一份技术说明,声称比 Zisk 0.16.1 实现了 9% 的端到端改进,并邀请社区贡献。这种轻描淡写掩盖了真实的故事:ZK 证明已静默地从研究项目转变为商品化计算,而赢得未来两年的基础设施栈将不再是大多数 L2 团队目前正在构建的样子。
三年来,以太坊的扩容争论一直集��中在数据可用性(DA)上。Blobs、EIP-4844、PeerDAS、danksharding——路线图上的每一次讨论都假设,一旦以太坊能够廉价地发布 Rollup 数据,L2 将自动继承成本的降低。这一假设在 2025 年底悄然破灭。Fusaka 于 2025 年 12 月 3 日上线,随之而来的 PeerDAS 承诺每个区块提供 48 个 Blob,并开辟了通往每秒 12,000 笔交易的路径。在以太坊历史上,数据可用性第一次不再是系统的最紧迫约束。
新的最紧约束是证明生成。ZK Rollup 需要对其状态转换的有效性进行密码学证明。生成这些证明是昂贵的计算工作,发生在链下的专用硬件上。Optimistic Rollup 通过挑战窗口而非数学证明来解决争议,从而完全跳过了这一成本——这就是为什么顶级 ZK L2 目前的总锁定价值(TVL)约为 33 亿美元,而 Optimistic Rollup 已突破 400 亿美元。这个 12 比 1 的差距不是叙事问题,而是证明器经济学问题。
Succinct 的内部研究直言不讳地给出了计算结果。使用 SP1 Turbo 实时证明每个以太坊区块需要一个由 160-200 张 RTX 4090 GPU 组成的集群——每个证明集群的资本支出为 30 万至 40 万美元,并消耗电网规模的电力。任何想要运行自己证明器的 L2 都面临选择:要么将证明生成集中在少数负担得起该硬件堆栈的运营商手中,要么接受会破坏用户体验的数分钟证明延迟。两种选择都无法实现 Vitalik 自 2021 年以来一直描绘的“ZK 终局(ZK endgame)”。
Venus 的意义与其说在于它本身,不如说在于它所代表的趋势。Cysic 并没有发明一种新的证明系统。底层的�密码学源自 Zisk,它是 Jordi Baylina 和 Polygon 团队多年研究的成果。Cysic 所做的是重新构建执行层,使证明生成成为一个显式的计算图——一个可以在异构硬件上进行端到端调度的有向无环操作图(DAG)。
在实践中,这意味着主导早期 zkVM 的 CPU-GPU 同步开销在调度层得到了优化。证明器不会在分发下一个操作之前停下来等待 GPU 内核完成。由于计算图是预先确定的,因此数据移动、内存分配和内核启动可以实现流水线化。这就是比 ZisK 0.16.1 提升 9% 的原因——这不是多项式数学的突破,而是数学如何与硅芯片接触的工程胜利。
更重要的是,同样的计算图可以在 FPGA 上运行,并最终在 Cysic 专用的 ZK ASIC 上运行。该公司公开宣称其 ASIC 每秒可执行 133 万次 Keccak 哈希函数运算,比典型的 GPU 工作负载提高了一百倍,能效提高约五十倍。内部估计显示,单个定制的 ZK Pro 单元可以取代约 50 张 GPU,而功耗仅为后者的一小部分。如果这些数据在生产环境中得以维持,证明的经济模式将从租用装满 RTX 显卡的仓库转向运行由专用芯片组成的紧凑型机架。
Venus 的出现并非偶然。在过去的 12 个月里,三个团队汇聚到了同一个里程碑:在定义实时验证的 12 秒插槽时间(slot time)内证明以太坊区块。
Succinct 率先公开实现了这一目标。2025 年 5 月宣布的 SP1 Hypercube 使用 200 张 RTX 4090 集群,在 10,000 个主网区块样本中实现了 93% 的实时证明。2025 年 11 月的修订版仅使用 16 张 RTX 5090 GPU 就将成功率提高到 99.7%——硬件成本在 6 个�月内降低了约 90%。该系统目前已在以太坊主网线上运行,为每个挖掘出的区块生成证明。
Cysic 的成本数据则更为出色。使用 24 张 GPU 达到 7.4 秒,使得端到端证明在通用硬件上也能轻松保持在插槽时间内。目前的 Venus 版本是开源的,尚未经过生产审计,且仍在积极开发中。但工程轨迹表明,在消费级集群上实现亚 10 秒证明现在只是软件调优的问题,而非基础架构问题。
单次证明的成本也随之大幅下降。行业基准显示,使用 16x RTX 5090 硬件,目前每个以太坊区块证明的最佳成本约为 2 美分。大规模采用的目标是 1 美分以下。一年前,同样的证明成本接近 1 美元。三年前,这在经济上完全不可行——结算 Rollup 上的 Gas 费甚至支付不起证明器的电费。这就是那种会悄然颠覆整个产品类别的成本曲线,而且它正在加速。
廉价、快速的证明并不意味着它会自动变得唾手可得。必须有人来操作硬件、匹配需求、为证明任务定价并结算支付。目前,三种不同的架构押注正在中间层展开竞争。
