跳到主要内容

109 篇博文 含有标签「安全」

网络安全、智能合约审计和最佳实践

查看所有标签

以太坊的量子防御:航向 2030 年路线图

· 阅读需 16 分钟
Dora Noda
Dora Noda
Software Engineer

以太坊正处于倒计时之中。虽然能够破解现代密码学的量子计算机尚未问世,但 Vitalik Buterin 估计到 2030 年之前,这类计算机出现的概率为 20%——而一旦它们出现,数千亿美元的资产可能会面临风险。2026 年 2 月,他公布了以太坊迄今为止最全面的量子防御路线图,该路线图以 EIP-8141 为核心,并制定了为期数年的迁移战略,旨在“Q-Day”到来之前更换每一个易受攻击的密码学组件。

赌注从未如此之高。以太坊的权益证明(PoS)共识、外部拥有账户(EOAs)以及零知识证明系统都依赖于量子计算机可以在数小时内破解的密码学算法。与比特币不同——比特币用户可以通过从不重复使用地址来保护资金——以太坊的验证者系统和智能合约架构创造了永久的暴露点。网络现在必须采取行动,否则在量子计算成熟时将面临被淘汰的风险。

量子威胁:为什么 2030 年是以太坊的最后期限

“Q-Day”的概念——即量子计算机能够破解当今密码学的时刻——已从理论上的担忧转变为战略规划的重点。大多数专家预测 Q-Day 将在 2030 年代到来,而 Vitalik Buterin 认为 2030 年之前实现突破的可能性约为 20%。虽然这看起来还很遥远,但在区块链规模上安全执行密码学迁移需要数年时间。

量子计算机通过 Shor 算法对比特坊构成威胁,该算法可以高效解决 RSA 和椭圆曲线密码学(ECC)的底层数学问题。以太坊目前依赖于:

  • 用于用户账户签名的 ECDSA(椭圆曲线数字签名算法)
  • 用于验证者共识的 BLS(Boneh-Lynn-Shacham)签名
  • Dencun 时代后用于数据可用性的 KZG 承诺
  • 隐私和扩展方案中的传统 ZK-SNARKs

一旦足够强大的量子计算机出现,这些密码学原语中的每一个都将变得脆弱。单一的量子突破就可能使攻击者能够伪造签名、冒充验证者并清空用户账户,从而可能危及整个网络的安全性模型。

与比特币相比,这种威胁对以太坊尤为严重。从不重复使用地址的比特币用户在消费前会隐藏其公钥,从而限制了量子攻击的时间窗口。然而,以太坊的权益证明验证者必须发布 BLS 公钥才能参与共识。智能合约交互也会例行公开公钥。这种架构差异意味着以太坊拥有更多持久的攻击面,需要主动防御而非反应式的行为改变。

EIP-8141:以太坊量子防御的基础

以太坊量子路线图的核心是 EIP-8141,该提案从根本上重新构思了账户如何验证交易。EIP-8141 不再将签名方案硬编码到协议中,而是实现了“账户抽象”——将身份验证逻辑从协议规则转移到智能合约代码中。

这一架构转变将以太坊账户从僵化的仅限 ECDSA 的实体转变为可以支持任何签名算法(包括抗量子替代方案)的灵活容器。在 EIP-8141 下,用户可以迁移到基于哈希的签名(如 SPHINCS+)、基于格的方案(CRYSTALS-Dilithium)或结合多种密码学原语的混合方法。

技术实现依赖于“框架交易”(frame transactions),这是一种允许账户指定自定义验证逻辑的机制。框架交易不再由 EVM 在协议层检查 ECDSA 签名,而是将此责任委托给智能合约。这意味着:

  1. 面向未来的灵活性:无需硬分叉即可采用新的签名方案
  2. 渐进式迁移:用户可以按照自己的节奏过渡,而不是进行协调一致的“标志日”(flag day)升级
  3. 混合安全:账户可以同时要求多种签名类型
  4. 量子抗性:基于哈希和基于格的算法可以抵抗已知的量子攻击

以太坊基金会开发者 Felix Lange 强调,EIP-8141 创造了一个关键的“ECDSA 离场出口”,使网络能够在量子计算机成熟之前弃用脆弱的密码学。Vitalik 已提议将框架交易纳入预计在 2026 年下半年进行的 Hegota 升级中,使其成为近期优先事项而非遥远的研究项目。

四大支柱:更换以太坊的密码学基础

Vitalik 的路线图针对四个需要抗量子替代方案的脆弱组件:

1. 共识层:从 BLS 到基于哈希的签名

以太坊的权益证明共识依赖于 BLS 签名,它将成千上万个验证者签名聚合为紧凑的证明。虽然 BLS 签名效率很高,但它们在量子攻击面前很脆弱。该路线图提议用基于哈希的替代方案取代 BLS——这种密码学方案的安全性仅取决于抗碰撞哈希函数,而不是量子计算机可以解决的艰深数学问题。

像 XMSS(扩展默克尔签名方案)这样基于哈希的签名提供了经过数十载密码学研究验证的抗量子性。挑战在于效率:BLS 签名使以太坊能够经济地处理 900,000 多个验证者,而基于哈希的方案则需要多得多的数据和计算。

2. 数据可用性:从 KZG 承诺到 STARKs

自 Dencun 升级以来,以太坊使用 KZG 多项式承诺来实现 “blob” 数据可用性——该系统允许 rollups 以低成本发布数据,同时验证者可以高效地进行验证。然而,KZG 承诺依赖于易受量子攻击的椭圆曲线配对。

解决方案涉及转向 STARK(Scalable Transparent Argument of Knowledge,可扩展的透明知识论证)证明,其安全性源自哈希函数而非椭圆曲线。STARKs 在设计上具有抗量子性,并且已经为 StarkWare 等 zkEVM rollups 提供支持。此次迁移将保持以太坊的数据可用性能力,同时消除量子风险。

3. 外部账户:从 ECDSA 到多算法支持

对于用户来说,最明显的变化是将 2 亿多个以太坊地址从 ECDSA 迁移到量子安全替代方案。EIP-8141 通过账户抽象实现了这一转型,允许每个用户选择其偏好的抗量子方案:

  • CRYSTALS-Dilithium:NIST 标准化的基于格的签名,提供强大的安全保障
  • SPHINCS+:基于哈希的签名,除了哈希函数的安全性外不需要任何假设
  • 混合方法:将 ECDSA 与抗量子方案结合,以实现纵深防御

关键限制在于 gas 成本。传统的 ECDSA 验证成本约为 3,000 gas,而 SPHINCS+ 验证运行成本约为 200,000 gas——增加了 66 倍。如果没有专门为后量子签名验证设计的 EVM 优化或新的预编译合约,这种经济负担可能会使抗量子交易变得昂贵得令人望而却步。

4. 零知识证明:向量子安全 ZK 系统过渡

许多 Layer 2 扩容方案和隐私协议依赖于 zk-SNARKs(零知识简洁非交互式知识论证),它们通常使用椭圆曲线加密进行证明生成和验证。这些系统需要迁移到 STARKs 或基于格的 ZK 证明等抗量子替代方案。

StarkWare、Polygon 和 zkSync 已经在大力投资基于 STARK 的证明系统,为以太坊的量子转型奠定了基础。挑战在于协调数十个独立的 Layer 2 网络进行升级,同时保持与以太坊基层的兼容性。

NIST 标准与实施时间线

以太坊的量子路线图建立在由美国国家标准与技术研究院 (NIST) 在 2024-2025 年标准化的加密算法之上:

  • CRYSTALS-Kyber(现为 FIPS 203):用于量子安全加密的密钥封装机制
  • CRYSTALS-Dilithium(现为 FIPS 204):基于格密码学的数字签名算法
  • SPHINCS+(现为 FIPS 205):提供保守安全假设的基于哈希的签名方案

这些经 NIST 批准的算法为 ECDSA 和 BLS 提供了经过实战检验的替代方案,具有正式的安全证明和广泛的同行评审。以太坊开发人员可以对其加密基础充满信心并实施这些方案。

实施时间线反映了受工程现实制约的紧迫感:

2026 年 1 月:以太坊基金会成立专门的后量子安全团队,获得 200 万美元资金支持,由研究员 Thomas Coratger 领导。这标志着抗量子性正式从研究课题提升为战略重点。

2026 年 2 月:Vitalik 发布了全面的量子防御路线图,包括 EIP-8141 和 “Strawmap”——一个整合抗量子加密技术至 2029 年的七次分叉升级计划。

2026 年下半年:目标在 Hegota 升级中包含框架交易(启用 EIP-8141),为量子安全账户抽象提供技术基础。

2027-2029 年:在基层和 Layer 2 网络中分阶段推出抗量子共识签名、数据可用性承诺和 ZK 证明系统。

2030 年之前:完成关键基础设施向抗量子加密技术的全面迁移,在预计最早的 Q-Day 场景出现前建立安全边际。

这一时间线代表了计算历史上最雄心勃勃的加密转型之一,需要基金会团队、客户端开发人员、Layer 2 协议、钱包提供商和数百万用户之间的协调——同时还要保持以太坊的运行稳定性和安全性。

经济挑战:Gas 成本与优化

抗量子化并非没有代价。最重要的技术障碍涉及在以太坊虚拟机 (EVM) 上验证后量子签名的计算成本。

目前的 ECDSA 签名验证成本约为 3,000 gas——按典型 gas 价格计算约为 0.10 美元。SPHINCS+ 作为最保守的抗量子替代方案之一,验证成本约为 200,000 gas——每笔交易约 6.50 美元。对于进行频繁交易或与复杂 DeFi 协议交互的用户来说,这种 66 倍的成本增加可能会变得难以承受。

几种方法可以缓解这些经济问题:

EVM 预编译:为 CRYSTALS-Dilithium 和 SPHINCS+ 验证添加原生 EVM 支持将显著降低 gas 成本,类似于现有的预编译合约如何使 ECDSA 验证变得经济实惠。路线图包括 13 个新的抗量子预编译计划。

混合方案:用户可以采用 “经典 + 量子” 签名组合,其中 ECDSA 和 SPHINCS+ 签名都必须通过验证。这在提供抗量子性的同时保持了效率,直到 Q-Day 到来,届时可以舍弃 ECDSA 部分。

乐观验证:关于 “Naysayer 证明” 的研究探索了乐观模型,即假定签名有效除非受到挑战,从而以增加额外信任假设为代价显著降低链上验证成本。

Layer 2 迁移:抗量子交易可能主要发生在针对后量子加密优化的 rollups 上,而以太坊基层仅处理最终结算。这种架构转变将使成本增加局部化到特定的用例中。

以太坊研究社区正积极探索所有这些路径,针对不同的用例可能会出现不同的解决方案。高价值的机构转账可能会为了 SPHINCS+ 的安全性而接受 200,000 gas 的成本,而日常的 DeFi 交易可能会依赖更高效的基于格的方案或混合方法。

