跳到主要内容

58 篇博文 含有标签「安全」

网络安全、智能合约审计和最佳实践

查看所有标签

以太坊的后量子紧急状态:价值 200 万美元的 Q-Day 竞赛

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

如果保护以太坊 5000 亿美元网络的一切都能在几分钟内被破解,会发生什么?这不再是科幻小说。以太坊基金会刚刚宣布将后量子安全列为“顶级战略优先级”,成立了专门团队,并出资 200 万美元设立研究奖金。信息很明确:量子威胁不再只是理论,时间正在流逝。

量子定时炸弹

当今的每个区块链都依赖于量子计算机将会粉碎的密码学假设。以太坊、比特币、Solana 以及几乎所有主流网络都使用椭圆曲线密码学 (ECC) 进行签名——这种数学原理在拥有足够量子比特的 Shor 算法面前将变得不堪一击。

威胁模型非常严峻。目前的量子计算机还远未达到在现实世界的密钥上运行 Shor 算法的能力。破解 secp256k1(比特币和以太坊使用的椭圆曲线)或 RSA-2048 需要数十万到数百万个物理量子比特——这远远超出了当今 1000 多个量子比特的机器水平。谷歌和 IBM 的公开路线图目标是在 2030 年代初达到 100 万个物理量子比特,尽管工程延期可能会将其推迟到 2035 年左右。

但关键在于:对“Q-Day”(即量子计算机能够破解当前密码学的时刻)的预测范围从 5-10 年(激进型)到 20-40 年(保守型)不等。一些评估认为,到 2026 年,公钥密码学有七分之一的可能性被破解。当你正在保护数千亿美元的资产时,这并不是一个让人宽心的余量。

与单一个体可以强制升级的传统系统不同,区块链面临着协调噩梦。你无法强迫用户升级钱包。你无法修补每一个智能合约。而且一旦量子计算机能够运行 Shor 算法,每一笔暴露了公钥的交易都将变得易受私钥提取攻击。对于比特币来说,这大约意味着 25% 的 BTC 存在于重复使用或已暴露地址中。对于以太坊,账户抽象(Account Abstraction)提供了一些缓解措施,但遗留账户仍然处于风险之中。

以太坊的 200 万美元后量子赌注

2026 年 1 月,以太坊基金会宣布成立由 Thomas Coratger 领导的专门后量子 (PQ) 团队,并得到正在开发 leanVM 的密码学家 Emile 的支持。高级研究员 Justin Drake 将后量子安全称为基金会的“顶级战略优先级”——这对于此前一直是长期研究课题的项目来说,是一次罕见的地位提升。

基金会正提供重金支持:

  • 100 万美元 Poseidon 奖金:旨在加强 Poseidon 哈希函数,这是零知识证明系统中使用的密码学构建块。
  • 100 万美元 Proximity 奖金:继续研究后量子密码学邻近问题,这表明了对基于哈希的技术的偏好。

基于哈希的密码学是基金会选择的未来路径。与 NIST 标准化的基于格(lattice-based)或基于编码(code-based)的替代方案(如 CRYSTALS-Kyber 和 Dilithium)不同,哈希函数具有更简单的安全假设,并且已经在区块链环境中经过了实战测试。缺点是什么?它们产生的签名更大,需要更多的存储空间——这是以太坊为了长期抗量子能力而愿意做出的权衡。

LeanVM:以太坊战略的基石

Drake 将 leanVM 描述为以太坊后量子方法的“基石”。这个极简的零知识证明虚拟机针对抗量子的基于哈希的签名进行了优化。通过专注于哈希函数而非椭圆曲线,leanVM 避开了最容易受到 Shor 算法攻击的密码学原语。

为什么这很重要?因为以太坊的 L2 生态系统、DeFi 协议和隐私工具都依赖于零知识证明。如果底层加密技术不是量子安全的,整个堆栈就会崩塌。LeanVM 的目标是在量子计算机到来之前,让这些系统具备未来适应性。

多个团队已经在运行多客户端后量子开发网络,包括 Zeam、Ream Labs、PierTwo、Gean 客户端和 Ethlambda,并与 Lighthouse、Grandine 和 Prysm 等成熟的共识客户端合作。这并非空谈——而是正在接受压力测试的实时基础设施。

基金会还将启动每两周一次的突破性会议,作为全核心开发者 (All Core Developers) 流程的一部分,重点关注面向用户的安全变更:直接内置于协议中的专用密码学函数、新的账户设计,以及使用 leanVM 的长期签名聚合策略。

迁移挑战:数千亿资产命悬一线

将以太坊迁移到后量子密码学并非简单的软件更新。这是一个影响网络中每个参与者的多年、多层协调工作。

L1 协议:共识必须切换到抗量子签名方案。这需要一次硬分叉——意味着每个验证者、节点运营商和客户端实现都必须同步升级。

智能合约:部署在以太坊上的数百万个合约使用 ECDSA 进行签名验证。有些可以通过代理模式或治理进行升级;另一些则是不可更改的。Uniswap、Aave 和 Maker 等项目将需要迁移计划。

用户钱包:MetaMask、Ledger、Trust Wallet——每个钱包都必须支持新的签名方案。用户必须将资金从旧地址迁移到量子安全地址。这就是“现在收集,稍后解密”(harvest now, decrypt later) 威胁变得真实的地方:攻击者可以记录今天的交易,并在量子计算机出现后将其解密。

L2 Rollups:Arbitrum、Optimism、Base、zkSync——所有这些都继承了以太坊的密码学假设。每个 Rollup 必须独立迁移,否则就有可能成为量子攻击的薄弱环节。

以太坊在这里有一个优势:账户抽象。与比特币的 UTXO 模型(要求用户手动移动资金)不同,以太坊的账户模型可以支持具有可升级密码学的智能合约钱包。这并不能消除迁移挑战,但它提供了一条更清晰的路径。

其他区块链的进展

以太坊并非孤军奋战。更广泛的区块链生态系统也意识到了量子威胁:

  • QRL (Quantum Resistant Ledger):从诞生之初就采用了 XMSS (eXtended Merkle Signature Scheme),这是一种基于哈希的签名标准。QRL 2.0 (Project Zond) 将于 2026 年第一季度进入测试网,随后将进行审计并发布主网。

