为什么维塔利克相信量子计算可能比预期更早地破解以太坊的密码学

关键要点

• 布特林认为，量子计算机在2030年前打破当前密码学的可能性有20%的非平凡概率，他认为以太坊应该开始为这一可能性做好准备。
• 一个主要风险涉及ECDSA。一旦公钥在链上可见，未来的量子计算机理论上可以利用它来恢复相应的私钥。
• Buterin 的量子紧急计划涉及回滚区块、冻结 EOA 并将资金转移到量子抗性智能合约钱包。
• 缓解意味着智能合约钱包、NIST批准的后量子签名和能够在不混乱的情况下更换方案的加密灵活基础设施。

在2025年末，以太坊联合创始人维塔利克·布特林做了一件不寻常的事情。他将一个通常用科幻术语讨论的风险进行了量化。

引用预测平台Metaculus，Buterin表示，“大约有20%的机会”在2030年前可能会出现能够破解现今加密技术的量子计算机，而中位数预测则更接近2040年。

几个月后，在布宜诺斯艾利斯的Devconnect上，他警告说，作为以太坊和比特币支柱的椭圆曲线密码学“可能会在2028年下一次美国总统选举之前崩溃。”他还敦促以太坊在大约四年内转向量子抗性基础。

根据他所说，2020年代出现一个具有密码学相关性的量子计算机的可能性不容小觑；如果是这样，那么风险就应该纳入以太坊的研究路线图中。它不应被视为遥远未来的事情。

你知道吗？ 截至2025年，Etherscan数据 显示 超过3.5亿个独特的以太坊地址，这突显了网络的广泛增长，尽管只有一小部分地址持有有意义的余额或仍然活跃。

为什么量子计算对以太坊的加密技术构成问题

以太坊大部分的安全性依赖于椭圆曲线离散对数 (ECDLP) 方程，这是椭圆曲线数字签名算法 (ECDSA) 的基础。以太坊使用 secp256k1 椭圆曲线进行这些签名。简单来说：

• 你的私钥是一个大的随机数。
• 你的公钥是从那个私钥派生的曲线上的一个点。
• 你的地址是该公钥的哈希值。

在经典硬件上，从私钥到公钥是容易的，但反过来被认为在计算上不可行。这种不对称性使得256位密钥被视为有效不可猜测。

量子计算威胁到这种不对称性。1994年提出的Shor算法表明，足够强大的量子计算机可以在多项式时间内解决离散对数方程及相关的因式分解方程，这将破坏像Rivest-Shamir-Adleman (RSA)、Diffie-Hellman和ECDSA这样的方案。

互联网工程任务组和国家标准与技术研究所(NIST)都认识到，在具有密码学相关的量子计算机(CRQC)存在的情况下，经典椭圆曲线系统将会面临脆弱性。

Buterin 的以太坊研究文章提到潜在的量子紧急情况，强调了以太坊的一个关键细微之处。如果你从未使用过一个地址，那么在链上只会显示你公钥的哈希，且这仍然被认为是量子安全的。一旦你发送交易，你的公钥就会被揭示，这给未来的量子攻击者提供了恢复你的私钥并清空账户所需的原材料。

所以，核心风险不在于量子计算机破坏Keccak或以太坊的数据结构；而在于未来的机器可能会针对任何曾经暴露过公钥的地址，这涵盖了大多数用户钱包和许多智能合约的金库。

Buterin所说的话以及他如何框定风险

Buterin最近的评论有两个主要部分。

首先是概率估计。与其自己猜测，他指出Metaculus的预测，认为在2030年前，能够破解今天的公钥密码学的量子计算机的概率大约为五分之一。这些预测将中位数场景设定在2040年左右。他的论点是，即使这种尾部风险也足够高，足以让以太坊提前做好准备。

第二个是2028年的框架。在Devconnect上，他 reportedly 告诉观众“椭圆曲线将会消亡”，引用了研究表明对256位椭圆曲线的量子攻击可能在2028年美国总统选举之前变得可行。一些报道将其压缩成像“以太坊还有四年”这样的标题，但他传达的信息更为微妙：

• 当前的量子计算机无法攻破以太坊或比特币。
• 一旦存在CRQC，ECDSA及相关系统将变得结构上不安全。
• 将全球网络迁移到后量子方案需要数年时间，因此等待明显的危险本身就是一种风险。

换句话说，他的思维方式像一个安全工程师。你不会因为在下一个十年有20%的可能性发生重大地震而撤离一个城市，但你会在还有时间的时候加固桥梁。

你知道吗？ IBM最新的 路线图 将新量子芯片Nighthawk和Loon配对，目标是在2029年展示容错量子计算。它最近还展示了一个关键的量子错误纠正算法可以高效地在传统的AMD硬件上运行。

“量子紧急”硬分叉计划内部情况

早在这些最近的公开警告之前，布特林就发布了一篇2024年的以太坊研究文章，标题为“如何进行硬分叉以拯救大多数用户的资金以应对量子紧急情况。”它勾勒了如果突如其来的量子突破使生态系统措手不及，以太坊可以采取的措施。