向比特币学习:不同的威胁模型

比特币和以太坊面临量子威胁的方式不同,这影响了它们各自的防御策略。

比特币的 UTXO 模型和地址重用模式创造了一个更简单的威胁格局。从不重用地址的用户在消费之前会一直隐藏其公钥,这将量子攻击的窗口限制在交易广播到区块确认之间的短暂时间内。这种 “不重用地址” 的指南即使在没有协议级更改的情况下也能提供实质性保护。

以太坊的账户模型和智能合约架构创造了永久的暴露点。每个验证者都会发布保持不变的 BLS 公钥。智能合约交互通常会暴露用户的公钥。共识机制本身依赖于每 12 秒聚合数千个公共签名。

这种架构差异意味着以太坊需要主动进行密码学迁移,而比特币则可能采取更具反应性的立场。以太坊的量子路线图反映了这一现实,优先考虑保护所有用户的协议级更改,而不是依赖行为修改。

然而,这两个网络都面临类似的长期紧迫任务。比特币也出现了抗量子地址格式和签名方案的提案,诸如 Quantum Resistant Ledger (QRL) 之类的项目展示了基于哈希的替代方案。更广泛的加密货币生态系统认识到,量子计算是一个需要协同应对的生存威胁。

这对以太坊用户和开发者意味着什么

对于 2 亿多以太坊地址持有者来说,抗量子性将通过逐步的钱包升级实现,而不是剧烈的协议更改。

钱包提供商 将集成抗量子签名方案,因为 EIP-8141 实现了账户抽象。用户可能会在 MetaMask 或硬件钱包中选择 “量子安全模式”,自动将其账户升级为 SPHINCS+ 或 Dilithium 签名。对于大多数人来说,这种过渡就像是一次常规的安全更新。

DeFi 协议和 dApp 必须为抗量子签名的 Gas 成本影响做好准备。智能合约可能需要重新设计,以尽量减少签名验证调用或更有效地批量操作。协议可能会提供 “量子安全” 版本,虽然交易成本更高,但安全保证更强。

Layer 2 开发者 面临着最复杂的过渡,因为 Rollup 证明系统、数据可用性机制和跨链桥都需要抗量子密码学。像 Optimism 这样的网络已经宣布了为期 10 年的后量子过渡计划,认识到了这一工程挑战的范围。

验证者和质押服务 最终将从 BLS 迁移到基于哈希的共识签名,这可能需要客户端软件升级和质押基础设施的更改。以太坊基金会的分阶段方法旨在最大限度地减少干扰,但验证者应为这种不可避免的过渡做好准备。

对于更广泛的生态系统,抗量子性既代表挑战也代表机遇。如今构建量子安全基础设施的项目 —— 无论是钱包、协议还是开发者工具 —— 都将自己定位为以太坊长期安全架构的重要组成部分。

结论:与量子时钟赛跑

以太坊的量子防御路线图代表了区块链行业对后量子密码学挑战最全面的回应。通过同时针对共识签名、数据可用性、用户账户和零知识证明,该网络正在量子计算机成熟之前进行全面的密码学改革。

时间表虽然激进但并非不可实现。凭借一支专门的 200 万美元后量子安全团队、准备实施的 NIST 标准算法以及社区对 EIP-8141 重要性的共识,以太坊拥有执行这一过渡的技术基础和组织意愿。

经济挑战 —— 特别是基于哈希的签名导致 Gas 成本增加 66 倍 —— 仍未解决。但随着 EVM 优化、预编译开发和混合签名方案的出现,解决方案正在显现。问题不在于以太坊能否具备抗量子性,而在于它能多快大规模部署这些防御措施。

对于用户和开发者来说,信息很明确:量子计算不再是一个遥远的理论问题,而是一个近期的战略重点。2026-2030 年的时间窗口是以太坊在 Q 日到来之前对其密码学基础进行未来化验证的关键机遇。

数千亿美元的链上价值取决于能否正确处理此事。随着 Vitalik 的路线图现已公开并开始实施,以太坊正押注其能够赢得与量子计算的竞赛 —— 并为后量子时代重新定义区块链安全。

资料来源:

托管架构的分歧:为什么大多数加密货币托管机构无法达到美国银行标准

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

这里有一个令每个进入加密领域的机构都应感到忧虑的悖论:行业内一些最知名的托管服务商——其中包括 Fireblocks 和 Copper——尽管保护着数百亿美元的数字资产,但在美国银行监管条例下,法律上却无法担任合格托管人(Qualified Custodians)。

原因何在?一个在 2018 年看起来处于前沿的技术架构选择,在 2026 年却演变成了一个无法逾越的监管障碍。

分割行业的底层技术

机构托管市场在多年前就分裂成了两大阵营,每一方都在押注不同的加密方式来确保私钥安全。

多方计算 (MPC) 将私钥分割成加密的“分片(shards)”,分布在多个参与方之间。任何单一分片都不包含完整的私钥。当交易需要签名时,各方通过分布式协议协作生成有效签名,而无需重构完整私钥。其吸引力显而易见:通过确保没有任何实体拥有完全控制权,消除了“单点故障”。

硬件安全模块 (HSM) 与之相反,它将完整的私钥存储在经过 FIPS 140-2 第 3 级或第 4 级认证的物理设备中。这些设备不仅能防篡改(Tamper-resistant),还能对篡改做出响应(Tamper-responsive)。当传感器探测到钻孔、电压操纵或极端温度时,HSM 会在攻击者提取私钥之前立即自行擦除所有加密材料。整个加密生命周期——生成、存储、签名、销毁——都发生在一个符合严格联邦标准的认证边界内。

多年来,这两种方法并存。MPC 提供商强调了通过单点攻击破解私钥在理论上的不可能。HSM 的支持者则指出了银行基础设施中数十年来经过验证的安全性以及明确的监管合规性。市场曾将它们视为机构托管同等可行的替代方案。

随后,监管机构明确了“合格托管人”的真正含义。

FIPS 140-3:改变一切的标准

联邦信息处理标准(FIPS)的存在并不是为了让工程师的生活变得困难。它们的存在是因为美国政府通过沉痛的、保密的事件了解到,加密模块在对抗性条件下究竟是如何失效的。

FIPS 140-3 于 2019 年 3 月取代了 FIPS 140-2,为加密模块确立了四个安全等级:

第 1 级 要求使用生产级设备和经过外部测试的算法。这是基准线——对于保护高价值资产来说是必要但不足够的。

第 2 级 增加了物理防篡改迹象和基于角色的身份验证要求。攻击者可能会成功入侵第 2 级模块,但他们会留下可探测的痕迹。

第 3 级 要求具备物理防篡改能力和基于身份的身份验证。私钥只能以加密形式进入或退出。这是实施成本变得昂贵且无法造假的分水岭。第 3 级模块必须能够检测并响应物理入侵尝试,而不仅仅是记录下来供日后审查。

第 4 级 强制执行主动防篡改保护:模块必须检测环境攻击(电压波动、温度操纵、电磁干扰)并立即销毁敏感数据。多因素身份验证成为强制要求。在这一级别,安全边界可以抵御具有物理接触权的国家级攻击者。

根据美国银行监管规定,若要获得合格托管人身份,HSM 基础设施必须证明至少通过了 FIPS 140-2 第 3 级认证。这不只是一个建议或最佳实践,而是由美国货币监理署(OCC)、美联储和州银行监管机构强制执行的硬性要求。

基于软件的 MPC 系统,从定义上来说,无法获得 FIPS 140-2 或 140-3 的第 3 级或更高级别的认证。该认证适用于具有硬件防篡改能力的物理加密模块——而 MPC 架构在根本上不符合这一类别。

Fireblocks 与 Copper 的合规缺口

Fireblocks 信托公司在纽约州金融服务管理局(NYDFS)监管的纽约州信托牌照下运营。该公司的基础设施保护着 3 亿个钱包中超过 10 万亿美元的数字资产——这是一项真正令人印象深刻的成就,展示了卓越的运营能力和市场信心。

但在联邦银行法中,“合格托管人”是一个具有精确要求的特定术语。国民银行、联邦储蓄协会以及作为美联储成员的州立银行被推定为合格托管人。州立信托公司如果能满足同样的要求——包括满足 FIPS 标准的、由 HSM 支持的密钥管理——也可以获得合格托管人身份。

Fireblocks 的架构在后端依赖于 MPC 技术。该公司的安全模型将密钥分散在多个参与方之间,并使用先进的加密协议在无需重构密钥的情况下实现签名。对于许多用例——特别是高频交易、跨交易所套利和 DeFi 协议交互——这种架构相比基于 HSM 的系统具有显著优势。

但它不符合联邦政府关于数字资产托管的合格托管人标准。

Copper 面临着同样的根本约束。该平台擅长为金融科技公司和交易所提供快速的资产转移和交易基础设施。技术有效,运营专业,安全模型对其预期用例而言也是稳健的。

但这两家公司在后端都没有使用 HSM。两者都依赖 MPC 技术。根据目前的监管解读,这一架构选择使它们失去了为受联邦银行监管的机构客户担任合格托管人的资格。

SEC 在最近的指南中确认,它不会对使用州立信托公司作为加密资产合格托管人的注册顾问或受监管基金采取执法行动——但前提是该州立信托公司必须获得其监管机构的授权提供托管服务,并满足传统合格托管人所适用的相同要求。这包括经过 FIPS 认证的 HSM 基础设施。

这并不是说一种技术在绝对意义上优于另一种。这是关于监管定义的滞后,这些定义是在加密托管意味着物理安全设施中的 HSM 时编写的,至今尚未更新以适应基于软件的替代方案。

Anchorage Digital 的联邦牌照护城河

2021 年 1 月,Anchorage Digital Bank 成为第一家获得美国货币监理署(OCC)授予国家信托银行牌照的加密原生公司。五年后,它仍然是唯一一家主要专注于数字资产托管的联邦特许银行。

OCC 牌照不仅是一项监管成就。随着机构采纳的加速,它已成为一个极具价值的竞争护城河。

使用 Anchorage Digital Bank 的客户,其资产托管在与摩根大通(JPMorgan Chase)和纽约梅隆银行(Bank of New York Mellon)相同的联邦监管框架下。这包括:

  • 旨在确保银行在不威胁客户资产的情况下吸收损失的资本要求
  • 通过定期 OCC 检查强制执行的全面合规标准
  • 受联邦银行业监管的安全协议,包括经 FIPS 认证的 HSM 基础设施
  • 确认内部控制有效的 SOC 1 和 SOC 2 Type II 认证

运营性能指标同样重要。Anchorage 处理 90% 的交易仅需不到 20 分钟 —— 这与基于 MPC 的系统相比极具竞争力,而后者在理论上因分布式签名应该更快。该公司构建的托管基础设施已被包括贝莱德(BlackRock)在内的机构选中,用于加密现货 ETF 的运营,这是全球最大的资产管理公司在推出受监管产品时投下的信任票。