RISC Zero 于 2025 年 9 月在主网启动了 Boundless,运行着一个拍卖市场。GPU 运营商竞相生成证明,系统将工作路由至成本最低的合格证明者。该模型借鉴了 AWS Spot Instances 等现货计算市场,并承诺将证明成本推向边际硬件成本。Boundless 最近增加了比特币结算功能,允许 Ethereum 和 Base 的证明在比特币基础层上进行验证——这是 ZK 证明(ZK attestations)应用场景的一次小众但意义重大的扩张。
Succinct 的 Prover Network 则采取了不同的策略。它不采用纯粹的拍卖模式,而是运行一个路由协议,由经过批准的高性能证明者处理特定的工作负载。Cysic 作为多节点证明者运营商加入了该网络,运行针对 SP1 Hypercube 生产流量优化的 GPU 集群。这种安排表明 Succinct 看到了可靠性和延迟保证的价值,而这些是纯现货市场无法为面向用户的 Rollup 提供的。
Cysic 本身于 2025 年 12 月 11 日启动了主网和 CYS 代币,此后已处理了超过 1,000 万个 ZK 证明,并与 Scroll、Aleo、Succinct、ETHProof 等进行了集成。该网络的卖点是“ComputeFi”——将证明能力转化为一种流动的链上资产,运营商可以对其进行代币化和质押。这会成为第三大主流市场,还是沦为两大网络的供应商,是 2026 年悬而未决的问题。
在基础设施新闻之下,其核心意义在于实际 L2 的单位经济效益。如今,zkEVM Rollup 的每笔交易成本中有相当大一部分花在了证明生成上。这些成本要么作为 Gas 费转嫁给用户,要么由 Rollup 运营商作为利润空间吸收。无论哪种方式,它们都拉大了 ZK Rollup 与乐观 Rollup(Optimistic Rollup)在同等交易下的收费差距。
如果证明成本降至分钱级别,且证明延迟能压缩到以太坊的插槽时间(slot time)内,这个差距就会消失。ZK Rollup 不再需要收取安全溢价。用户体验将与乐观 Rollup 无异——除了提款结算仅需几分钟,而不是那仍对每个乐观桥(Optimistic Bridge)征收“摩擦税��”的七天挑战期。
这种转变在结构上非常重要,因为大型机构流动性池仍将乐观 Rollup 的提款延迟视为留在 L1 的原因。具有市场驱动定价的实时 ZK 证明消除了反对 ZK 优先(ZK-first)Rollup 架构的最后一个功能性论点。每个目前使用乐观堆栈的 L2 团队都将在 2026 年面临严肃的技术审查。其中一些将会迁移,或者至少会为其排序器(Sequencer)发布一个 ZK 分叉版本。
Venus 版本的发布对其局限性表现得很诚实。代码尚未经过生产环境审计。在生产环境的 Rollup 中运行未经审计的证明者软件,一旦健全性漏洞(Soundness Bug)导致验证者接受了无效证明,这种决定可能会断送职业生涯。预计生产部署将比开源发布滞后数月,而非数周。
硬件层面也集中了风险。如果基于 ASIC 的证明能够实现承诺的 50 倍效率提升,少数制造商将像比特大陆(Bitmain)主导比特币挖矿一样,主导证明者硬件。这种动态违背了最初证明 ZK Rollup 合理性的去中心化叙事。Cysic 的 ASIC 路线图是对计算问题的回答,但对于谁拥有保护全球最大智能合约平台的芯片,这是一个全新的疑问。
最后,实时证明只有在堆栈的其余部分跟上时才有意义。通过 PeerDAS 进行的数据可用性采样需要在生产规模上真正发挥作用,而不仅仅是在测试网基准测试中。排序器去中心化仍然是所有主流 L2 面临的未决问题。证明对于最终目标是必要的,但并不充分,而且该行业有过在某一层宣布胜利,却悄悄掩盖相邻层崩溃的历史。
放大来看,模式已经变得清晰。2025 年 5 月,以太坊实时证明需要价值 40 万美元的 GPU 集群和九位数的研发预算。而到 2026 年 4 月,它可以在运行开源软件的 24 张通用显卡上运行。接下来的 18 个月将进一步压缩成本曲线——向 ASIC 经济性靠拢,向分钱级别的证明定价靠拢,向证明生成作为一种公用事业服务而非定制基础设施项目靠拢。
对于开发者而言,实际意义在于,2024 年在经济上不可行的基于 ZK 的架构现在值得重新评估。隐私保护交易协议、可验证 AI 推理、具有数学安全而非多签(Multisig)安全的跨链消息传递、具有零知识凭证披露的链上身份——所有这些此前都受阻于证明者成本墙,而现在这道墙已不复存在。
孤立来看,Cysic Venus 的发布只是对开源证明后端的一次小幅工程更新。但将其放在 Succinct 的 Hypercube 部署到主网、Boundless 运行实时证明拍卖以及 Fusaka 的 PeerDAS 清除数据可用性瓶颈的背景下——这是 ZK 基础设施停止成为约束并开始成为底座的转折点。在那次转型之前撰写的每一篇关于 Rollup 的论文都需要重写。
BlockEden.xyz 为包括以太坊 L2、Scroll 和 Aptos 在内的 27 多条链提供企业级 RPC 和数据基础设施。随着实时证明重塑 L2 格局,探索我们的 API 市场,为 ZK 原生时代构建可靠的基础。
来源:
目前有两家公司决定了哪些交易能够进入以太坊。Titan Builder 和 Beaverbuild 共同构建了大约 86% 的主网区块,加上 Rsync 和 Flashbots,前四名的市场份额超过了 90%。对于一个以去中心化为品牌核心的网络来说,这是一个令人不安的数字 —— 而这一切即将发生改变。
预定于 2026 年上半年进行的 Glamsterdam 硬分叉,将原生提议者-构建者分离(Enshrined Proposer-Builder Separation, ePBS)—— 正式命名为 EIP-7732 —— 引入以太坊的共识层。在 MEV-Boost 作为链下中间件运行三年后,区块生产终于将被吸纳进协议本身。这场变革的赢家和输家将定义以太坊基础设施的下一个周期。
要理解 ePBS 为什么重要,首先要从它正在取代的市场说起。
MEV-Boost 是 Flashbots 在合并(The Merge)后推出的中继系统,原本只是一个临时解决方案。它允许验证者将区块构建外包给专业的构建者,这些构建者可以从每个插槽(slot)中挤出更多价值,然后将这些价值重新分配给提议者。它的效果好得甚至有点过头。在不到两年的�时间里,超过 90% 的以太坊区块是通过 MEV-Boost 构建的,构建市场也因此固化在少数几家参与者手中。
来自 relayscan.io 的 2025 年数据直白地说明了这一切:
赫芬达尔-赫希曼指数(HHI)接近 3,892,这使得构建者市场远超美国司法部规定的 1,800 “高度集中” 门槛。据报道,在排他性订单流交易下,Titan 的利润率超过 17%,而最初播种了整个 MEV-Boost 生态系统的 Flashbots 如今在区块构建业务上仅能维持盈亏平衡。
这正是 ePBS 旨在从协议层瓦解的市场现状。
EIP-7732 的设计非常精准。这是一个仅针对共识层的升级,它在逻辑和时间上将执行验证与共识验证解耦。通俗地说,提议者在承诺区块之前,不再需要看到完整区块的执行负载(execution payload)。
以下是新的流程:
关键的工程洞察在于,完整的执行负载不再处于共识的关键路径上。网络传播速度加快,验证者每个插槽承担的计算负荷降低,而且 —— 这是每个 MEV 研究员一直在等待的部分 —— 中继器(relay)变得多余了。构建者通过密码学方式进行承诺;协议本身负责强制执行该承诺。
如今,中继器的存在是因为提议者无法直接信任构建者。像 Flashbots 或 Titan Relay 这样的中继器持有完整区块并进行验证,只有在提议者签署区块头后才向其展示 —— 从而防止提议者窃取构建者的 MEV。
ePBS 将这种信任关系变成了协议的原生机制。PTC 负责强制执行及时性,共识规则负责处理支付。Flashbots 为协调区块构建而建立的整个中间件层(除了客户端软件本身之外最重要的以太坊基础设施)在经济上将变得不再必要。
这就是为什么 CoinDesk 的报道将 Glamsterdam 框架化为一场关于 MEV 公平性 而不仅仅是性能的斗争。问题不在于 MEV 是否会消失。MEV 是具有公共内存池的有序交易产生的数学必然结果。问题在于谁以何种条件获取它。
中继器的寡头垄断不仅集��中了权力,还集中了合规性。在峰值时期,大约 72% 的 MEV-Boost 区块被归类为符合 OFAC 标准,因为最大的中继器过滤了受制裁的地址。随着非审查中继器市场份额的增加,这一比例后来下降到 30% 左右,但这种架构仍然让少数几家美国公司对哪些以太坊交易能够被提议拥有否决权。
ePBS 并不强制要求抗审查性。但通过消除中继瓶颈,它消除了自然的强制执行点。进行审查的构建者现在必须在原始拍卖价格上与不进行审查的构建者竞争 —— 而在一个去信任的投标-披露市场中,价格往往是决定因素。预计在 Glamsterdam 发布后,符合 OFAC 标准的份额将进一步下降,原因很简单:最容易强加政策的环节已被消除。
以太坊并不是第一个面临 MEV 市场的区块链,将 ePBS 与主导 2026 年的其他两种模式进行对比是非常有意义的。
Solana 的 Jito 方案。 超过 94% 的 Solana 质押量运行在 Jito-Solana 客户端上。小费通过显式拍卖直接流向验证者——没有中继(relay),没有区块构建者-提议者分离(builder-proposer split)。MEV 占验证者总奖励的 15-25%,且通过 JitoSOL 与质押者的连接是直接的。其优点是透明度;缺点是 Solana 的领导者调度(leader schedule)集中了 MEV 提取窗口,这种方式仍然会对 DEX 交易者产生夹心攻击(sandwich attacks)。
Base 的定序器模式。 Coinbase 在 Base 上运营单一的定序器,并直接获取定序器收入。由于不存在第三方,因此�没有针对第三方的 MEV 拍卖。这为 L2 运营商实现了收入获取的最大化,但完全牺牲了去中心化的叙事——这种权衡只适用于 Coinbase 这种规模的资产负债表,而不适用于其他任何人。