  • 01 Quantum:于 2026 年 2 月初推出了抗量子区块链迁移工具包,并在 Hyperliquid 上发行了 $qONE 代币。他们的 Layer 1 迁移工具包计划于 2026 年 3 月发布。

  • 比特币:存在多个提案(关于后量子操作码的 BIP、针对新地址类型的软分叉),但比特币保守的治理方式使得快速变革变得不太可能。如果量子计算机比预期更早出现,可能会出现具有争议的硬分叉场景。

  • Solana, Cardano, Ripple:都使用基于椭圆曲线的签名,并面临类似的迁移挑战。大多数处于早期研究阶段,尚未宣布专门的团队或时间表。

对排名前 26 的区块链协议进行的审查显示,其中 24 个纯粹依赖于量子易损的签名方案。目前只有两个(QRL 和另一个知名度较低的链)拥有抗量子的基础。

Q-Day 场景:快速、缓慢还是永不发生?

激进时间线(5-10 年):量子计算取得突破性进展。到 2031 年,100 万量子位的机器出现,全行业只有五年时间来完成全网络范围的迁移。尚未开始准备的区块链将面临灾难性的密钥泄露。以太坊的领先优势在这里至关重要。

保守时间线(20-40 年):受限于纠错和工程挑战,量子计算进展缓慢。区块链有充足的时间以稳健的步调进行迁移。以太坊基金会的早期投资看起来很明智,但并不紧迫。

黑天鹅(2-5 年):在公开路线图显示之前,秘密或私人的量子突破已经发生。国家行为者或资金充足的对手获得了密码学优势,从而能够从易受攻击的地址进行无声窃取。这种情况证明了将后量子安全视为当今“顶级战略优先事项”的合理性。

中间场景的可能性最大,但区块链无法承担只针对中间情况进行规划的后果。如果预测错误,代价将是毁灭性的。

开发者和用户应该做什么

针对在以太坊上构建的开发者:

  • 关注 PQ 突围电话会议:以太坊基金会每两周一次的后量子会议将影响协议变更。保持信息灵通。
  • 规划合约升级:如果你控制着高价值合约,现在就设计升级路径。代理模式、治理机制或迁移激励将至关重要。
  • 在 PQ 开发网上测试:多客户端后量子网络已经上线。测试你的应用程序的兼容性。

对于持有 ETH 或代币的用户:

  • 避免地址复用:一旦你从一个地址签署交易,公钥就会暴露。理论上,量子计算机可以从中推导出私钥。如果可能,每个地址只使用一次。
  • 关注钱包更新:随着标准的成熟,主流钱包将整合后量子签名。当时机成熟时,准备好迁移资金。
  • 不要恐慌:Q-Day 不会在明天到来。以太坊基金会以及更广泛的行业正在积极构建防御体系。

对于企业和机构:

  • 评估量子风险:如果你托管着数十亿美元的加密货币,量子威胁是一个受托责任问题。参与后量子研究并关注迁移时间表。
  • 跨链多元化:以太坊的积极姿态令人鼓舞,但其他链可能落后。相应地分散风险。

十亿美元的问题:这足够了吗?

以太坊 200 万美元的研究奖金、专门的团队和多客户端开发网络,代表了区块链行业中最激进的后量子推进。但这足够了吗?

乐观情况:是的。以太坊的账户抽象、强大的研究文化和早期起步使其最有希望实现平稳迁移。如果量子计算机遵循保守的 20-40 年时间线,以太坊将提前部署好抗量子基础设施。

悲观情况:不够。协调数百万用户、数千名开发者和数百个协议是前所未有的挑战。即使有最好的工具,迁移也将是缓慢、不完整且充满争议的。遗留系统——不可变合约、丢失的密钥、被遗弃的钱包——将无限期地处于量子易损状态。

现实情况:部分成功。以太坊核心将成功迁移。主要的 DeFi 协议和 L2 将紧随其后。但大量的小型项目、不活跃的钱包和边缘情况将作为量子易损的残余物继续存在。

结论:一场谁都不想输的竞赛

以太坊基金会的后量子紧急行动是一场全行业输不起的赌注。200 万美元的奖金、专门的团队和在线开发网络发出了严肃的信号。基于哈希的密码学、leanVM 和账户抽象提供了一条可靠的技术路径。

但意图并不等于执行。真正的考验在于量子计算机从研究好奇心转变为密码学威胁的那一刻。到那时,迁移窗口可能已经关闭。以太坊现在正在奔跑,而其他人还在系鞋带。

量子威胁不是炒作,而是数学。数学并不关心路线图或良好的意愿。问题不在于区块链是否需要后量子安全——而在于它们能否在 Q-Day 到来之前完成迁移。

以太坊积极的量子防御策略凸显了构建稳健、面向未来的区块链基础设施的重要性。在 BlockEden.xyz,我们提供基于能够随行业安全需求演进的基础设施而构建的企业级以太坊和多链 API 访问。探索我们的服务,在你可以长期信赖的基础设施上进行开发。

后量子区块链: 8 个竞相构建抗量子加密技术的项目

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

当 Coinbase 在 2026 年 1 月成立后量子咨询委员会时,它证实了安全研究人员多年来的警告:量子计算机将破解当前的区块链加密技术,抗量子加密的竞赛已经开始。QRL 的 XMSS 签名、StarkWare 基于哈希的 STARKs 以及以太坊的 200 万美元研究奖金,代表了旨在 2026 年占据市场领导地位的前沿项目。问题不在于区块链是否需要抗量子能力,而在于当 “Q-Day”(量子日)到来时,哪种技术方案将占据主导地位。

后量子区块链板块分为两大类:对现有链(如比特币、以太坊)进行改造,以及原生抗量子协议(如 QRL、Quantum1)。每一类都面临不同的挑战。改造必须保持向后兼容性,协调分布式升级,并管理暴露的公钥。原生协议从一开始就使用抗量子加密技术,但缺乏网络效应。这两种方法都是必要的——传统区块链承载着必须保护的数万亿资产,而新链可以从创世之初就针对抗量子能力进行优化。