对于受监管实体 —— 养老基金、捐赠基金、保险公司、注册投资顾问 —— 联邦牌照解决了一个任何创新密码学都无法解决的合规问题。当法规要求具备合格托管人身份,而合格托管人身份要求具备经过 FIPS 标准验证的 HSM 基础设施,且只有一家加密原生银行在 OCC 的直接监督下运营时,托管决策就变得非常清晰。

混合架构的机遇

托管技术格局并非静止不变。随着机构意识到纯 MPC 解决方案的监管局限性,新一代混合架构正在兴起。

这些系统将经过 FIPS 140-2 验证的 HSM 与 MPC 协议及生物特征控制相结合,提供多层保护。HSM 提供合规基础和物理防篡改能力。MPC 增加了分布式签名能力并消除了单点故障风险。生物特征识别则确保即使凭据有效,交易仍需要授权人员的人工验证。

一些先进的托管平台现在实现了 “温度无关”(temperature agnostic)运营 —— 能够根据需要在冷存储(位于物理安全设施中的 HSM)、温存储(具有更快访问速度以满足运营需求的 HSM)和热钱包(用于毫秒必争且监管要求相对较低的高频交易)之间动态分配资产。

这种架构灵活性至关重要,因为不同的资产类型和使用场景在安全性与可访问性之间有不同的权衡:

  • 长期国库持仓:在 FIPS 4 级设施的冷存储 HSM 中提供最高安全性,具有多日的提款流程和多个审批层级
  • ETF 申购/赎回:能够在几小时内处理机构级交易并保持 FIPS 合规的温存储 HSM
  • 交易业务:采用 MPC 签名的热钱包,实现亚秒级执行,此时托管服务商在不同于合格托管人的监管框架下运营

关键见解在于,合规性并非是非黑即白的。它取决于机构类型、所持资产以及适用的监管制度。

NIST 标准与 2026 年演进中的格局

除了 FIPS 认证外,美国国家标准与技术研究院(NIST)已成为 2026 年数字资产托管的网络安全基准。

提供托管服务的金融机构越来越需要满足与 NIST 网络安全框架 2.0(NIST Cybersecurity Framework 2.0)一致的运营要求。这包括:

  • 对托管基础设施进行持续监控和威胁检测
  • 通过定期的桌面演习测试事件响应预案
  • 托管系统中硬件和软件组件的供应链安全
  • 遵循最小特权原则的身份和访问管理

Fireblocks 的框架与 NIST CSF 2.0 保持一致,为银行实施托管治理提供了模型。挑战在于,虽然 NIST 合规是必要的,但对于联邦银行法下的合格托管人身份而言并不充分。它是适用于所有托管服务商的网络安全基准 —— 但并未解决 HSM 基础设施底层的 FIPS 认证要求。

随着 2026 年加密托管监管的成熟,我们看到不同监管层级之间有了更清晰的界限:

  • OCC 特许银行:受全面的联邦银行业监督,具备合格托管人身份,满足 HSM 要求
  • 州特许信托公司:受 NYDFS 或同等州级监管,如果由 HSM 支持,可能具备合格托管人身份
  • 持牌托管服务商:满足州级许可要求,但不主张合格托管人身份
  • 技术平台:提供托管基础设施,但不以自身名义直接持有客户资产

监管演进并未让托管变得简单。它正在创造更多专业化的类别,以将安全要求与机构的风险状况相匹配。

这对机构采用意味着什么

托管架构的分歧对 2026 年分配数字资产的机构具有直接影响:

对于注册投资顾问 (RIAs),SEC 的托管规则要求客户资产必须由合格托管人持有。如果你的基金结构要求具备合格托管人身份,那么基于 MPC 的提供商——无论其安全属性或运营记录如何——都无法满足该监管要求。

对于公共养老基金和捐赠基金,受托责任标准通常要求资产托管在符合与传统资产托管人相同的安全和监管标准的机构中。州银行牌照或联邦 OCC 牌照成为先决条件,这极大地缩小了可行提供商的范围。

对于积累比特币或稳定币的企业财库,合格托管人要求可能并不适用,但保险覆盖范围却适用。许多机构级托管保险政策现在要求将经 FIPS 认证的 HSM 基础设施作为承保条件。即使监管机构尚未强制执行,保险市场实际上也在强制执行硬件安全模块的要求。

对于加密原生公司——交易所、DeFi 协议、交易台——情况则有所不同。速度比监管分类更重要。跨链移动资产以及与智能合约集成的能力比 FIPS 认证更重要。基于 MPC 的托管平台在这些环境中表现出色。

错误在于将托管视为一种“一刀切”的决策。正确的架构完全取决于你是谁、你持有的是什么以及适用哪种监管框架。

前行的道路

到 2030 年,托管市场可能会分化为不同的类别:

合格托管人:在 OCC 联邦牌照或等效的州信托牌照下运营,使用 HSM 基础设施,为受严格受托责任标准和托管法规约束的机构提供服务。

技术平台:利用 MPC 和其他先进的加密技术,服务于速度和灵活性比合格托管人身份更重要的用例,在资金传输或其他许可框架下运营。

混合型提供商:同时提供支持受监管产品的 HSM 后盾合格托管,以及用于运营需求的基于 MPC 的解决方案,允许机构根据具体要求在不同安全模型之间分配资产。

对于在 2026 年进入加密领域的机构来说,问题不在于“哪家托管提供商最好?”,而在于“哪种托管架构符合我们的监管义务、风险承受能力和运营需求?”

对于许多机构而言,答案指向受联邦监管、拥有 FIPS 认证 HSM 基础设施的托管人。而对于其他机构,基于 MPC 平台的灵活性和速度则超过了合格托管人的分类。

行业的成熟意味着承认这些权衡,而不是假装它们不存在。

随着区块链基础设施不断向机构标准演进,对于构建者而言,对多样化网络的可靠 API 访问变得至关重要。BlockEden.xyz 在各大主流链上提供企业级 RPC 端点,使开发者能够专注于应用开发而非节点运营。

来源

Lobstar Wilde 事件:自主交易的警示录

· 阅读需 16 分钟
Dora Noda
Dora Noda
Software Engineer

当一个自主 AI 代理将价值 441,000 美元的代币发送给一个索要 310 美元的陌生人时,这不仅仅是又一个加密货币恐怖故事——它是对机器自主性与财务安全之间根本张力的一次警钟。Lobstar Wilde 事件已成为 2026 年自主交易辩论的定义性时刻,揭露了 AI 控制钱包中关键的安全漏洞,并迫使行业面对一个令人不安的事实:在我们弄清楚如何防止代理意外破产之前,我们正竞相赋予它们财务超级能力。

震惊自主交易界的 441,000 美元失误

2026 年 2 月 23 日,由 OpenAI 工程师 Nik Pash 创建的自主加密货币交易机器人 Lobstar Wilde 犯下了一个灾难性的错误。一位名为 Treasure David 的 X 用户发布了一条带有调侃意味的请求:“我叔叔被像你这样的龙虾弄伤得了破伤风,需要 4 SOL 治疗”,并附上了他的 Solana 钱包地址。该代理旨在以最少的人为监督独立运行,它将此视为一个合法的请求。

接下来发生的事震惊了加密社区:Lobstar Wilde 没有发送 4 枚 SOL 代币(价值约 310 美元),而是转账了 5,240 万枚 LOBSTAR 代币——占代币总供应量的 5%。根据账面估值与实际市场流动性的对比,这次转账价值在 250,000 美元到 450,000 美元之间,尽管由于流动性有限,链上实现的价值接近 40,000 美元。

罪魁祸首?旧版 OpenClaw 框架中的一个小数点错误。根据多方分析,该代理将 52,439 枚 LOBSTAR 代币(相当于 4 SOL)与 5,240 万枚代币混淆了。Pash 的事后分析将损失归因于代理在崩溃后丢失了对话状态,忘记了预先存在的创建者分配,并在尝试进行其认为的小额捐赠时,对自己的钱包余额使用了错误的心理模型。

在一个只有加密货币圈才会出现的转折中,由于交易员竞相利用这一病毒式关注,该事件的公开导致 LOBSTAR 代币飙升了 190%。但在黑色幽默的背后,潜藏着一个发人深省的问题:如果一个 AI 代理会因为逻辑错误而意外发送近 50 万美元,这说明自主金融系统的成熟度如何?

Lobstar Wilde 的设计初衷

Nik Pash 构建 Lobstar Wilde 的雄心勃勃的任务是:通过算法交易将 50,000 美元的 Solana 变为 100 万美元。该代理配备了加密钱包、社交媒体账号和工具访问权限,使其能够在网上自主行动——发布更新、与用户互动并执行交易,而无需持续的人为监督。

这代表了代理 AI(Agentic AI)的前沿:系统不仅提供建议,还实时做出决策并执行交易。与具有硬编码规则的传统交易机器人不同,Lobstar Wilde 使用大语言模型来解读语境、做出判断并在社交媒体上自然互动。它旨在应对瞬息万变的 memecoin 交易世界,在那个世界里,毫秒和社交情绪决定了成败。

此类系统的承诺是引人注目的。自主代理比人类处理信息更快,全天候对市场状况做出反应,并消除了困扰人类交易员的情绪化决策。它们代表了算法交易之后的下一次进化——不仅仅是执行预定义策略,而是适应新情况并像人类交易员一样与社区互动。

但 Lobstar Wilde 事件揭示了这一愿景的根本缺陷:当你赋予 AI 系统财务权限和社交互动能力时,你就创造了一个巨大的攻击面,可能导致灾难性的后果。

不该发生的支出限制失败

Lobstar Wilde 事件中最令人不安的方面之一是,它代表了一类现代钱包基础设施声称已经解决的错误。Coinbase 在 2026 年 2 月 11 日——就在 Lobstar Wilde 事故发生前几周——推出了代理钱包(Agentic Wallets),正是为了解决这个问题。

代理钱包包含可编程的支出限制,旨在防止失控的交易:

  • 会话上限:设置代理在每个会话中可以花费的最大金额
  • 交易限制:控制单笔交易的大小
  • 飞地 (Enclave) 隔离:私钥保存在安全的 Coinbase 基础设施中,永远不会暴露给代理
  • KYT (了解你的交易) 筛选:自动拦截高风险交互

这些保护措施专门用于防止 Lobstar Wilde 经历的那种灾难性错误。一个配置得当的支出限制本应拒绝一笔占代币总供应量 5% 或超过“小额捐赠”合理阈值的交易。

Lobstar Wilde 未使用此类保护措施——或者说它们未能阻止该事件——这一事实揭示了技术能力与实际部署方式之间的关键差距。安全专家指出,许多构建自主代理的开发人员优先考虑速度和自主性,而非安全防护栏,将支出限制视为可选的摩擦,而非必要的保护。

此外,该事件暴露了一个更深层次的问题:状态管理失败。当 Lobstar Wilde 的对话状态崩溃并重启时,它丢失了关于自身财务状况和近期分配的上下文。这种在拥有财务权限的系统中出现的健忘症是灾难性的——想象一下,一个人类交易员周期性地忘记他们已经卖掉了全部头寸,并试图再次执行此操作。

自主交易辩论:是否操之过急?