想象一下关于大规模量子计算机上线的公开公告，而攻击者已经在抽取ECDSA安全的钱包。那么接下来会怎样？

检测攻击并回滚

以太坊将把链回滚到大规模量子盗窃变得明显之前的最后一个区块。

禁用传统EOA交易

传统的外部拥有账户 (EOAs) 使用 ECDSA 的将被禁止发送资金，这将切断通过暴露的公钥进一步盗窃的可能。

将所有内容通过智能合约钱包路由

一种新的交易类型将允许用户通过零知识STARK证明他们控制原始种子或派生路径——例如，针对一个脆弱地址的比特币改进提案(BIP) 32 HD钱包前映像。

该证明还将指定用于量子抗性智能合约钱包的新验证代码。一旦验证通过，资金的控制权将转移到该合约，从那时起可以执行后量子签名。

批量证明以提高气体效率

由于STARK证明较大，设计上预期进行了批处理。聚合器提交证明包，这允许许多用户同时移动，同时保持每个用户的秘密预影私密。

关键是，这被视为最后的恢复工具，而不是计划A。布特林的论点是，为这样一个分叉所需的许多协议基础设施，包括账户抽象、强大的零知识证明系统和标准化的量子安全签名方案，可以并且应该被构建。

从这个意义上讲，量子紧急准备成为以太坊基础设施的设计要求，而不仅仅是一个有趣的思想实验。

专家对时间线的看法

如果布特林依赖于公众预测，那么硬件和密码学专家实际上在说什么？

在硬件方面，谷歌在2024年底发布的Willow芯片是迄今为止最先进的公共量子处理器之一，拥有105个物理量子比特和经过纠错的逻辑量子比特，能够在特定基准测试中超越经典超级计算机。

然而，谷歌的量子人工智能主管明确表示，“Willow芯片无法破解现代密码学。”他估计，破解RSA需要数百万个物理量子比特，至少还需要10年的时间。

学术资源指向相同的方向。一项广泛引用的分析发现，在一个小时内使用表面码保护的量子比特破解256位椭圆曲线密码学需要数千万到数亿个物理量子比特，这远远超出了今天可用的任何东西。

在密码学方面，国家标准与技术研究所（NIST）以及麻省理工学院等学术团体多年来警告称，一旦具有密码学相关能力的量子计算机问世，它们将通过肖尔算法破解几乎所有广泛部署的公钥系统，包括RSA、Diffie-Hellman、椭圆曲线Diffie-Hellman和ECDSA。这种影响既包括对已捕获流量的解密（追溯性），也包括伪造签名（前瞻性）。

这就是为什么NIST花费近十年的时间进行其后量子密码学竞赛，并在2024年最终确定了其前三个PQC标准：用于密钥封装的ML-KEM，以及用于签名的ML-DSA和SLH-DSA。

目前对于确切的“Q日”没有专家共识。大多数估计在10到20年的范围内，尽管一些最新的研究考虑了乐观的情景，在激进假设下，故障容忍攻击椭圆曲线可能在2020年代末是可行的。

美国白宫和NIST等政策机构非常重视这一风险，推动联邦系统在2030年代中期实现后量子密码学（PQC），这意味着在此时间范围内出现具有加密相关性的量子计算机的可能性不容小觑。

从这个角度来看，Buterin 的“2030 年前 20%”和“可能在 2028 年之前”的表述是更广泛风险评估范围的一部分，真正的信息是不确定性加上长期迁移的前置时间，而不是一个破解代码的机器今天秘密在线的想法。

你知道吗？ 一份2024年国家标准与技术研究院和白宫的报告 估计 在2025年至2035年间，美国联邦机构将花费约71亿美金将其系统迁移到后量子密码学，而这仅仅是一个国家的政府IT系统.

如果量子进步加速，以太坊需要改变什么

在协议和钱包方面，已经有几个线程正在汇聚：

账户抽象和智能合约钱包

通过 ERC-4337 风格的账户抽象，将用户从裸 EOA 转移到可升级的智能合约钱包，使得在以后无需紧急硬分叉就能更换签名方案变得更加容易。一些项目已经在以太坊上演示了 Lamport 风格或扩展梅克尔签名方案 (XMSS) 风格的量子抗性钱包。

后量子签名方案

以太坊需要选择 ( 并对 ) 一个或多个 PQC 签名系列进行实战测试 (，可能来自 NIST 的 ML-DSA/SLH-DSA 或基于哈希的构造 )，并在密钥大小、签名大小、验证成本和智能合约集成之间进行权衡。

其余堆栈的加密灵活性

椭圆曲线不仅用于用户密钥。BLS签名、KZG承诺以及一些卷积证明系统也依赖于离散对数的难度。一个严肃的量子抗性路线图需要为那些构建模块提供替代方案。

在社交和治理方面，Buterin 的量子紧急分叉提案提醒我们，任何真正的响应都需要多少协调。即使有完美的密码学，回滚区块、冻结遗留账户或强制进行大规模密钥迁移在政治和操作上也会引发争议。这就是他和其他研究人员主张的部分原因：

• 构建可以在较小的、故意脆弱的测试资产被证明破坏后，自动触发迁移规则的杀开关或量子金丝雀机制。
• 将后量子迁移视为一种渐进的自愿过程，用户可以在任何可信攻击之前很久就开始采用，而不是在最后时刻的匆忙应对。

对于个人和机构来说，近期的检查清单更简单：

• 优先选择能够在不强制迁移到全新地址的情况下升级其加密技术的钱包和托管设置。
• 避免不必要的地址重用，以便在链上暴露的公钥更少。
• 跟踪以太坊最终的后量子签名选择，并在强大的工具可用时准备迁移。

量子风险应该像工程师对待洪水或地震那样处理。它今年不太可能摧毁你的房子，但在长远来看，它的可能性足够大，因此考虑到这一点来设计基础是有意义的。

本文章不包含投资建议或推荐。每项投资和交易都涉及风险，读者在做出决策时应自行进行研究。

• #区块链
• #加密货币
• #另类币
• #安全
• #以太坊
• #维塔利克·布特林
• #网络安全
• #去中心化金融
• #以太坊 2.0
• #以太坊价格
• #量子计算
• #如何 添加反应 ！