QRL:首个抗量子区块链

Quantum Resistant Ledger (QRL) 于 2018 年启动,是首个从成立之初就实施后量子加密技术的区块链。该项目选择了 XMSS(扩展门克尔签名方案),这是一种基于哈希的签名算法,通过哈希函数而非数论提供抗量子安全性。

为何选择 XMSS? SHA-256 等哈希函数被认为具有抗量子性,因为量子计算机无法显著加速哈希碰撞(Grover 算法提供的是平方级加速,而非像 Shor 算法针对 ECDSA 那样提供指数级加速)。XMSS 利用这一特性,从哈希值的默克尔树(Merkle trees)中构建签名。

权衡: XMSS 签名体积巨大(约 2,500 字节,而 ECDSA 仅为 65 字节),这使得交易成本更高。每个地址的签名容量有限——在生成 N 个签名后,必须重新生成树。这种有状态的特性需要仔细的密钥管理。

市场地位: 与比特币或以太坊相比,QRL 仍然属于小众市场,处理的交易量极小。然而,它证明了抗量子区块链在技术上是可行的。随着 Q-Day 的临近,QRL 作为经过实战检验的替代方案可能会受到关注。

未来展望: 如果量子威胁比预期来得更快,QRL 的先发优势将变得非常重要。该协议在后量子签名方面拥有多年的生产经验。寻求抗量子资产的机构可能会将 QRL 作为一种 “量子保险” 进行配置。

STARKs:具有抗量子能力的零知识证明

StarkWare 的 STARK(可扩展、透明的知识参数)技术作为其零知识证明架构的一个附带收益,提供了抗量子能力。STARKs 使用哈希函数和多项式,避免了容易受到 Shor 算法攻击的椭圆曲线加密。

为何 STARKs 至关重要: 与 SNARKs(需要可信设置并使用椭圆曲线)不同,STARKs 是透明的(无需可信设置)且具有抗量子性。这使其成为扩展解决方案(StarkNet)和后量子迁移的理想选择。

当前应用: StarkNet 为以太坊 L2 扩展处理交易。其抗量子能力目前是潜在的——虽然不是核心特性,但随着量子威胁的增长,这是一项宝贵的属性。

集成路径: 以太坊可以集成基于 STARK 的签名以实现后量子安全,同时在过渡期间保持与 ECDSA 的向后兼容性。这种混合方法允许逐步迁移。

挑战: 尽管压缩技术正在改进,但 STARK 证明的体积仍然很大(数百 KB)。验证速度很快,但证明生成的计算成本很高。这些权衡限制了高频应用的吞吐量。

展望: STARKs 可能会成为以太坊后量子解决方案的一部分,无论是作为直接的签名方案,还是作为迁移传统地址的包装器。StarkWare 的生产记录和以太坊的集成使得这条路径极具可能性。

以太坊基金会的 200 万美元研究奖金:基于哈希的签名

以太坊基金会在 2026 年 1 月将后量子加密指定为 “首要战略任务”,并设立了 200 万美元的研究奖金,用于征集实际的迁移方案。重点是基于哈希的签名(SPHINCS+、XMSS)和基于晶格(lattice-based)的加密(Dilithium)。

SPHINCS+: 一种由 NIST 标准化的无状态哈希签名方案。与 XMSS 不同,SPHINCS+ 不需要状态管理——你可以使用一个密钥签署无限的消息。签名体积更大(约 16-40 KB),但无状态特性简化了集成。

Dilithium: 一种基于晶格的签名方案,与基于哈希的替代方案相比,它提供更小的签名(约 2.5 KB)和更快的验证速度。其安全性依赖于被认为具有量子抗性的晶格问题。

以太坊的挑战: 迁移以太坊需要解决历史交易中暴露的公钥问题,在过渡期间保持向后兼容性,并最大限度地减少签名体积膨胀,以避免破坏 L2 的经济模型。

研究重点: 这项 200 万美元的奖金旨在寻找实际的迁移路径——如何进行网络分叉、转换地址格式、处理传统密钥,以及在为期数年的过渡期间维持安全性。

时间线: 以太坊开发人员估计,从研究到生产部署需要 3-5 年。这表明,假设 Q-Day 不会提前到来,以太坊主网的后量子激活将在 2029-2031 年左右。

比特币 BIPs:后量子迁移的保守方法

讨论后量子密码学的比特币改进提议 (BIPs) 正处于草案阶段,但共识建立过程缓慢。比特币的保守文化抵制未经测试的密码学,更倾向于经过实战检验的解决方案。

可能采取的方法:由于保守的安全特性,倾向于采用基于哈希的签名 (SPHINCS+)。比特币将安全性置于效率之上,愿意接受更大的签名以降低风险。

Taproot 集成:比特币的 Taproot 升级提供了脚本灵活性,可以在不进行硬分叉的情况下容纳后量子签名。Taproot 脚本可以在 ECDSA 的基础上包含后量子签名验证,从而实现选择性迁移 (opt-in migration)。

挑战:暴露地址中存有 665 万枚 BTC。比特币必须做出抉择:强制迁移(销毁丢失的代币)、自愿迁移(面临量子盗窃风险)或接受损失的混合方法。

时间线:比特币的推进速度比以太坊慢。即使 BIPs 在 2026-2027 年达成共识,主网激活可能也要等到 2032-2035 年。这一时间线的前提是 Q-Day 并非迫在眉睫。

社区分歧:一些比特币极大化主义者否认量子威胁的紧迫性,将其视为遥远的威胁。另一些人则主张立即采取行动。这种紧张关系减缓了共识的建立。

Quantum1:原生抗量子智能合约平台

Quantum1(新兴项目的假设案例)代表了从创世阶段就设计为抗量子的新一代区块链。与 QRL(简单支付)不同,这些平台提供具有后量子安全性的智能合约功能。

架构:结合了基于格的签名 (Dilithium)、基于哈希的承诺和零知识证明,以实现隐私保护且抗量子的智能合约。

价值主张:构建长期应用(寿命超过 10 年)的开发者可能更倾向于原生抗量子平台,而非经过改造的链。既然要在 2030 年迁移,为什么今天还要在以太坊上构建呢?