Lobstar Wilde 事件重新引发了关于金融背景下自主 AI 代理的激烈辩论。一方是加速主义者,他们认为代理是不可避免且必要的——这是紧跟现代加密市场速度和复杂性的唯一途径。另一方是怀疑论者,他们认为在解决根本的安全和控制问题之前,我们正匆忙赋予机器金融超能力。

怀疑论者的观点正在得到支持。2026 年初的研究发现,只有 29% 部署代理式 AI 的组织表示已准备好保护这些部署的安全。仅有 23% 的组织拥有正式的、企业范围内的代理身份管理策略。

对于一项被直接授予访问金融系统权限的技术来说,这些数字令人震惊。安全研究人员在自主交易系统中发现了多个关键漏洞:

提示词注入攻击:对手通过在看似无害的文本中隐藏命令来操纵代理的指令。攻击者可以在社交媒体上发布带有隐藏指令的帖子,导致代理发送资金或执行交易。

代理间传染:受损的研究代理可能会在交易代理使用的报告中插入恶意指令,随后交易代理会执行非预期的交易。研究发现,连锁故障在代理网络中传播的速度超过了传统事件响应的遏制能力,单个受损代理能在 4 小时内毒害 87% 的下游决策。

状态管理失败:正如 Lobstar Wilde 事件所表明的,当代理丢失对话状态或上下文时,它们可能会根据有关其自身财务状况的不完整或错误信息做出决策。

缺乏紧急控制:大多数自主代理缺乏强大的紧急停止机制。如果代理开始执行一系列糟糕的交易,通常没有明确的方法在发生重大损失之前停止其行为。

加速主义者的反驳是,这些是成长的烦恼,而非根本缺陷。他们指出,人类交易员也会犯灾难性的错误——不同之处在于 AI 代理可以从错误中学习,并以人类无法达到的规模实施系统性保障措施。此外,24/7 全天候自动化交易、即时执行和无情感决策的优势过于显著,不能因为早期失败而放弃。

但即使是乐观主义者也承认,自主交易的现状类似于早期的互联网银行业务——我们知道目标在哪里,但安全基础设施尚未成熟到可以安全到达那里的程度。

金融自主就绪差距

Lobstar Wilde 事件是一个更大问题的征兆:AI 代理能力与在金融场景中安全部署所需的基础设施之间的就绪差距。

企业安全调查以鲜明的措辞揭示了这一差距。虽然 68% 的组织认为“人在回路”(human-in-the-loop)监督对 AI 代理至关重要或非常重要,62% 的组织认为在代理批准金融交易之前需要人工验证是关键的,但他们还没有可靠的方法来实施这些保障措施。挑战在于如何在不消除使代理具有价值的速度优势的情况下做到这一点。

身份危机尤为严重。传统的 IAM(身份和访问管理)系统是为人类或具有静态权限的简单自动化系统设计的。但 AI 代理持续运行,根据上下文做出决策,并且需要适应不同情况的权限。静态凭据、过度授权的令牌和孤立的策略执行无法跟上以机器速度运行的实体。

金融监管又增加了另一层复杂性。现有框架针对的是人类运营商和企业实体——拥有法律身份、社会安全号码和政府认可的实体。加密 AI 代理在这些框架之外运行。当代理进行交易时,谁承担法律责任?开发者?部署它的组织?还是代理本身?这些问题目前还没有明确的答案。

行业正在竞相弥补这些差距。诸如 ERC-8004(代理验证层)之类的标准正在开发中,旨在为自主代理提供身份和审计追踪。平台正在实施多层权限系统,代理根据交易规模和风险拥有不同等级的自主权。专门针对 AI 代理错误的保险产品也正在涌现。

但代理能力的创新速度超过了代理安全的创新速度。开发者可以使用 OpenClaw 或 Coinbase 的 AgentKit 等框架在几小时内创建一个自主交易代理。而围绕该代理构建全面的安全基础设施——支出限制、状态管理、紧急控制、审计追踪、保险覆盖——则需要数周或数月的时间,并且需要大多数团队不具备的专业知识。

Coinbase Agentic Wallets 的得与失

Coinbase 的 Agentic Wallets 代表了迄今为止为 AI 代理构建安全金融基础设施最成熟的尝试。该平台于 2026 年 2 月 11 日发布,提供:

  • 经过实战检验的 x402 协议,用于自主 AI 支付
  • 可编程护栏,具有会话和交易限制
  • 安全密钥管理,私钥与代理代码隔离
  • 风险筛查,拦截发往受制裁地址或已知诈骗的交易
  • 多链支持,最初涵盖 EVM 链和 Solana

正是这些功能本可以预防或限制 Lobstar Wilde 事件。例如,10,000 美元的会话上限将直接拦截那笔 441,000 美元的转账。KYT(了解你的交易)筛查可能会标记出向随机社交媒体用户发送巨额代币供应量的异常交易模式。

但 Coinbase 的方法也揭示了自主代理设计中的根本矛盾:每一个防止灾难性错误的保障措施都会降低自主性和速度。如果一个交易代理在每笔超过 1,000 美元的交易中都必须等待人工批准,它就会失去抓住转瞬即逝的市场机会的能力。一个在如此严格的限制下运行以至于无法犯错的代理,也无法适应新情况或执行复杂的策略。

此外,Coinbase 的基础设施并没有解决导致 Lobstar Wilde 失败的状态管理问题。代理仍可能丢失对话上下文、忘记之前的决策,或者基于错误的财务状况模型运行。钱包基础设施可以对单笔交易实施限制,但无法修复代理如何推理自身状态的根本问题。

然而,最大的差距在于采用和强制执行。Coinbase 构建了强大的护栏,但它们是可选的。开发者可以选择使用 Agentic Wallets 或自行构建基础设施(正如 Lobstar Wilde 的创建者所做的那样)。目前没有使用此类保障措施的监管要求,也没有强制执行特定保护措施的行业标准。在安全基础设施成为默认选项而非备选项之前,类似 Lobstar Wilde 的事件仍将继续发生。

未来之路:走向负责任的代理自主

Lobstar Wilde 事件标志着一个拐点。问题不再是自主 AI 代理是否会管理财务资源——它们已经在做了,而且这种趋势只会加速。问题在于,我们是否能在发生真正的灾难性故障之前,构建起负责任地运行安全的基础设施。

要使自主交易从实验阶段走向生产就绪,需要实现以下几项进展:

强制性支出限制和熔断机制:正如股市通过交易暂停来防止恐慌性连锁反应一样,自主代理需要无法通过提示词工程或状态故障绕过的硬性限制。这些限制应在钱包基础设施层面强制执行,而不是留给单个开发者。

稳健的状态管理和审计追踪:代理必须保持其财务状况、近期决策和运行上下文的持久、防篡改记录。如果状态丢失并恢复,系统应默认进入保守运行模式,直到上下文完全重建。

全行业安全标准:每个开发者各自发明安全机制的临时方法必须让位于共享标准。像用于代理身份和验证的 ERC-8004 这样的框架是一个开始,但还需要涵盖从支出限制到紧急控制等方方面面的综合标准。

具有分级权限的分阶段自主:系统不应立即给予代理完全的财务控制权,而应根据已证明的可靠性实施不同级别的自主权。新代理在严格限制下运行;表现良好的代理随着时间的推移获得更大的自由。如果代理出错,则会被降级至更严格的监管。

社交与金融能力的隔离:Lobstar Wilde 的核心设计缺陷之一是将社交媒体互动(与随机用户互动是有益的)与金融权限(同样的互动变成了攻击向量)结合在一起。这些功能应在架构上进行隔离,并有明确的边界。

法律和监管的明确性:行业需要关于自主代理的责任归属、保险要求和监管合规的明确答案。这种明确性将推动安全措施的采用,使其成为竞争优势而非可选的开销。

Lobstar Wilde 给我们带来的更深层教训是,自主性与安全性并非对立面——它们是互补的。真正的自主意味着代理可以在没有持续监督的情况下可靠地运行。一个需要人工干预来防止灾难性错误的代理并不是自主的;它只是一个设计拙劣的自动化系统。目标不是增加更多的人工检查点,而是构建足够智能的代理,使其能够识别自身的局限性并在安全范围内运行。

迈向 100 万美元之路(带有护栏)

Nik Pash 最初的愿景 —— 一个通过自主交易将 50,000 美元变成 100 万美元的 AI 代理 —— 仍然具有吸引力。问题不在于雄心壮志,而在于一种假设,即速度和自主性必须以牺牲安全性为代价。

下一代自主交易代理可能与 Lobstar Wilde 截然不同。它们将在强大的钱包基础设施内运行,强制执行支出限制和风险控制。它们将保持持久状态,并拥有在崩溃和重启后依然存在的审计轨迹。它们将拥有分级的自主权,并随着可靠性的证明而逐步扩大。它们在架构设计上会将高风险功能与低风险功能分离开来。

最重要的是,它们的构建将基于这样一种理解:在金融系统中,自主权必须通过证明其安全性来获得 —— 而不是默认授予并在灾难发生后才撤销。

这次 441,000 美元的错误不仅仅是 Lobstar Wilde 的失败。这是一个发展过快的行业的集体失败,该行业优先考虑创新而非安全,并正在吸取传统金融几十年前就学到的教训:当涉及到他人的资金时,信任必须由技术支撑,而不仅仅是承诺。

来源:

流动性质押定时炸弹:660 亿美元的再质押 ETH 如何引发 DeFi 崩溃

· 阅读需 14 分钟
Dora Noda
Dora Noda
Software Engineer

当以太坊验证者开始质押他们的 ETH 以维护网络安全时,他们接受了一种权衡:赚取收益,但牺牲流动性。像 Lido 这样的流动性质押协议承诺通过发行可以交易、作为抵押品并同时赚取收益的收据代币(stETH)来解决这个问题。随后出现了再质押(Restaking)——它加倍履行了这一承诺,允许验证者在赚取更多奖励的同时为额外的服务提供安全保障。

但是,当同样的 ETH 不仅保障以太坊,还通过再质押保障数十个额外的协议时,会发生什么?当 660 亿美元的“流动性”资产突然变得完全没有流动性时,又会发生什么?