以太坊的 ePBS。 一种由共识介导的、构建者与提议者之间无需信任的出价-揭示拍卖。理论上,这结合了 Jito 的透明度与以太坊意识形态所要求的可信中立分配。实际上,目前还不清楚构建者的集中化是否只是在规则变更后重新抬头,还是取消独家订单流(exclusive-order-flow)协议能真正重新开放市场。
研究人员估计,DeFi 用户每年因夹心攻击、抢跑(frontrunning)和 JIT(即时)流动性提取而损失 超过 5 亿美元——仅夹心攻击就占 2025 年 MEV 成交量的 51%。EigenPhi 在 2025 年底的数据显示,在单个 30 天的时间窗口内,以太坊上有超过 72,000 次夹心攻击,针对 35,000 名受害者。2025 年 3 月的一次 Uniswap v3 稳定币兑换中,价值 220,764 美元的 USDC 被压缩为 5,271 美元的 USDT——受害者损失高达 98%。
ePBS 能减少这种情况吗?直接来说,不能。攻击面——公共内存池(mempools)加上任意的交易排序——依然存在。但 ePBS 围绕 MEV 防护重塑了生态系统:
简而言之:ePBS 解决了谁会因交易排序获得报酬,而不是用户是否会因排序而被剥削。第二场战斗才刚刚开始。
三个信号将告诉你 ePBS 是否兑现了其去中心化的承诺,还是悄悄地重现了旧有的寡头垄断:
六个月后的 HHI 指数。 如果 ePBS 实施后构建者的 HHI 指数仍保持在 2,500 以上,说明集中化问题在于规模经济而非中间件,任何协议层面的手术都无济于事。如果降至 1,800 以下,说明 ePBS 达到了预期的效果。
独家订单流协议。 目前构建者的利润空间依赖于与 Uniswap、Banana Gun 等高价值订单流来源的私下交易。ePBS 虽未直接禁止这些交易,但改变了博弈杠杆。观察旗舰级的集成是会转向 BuilderNet 式的开放联盟,还是维持独家协议。
无审查区块份额。 Post-Glamsterdam 升级后,基于中继的审查瓶颈已不复存在。如果符合 OFAC 标准的区块份额依然保持在 50% 以上,这说明以太坊面临的合规压力是结构性的而非基础设施层面的。
Glamsterdam 将重塑以太坊排序交易的方式,但它不会触及大多数基础设施提供商实际从事的工作:运行节点、提供 RPC 服务、索引状态。区块构建层一直是协议栈中极其细分的一部分。对于在以太坊之上构建的开发者来说,ePBS 的实际影响是间接的——稍快的传播速度、更高程度的可信中立,以及 MEV 防护服务重心的可能转移。
BlockEden.xyz 为以太坊、Sui、Aptos 以及其他 20 多个链提供企业级 API 基础设施,通过受 SLA 保障的 RPC 端点使你的应用免受共识层变更的影响。探索我们的 API 市场,在能够经受任何单一升级考验的基础设施上进行构建。
每九分钟破解一个私钥。排名前 1,000 的以太坊钱包在不到九天内被洗劫一空。破解保护着超过 1,000 亿美元链上价值的加密算法所需的量子比特数量减少了 20 倍。这些并非末日论推特串的臆测 —— 它们源自谷歌量子 AI(Google Quantum AI)于 2026 年 3 月 30 日发布的 57 页白皮书,该白皮书由以太坊基金会研究员 Justin Drake 和斯坦福大学密码学家 Dan Boneh 共同撰写。
十年来,“量子风险”一直与小行星撞击处于相同的认知范畴 —— 真实、灾难性,但足够遥远,以至于没有人需要采取行动。谷歌的这篇论文重新定位了这一威胁。它绘制了针对以太坊的五条具体攻击路径,指名道姓了钱包和合约,并向工程师提供了一个数字 —— 少于 500,000 个物理量子比特 —— 这直接对应了 IBM、谷歌以及半打资金充足的初创公司已发布的路线图。换句话说,Q-Day(量子日)刚刚收到了一个明确的日历邀请。
这篇题为《保护椭圆曲线加密货币免受量子漏洞影响》(Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities)的论文,是主要量子硬件实验室首次进行枯燥的工程化工作,将 1994 年 Shor 算法的理论攻击转化为针对椭圆曲线离散对数问题 (ECDLP) 的逐步蓝图。ECDLP 保护着比特币、以太坊以及几乎所有使用 secp256k1 或 secp256r1 签署交易的链。
有三点使得这篇论文比之前的估计更具震撼力。
首先是量子比特数。早期的学术研究认为破解 256 位 ECDLP 需要数百万个物理量子比特。谷歌的作者将其降低到不到 500,000 个 —— 由于改进了电路综合、更好的纠错开销以及更紧凑的魔法态路由,这一数字减少了 20 倍。IBM 已公开承诺到 2029 年制造出 100,000 量子比特的机器。谷歌尚未公布类似的目标,但其内部路线图的增长斜率被广泛认为与之相似。50 万个量子比特不再是一个需要虚指到 2050 年代的数字。
其次是运行时间。论文估计,一旦拥有足够性能的机器,从公钥恢复单个私钥大约需要 9 分钟的量子运行时间 —— 不是几天,也不是几小时。这个数字非常重要,因为它决定了攻击者在检测和响应之间的窗口期内可以清空多少高价值目标。