挑战:网络效应有利于成熟的链。比特币和以太坊拥有流动性、用户、开发者和应用。无论技术多么优越,新链在获得关注方面都面临巨大挑战。

潜在催化剂:针对主流链的量子攻击将引发向抗量子替代方案的逃离。Quantum1 类型的项目是应对现有链失效的保险单。

Coinbase 顾问委员会:机构协调

Coinbase 成立后量子顾问委员会,标志着机构开始关注量子准备工作。作为一家负有信托义务的上市公司,Coinbase 不能忽视客户资产面临的风险。

顾问委员会角色:评估量子威胁,建议迁移策略,与协议开发者协调,并确保 Coinbase 的基础设施为后量子过渡做好准备。

机构影响力:Coinbase 持有价值数十亿美元的客户加密货币。如果 Coinbase 推动协议采用特定的后量子标准,这种影响力将至关重要。交易所的参与会加速采用——如果交易所仅支持后量子地址,用户迁移的速度会更快。

时间线压力:Coinbase 的公开参与表明,机构的时间线比社区讨论所承认的要短。上市公司不会为了 30 年后的风险而成立顾问委员会。

布局领导地位的 8 个项目

竞争格局总结:

  1. QRL:先行者,生产级 XMSS 实现,利基市场
  2. StarkWare/StarkNet:基于 STARK 的抗量子特性,以太坊集成
  3. 以太坊基金会:200 万美元研究奖金,专注于 SPHINCS+/Dilithium
  4. Bitcoin Core:BIP 提案,支持 Taproot 的选择性迁移
  5. Quantum1 类平台:原生抗量子智能合约链
  6. Algorand:探索用于未来升级的后量子密码学
  7. Cardano:研究集成基于格的密码学
  8. IOTA:Tangle 架构中的抗量子哈希函数

每个项目都在不同的权衡之间进行优化:安全性 vs 效率、向后兼容性 vs 白手起家、NIST 标准化算法 vs 实验性算法。

对开发者和投资者的意义

对于开发者:构建 10 年以上长期应用的开发者应考虑后量子迁移。以太坊上的应用最终将需要支持后量子地址格式。现在的规划可以减少未来的技术债。

对于投资者:在抗量子链和传统链之间进行多元化投资可以规避量子风险。QRL 和类似项目具有投机性,但如果量子威胁比预期来得更快,它们将提供非对称的上行潜力。

对于机构:后量子准备是风险管理,而非投机。持有客户资产的托管机构必须规划迁移策略,与协议开发者协调,并确保基础设施支持后量子签名。

对于协议:迁移窗口正在关闭。2026 年才开始后量子研究的项目要到 2029-2031 年才能部署。如果 Q-Day 在 2035 年到来,那么只剩下 5-10 年的后量子安全期。启动太晚可能会导致时间不足。

参考资料

量子迁移问题:为什么你的比特币地址在一次交易后就会变得不安全

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

当你签署一笔比特币交易时,你的公钥就会永久地在区块链上可见。15 年来,这并不重要——保护比特币的 ECDSA 加密在计算上是经典计算机无法破解的。但量子计算机改变了一切。一旦拥有足够强大能力的量子计算机出现(Q-Day),它可以在几小时内从你暴露的公钥中重构出你的私钥,从而掏空你的地址。被低估的 Q-Day 问题不仅仅是“升级加密”。关键在于,已签署过交易的地址中存有的 665 万枚 BTC 已经处于风险之中,而且其迁移难度比升级企业 IT 系统要大得多。

以太坊基金会设立的 200 万美元后量子研究奖金,以及 2026 年 1 月成立的专门 PQ 团队,标志着“最高战略优先级”地位的确立。这并非未来的规划——而是紧急备战。Project Eleven 专门为后量子加密安全筹集了 2000 万美元。Coinbase 成立了后量子顾问委员会。与 Q-Day 的赛跑已经开始,区块链面临着传统系统所不具备的独特挑战:不可篡改的历史、分布式协作,以及存放在公钥已暴露地址中的 665 万枚 BTC。

公钥暴露问题:为什么你的地址在签名后会变得脆弱

比特币的安全依赖于一种基础的不对称性:从私钥派生公钥很容易,但逆向推导在计算上是不可能的。你的比特币地址是公钥的哈希值,这提供了额外的一层保护。只要你的公钥保持隐藏,攻击者就无法针对你的特定密钥。

然而,一旦你签署一笔交易,你的公钥就会在区块链上变得可见。这是不可避免的——签名验证需要公钥。对于接收资金,你的地址(公钥的哈希值)就足够了。但支出资金则需要揭示公钥。

经典计算机无法利用这种暴露。破解 ECDSA-256(比特币的签名方案)需要解决离散对数问题,估计需要 2^128 次运算——即使是运行数千年的超级计算机也无法实现。

量子计算机打破了这一假设。Shor 算法在具有足够量子比特和纠错能力的量子计算机上运行,可以在多项式时间内解决离散对数问题。据估计,一台拥有约 1,500 个逻辑量子比特的量子计算机可以在几小时内破解 ECDSA-256。

这创造了一个关键的脆弱性窗口:一旦你从一个地址签署了交易,该公钥就会永远暴露在链上。如果以后出现了量子计算机,所有先前暴露的密钥都将变得脆弱。存放在已签署交易地址中的 665 万枚 BTC 正伴随着永久暴露的公钥,等待着 Q-Day 的到来。

没有交易历史的新地址在首次使用前仍然是安全的,因为它们的公钥尚未暴露。但遗留地址——中本聪的代币、早期采用者的持有量、以及签署过交易的交易所冷钱包——都是滴答作响的定时炸弹。

为什么区块链迁移比传统加密升级更难

传统的 IT 系统也面临量子威胁。银行、政府和企业使用的加密技术都容易受到量子攻击。但它们的迁移路径是直接的:升级加密算法、轮换密钥并重新加密数据。虽然昂贵且复杂,但在技术上是可行的。

区块链迁移面临着独特的挑战:

不可篡改性:区块链历史是永久性的。你无法追溯性地更改过去的交易来隐藏已暴露的公钥。一旦泄露,它们就会在成千上万个节点中永远泄露。

分布式协作:区块链缺乏强制执行升级的中央机构。比特币的共识需要矿工、节点和用户的多数同意。为后量子迁移协调一次硬分叉在政治和技术上都非常复杂。

向后兼容性:在过渡期间,新的后量子地址必须与遗留地址并存。这导致了协议的复杂性——两种签名方案、双重地址格式、混合模式交易验证。

丢失的密钥和非活跃用户:数百万枚 BTC 存放于那些丢失密钥、已故或多年前放弃加密货币的人所拥有的地址中。这些代币无法自愿迁移。它们是应该保持脆弱状态,还是由协议强制迁移(这可能面临破坏访问权限的风险)?