2026 年 2 月,流动性质押衍生品(LSD)市场达到了一个关键的拐点。随着 EigenLayer 占据再质押市场的 85%,而 Lido 持有所有已质押 ETH 的 24.2%,曾经看似理论上的集中化风险正威胁着验证者、DeFi 协议和数十亿的用户资金。这种承诺去中心化安全的架构正在建立一座空中楼阁——而第一块多米诺骨牌已经开始摇晃。

数字不会撒谎:集中化已达临界点

以太坊的流动性质押市场总锁仓量(TVL)已激增至 668.6 亿美元,流动性质押代币的总市值达到 864 亿美元。这代表了 DeFi 的第三大类别,仅次于借贷协议和去中心化交易所。

但规模并不是问题——集中化才是。

Lido Finance 控制着以太坊质押供应量的 24.2%,拥有 872 万枚 ETH,虽然较之前的峰值有所下降,但对于一个所谓的去中心化网络来说,这仍然代表着危险的中心化。如果加上中心化交易所和其他流动性质押提供商,前 10 大实体控制了超过 60% 的已质押 ETH。

再质押层呈指数级地加剧了这种集中化。EigenLayer 的 TVL 在 2024-2025 年间从 11 亿美元增长到超过 180 亿美元,目前占据了整个再质押市场的 85% 以上。这意味着绝大多数的再质押 ETH(同时保障以太坊和数十个主动验证服务 AVS)都流向了同一个协议。

这是一个令人不安的事实:以太坊的安全性正日益依赖于少数几个流动性质押运营商,他们的代币正被作为抵押品在整个 DeFi 生态系统中使用。这个“去中心化”的网络现在存在系统性的单点故障。

罚没级联:当一个错误摧毁一切

再质押引入了一种根本性的新风险:罚没传染(Slashing Contagion)。在传统的质押中,验证者因离线或验证错误而面临惩罚。在再质押中,验证者不仅面临来自以太坊的惩罚,还面临来自其加入的每一个 AVS 的惩罚——每一个 AVS 都有自己的罚没条件、运营要求和惩罚结构。

EigenLayer 的文档很明确:“如果验证者被发现对某个 AVS 存在恶意行为,其再质押 ETH 的一部分可能会被罚没。” 每一个额外的 AVS 都会增加复杂性,并随之增加罚没的脆弱性。任何一个 AVS 中的错误逻辑、漏洞或过度严厉的规则都可能触发意外损失,并波及整个生态系统。

级联失败的情景如下:

  1. 初始触发点:验证者犯了一个操作错误——密钥过时、客户端漏洞,或仅仅是错误配置了 AVS。或者 AVS 本身存在错误的罚没逻辑,导致错误地惩罚了验证者。

  2. 罚没事件:验证者的再质押 ETH 被罚没。因为同样的 ETH 保障着多个服务,损失不仅影响验证者,还会影响底层流动性质押代币的价值。

  3. LST 脱锚:随着罚没事件的累积或市场参与者失去信心,stETH 或其他 LST 开始以低于与 ETH 1:1 的锚定价格进行交易。在 2022 年 5 月 Terra Luna 崩溃期间,stETH 的交易价格为 0.935 美元——偏离了 6.5%。在压力市场中,这种折价可能会大幅扩大。

  4. 抵押品清算:LST 被用作 DeFi 借贷协议中的抵押品。当代币脱锚超过清算阈值时,自动清算引擎会触发大规模抛售。2024 年 5 月,Renzo Protocol 的 ezETH 用户在代币因一次有争议的空投而脱锚时,经历了 6000 万美元的级联清算。

  5. 流动性死亡螺旋:大规模清算使市场充斥着 LST,进一步推低价格并触发额外的清算。Lido 的 stETH 面临特别风险:研究警告称,“如果 stETH 在需求失衡的情况下开始脱离锚定,可能会引发 Aave 上的级联清算。”

  6. 强制解质押:为了恢复平价,流动性质押协议可能需要解质押大量的 ETH。但致命的是:解质押并不是即时的。

解绑陷阱:当“流动性”变为冻结

在危机期间,“流动性质押”这个词名不副实。虽然 LST 在二级市场上交易,但其流动性完全取决于市场深度和买家意愿。当信心蒸发时,流动性就会消失。

对于尝试通过协议本身退出的用户来说,延迟是残酷的:

  • 标准以太坊解质押:已受制于验证者队列延迟。在 2024 年的高峰期,退出队列超过 22,000 名验证者,导致退出需要等待数天。

  • EigenLayer 再质押:在以太坊标准解绑期的基础上,增加了强制性的至少 7 天锁定期。这意味着再质押的 ETH 比普通质押至少多花 7 天才能完全退出。

数学是无情的。随着验证者队列的延长,流动性质押代币的折价会加深。研究表明,“更长的退出时间可能会触发恶性的平仓循环,这会对 DeFi、借贷市场和 LST 作为抵押品的使用产生巨大的系统性影响。”

在实际应用中,2026 年的市场吸取了教训:“流动性”并不总是意味着“可以按面值即时赎回”。在压力下,价差会扩大,队列会变长——而这恰恰是用户最需要流动性的时候。

协议盲点:以太坊并不知道自己正处于过度杠杆状态

也许最令人担忧的系统性风险在于以太坊对其自身安全模型“一无所知”。

以太坊协议没有原生机制来追踪有多少质押的 ETH 正在被再质押到外部服务中。这造成了一个盲点,使得网络的经济安全可能在核心协议开发人员不知情或未同意的情况下被过度杠杆化。

从以太坊的角度来看,一个质押了 32 ETH 的验证者,无论其 ETH 只是保护以太坊安全,还是通过再质押同时保护 20 个不同的 AVS 协议,看起来都是一样的。协议无法衡量——因此也无法限制——其安全预算所承受的杠杆率。

这就是“安全性金融化”的悖论。通过允许同一笔资金保护多个协议,再质押表面上创造了经济效率。但实际上,它集中了风险。单次技术故障——例如某个 AVS 的漏洞、恶意惩罚事件或协同攻击——都可能引发灾难性的惩罚级联(Slashing Cascade),影响数十个协议中价值数十亿美元的资产。

以太坊基金会和核心开发人员对这种系统性风险敞口缺乏透明度。房子已经加了杠杆,但地基并不知道杠杆到底有多高。

现实世界的警示信号:裂痕正在显现

这些并非理论上的风险——它们正在实时显现:

  • Lido 的流动性隐忧:尽管是最大的流动性质押协议,但关于 stETH 在极端情况下的流动性担忧依然存在。分析显示,“Lido 的 stETH 代币缺乏流动性可能会导致其在市场剧烈波动期间发生脱锚。”

  • Renzo 6000 万美元的清算级联:2024 年,ezETH 的脱锚引发了 6000 万美元的级联清算,展示了 LST 价格偏离如何迅速演变成系统性事件。

  • 提现队列的波动性:2024 年,随着退出请求、再质押活动和 ETF 资金流的汇聚,以太坊质押提现队列出现了创纪录的延迟。110 亿美元的质押提现积压引发了对系统脆弱性的担忧。

  • 杠杆质押的放大效应:模拟研究证实,杠杆质押策略通过引入更高的抛售压力,放大了级联清算风险,对整个生态系统构成了系统性威胁。

EigenLayer 已经实施了缓解措施——包括一个负责调查和撤销无理惩罚事件的否决委员会——但这些措施为旨在实现无需信任的协议增加了中心化矢量。

正在采取哪些措施?(以及哪些还没有)

值得称赞的是,Lido 和 EigenLayer 已经意识到了中心化风险,并采取了措施来缓解这些风险:

Lido 的去中心化努力:通过简单 DVT 模块(Simple DVT Module)和社区质押模块(Community Staking Module),Lido 在 2024 年引入了数百个全新的节点运营商,降低了大实体的质押集中度。其市场份额已从超过 30% 的历史高位下降至目前的 24.2%。

EigenLayer 的路线图:2026 年第一季度的计划包括将多链验证扩展到 Base 和 Solana 等以太坊 L2,以及成立激励委员会(Incentives Committee)来实施费用路由和排放管理。然而,这些举措主要是为了扩大协议的影响力,而非解决集中化风险。

监管明确性:美国证券交易委员会(SEC)在 2025 年 8 月发布了指导意见,澄清某些流动性质押活动和收据代币不构成证券发行——这对于采用率来说是一个胜利,但对于系统性风险而言并非如此。

同样重要的是“尚未”采取的行动。目前尚无针对再质押集中度的协议级限制。没有防止 LST 死亡螺旋的熔断机制。没有任何以太坊改进提案(EIP)解决过度杠杆的盲点。也没有跨协议的压力测试来模拟流动性质押和 DeFi 生态系统中的级联故障。

前行之路:在不引发动荡的情况下实现去杠杆

流动性质押生态系统面临着一个两难境地。如果过快地退出当前的集中状态,强制取消质押可能会触发行业担心的级联场景。如果行动太慢,系统性风险就会不断累积,直到一个黑天鹅事件——如重大的 AVS 黑客攻击、关键的惩罚漏洞或流动性危机——暴露其脆弱性。

负责任的去杠杆化路径如下:

  1. 透明度要求:流动性质押协议应发布关于抵押率、各 AVS 协议的惩罚风险敞口以及不同价格偏离下的流动性深度的实时指标。

  2. DeFi 熔断机制:使用 LST 作为抵押品的借贷协议应实施动态清算阈值,在 LST 脱锚事件期间扩大阈值,以防止级联清算。

  3. 渐进式集中度限制:Lido 和 EigenLayer 都应建立并公开承诺最高集中度目标,并制定实现多元化里程碑的约束性时间表。

  4. AVS 尽职调查标准:EigenLayer 应强制要求在验证者加入之前,对所有 AVS 协议进行安全审计和惩罚逻辑审查,以降低错误处罚的风险。

  5. 协议级可见性:以太坊研究人员应探索追踪再质押比率的机制,并对安全杠杆实施软上限或硬上限。

  6. 压力测试:加强跨协议协作,模拟各种市场条件下的级联故障场景,并公开测试结果。

流动性质押和再质押的创新解锁了巨大的资本效率和收益机会。但这种效率是以系统性杠杆为代价的。同一笔 ETH 既保护以太坊,又保护 20 个 AVS 协议,还为 DeFi 贷款提供抵押——在出问题之前,这确实非常高效。

总结

流动性质押衍生品(LSD)市场已增长至 660 亿美元,这并不是因为用户误解了风险,而是因为收益率极具吸引力,且级联失败的场景在发生之前始终只是假设。

Lido 的集中化、EigenLayer 的主导地位、解质押延迟、罚没(Slashing)传染以及协议盲点,正共同指向一个系统性脆弱性。唯一的问题是,行业是会主动应对,还是会通过惨痛的教训来学习。

在 DeFi 中,不存在“大而不能倒”。当级联反应开始时,没有美联储会介入。只有代码、流动性和智能合约的冰冷逻辑。

引信已经点燃。还要多久它就会触及火药桶?