第三,也是对以太坊而言最重要的一点,作者并没有止步于“ECDSA 已被破解”。他们梳理了协议栈,并识别出五个截然不同的攻击面,且每个攻击面都列出了受害对象。
论文将以太坊的量子风险组织为五个向量,刻意避开了“所有加密货币在同一天灭亡”这种偷懒的描述。
1. 外部账户 (EOA) 泄露。 一旦以太坊地址签署了哪怕一笔交易,其公钥就会永久保留并在链上可见。量子攻击者在大约 9 分钟内推导出私钥,然后清空钱包。谷歌的分析识别了 ETH 余额前 1,000 名的钱包 —— 它们总计持有约 2,050 万枚 ETH —— 作为经济上最合理的攻击目标。以每个私钥 9 分钟的速度计算,攻击者在不到 9 天内就能清空整个名单。
2. 管理员控制的智能合约接管。 以太坊的稳定币经济和大多数生产环境中的 DeFi 协议都依赖于由 EOA 控制的多签、升级密钥和铸造者角色。论文列举了 70 多个由管理员控制的合约,包括主流稳定币背后的升级或铸造密钥。窃取这些密钥不仅是盗取余额 —— 它还能让攻击者铸造、冻结或改写合约逻辑。谷歌估计,受这些脆弱密钥影响的下行稳定币和代币化资产约为 2,000 亿美元。
3. 权益证明 (PoS) 验证者密钥泄露。 以太坊的共识层使用 BLS 签名,这些签名同样基于椭圆曲线假设,且同样会被 Shor 算法破解。原则上,恢复足够多验证者私钥的攻击者可以进行双重签名、敲定冲突区块或阻碍最终确定性。这里的风险不在于 ETH 被盗,而在于区块链本身的完整性。
4. Layer 2 结算泄露。 论文将分析扩展到了主流的 Rollup。乐观 Rollup (Optimistic rollups) 依赖于由 EOA 签署的提议者和挑战者密钥;ZK Rollup 依赖于用于排序和证明的操作员密钥。泄露这些密钥虽然不会破坏底层的有效性证明,但能让攻击者窃取排序器费用、审查退出请求,或者在最坏的情况下,卷走持有 L2 存款的桥接器资金。
5. 历史数据可用性的永久伪造。 这是密码学家认为最令人不安的路径。最初的以太坊可信设置(以及支持 EIP-4844 blobs 的 KZG 仪式)依赖于特定假设,即足够强大的量子机器可以通过公开产物重建设置秘密。其结果不是盗窃,而是获得了永久伪造历史状态证明的能力,且这些证明看起来永远有效。没有任何密钥轮换可以修复已经发布的数据。
这五条路径共同使超过 1,000 亿美元面临直接风险,如果对链完整性的信心崩溃,风险规模将呈数量级增长。
该研究论文得出了一个微妙但重要的结论:尽管两条链都使用相同的 secp256k1 曲线,但以太坊的量子风险敞口比比特币更深。
原因在于某种“反向账户抽象”。比特币的 UTXO 模型(特别是 Taproot 升级后)支持从公钥哈希派生的地址——这意味着公钥只有在转账支出时才会被披露。对于从不重复使用地址的用户来说,其暴露窗口仅限于从广播到确认之间的短短几秒钟。存储在未消费、未触碰地址中的资金在结构上是量子安全的。
以太坊则没有这种特性。外部账户(EOA)一旦签署第一笔交易,其公钥就会永久保留在链上。没有任何“新鲜地址”模式可以隐藏它。一个即便只交易过一次的钱包,也会成为一个静态目标,其脆弱性不会随时间而减弱。前 1,000 个钱包中持有的 2,050 万枚 ETH 不仅在理论上存在风险,而且已经永久地在公共账本上留下了指纹,等待着足够强大的机器来破解。
更糟糕的是,以太坊在不放弃账户的情况下无法轮换密钥。将资金发送到新地址会创建一个具有新公钥的新账户,但任何仍与旧地址关联的事物——ENS ��名称、合约权限、归属头寸、治理白名单——都不会随资金一起迁移。迁移成本不仅是移动代币的 Gas 费,还包括解绑旧地址所积累的每段关系的成本。
与谷歌的论文同步,以太坊基金会于 2026 年 3 月推出了 pq.ethereum.org,作为后量子研究、路线图、开源客户端代码库和每周开发网结果的权威中心。目前已有超过 10 个客户端团队正在运行专注于后量子原语的互操作性开发网,社区已达成共识,目标是在 2029 年之前完成 L1 协议层升级——同年也是谷歌设定将其自身身份认证服务从 ECDSA 迁移出去的期限。
路线图被分阶段安排在即将到来的四个硬分叉中,而不是一次性的“大爆炸”式分叉。大致如下:
Vitalik Buterin 在 2026 年 2 月底发出了紧迫信号,他写道:“验证者签名、数据存储、账户和证明都需要更新”——他在一句话中点名了所有四个分叉,并含蓄地承认,零星的升级将不足以应对挑战。
挑战并不在于密码学本身。美国国家标准与技术研究院(NIST)已经对 ML-KEM、ML-DSA 和 SLH-DSA 进行了标准化。挑战在于如何在不破坏成千上万个硬编码了 ECDSA 假设的 DApp,且不让钱包中数以十亿计、所有者从未迁移的沉睡 ETH 陷入困境的情况下,在一个价值超过 3,000 亿美元的实时网络中推行这些原语。
以太坊和比特币都面临着一个纯技术路线图无法解决的治理问题:那些存储在易受攻击地址中且所有者从未迁移的代币该怎么办?