交易规模和成本:后量子签名比 ECDSA 大得多。根据方案的不同,签名大小可能会从 65 字节增加到 2,500 字节以上。这会使交易数据膨胀,提高手续费并限制吞吐量。

算法选择的共识:该选择哪种后量子算法?NIST 标准化了多种算法,但每种都有权衡。如果选错了,可能意味着以后需要重新迁移。区块链必须押注于那些在未来几十年内依然安全的算法。

以太坊基金会的 200 万美元研究奖金正针对这些确切的问题:如何在不破坏网络、不失去向后兼容性、或不因签名冗余导致区块链无法使用的情况下,将以太坊迁移到后量子加密技术。

665 万 BTC 问题:暴露地址会面临什么?

截至 2026 年,约有 665 万 BTC 存放于签署过至少一次交易的地址中,这意味着它们的公钥已经暴露。这占比特币总供应量的约 30%,其中包括:

中本聪的代币:由比特币创建者开采的约 100 万 BTC 仍未移动。这些地址中的许多从未签署过交易,但其他地址因早期交易而暴露了密钥。

早期采用者的持有量:数以千计的 BTC 由早期矿工和采用者持有,他们在每枚代币仅值几美分时积累了这些资产。许多地址处于休眠状态,但拥有历史交易签名。

交易所冷存储:交易所将数百万 BTC 存放在冷存储中。虽然最佳实践是轮换地址,但传统的冷钱包往往因过去的整合交易而暴露了公钥。

丢失的代币:据估计有 300 万至 400 万 BTC 已丢失(所有者去世、私钥遗忘、硬盘被丢弃)。这些地址中的许多都具有暴露的密钥。

在 Q-Day 发生时,这些代币会怎样?有几种可能的情况:

方案 1 - 强制迁移:通过硬分叉授权在截止日期前将代币从旧地址移动到新的后量子地址。未迁移的代币将变得无法消费。这会“销毁”丢失的代币,但能保护网络免受量子攻击耗尽国库。

方案 2 - 自愿迁移:用户自愿迁移,但暴露的地址仍然有效。风险:量子攻击者在所有者迁移之前耗尽易受攻击的地址。这会引发“迁移竞赛”的恐慌。

方案 3 - 混合方法:引入后量子地址,但无限期保持向后兼容性。接受易受攻击的地址最终将在 Q-Day 后被耗尽,将其视为自然选择。

方案 4 - 紧急冻结:在检测到量子攻击时,通过紧急硬分叉冻结易受攻击的地址类型。这为迁移赢得了时间,但需要比特币所抵制的中心化决策。

没有一个是理想的。方案 1 破坏了合法丢失的密钥。方案 2 允许量子盗窃。方案 3 接受数百亿美元的损失。方案 4 破坏了比特币的不可篡改性。以太坊基金会和比特币研究人员现在就在努力应对这些权衡,而不是在遥远的未来。

后量子算法:技术解决方案

几种后量子加密算法提供了抵御量子攻击的能力:

基于哈希的签名 (XMSS, SPHINCS+):安全性依赖于哈希函数,这些函数被认为是抗量子的。优点:易于理解、保守的安全假设。缺点:签名尺寸大(2,500+ 字节),导致交易成本昂贵。

基于格的密码学 (Dilithium, Kyber):基于量子计算机难以解决的格问题。优点:签名较小(约 2,500 字节),验证效率高。缺点:较新,且比基于哈希的方案经过的实战测试更少。

STARKs (可扩展透明知识论证):抗量子攻击的零知识证明,因为它们依赖于哈希函数而非数论。优点:透明(无需受信任的设置)、抗量子、可扩展。缺点:证明尺寸大,计算成本高。

多变量密码学:通过求解多变量多项式方程组来保证安全。优点:签名生成速度快。缺点:公钥尺寸大,不够成熟。

基于编码的密码学:基于纠错码。优点:速度快、研究充分。缺点:密钥尺寸非常大,在区块链中使用不切实际。

以太坊基金会正在探索基于哈希和基于格的签名,认为它们是区块链集成中最具前景的方案。QRL (量子抗性账本) 在 2018 年率先实现了 XMSS,证明了可行性,但在交易尺寸和吞吐量方面做出了妥协。

由于保守的安全理念,比特币可能会选择基于哈希的签名 (SPHINCS+ 或类似算法)。以太坊可能会选择基于格的签名 (Dilithium) 以尽量减少尺寸开销。两者都面临同样的挑战:比 ECDSA 大 10 到 40 倍的签名会使区块链体积和交易成本飙升。

时间表:距离 Q-Day 还有多久?