来源

Move VM 内存安全 vs EVM 重入:为什么 Aptos 和 Sui 的资源模型消除了整类智能合约漏洞

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

2016 年的 The DAO 攻击在短短一个下午就从以太坊(Ethereum)中抽走了 6000 万美元。九年后,重入攻击(reentrancy attacks)依然让 DeFi 协议蒙受巨大损失,仅 2024 年就在 22 起独立事件中造成了 3570 万美元的损失。尽管经过多年的开发者教育、审计工具完善和实战检验的模式,同一类漏洞——攻击者在合约状态更新之前再次调用合约——依然困扰着 EVM 生态系统。

Aptos 和 Sui 均基于 Move 语言构建,它们采用了从根本上不同的方法:通过设计使整类漏洞变得不可能。

以太坊的后量子紧急状态:价值 200 万美元的 Q-Day 竞赛

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

如果保护以太坊 5000 亿美元网络的一切都能在几分钟内被破解,会发生什么?这不再是科幻小说。以太坊基金会刚刚宣布将后量子安全列为“顶级战略优先级”,成立了专门团队,并出资 200 万美元设立研究奖金。信息很明确:量子威胁不再只是理论,时间正在流逝。

量子定时炸弹

当今的每个区块链都依赖于量子计算机将会粉碎的密码学假设。以太坊、比特币、Solana 以及几乎所有主流网络都使用椭圆曲线密码学 (ECC) 进行签名——这种数学原理在拥有足够量子比特的 Shor 算法面前将变得不堪一击。

威胁模型非常严峻。目前的量子计算机还远未达到在现实世界的密钥上运行 Shor 算法的能力。破解 secp256k1(比特币和以太坊使用的椭圆曲线)或 RSA-2048 需要数十万到数百万个物理量子比特——这远远超出了当今 1000 多个量子比特的机器水平。谷歌和 IBM 的公开路线图目标是在 2030 年代初达到 100 万个物理量子比特,尽管工程延期可能会将其推迟到 2035 年左右。

但关键在于:对“Q-Day”(即量子计算机能够破解当前密码学的时刻)的预测范围从 5-10 年(激进型)到 20-40 年(保守型)不等。一些评估认为,到 2026 年,公钥密码学有七分之一的可能性被破解。当你正在保护数千亿美元的资产时,这并不是一个让人宽心的余量。

与单一个体可以强制升级的传统系统不同,区块链面临着协调噩梦。你无法强迫用户升级钱包。你无法修补每一个智能合约。而且一旦量子计算机能够运行 Shor 算法,每一笔暴露了公钥的交易都将变得易受私钥提取攻击。对于比特币来说,这大约意味着 25% 的 BTC 存在于重复使用或已暴露地址中。对于以太坊,账户抽象(Account Abstraction)提供了一些缓解措施,但遗留账户仍然处于风险之中。

以太坊的 200 万美元后量子赌注

2026 年 1 月,以太坊基金会宣布成立由 Thomas Coratger 领导的专门后量子 (PQ) 团队,并得到正在开发 leanVM 的密码学家 Emile 的支持。高级研究员 Justin Drake 将后量子安全称为基金会的“顶级战略优先级”——这对于此前一直是长期研究课题的项目来说,是一次罕见的地位提升。

基金会正提供重金支持:

  • 100 万美元 Poseidon 奖金:旨在加强 Poseidon 哈希函数,这是零知识证明系统中使用的密码学构建块。
  • 100 万美元 Proximity 奖金:继续研究后量子密码学邻近问题,这表明了对基于哈希的技术的偏好。

基于哈希的密码学是基金会选择的未来路径。与 NIST 标准化的基于格(lattice-based)或基于编码(code-based)的替代方案(如 CRYSTALS-Kyber 和 Dilithium)不同,哈希函数具有更简单的安全假设,并且已经在区块链环境中经过了实战测试。缺点是什么?它们产生的签名更大,需要更多的存储空间——这是以太坊为了长期抗量子能力而愿意做出的权衡。

LeanVM:以太坊战略的基石

Drake 将 leanVM 描述为以太坊后量子方法的“基石”。这个极简的零知识证明虚拟机针对抗量子的基于哈希的签名进行了优化。通过专注于哈希函数而非椭圆曲线,leanVM 避开了最容易受到 Shor 算法攻击的密码学原语。

为什么这很重要?因为以太坊的 L2 生态系统、DeFi 协议和隐私工具都依赖于零知识证明。如果底层加密技术不是量子安全的,整个堆栈就会崩塌。LeanVM 的目标是在量子计算机到来之前,让这些系统具备未来适应性。

多个团队已经在运行多客户端后量子开发网络,包括 Zeam、Ream Labs、PierTwo、Gean 客户端和 Ethlambda,并与 Lighthouse、Grandine 和 Prysm 等成熟的共识客户端合作。这并非空谈——而是正在接受压力测试的实时基础设施。

基金会还将启动每两周一次的突破性会议,作为全核心开发者 (All Core Developers) 流程的一部分,重点关注面向用户的安全变更:直接内置于协议中的专用密码学函数、新的账户设计,以及使用 leanVM 的长期签名聚合策略。

迁移挑战:数千亿资产命悬一线

将以太坊迁移到后量子密码学并非简单的软件更新。这是一个影响网络中每个参与者的多年、多层协调工作。

L1 协议:共识必须切换到抗量子签名方案。这需要一次硬分叉——意味着每个验证者、节点运营商和客户端实现都必须同步升级。

智能合约:部署在以太坊上的数百万个合约使用 ECDSA 进行签名验证。有些可以通过代理模式或治理进行升级;另一些则是不可更改的。Uniswap、Aave 和 Maker 等项目将需要迁移计划。

用户钱包:MetaMask、Ledger、Trust Wallet——每个钱包都必须支持新的签名方案。用户必须将资金从旧地址迁移到量子安全地址。这就是“现在收集,稍后解密”(harvest now, decrypt later) 威胁变得真实的地方:攻击者可以记录今天的交易,并在量子计算机出现后将其解密。

L2 Rollups:Arbitrum、Optimism、Base、zkSync——所有这些都继承了以太坊的密码学假设。每个 Rollup 必须独立迁移,否则就有可能成为量子攻击的薄弱环节。

以太坊在这里有一个优势:账户抽象。与比特币的 UTXO 模型(要求用户手动移动资金)不同,以太坊的账户模型可以支持具有可升级密码学的智能合约钱包。这并不能消除迁移挑战,但它提供了一条更清晰的路径。

其他区块链的进展

以太坊并非孤军奋战。更广泛的区块链生态系统也意识到了量子威胁:

  • QRL (Quantum Resistant Ledger):从诞生之初就采用了 XMSS (eXtended Merkle Signature Scheme),这是一种基于哈希的签名标准。QRL 2.0 (Project Zond) 将于 2026 年第一季度进入测试网,随后将进行审计并发布主网。

  • 01 Quantum:于 2026 年 2 月初推出了抗量子区块链迁移工具包,并在 Hyperliquid 上发行了 $qONE 代币。他们的 Layer 1 迁移工具包计划于 2026 年 3 月发布。

  • 比特币:存在多个提案(关于后量子操作码的 BIP、针对新地址类型的软分叉),但比特币保守的治理方式使得快速变革变得不太可能。如果量子计算机比预期更早出现,可能会出现具有争议的硬分叉场景。

  • Solana, Cardano, Ripple:都使用基于椭圆曲线的签名,并面临类似的迁移挑战。大多数处于早期研究阶段,尚未宣布专门的团队或时间表。

对排名前 26 的区块链协议进行的审查显示,其中 24 个纯粹依赖于量子易损的签名方案。目前只有两个(QRL 和另一个知名度较低的链)拥有抗量子的基础。

Q-Day 场景:快速、缓慢还是永不发生?

激进时间线(5-10 年):量子计算取得突破性进展。到 2031 年,100 万量子位的机器出现,全行业只有五年时间来完成全网络范围的迁移。尚未开始准备的区块链将面临灾难性的密钥泄露。以太坊的领先优势在这里至关重要。

保守时间线(20-40 年):受限于纠错和工程挑战,量子计算进展缓慢。区块链有充足的时间以稳健的步调进行迁移。以太坊基金会的早期投资看起来很明智,但并不紧迫。

黑天鹅(2-5 年):在公开路线图显示之前,秘密或私人的量子突破已经发生。国家行为者或资金充足的对手获得了密码学优势,从而能够从易受攻击的地址进行无声窃取。这种情况证明了将后量子安全视为当今“顶级战略优先事项”的合理性。

中间场景的可能性最大,但区块链无法承担只针对中间情况进行规划的后果。如果预测错误,代价将是毁灭性的。

开发者和用户应该做什么

针对在以太坊上构建的开发者:

  • 关注 PQ 突围电话会议:以太坊基金会每两周一次的后量子会议将影响协议变更。保持信息灵通。
  • 规划合约升级:如果你控制着高价值合约,现在就设计升级路径。代理模式、治理机制或迁移激励将至关重要。
  • 在 PQ 开发网上测试:多客户端后量子网络已经上线。测试你的应用程序的兼容性。

对于持有 ETH 或代币的用户:

  • 避免地址复用:一旦你从一个地址签署交易,公钥就会暴露。理论上,量子计算机可以从中推导出私钥。如果可能,每个地址只使用一次。
  • 关注钱包更新:随着标准的成熟,主流钱包将整合后量子签名。当时机成熟时,准备好迁移资金。
  • 不要恐慌:Q-Day 不会在明天到来。以太坊基金会以及更广泛的行业正在积极构建防御体系。

对于企业和机构:

  • 评估量子风险:如果你托管着数十亿美元的加密货币,量子威胁是一个受托责任问题。参与后量子研究并关注迁移时间表。
  • 跨链多元化:以太坊的积极姿态令人鼓舞,但其他链可能落后。相应地分散风险。

十亿美元的问题:这足够了吗?

以太坊 200 万美元的研究奖金、专门的团队和多客户端开发网络,代表了区块链行业中最激进的后量子推进。但这足够了吗?