以太坊基金会自己的常见问题解答(FAQ)用直白的措辞描述了这一选择:要么无所作为,要么冻结。无所作为意味着在“Q 日”(量子日),攻击者将清空每一个公钥已知的沉睡地址——包括创世时代的钱包、早期的 ICO 购买者、丢失密钥的持有者,以及 Vitalik 本人对公共物品融资的历史贡献中很大一部分资金。冻结则意味着通过社会共识采取行动,使任何在截止日期前未完成迁移的地址的取款请求失效。
比特币的 BIP 361,“后量子迁移与传统签名日落”,在三阶段框架中阐述了同�样的难题。联合作者 Ethan Heilman 公开估计,比特币全面迁移到量子抗性签名方案,从达成大致共识之日起需要七年时间——这意味着 BIP 361 需要在 2026 年实质性合并才能赶上 2033 年的期限,而要赶上 2029 年则需要更早。
这两条链都没有大规模作废代币的先例。以太坊确实在 2016 年回滚了 DAO 黑客攻击,但那是针对单一事件的撤销,而不是根据密码学姿态刻意冻结数百万个无关的钱包。这一决定将不可避免地被视为一次全民投票,测试“不可篡改性”还是“资金安全”才是区块链更深层的承诺。
2029 年的截止日期似乎还很遥远,但决定一个项目是准备就绪还是措手不及的决策,将在 2026 年和 2027 年做出。一些实际影响立即浮现。
智能合约架构师应审计 ECDSA 假设。 任何硬编码 ecrecover、嵌入不可变签名者地址或依赖 EOA 签名提案者密钥的合约都需要升级路径。今天部署的没有管理员权限的合约看起来很优雅;但在后量子时代,它们可能变得无法恢复。
托管商现在就需要开始进行密钥轮换。 管理着数十亿美元资产的托管服务商无法在一个 “Q-Day” 周末内轮换所有钱包。轮换、按风险等级隔离以及预先部署抗量子(PQ)就绪的冷存储是 2026 年要解决的问题,而不是 2028 年的问题。
跨链桥运营商面临着最迫切的紧迫性。 跨链桥将价值集中在少数多签密钥背后。�第一个具有经济理性的量子攻击不会针对随机选择的钱包 —— 它将针对生态系统中价值最高的单个密钥。跨链桥应该是第一批实施混合 PQ + ECDSA 签名的。
应用团队应跟踪 “四分叉路线图”。 后量子(PQ)序列中的每个以太坊硬分叉都将引入新的交易类型和验证语义。如果钱包、索引器、区块浏览器和节点运营商规划了升级窗口,它们将平稳降级;否则,它们将面临灾难性的崩溃。
BlockEden.xyz 在 Ethereum、Sui、Aptos 以及其他十几个链上运行生产级 RPC 和索引基础设施,并跟踪每个网络的后量子迁移路线图,让应用开发者无需操心。探索我们的 API 市场,在专为生存于未来十年加密技术转型(而不仅仅是当前阶段)而设计的基础设施上进行构建。
Google 论文最深远的贡献可能在于社会学层面,而非技术层面。十年来,“抗量子” 只是一个主要贴在没人使用的项目上的营销口号。主流公链将后量子(PQ)迁移视为下一代研究人员的问题。而来自 Google、Justin Drake 和 Dan Boneh 的这 57 页报告,在一篇出版物中彻底改变了这种姿态。
三个月内发布了三篇量子加密论文。共识已经形成:当前量子硬件与加密相关机器之间的资源差距,其缩减速度快于当前链协议与后量子就绪之间的差距。这两条曲线的交点 —— 根据预测的准确性,大约在 2029 年到 2032 年之间 —— 是加密基础设施面临的有��史以来最重要的截止日期。
那些将 2026 年视为严肃工程工作年,而非仅提供模糊保证的公链,在未来依然能够屹立不倒。而那些等到关于 “Vitalik 钱包被盗” 的头条新闻出现才行动的人,将没有时间做出反应。
四条链。只有一个席位。在过去的 18 个月中,Monad、MegaETH、Eclipse 和 Berachain 都曾承诺让以太坊变得如即时般快速 —— 并且各自都筹集了数亿美元来证明这一点。到 2026 年第二季度,营销热度已经冷却,而各项指标正在说话。Monad 的 TVL 突破了 3.55 亿美元,而其每日手续费却难以突破 3,000 美元。MegaETH 发布了一个为 100,000 TPS 设计的主网,但在上线首日平均 TPS 仅为 29。Eclipse 裁员 65%,生态系统 TVL 从峰值暴跌了 95%。Berachain 的旗舰集成项目 Dolomite 悄然将其由 DAO 治理的 BERA 分配比例从 35% 削减至 20%。
在 2026 年 1 月的一个周二,Pendle 的智能合约仓库变为了只读状态。没有新闻发布会,没有彩带飞舞。只有一个 GitHub 提交更改了标志——这是协议层面上相当于债券发行人锁定契约并离开公证处的操作。对于一个每季度都要发布突破性升级的 DeFi 行业来说,这一举动展现出的自信近乎冷酷:迭代原语的工作已经完成;现在,我们要开始大规模扩张。
这次静默的切换无疑是 2026 年固定收益论点中最重要的基础设施信号。因为当所有人都在关注贝莱德(BlackRock)的 BUIDL 和 Ondo 的 OUSG 将代币化国债规模推过 100 亿美元大关时,Pendle 正在解决一个完全不同的问题——不是如何将短期国债(T-bill)包装进 ERC-20 代币中,而是如何将任何链上收益转化为零息债券。其结果是诞生了首个让 stETH 这种加密原生资产,能够以传统金融(TradFi)享用了五十年的利率锁定、久期匹配和机构友好特性进行交易的场所。