预测 Q-Day(量子计算机破解 ECDSA 的时刻)具有投机性,但趋势是明确的:

乐观(对攻击者而言)时间表:10 到 15 年。IBM、谷歌和初创公司在量子比特数量和纠错方面取得了快速进展。如果进展继续呈指数级增长,1,500 个以上的逻辑量子比特可能会在 2035 年至 2040 年间出现。

保守时间表:20 到 30 年。量子计算面临着巨大的工程挑战——纠错、量子比特相干性、规模化。许多人认为实际攻击仍需几十年。

悲观(对区块链而言)时间表:5 到 10 年。政府的秘密计划或突破性发现可能会加速这一进程。谨慎的规划应假设较短的时间表,而非较长的。

以太坊基金会在 2026 年 1 月将后量子迁移视为“最高战略优先级”,这表明内部估计比公开讨论承认的要短。你不会为了 30 年后的风险拨付 200 万美元并组建专门团队。你这样做是为了 10 到 15 年内的风险。

比特币的文化抵制紧迫感,但关键开发者承认这一问题。虽然存在后量子比特币的提案(处于 BIPs 草案阶段),但达成共识需要多年时间。如果 Q-Day 在 2035 年到来,比特币需要在 2030 年开始迁移,以便为开发、测试和网络推广留出时间。

个人现在可以采取的措施

虽然协议层解决方案还需要数年时间,但个人可以减少风险敞口:

定期迁移到新地址:从某个地址转账后,将剩余资金转移到新地址。这可以最大限度地缩短公钥暴露时间。

使用多重签名钱包:量子计算机必须同时破解多个签名,这增加了难度。虽然这并非完全抗量子,但可以争取时间。

避免重复使用地址:绝不要向已经发送过资金的地址转账。每次支出都会重新暴露公钥。

关注最新进展:关注以太坊基金会后量子(PQ)研究、Coinbase 顾问委员会的更新,以及与后量子密码学相关的比特币改进提案(BIPs)。

分散持有资产:如果你担心量子风险,可以分散投资于抗量子链(QRL)或风险较小的资产(权益证明 PoS 链比工作量证明 PoW 链更容易迁移)。

这些只是权宜之计,而非根本解决方案。协议层面的修复需要针对价值数十亿美元资产和数百万用户的协调网络升级。挑战不仅在于技术,还在于社会、政治和经济层面。

来源

4000 万美元联邦加密货币托管丑闻:承包商之子如何揭露政府数字资产安全危机

· 阅读需 9 分钟
Dora Noda
Dora Noda
Software Engineer

Telegram 上的两名网络罪犯之间的炫富竞赛刚刚暴露了美国政府历史上最令人尴尬的安全漏洞之一 —— 这与外国黑客或复杂的国家级攻击无关。美国法警局(U.S. Marshals Service),这个被托付保护数十亿美元被没收加密货币的联邦机构,目前正在调查有关一名承包商之子从政府钱包中窃取了超过 4000 万美元的指控。此案提出了一个令每位纳税人和加密利益相关者都应警觉的问题:如果政府无法保护自己的数字金库,那么这对战略比特币储备(Strategic Bitcoin Reserve)意味着什么?

冷钱包安全危机:Lazarus Group 长达一个月的预谋攻击如何攻破加密货币最强的防御体系

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

你的冷钱包并不像你想象的那么安全。在 2025 年,针对私钥、钱包系统以及管理这些系统的人员的基础设施攻击占所有被盗加密货币的 76%,在仅 45 起事件中总计损失达 22 亿美元。朝鲜国家支持的黑客组织 Lazarus Group 完善了一套让传统冷存储安全几乎失去意义的策略:针对人而非代码的为期数月的渗透活动。

DeFi 安全大清算:15 亿美元 Bybit 劫案揭示的跨链桥漏洞

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

一台被攻破的笔记本电脑。十七天的耐心等待。一次恶意的 JavaScript 注入。这就是朝鲜 Lazarus Group 执行历史上规模最大的加密货币劫案所需要的全部——2025 年 2 月从 Bybit 窃取了 15 亿美元,占当年所有被盗加密资产的 44%。

Bybit 黑客攻击并非密码学或区块链技术的失败。这是一次运营失败,暴露了 DeFi 数学安全保障之下脆弱的人为层面。随着该行业在 2025 年面临总计 34 亿美元的盗窃案,问题不再是是否会发生另一次灾难性的违规,而是协议是否会实施生存所需的变革。

Project Eleven 的 2000 万美元量子盾牌:在 Q-Day 到来前竞赛保护 3 万亿美元加密资产

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

美联储在 2025 年 9 月发布了严厉警告:对手们目前已经开始搜集加密的区块链数据,等待足够强大的量子计算机来破解它们。随着谷歌的 Willow 芯片在两小时内完成了超级计算机需要 3.2 年才能完成的计算,且破解当前加密技术的资源估算在一年内下降了 20 倍,“Q 日”(Q-Day)的倒计时已从理论推测转变为紧迫的工程现实。

Project Eleven 出现了。这家加密初创公司刚刚筹集了 2000 万美元,致力于完成许多人认为不可能完成的任务:在为时已晚之前,让整个区块链生态系统为后量子世界做好准备。

第一阶段欺诈证明上线:让以太坊 L2 真正实现去中心化信任的静默革命

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

多年来,批评者的观点不无道理:以太坊的 Layer 2 网络并非真正地无需信任。当然,它们承诺了欺诈证明——一种允许任何人挑战无效交易的机制——但这些证明要么根本不存在,要么仅限于白名单验证者。在实践中,用户信任的是运营者,而非代码。

那个时代在 2024-2025 年宣告结束。Arbitrum、Optimism 和 Base 都已部署了无许可欺诈证明系统,实现了 L2Beat 分类的“第一阶段 (Stage 1)”去中心化。这些 Rollup 宣传的安全模型首次真正成为了现实。以下是为什么这很重要、它是如何运作的,以及它对锁定在以太坊 L2 中超过 500 亿美元资金的意义。

隐私技术栈之争:ZK vs FHE vs TEE vs MPC —— 哪种技术将赢得区块链最重要的竞赛?