乐观情况:是的。以太坊的账户抽象、强大的研究文化和早期起步使其最有希望实现平稳迁移。如果量子计算机遵循保守的 20-40 年时间线,以太坊将提前部署好抗量子基础设施。

悲观情况:不够。协调数百万用户、数千名开发者和数百个协议是前所未有的挑战。即使有最好的工具,迁移也将是缓慢、不完整且充满争议的。遗留系统——不可变合约、丢失的密钥、被遗弃的钱包——将无限期地处于量子易损状态。

现实情况:部分成功。以太坊核心将成功迁移。主要的 DeFi 协议和 L2 将紧随其后。但大量的小型项目、不活跃的钱包和边缘情况将作为量子易损的残余物继续存在。

结论:一场谁都不想输的竞赛

以太坊基金会的后量子紧急行动是一场全行业输不起的赌注。200 万美元的奖金、专门的团队和在线开发网络发出了严肃的信号。基于哈希的密码学、leanVM 和账户抽象提供了一条可靠的技术路径。

但意图并不等于执行。真正的考验在于量子计算机从研究好奇心转变为密码学威胁的那一刻。到那时,迁移窗口可能已经关闭。以太坊现在正在奔跑,而其他人还在系鞋带。

量子威胁不是炒作,而是数学。数学并不关心路线图或良好的意愿。问题不在于区块链是否需要后量子安全——而在于它们能否在 Q-Day 到来之前完成迁移。

以太坊积极的量子防御策略凸显了构建稳健、面向未来的区块链基础设施的重要性。在 BlockEden.xyz,我们提供基于能够随行业安全需求演进的基础设施而构建的企业级以太坊和多链 API 访问。探索我们的服务,在你可以长期信赖的基础设施上进行开发。

后量子区块链: 8 个竞相构建抗量子加密技术的项目

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

当 Coinbase 在 2026 年 1 月成立后量子咨询委员会时,它证实了安全研究人员多年来的警告:量子计算机将破解当前的区块链加密技术,抗量子加密的竞赛已经开始。QRL 的 XMSS 签名、StarkWare 基于哈希的 STARKs 以及以太坊的 200 万美元研究奖金,代表了旨在 2026 年占据市场领导地位的前沿项目。问题不在于区块链是否需要抗量子能力,而在于当 “Q-Day”(量子日)到来时,哪种技术方案将占据主导地位。

后量子区块链板块分为两大类:对现有链(如比特币、以太坊)进行改造,以及原生抗量子协议(如 QRL、Quantum1)。每一类都面临不同的挑战。改造必须保持向后兼容性,协调分布式升级,并管理暴露的公钥。原生协议从一开始就使用抗量子加密技术,但缺乏网络效应。这两种方法都是必要的——传统区块链承载着必须保护的数万亿资产,而新链可以从创世之初就针对抗量子能力进行优化。

QRL:首个抗量子区块链

Quantum Resistant Ledger (QRL) 于 2018 年启动,是首个从成立之初就实施后量子加密技术的区块链。该项目选择了 XMSS(扩展门克尔签名方案),这是一种基于哈希的签名算法,通过哈希函数而非数论提供抗量子安全性。

为何选择 XMSS? SHA-256 等哈希函数被认为具有抗量子性,因为量子计算机无法显著加速哈希碰撞(Grover 算法提供的是平方级加速,而非像 Shor 算法针对 ECDSA 那样提供指数级加速)。XMSS 利用这一特性,从哈希值的默克尔树(Merkle trees)中构建签名。

权衡: XMSS 签名体积巨大(约 2,500 字节,而 ECDSA 仅为 65 字节),这使得交易成本更高。每个地址的签名容量有限——在生成 N 个签名后,必须重新生成树。这种有状态的特性需要仔细的密钥管理。

市场地位: 与比特币或以太坊相比,QRL 仍然属于小众市场,处理的交易量极小。然而,它证明了抗量子区块链在技术上是可行的。随着 Q-Day 的临近,QRL 作为经过实战检验的替代方案可能会受到关注。

未来展望: 如果量子威胁比预期来得更快,QRL 的先发优势将变得非常重要。该协议在后量子签名方面拥有多年的生产经验。寻求抗量子资产的机构可能会将 QRL 作为一种 “量子保险” 进行配置。

STARKs:具有抗量子能力的零知识证明

StarkWare 的 STARK(可扩展、透明的知识参数)技术作为其零知识证明架构的一个附带收益,提供了抗量子能力。STARKs 使用哈希函数和多项式,避免了容易受到 Shor 算法攻击的椭圆曲线加密。

为何 STARKs 至关重要: 与 SNARKs(需要可信设置并使用椭圆曲线)不同,STARKs 是透明的(无需可信设置)且具有抗量子性。这使其成为扩展解决方案(StarkNet)和后量子迁移的理想选择。

当前应用: StarkNet 为以太坊 L2 扩展处理交易。其抗量子能力目前是潜在的——虽然不是核心特性,但随着量子威胁的增长,这是一项宝贵的属性。

集成路径: 以太坊可以集成基于 STARK 的签名以实现后量子安全,同时在过渡期间保持与 ECDSA 的向后兼容性。这种混合方法允许逐步迁移。

挑战: 尽管压缩技术正在改进,但 STARK 证明的体积仍然很大(数百 KB)。验证速度很快,但证明生成的计算成本很高。这些权衡限制了高频应用的吞吐量。

展望: STARKs 可能会成为以太坊后量子解决方案的一部分,无论是作为直接的签名方案,还是作为迁移传统地址的包装器。StarkWare 的生产记录和以太坊的集成使得这条路径极具可能性。

以太坊基金会的 200 万美元研究奖金:基于哈希的签名

以太坊基金会在 2026 年 1 月将后量子加密指定为 “首要战略任务”,并设立了 200 万美元的研究奖金,用于征集实际的迁移方案。重点是基于哈希的签名(SPHINCS+、XMSS)和基于晶格(lattice-based)的加密(Dilithium)。

SPHINCS+: 一种由 NIST 标准化的无状态哈希签名方案。与 XMSS 不同,SPHINCS+ 不需要状态管理——你可以使用一个密钥签署无限的消息。签名体积更大(约 16-40 KB),但无状态特性简化了集成。

Dilithium: 一种基于晶格的签名方案,与基于哈希的替代方案相比,它提供更小的签名(约 2.5 KB)和更快的验证速度。其安全性依赖于被认为具有量子抗性的晶格问题。

以太坊的挑战: 迁移以太坊需要解决历史交易中暴露的公钥问题,在过渡期间保持向后兼容性,并最大限度地减少签名体积膨胀,以避免破坏 L2 的经济模型。

研究重点: 这项 200 万美元的奖金旨在寻找实际的迁移路径——如何进行网络分叉、转换地址格式、处理传统密钥,以及在为期数年的过渡期间维持安全性。

时间线: 以太坊开发人员估计,从研究到生产部署需要 3-5 年。这表明,假设 Q-Day 不会提前到来,以太坊主网的后量子激活将在 2029-2031 年左右。

比特币 BIPs:后量子迁移的保守方法

讨论后量子密码学的比特币改进提议 (BIPs) 正处于草案阶段,但共识建立过程缓慢。比特币的保守文化抵制未经测试的密码学,更倾向于经过实战检验的解决方案。

可能采取的方法:由于保守的安全特性,倾向于采用基于哈希的签名 (SPHINCS+)。比特币将安全性置于效率之上,愿意接受更大的签名以降低风险。

Taproot 集成:比特币的 Taproot 升级提供了脚本灵活性,可以在不进行硬分叉的情况下容纳后量子签名。Taproot 脚本可以在 ECDSA 的基础上包含后量子签名验证,从而实现选择性迁移 (opt-in migration)。

挑战:暴露地址中存有 665 万枚 BTC。比特币必须做出抉择:强制迁移(销毁丢失的代币)、自愿迁移(面临量子盗窃风险)或接受损失的混合方法。

时间线:比特币的推进速度比以太坊慢。即使 BIPs 在 2026-2027 年达成共识,主网激活可能也要等到 2032-2035 年。这一时间线的前提是 Q-Day 并非迫在眉睫。

社区分歧:一些比特币极大化主义者否认量子威胁的紧迫性,将其视为遥远的威胁。另一些人则主张立即采取行动。这种紧张关系减缓了共识的建立。

Quantum1:原生抗量子智能合约平台

Quantum1(新兴项目的假设案例)代表了从创世阶段就设计为抗量子的新一代区块链。与 QRL(简单支付)不同,这些平台提供具有后量子安全性的智能合约功能。

架构:结合了基于格的签名 (Dilithium)、基于哈希的承诺和零知识证明,以实现隐私保护且抗量子的智能合约。

价值主张:构建长期应用(寿命超过 10 年)的开发者可能更倾向于原生抗量子平台,而非经过改造的链。既然要在 2030 年迁移,为什么今天还要在以太坊上构建呢?

挑战:网络效应有利于成熟的链。比特币和以太坊拥有流动性、用户、开发者和应用。无论技术多么优越,新链在获得关注方面都面临巨大挑战。

潜在催化剂:针对主流链的量子攻击将引发向抗量子替代方案的逃离。Quantum1 类型的项目是应对现有链失效的保险单。

Coinbase 顾问委员会:机构协调

Coinbase 成立后量子顾问委员会,标志着机构开始关注量子准备工作。作为一家负有信托义务的上市公司,Coinbase 不能忽视客户资产面临的风险。

顾问委员会角色:评估量子威胁,建议迁移策略,与协议开发者协调,并确保 Coinbase 的基础设施为后量子过渡做好准备。

机构影响力:Coinbase 持有价值数十亿美元的客户加密货币。如果 Coinbase 推动协议采用特定的后量子标准,这种影响力将至关重要。交易所的参与会加速采用——如果交易所仅支持后量子地址,用户迁移的速度会更快。

时间线压力:Coinbase 的公开参与表明,机构的时间线比社区讨论所承认的要短。上市公司不会为了 30 年后的风险而成立顾问委员会。

布局领导地位的 8 个项目

竞争格局总结:

  1. QRL:先行者,生产级 XMSS 实现,利基市场
  2. StarkWare/StarkNet:基于 STARK 的抗量子特性,以太坊集成
  3. 以太坊基金会:200 万美元研究奖金,专注于 SPHINCS+/Dilithium
  4. Bitcoin Core:BIP 提案,支持 Taproot 的选择性迁移
  5. Quantum1 类平台:原生抗量子智能合约链
  6. Algorand:探索用于未来升级的后量子密码学
  7. Cardano:研究集成基于格的密码学
  8. IOTA:Tangle 架构中的抗量子哈希函数

每个项目都在不同的权衡之间进行优化:安全性 vs 效率、向后兼容性 vs 白手起家、NIST 标准化算法 vs 实验性算法。

对开发者和投资者的意义

对于开发者:构建 10 年以上长期应用的开发者应考虑后量子迁移。以太坊上的应用最终将需要支持后量子地址格式。现在的规划可以减少未来的技术债。

对于投资者:在抗量子链和传统链之间进行多元化投资可以规避量子风险。QRL 和类似项目具有投机性,但如果量子威胁比预期来得更快,它们将提供非对称的上行潜力。

对于机构:后量子准备是风险管理,而非投机。持有客户资产的托管机构必须规划迁移策略,与协议开发者协调,并确保基础设施支持后量子签名。

对于协议:迁移窗口正在关闭。2026 年才开始后量子研究的项目要到 2029-2031 年才能部署。如果 Q-Day 在 2035 年到来,那么只剩下 5-10 年的后量子安全期。启动太晚可能会导致时间不足。

参考资料

量子迁移问题:为什么你的比特币地址在一次交易后就会变得不安全

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

当你签署一笔比特币交易时,你的公钥就会永久地在区块链上可见。15 年来,这并不重要——保护比特币的 ECDSA 加密在计算上是经典计算机无法破解的。但量子计算机改变了一切。一旦拥有足够强大能力的量子计算机出现(Q-Day),它可以在几小时内从你暴露的公钥中重构出你的私钥,从而掏空你的地址。被低估的 Q-Day 问题不仅仅是“升级加密”。关键在于,已签署过交易的地址中存有的 665 万枚 BTC 已经处于风险之中,而且其迁移难度比升级企业 IT 系统要大得多。