九分钟。这是一份 57 页的 Google 量子 AI(Google Quantum AI)论文中提到的时间窗口,该论文指出,未来的量子计算机仅需这点时间就能从已公开的公钥中逆向推导出比特币私钥——这段时间短到足以包含在单个区块确认内,长到足以改写整个 1.3 万亿美元网络的风险状况。这篇由斯坦福大学和以太坊基金会的研究人员共同撰写、发表于 2026 年 3 月 30 日的论文,不仅预测了潜在的危机,还做了一件更微妙的事:它缩小了那个关键的数字。破解 ECDSA 所需的资源比先前的估计下降了 20 倍。Google 目前内部设定的后量子迁移目标是 2029 年。
当一只机器狗自主识别出电量耗尽,找到最近的充电站,并用不到一美分的 USDC 为自己支付电费——全程无需人工参与——这并非科幻演示。那是 2026 年 2 月,机器经济已悄然降临。
Circle 于 2026 年 3 月在测试网上推出的 USDC 纳支付(Nanopayments)正式确立了那只机器狗在现实中所演示的场景:金融管道首次支持机器向机器支付,且成本微小到几乎不被视为货币。低至 0.000001 美元(百万分之一美元)的转账,且零 Gas 费。机器经济的商业逻辑突然间变得可行。
想象一下,你对一个 DeFi 机器人说:"把我所有的 WETH 兑换成 USDC,存入 Aave,但前提是我的最终余额保持在 5,000 美元以上。"在今天,这条指令需要开发者在签名前硬编码每一个参数——确切的 WETH 余额、预期的 USDC 输出、Aave 存款金额——从而创建一笔脆弱的交易,一旦市场条件在签名区块和上链区块之间发生变化,交易就会失败。ERC-8211 由 Biconomy 和以太坊基金会于 2026 年 4 月 6 日发布,彻底消除了这种脆弱性。它是第一个让 AI 代理能够读取实时链上状态、验证条件并在单笔原子交易中执行多步策略的以太坊标准——将静态批量调用转变为智能、自适应的工作流。
这个时间点并非巧合。仅 Virtuals Protocol 上就有超过 17,000 个 AI 代理在运行。Coinbase 的 AgentKit 为多个 LLM 提供商提供自主钱包支持。NEAR 的联合创始人宣称"区块链的用户将是 AI 代理"。但直到现在,这些代理一直被迫通过与人类在前端点击按钮相同的僵化交易格式与 DeFi 交互。ERC-8211 为它们提供了根本不同的能力:在链上、在执行时组合决策,并内置安全护栏。
像 Multicall3 和 ERC-4337 打包器这样的多调用合约已经可以让钱包将多笔交易合并为一笔。但每个参数都必须在签名时锁定。如果一个 AI 代理签署了一笔将 2.5 WETH 兑换为 USDC 并将所得存入 Aave 的批量交易,那么 2.5 WETH 这个数字就被冻结了——即使代理的实际余额在签名和执行之间因待处理的转账到达或费用扣除而发生了变化。
这为自主代理带来了三个连锁问题:
结果是,今天的 AI 代理执行 DeFi 策略的灵活性就像一张打印好的登机牌——每个细节都必须在出发前正确,任何变化都需要重新开始。
ERC-8211 引入了 Biconomy 所称��的"智能批处理"——一种合约层编码标准,批处理中的每个参数都声明了如何获取其值以及该值必须满足哪些条件。该标准基于三个基本原语构建:
每个输入参数都携带一个 fetcher 类型,决定其值在执行时(而非签名时)如何获取。有三种 fetcher 类型可用:
然后,路由目标决定解析后的值去向:进入调用的目标地址、其 value 字段或其 calldata。
每个解析后的值都可以携带内联约束——在调用继续之前在链上验证的逻辑检查。支持的约束类型包括 EQ(等于)、GTE(大于或等于)、LTE(小于或等于)和 IN(集合成员)。如果任何约束失败,整个批处理将原子性回滚。
在实践中,这意味着代理可以说:"获取我的 WETH 余额(BALANCE fetcher),确认它 GTE 1.0 WETH(约束),然后将解析后的值传入兑换 calldata(路由)。"
target = address(0) 的条目充当纯断言检查点。它们编码链上状态的布尔条件——例如,验证钱包的 USDC 余额在杠杆循环后是否保持在安全底线以上——而不执行任何外部调用。如果谓词失败,批处理回滚。
这三个基本原语共同将批处理从静态脚本转变为反应式程序:"将我全部的 WETH 余额兑换为 USDC,然后将到账的金额精确地存入 Aave,但前提是我的最终余额超过安全底线。"所有操作在一笔交易中完成,全部在执行时解析。
ERC-8211 并非孤立存在。它嵌入了以太坊基金会专门为自主代理构建的日益完善的协议栈中:
| 层级 | 标准 | 功能 | 关键构建者 |
|---|---|---|---|
| 身份 | ERC-8004 | 代理发现、信任和声誉评分 | Ethereum Foundation |