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

2024 年,全球机密计算市场价值为 133 亿美元。预计到 2032 年,这一数字将达到 3,500 亿美元 —— 复合年增长率为 46.4%。目前已有超过 10 亿美元专门投入到去中心化机密计算(DeCC)项目中,20 多个区块链网络组成了 DeCC 联盟,以推广隐私保护技术。

然而,对于决定使用哪种隐私技术的开发者来说,现状令人困惑。零知识证明(ZK)、全同态加密(FHE)、可信执行环境(TEE)和多方计算(MPC)各自解决的是根本不同的问题。选择错误的技术会浪费数年的开发时间和数百万美元的资金。

本指南提供了行业所需的对比:真实的性能基准测试、诚实的信任模型评估、生产环境部署状态,以及将在 2026 年实际交付的混合方案。

每项技术的实际作用

在进行对比之前,必须理解这四种技术并不是可以互换的替代方案。它们回答的是不同的问题。

零知识证明 (ZK) 回答的是:“如何在不泄露数据的情况下证明某事是真的?” ZK 系统生成密码学证明,证明计算被正确执行,而无需披露输入。输出是二进制的:陈述要么有效,要么无效。ZK 主要关注的是验证,而非计算。

全同态加密 (FHE) 回答的是:“如何在不解密数据的情况下对其进行计算?” FHE 允许直接在加密数据上进行任意计算。结果保持加密状态,只能由密钥持有者解密。FHE 关注的是保护隐私的计算。

可信执行环境 (TEE) 回答的是:“如何在隔离的硬件飞地中处理敏感数据?” TEE 使用处理器级的隔离(Intel SGX, AMD SEV, ARM CCA)来创建安全飞地(Enclaves),即使是操作系统也无法访问其中的代码和数据。TEE 关注的是硬件强制的机密性。

多方计算 (MPC) 回答的是:“如何在不泄露个人输入的情况下,由多个参与方计算出共同结果?” MPC 将计算分布在多个参与方之间,因此没有任何一个参与者能了解最终输出之外的任何信息。MPC 关注的是无需信任的协作计算。

性能基准:至关重要的数据

Vitalik Buterin 曾主张,行业应从绝对的 TPS 指标转向“密码学开销比(cryptographic overhead ratio)” —— 即对比使用隐私技术与不使用隐私技术的任务执行时间。这种框架揭示了每种方法的真实成本。

FHE:从不可用到可行

在历史上,FHE 曾比未加密的计算慢数百万倍。但现在情况已经改变。

Zama 是首个 FHE 独角兽企业(在融资超过 1.5 亿美元后估值达到 10 亿美元),其报告显示自 2022 年以来速度提升了超过 2,300 倍。目前在 CPU 上的性能可达约 20 TPS,用于机密 ERC-20 转账。GPU 加速将这一数值推高至 20-30 TPS(Inco Network),相比仅使用 CPU 执行,提升了高达 784 倍。

Zama 的路线图目标是到 2026 年底通过 GPU 迁移实现每条链 500-1,000 TPS,并预计在 2027-2028 年推出基于 ASIC 的加速器,目标是 100,000+ TPS。

架构也至关重要:Zama 的机密区块链协议使用符号执行,智能合约在轻量级的“句柄(handles)”上操作,而不是实际的密文。繁重的 FHE 操作在链下协处理器上异步运行,从而保持链上 Gas 费用处于较低水平。

底线: 对于典型操作,FHE 的开销已从 1,000,000 倍下降到大约 100-1,000 倍。目前已可用于机密 DeFi;到 2027-2028 年,其吞吐量将具备与主流 DeFi 竞争的能力。

ZK:成熟且高效

现代 ZK 平台已经实现了显著的效率。SP1、Libra 和其他 zkVM 展示了近乎线性的证明者扩展能力,对于大型工作负载,密码学开销低至 20%。在消费级硬件上,简单支付的证明生成时间已降至一秒以下。

ZK 生态系统是这四种技术中最成熟的,已在 Rollup(zkSync, Polygon zkEVM, Scroll, Linea)、身份验证(Worldcoin)和隐私协议(Aztec, Zcash)中实现了生产级部署。

底线: 对于验证任务,ZK 提供的开销最低。该技术已通过生产验证,但不支持通用的隐私计算 —— 它证明的是正确性,而不是持续计算过程中的机密性。

TEE:快速但依赖硬件

TEE 以接近原生的速度运行 —— 它们增加的计算开销极小,因为隔离是由硬件强制执行的,而不是通过密码学操作。这使得它们成为机密计算中速度最快的选择。

权衡点在于信任。你必须信任硬件制造商(Intel, AMD, ARM),并相信不存在侧信道漏洞。2022 年,一个关键的 SGX 漏洞迫使 Secret Network 协调了一次全网密钥更新 —— 这展示了操作风险。2025 年的实证研究显示,32% 的真实世界 TEE 项目在飞地内部重新实现密码学时存在侧信道暴露风险,25% 的项目表现出不安全的实践,削弱了 TEE 的保障。

底线: 执行速度最快,开销最低,但引入了硬件信任假设。最适合对速度要求极高且可以接受硬件被攻破风险的应用。

MPC:受限于网络但具备韧性

MPC 性能主要受限于网络通信而非计算。在协议执行期间,每个参与者必须交换数据,产生的延迟与参与者数量以及他们之间的网络状况成正比。

Partisia Blockchain 的 REAL 协议提高了预处理效率,实现了实时 MPC 计算。Nillion 的 Curl 协议扩展了线性秘密共享方案,以处理传统 MPC 难以应对的复杂操作(除法、平方根、三角函数)。

总结: 性能中等,但具备强大的隐私保证。诚实多数假设意味着即使部分参与者被攻破,隐私依然安全,但任何成员都可以审查计算 —— 这是与 FHE 或 ZK 相比的一个根本性局限。

信任模型:真正的区别所在

性能比较占据了大多数分析的主导地位,但对于长期架构决策而言,信任模型更为重要。

技术信任模型可能出现的问题
ZK密码学(无需信任第三方)无 —— 证明在数学上是完备的
FHE密码学 + 密钥管理密钥泄露会暴露所有加密数据
TEE硬件厂商 + 远程度量 (Attestation)侧信道攻击、固件后门
MPC门限诚实多数超过阈值的共谋会破坏隐私;任何一方都可以进行审查

ZK 除了证明系统的数学完备性外,不需要任何额外信任。这是目前最强大的信任模型。

FHE 在理论上是密码学安全的,但引入了“谁持有解密密钥”的问题。Zama 通过使用门限 MPC 将私钥分发给多个参与者来解决这个问题 —— 这意味着 FHE 在实践中往往依赖 MPC 进行密钥管理。

TEE 需要信任 Intel、AMD 或 ARM 的硬件和固件。这种信任已被多次打破。在 CCS 2025 上展示的 WireTap 攻击证明了通过 DRAM 总线拦截(DRAM bus interposition)可以攻破 SGX —— 这是一个任何软件更新都无法修复的物理攻击向量。