以太坊基金会设立的 200 万美元后量子研究奖金,以及 2026 年 1 月成立的专门 PQ 团队,标志着“最高战略优先级”地位的确立。这并非未来的规划——而是紧急备战。Project Eleven 专门为后量子加密安全筹集了 2000 万美元。Coinbase 成立了后量子顾问委员会。与 Q-Day 的赛跑已经开始,区块链面临着传统系统所不具备的独特挑战:不可篡改的历史、分布式协作,以及存放在公钥已暴露地址中的 665 万枚 BTC。

公钥暴露问题:为什么你的地址在签名后会变得脆弱

比特币的安全依赖于一种基础的不对称性:从私钥派生公钥很容易,但逆向推导在计算上是不可能的。你的比特币地址是公钥的哈希值,这提供了额外的一层保护。只要你的公钥保持隐藏,攻击者就无法针对你的特定密钥。

然而,一旦你签署一笔交易,你的公钥就会在区块链上变得可见。这是不可避免的——签名验证需要公钥。对于接收资金,你的地址(公钥的哈希值)就足够了。但支出资金则需要揭示公钥。

经典计算机无法利用这种暴露。破解 ECDSA-256(比特币的签名方案)需要解决离散对数问题,估计需要 2^128 次运算——即使是运行数千年的超级计算机也无法实现。

量子计算机打破了这一假设。Shor 算法在具有足够量子比特和纠错能力的量子计算机上运行,可以在多项式时间内解决离散对数问题。据估计,一台拥有约 1,500 个逻辑量子比特的量子计算机可以在几小时内破解 ECDSA-256。

这创造了一个关键的脆弱性窗口:一旦你从一个地址签署了交易,该公钥就会永远暴露在链上。如果以后出现了量子计算机,所有先前暴露的密钥都将变得脆弱。存放在已签署交易地址中的 665 万枚 BTC 正伴随着永久暴露的公钥,等待着 Q-Day 的到来。

没有交易历史的新地址在首次使用前仍然是安全的,因为它们的公钥尚未暴露。但遗留地址——中本聪的代币、早期采用者的持有量、以及签署过交易的交易所冷钱包——都是滴答作响的定时炸弹。

为什么区块链迁移比传统加密升级更难

传统的 IT 系统也面临量子威胁。银行、政府和企业使用的加密技术都容易受到量子攻击。但它们的迁移路径是直接的:升级加密算法、轮换密钥并重新加密数据。虽然昂贵且复杂,但在技术上是可行的。

区块链迁移面临着独特的挑战:

不可篡改性:区块链历史是永久性的。你无法追溯性地更改过去的交易来隐藏已暴露的公钥。一旦泄露,它们就会在成千上万个节点中永远泄露。

分布式协作:区块链缺乏强制执行升级的中央机构。比特币的共识需要矿工、节点和用户的多数同意。为后量子迁移协调一次硬分叉在政治和技术上都非常复杂。

向后兼容性:在过渡期间,新的后量子地址必须与遗留地址并存。这导致了协议的复杂性——两种签名方案、双重地址格式、混合模式交易验证。

丢失的密钥和非活跃用户:数百万枚 BTC 存放于那些丢失密钥、已故或多年前放弃加密货币的人所拥有的地址中。这些代币无法自愿迁移。它们是应该保持脆弱状态,还是由协议强制迁移(这可能面临破坏访问权限的风险)?

交易规模和成本:后量子签名比 ECDSA 大得多。根据方案的不同,签名大小可能会从 65 字节增加到 2,500 字节以上。这会使交易数据膨胀,提高手续费并限制吞吐量。

算法选择的共识:该选择哪种后量子算法?NIST 标准化了多种算法,但每种都有权衡。如果选错了,可能意味着以后需要重新迁移。区块链必须押注于那些在未来几十年内依然安全的算法。

以太坊基金会的 200 万美元研究奖金正针对这些确切的问题:如何在不破坏网络、不失去向后兼容性、或不因签名冗余导致区块链无法使用的情况下,将以太坊迁移到后量子加密技术。

665 万 BTC 问题:暴露地址会面临什么?

截至 2026 年,约有 665 万 BTC 存放于签署过至少一次交易的地址中,这意味着它们的公钥已经暴露。这占比特币总供应量的约 30%,其中包括:

中本聪的代币:由比特币创建者开采的约 100 万 BTC 仍未移动。这些地址中的许多从未签署过交易,但其他地址因早期交易而暴露了密钥。

早期采用者的持有量:数以千计的 BTC 由早期矿工和采用者持有,他们在每枚代币仅值几美分时积累了这些资产。许多地址处于休眠状态,但拥有历史交易签名。

交易所冷存储:交易所将数百万 BTC 存放在冷存储中。虽然最佳实践是轮换地址,但传统的冷钱包往往因过去的整合交易而暴露了公钥。

丢失的代币:据估计有 300 万至 400 万 BTC 已丢失(所有者去世、私钥遗忘、硬盘被丢弃)。这些地址中的许多都具有暴露的密钥。

在 Q-Day 发生时,这些代币会怎样?有几种可能的情况:

方案 1 - 强制迁移:通过硬分叉授权在截止日期前将代币从旧地址移动到新的后量子地址。未迁移的代币将变得无法消费。这会“销毁”丢失的代币,但能保护网络免受量子攻击耗尽国库。

方案 2 - 自愿迁移:用户自愿迁移,但暴露的地址仍然有效。风险:量子攻击者在所有者迁移之前耗尽易受攻击的地址。这会引发“迁移竞赛”的恐慌。

方案 3 - 混合方法:引入后量子地址,但无限期保持向后兼容性。接受易受攻击的地址最终将在 Q-Day 后被耗尽,将其视为自然选择。

方案 4 - 紧急冻结:在检测到量子攻击时,通过紧急硬分叉冻结易受攻击的地址类型。这为迁移赢得了时间,但需要比特币所抵制的中心化决策。

没有一个是理想的。方案 1 破坏了合法丢失的密钥。方案 2 允许量子盗窃。方案 3 接受数百亿美元的损失。方案 4 破坏了比特币的不可篡改性。以太坊基金会和比特币研究人员现在就在努力应对这些权衡,而不是在遥远的未来。

后量子算法:技术解决方案

几种后量子加密算法提供了抵御量子攻击的能力:

基于哈希的签名 (XMSS, SPHINCS+):安全性依赖于哈希函数,这些函数被认为是抗量子的。优点:易于理解、保守的安全假设。缺点:签名尺寸大(2,500+ 字节),导致交易成本昂贵。

基于格的密码学 (Dilithium, Kyber):基于量子计算机难以解决的格问题。优点:签名较小(约 2,500 字节),验证效率高。缺点:较新,且比基于哈希的方案经过的实战测试更少。

STARKs (可扩展透明知识论证):抗量子攻击的零知识证明,因为它们依赖于哈希函数而非数论。优点:透明(无需受信任的设置)、抗量子、可扩展。缺点:证明尺寸大,计算成本高。

多变量密码学:通过求解多变量多项式方程组来保证安全。优点:签名生成速度快。缺点:公钥尺寸大,不够成熟。

基于编码的密码学:基于纠错码。优点:速度快、研究充分。缺点:密钥尺寸非常大,在区块链中使用不切实际。

以太坊基金会正在探索基于哈希和基于格的签名,认为它们是区块链集成中最具前景的方案。QRL (量子抗性账本) 在 2018 年率先实现了 XMSS,证明了可行性,但在交易尺寸和吞吐量方面做出了妥协。

由于保守的安全理念,比特币可能会选择基于哈希的签名 (SPHINCS+ 或类似算法)。以太坊可能会选择基于格的签名 (Dilithium) 以尽量减少尺寸开销。两者都面临同样的挑战:比 ECDSA 大 10 到 40 倍的签名会使区块链体积和交易成本飙升。

时间表:距离 Q-Day 还有多久?

预测 Q-Day(量子计算机破解 ECDSA 的时刻)具有投机性,但趋势是明确的:

乐观(对攻击者而言)时间表:10 到 15 年。IBM、谷歌和初创公司在量子比特数量和纠错方面取得了快速进展。如果进展继续呈指数级增长,1,500 个以上的逻辑量子比特可能会在 2035 年至 2040 年间出现。

保守时间表:20 到 30 年。量子计算面临着巨大的工程挑战——纠错、量子比特相干性、规模化。许多人认为实际攻击仍需几十年。

悲观(对区块链而言)时间表:5 到 10 年。政府的秘密计划或突破性发现可能会加速这一进程。谨慎的规划应假设较短的时间表,而非较长的。

以太坊基金会在 2026 年 1 月将后量子迁移视为“最高战略优先级”,这表明内部估计比公开讨论承认的要短。你不会为了 30 年后的风险拨付 200 万美元并组建专门团队。你这样做是为了 10 到 15 年内的风险。

比特币的文化抵制紧迫感,但关键开发者承认这一问题。虽然存在后量子比特币的提案(处于 BIPs 草案阶段),但达成共识需要多年时间。如果 Q-Day 在 2035 年到来,比特币需要在 2030 年开始迁移,以便为开发、测试和网络推广留出时间。

个人现在可以采取的措施

虽然协议层解决方案还需要数年时间,但个人可以减少风险敞口:

定期迁移到新地址:从某个地址转账后,将剩余资金转移到新地址。这可以最大限度地缩短公钥暴露时间。

使用多重签名钱包:量子计算机必须同时破解多个签名,这增加了难度。虽然这并非完全抗量子,但可以争取时间。

避免重复使用地址:绝不要向已经发送过资金的地址转账。每次支出都会重新暴露公钥。

关注最新进展:关注以太坊基金会后量子(PQ)研究、Coinbase 顾问委员会的更新,以及与后量子密码学相关的比特币改进提案(BIPs)。

分散持有资产:如果你担心量子风险,可以分散投资于抗量子链(QRL)或风险较小的资产(权益证明 PoS 链比工作量证明 PoW 链更容易迁移)。

这些只是权宜之计,而非根本解决方案。协议层面的修复需要针对价值数十亿美元资产和数百万用户的协调网络升级。挑战不仅在于技术,还在于社会、政治和经济层面。

来源

4000 万美元联邦加密货币托管丑闻:承包商之子如何揭露政府数字资产安全危机

· 阅读需 9 分钟
Dora Noda
Dora Noda
Software Engineer

Telegram 上的两名网络罪犯之间的炫富竞赛刚刚暴露了美国政府历史上最令人尴尬的安全漏洞之一 —— 这与外国黑客或复杂的国家级攻击无关。美国法警局(U.S. Marshals Service),这个被托付保护数十亿美元被没收加密货币的联邦机构,目前正在调查有关一名承包商之子从政府钱包中窃取了超过 4000 万美元的指控。此案提出了一个令每位纳税人和加密利益相关者都应警觉的问题:如果政府无法保护自己的数字金库,那么这对战略比特币储备(Strategic Bitcoin Reserve)意味着什么?