| 商业 | ERC-8183 | 工作生命周期管理——托管、交付证明、结算 | Virtuals Protocol |
| 执行 | ERC-8211 | 智能批处理——条件化、状态感知的链上执行 | Biconomy |
| 支付 | x402 | HTTP 原生的稳定币微支付,用于代理服务 | Coinbase + Cloudflare |
这个类比并非偶然:ERC-8004 识别谁在交易,ERC-8183 管理什么工作正在交换,ERC-8211 处理工作如何在链上执行,x402 管理代理之间的支付如何流转。它们共同形成了行业观察��者开始称之为"链上 AI 的 TCP/IP 时刻"的分层架构——每个协议清晰地处理一个关注点。
ERC-8183 与 ERC-8211 尤为互补。其 Job 原语——客户代理雇佣提供者代理、托管资金被持有、评估者证明交付——恰好产生了 ERC-8211 设计来执行的那种多步骤、条件性链上操作。通过 ERC-8183 接受工作的 AI 代理可能需要执行一系列 DeFi 操作(兑换、存入、借贷)来完成工作。ERC-8211 确保这些操作即使在工作接受和执行之间市场条件发生变化时也能正确执行。
ERC-8211 的智能批处理并非唯一争夺成为 AI 代理标准执行层的框架:
Coinbase AgentKit 为 AI 代理提供钱包基础设施和链上操作原语,原生支持 OpenAI、Anthropic 和 Llama 模型。2026 年 3 月,World(Sam Altman 的身份项目)推出了集成 x402 支付和 World ID 验证的 AgentKit 集成,使代理能够携带人类支持的加密证明。AgentKit 在钱包管理和简单交易方面表现出色,但目前不提供 ERC-8211 所具备的条件化、状态感知执行能力。
NEAR Chain Signatures 采用不同的架构方法:代理获得自己的 NEAR 账户,私钥存储在可信执行环境(TEE)中,通过 Chain Signatures 技术,它们可以从单一的 NEAR 身份在任何区块链——Ethereum、Bitcoin、Solana——上签署交易。这优雅地解决了多链问题,但运作在基础设施层而非执行语义层。
Visa 的 Trusted Agent Protocol 和 Google 的 AP2(Agent Payment Protocol 2.0) 解决的是支付和商户验证方面的问题,帮助传统商业识别和处理 AI 代理交易。它们与 ERC-8211 的链上执行重点互补而非竞争。
碎片化风险是真实存在的。如果 AgentKit 构建自己的条件执行原语,或者 NEAR 开发竞争性的批处理执行标准,代理可能面临与早期 DeFi 相同的互操作性挑战——多个标准解决同一个问题,没有一个达到临界规模。ERC-8211 的优势在于它与现有账户抽象基础设施(ERC-4337、ERC-7683)的兼容性及其最小化的占用:它不需要协议分叉,不需要新的操作码,并且适用于任何智能账户实现。
数据清晰地描绘了紧迫性。据 Chainalysis 估计,目前有超过 400,000 个 AI 代理在区块链网络上运行。仅 Virtuals Protocol 就已突破 3,950 万美元的累计收入,拥有 17,000 多个代理。Coinbase 的 AgentKit 支持所有主要 LLM 的自主钱包。代理经济不是投机——它正在产生真实收入并执行真实交易。
但这些代理受限于为人类用户设计的基础设施。人类在 Uniswap 上签署兑换时可以检查价格、调整滑点并确认——所有这些都在几秒钟内完成。大规模运行的自主代理无法承受这种手动反馈循环。它需要将复杂策略表达为自包含、自验证的交易包,无论签名和上链之间发生什么都能正确��执行。
ERC-8211 的影响超越了 DeFi 自动化。考虑以下场景:
ERC-8211 目前仍是一个 ERC 提案,而非最终确定的标准。其参考实现是开源的,并以演示形式上线,但采用取决于钱包提供商、打包器运营商和 DeFi 协议对智能批处理接口的集成。该标准的账户无关设计——它适用于 ERC-4337 智能账户、ERC-7683 跨链意图和通过执行器合约使用的传统 EOA——消除了最大的采用障碍,但集成仍需要积极开发。
四标准代理栈(ERC-8004 + ERC-8183 + ERC-8211 + x402)代表着一个连贯的愿景,但在加密领域,连贯的愿景历来在竞争压力下分裂。该栈是否会整合为事实标准还是分裂为竞争性实现,将取决于哪些协议率先发布生产级集成。
毫无疑问的是方向。区块链的主要用户正在从通过前端点击的人类转向执行程序化策略的自主代理。ERC-8211 是第一次认真尝试为这些代理提供与其能力匹配的交易格式——一种先思考再交易的格式。
正在构建与多链 DeFi 协议交互的 AI 代理?BlockEden.xyz 为 Ethereum、Sui、Aptos 和 20 多个网络提供高性能 RPC 端点和数据 API——这是你的代理进行可靠链上读取和执行所需的基础设施层。探索我们的 API 市场立即开始。