MPC 将信任分发给参与者,但需要诚实多数。如果超过阈值,所有输入都会暴露。此外,任何单一参与者都可以拒绝配合,从而有效地审查计算。

抗量子性 是另一个维度。FHE 天生具备量子安全性,因为它依赖于基于格的密码学(Lattice-based cryptography)。TEE 不提供抗量子性。ZK 和 MPC 的抗量子性取决于所使用的具体方案。

谁在构建什么:2026 年的市场格局

FHE 项目

Zama(融资 1.5 亿美元+,估值 10 亿美元):为大多数 FHE 区块链项目提供支持的基础设施层。于 2025 年 12 月底在以太坊上启动主网。$ZAMA 代币拍卖于 2026 年 1 月 12 日开始。创建了机密区块链协议(Confidential Blockchain Protocol)和用于加密智能合约的 fhEVM 框架。

Fhenix(融资 2200 万美元):利用 Zama 的 TFHE-rs 构建 FHE 驱动的乐观 Rollup L2。在 Arbitrum 上部署了 CoFHE 协处理器,这是第一个实用的 FHE 协处理器实现。获得了日本最大的 IT 供应商之一 BIPROGY 的战略投资。

Inco Network(融资 450 万美元):利用 Zama 的 fhEVM 提供机密性即服务(Confidentiality-as-a-service)。提供基于 TEE 的快速处理模式以及 FHE+MPC 安全计算模式。

Fhenix 和 Inco 都依赖 Zama 的核心技术 —— 这意味着无论哪个 FHE 应用链占据主导地位,Zama 都能捕获价值。

TEE 项目

Oasis Network:开创了将计算(在 TEE 中)与共识分离的 ParaTime 架构。在 TEE 中使用密钥管理委员会和门限密码学,因此没有单个节点可以控制解密密钥。

Phala Network:将去中心化 AI 基础设施与 TEE 相结合。所有 AI 计算和 Phat 合约都通过 pRuntime 在 Intel SGX 飞地(Enclaves)内执行。

Secret Network:每个验证者都运行 Intel SGX TEE。合约代码和输入在链上加密,仅在执行时在飞地内部解密。2022 年的 SGX 漏洞暴露了这种单一 TEE 依赖的脆弱性。

MPC 项目

Partisia Blockchain:由 2008 年开创实用 MPC 协议的团队创立。其 REAL 协议通过高效的数据预处理实现了抗量子的 MPC。最近与 Toppan Edge 合作,将 MPC 用于生物识别数字身份 —— 在不解密的情况下匹配人脸识别数据。

Nillion(融资 4500 万美元+):于 2025 年 3 月 24 日启动主网,随后在币安 Launchpool 上市。结合了 MPC、同态加密和 ZK 证明。企业集群包括 STC Bahrain、阿里云的 Cloudician、沃达丰的 Pairpoint 和德国电信。

混合方法:真正的未来

正如 Aztec 研究团队所言:不存在完美的单一解决方案,而且也不太可能出现某种技术成为那个完美的解决方案。未来属于混合架构。

ZK + MPC 支持协作证明生成,其中每个参与者仅持有见证数据(Witness)的一部分。这对于多机构场景(合规性检查、跨境结算)至关重要,因为在这种场景下,任何单一实体都不应看到所有数据。

MPC + FHE 解决了 FHE 的密钥管理问题。Zama 的架构使用门限 MPC 将解密密钥分发给多个参与者 —— 在消除单点故障的同时,保留了 FHE 对加密数据进行计算的能力。

ZK + FHE 允许在不泄露加密数据的情况下,证明加密计算已正确执行。其开销仍然显著 —— Zama 报告称,在大型 AWS 实例上为一个正确的自举(Bootstrapping)操作生成证明需要 21 分钟 —— 但硬件加速正在缩小这一差距。

TEE + 密码学回退 使用 TEE 进行快速执行,并将 ZK 或 FHE 作为硬件受损时的备份。这种“深度防御”方法在接受 TEE 性能优势的同时,减轻了其信任假设。

2026 年最先进的生产系统结合了两到三种此类技术。Nillion 的架构根据计算要求编排 MPC、同态加密和 ZK 证明。Inco Network 同时提供 TEE 快速模式和 FHE+MPC 安全模式。这种组合方法很可能成为行业标准。

选择合适的技术

对于在 2026 年做出架构决策的开发者来说,选择取决于三个问题:

你在做什么?

  • 在不泄露数据的情况下证明事实 → ZK
  • 对来自多个方的加密数据进行计算 → FHE
  • 以最高速度处理敏感数据 → TEE
  • 多个方在互不信任的情况下进行联合计算 → MPC

你的信任约束是什么?

  • 必须完全无需信任 → ZK 或 FHE
  • 可以接受硬件信任 → TEE
  • 可以接受阈值假设 → MPC

你的性能要求是什么?

  • 实时、亚秒级 → TEE(或仅用于验证的 ZK)
  • 中等吞吐量、高安全性 → MPC
  • 大规模隐私保护 DeFi → FHE(2026-2027 年时间表)
  • 最高验证效率 → ZK

机密计算市场预计将从 2025 年的 240 亿美元增长到 2032 年的 3500 亿美元。如今正在构建的区块链隐私基础设施 —— 从 Zama 的 FHE 协处理器到 Nillion 的 MPC 编排,再到 Oasis 的 TEE ParaTimes —— 将决定哪些应用能够在这个 3500 亿美元的市场中存在,而哪些不能。

隐私不是一项功能。它是使符合监管要求的 DeFi、机密 AI 和企业级区块链采用成为可能的基础设施层。最终胜出的技术不一定是速度最快或理论上最优雅的 —— 而是能够交付生产就绪、可组合的原语,供开发者实际在其上构建的技术。

根据目前的发展轨迹,答案很可能是这四者兼而有之。

BlockEden.xyz 提供支持隐私保护区块链网络和机密计算应用的多链 RPC 基础设施。随着隐私保护协议从研究走向生产,可靠的节点基础设施成为每一笔加密交易的基石。探索我们的 API 市场 以获取企业级区块链接入服务。