量子计算到底威胁了什么？一份通向后量子时代的 Crypto 用户指南

撰文：imToken

就在上周，Google Quantum AI 团队发表了一篇重磅论文，指出在超导架构、特定纠错与硬件假设下，未来量子计算机可利用少于 50 万个物理量子比特，在数分钟内破解当前加密货币及区块链广泛采用的 256 位椭圆曲线密码（ECDLP-256），所需量子比特数量较此前预估减少约 20 倍。

这直接指向比特币、以太坊等几乎所有主流公链的签名方案核心 ECDSA，消息一出，「量子计算机要破解比特币私钥」的说法开始在网络上不胫而走。

事实上，我们有必要先冷静下来，把这件事讲清楚——威胁是真实的，但它距离「明天你的钱包就不安全」还很遥远。

更重要的是，整个行业其实早就开始行动了。

一、量子计算到底在威胁什么？

要理解这个问题，我们先从最基础的地方说起，就是你的 Crypto 资产，到底是怎么被保护的？

众所周知，在比特币或以太坊上，每个账户背后都有一对密钥：私钥和公钥。其中私钥是一串随机生成的大数，极度机密，相当于你保险柜的密码；公钥由私钥通过椭圆曲线乘法运算推导而来，你的钱包地址，则是公钥再经过哈希函数压缩得到的字符串。

这套体系的安全基础，恰恰在于这个过程是单向的。

说到底，从私钥算出公钥很容易，但从公钥反推私钥，在传统计算机上需要耗费的时间远超宇宙年龄，这也是「椭圆曲线离散对数难题」（ECDLP）的本质——正向计算简单，逆向破解不可能。

但量子计算机打破了这个假设，它能在多项式时间内解决整数分解和离散对数问题，换句话说，一台足够强大的量子计算机，理论上可以从你的公钥反推出私钥。

那问题来了，公钥什么时候会暴露？

你每次向区块链发起一笔交易，都需要用私钥对交易数据进行签名，同时广播你的公钥以供验证，这意味着只要你发过交易，你的公钥就已经公开在链上了。

Google 这篇论文的意义，正是将「从公钥破解私钥」这件事从理论上可行但荒诞不经，推进到了量子硬件路线图上可以规划的目标，譬如据论文估算，破解 256 位 ECDLP 大约需要 50 万个物理量子比特的容错量子计算机，比之前预估的大大降低。

归根结底，量子计算并不是在破解区块链，它首先瞄准的是区块链里仍然建立在椭圆曲线离散对数难题之上的签名体系。

所以，威胁是真实存在的，但严格意义上讲，「迫在眉睫」这个说法并不准确，业界主流估计给出的窗口期，最快仍在 2030 年前后。

二、各条公链在做什么准备？

当然，客观而言，这里有一个关键区别，很多报道都没讲清楚，就是很多比特币地址并不会在一开始就直接把公钥暴露在链上。

以 P2PKH、P2WPKH 这类常见形式为例，地址本身通常只是公钥的哈希，公钥往往要等到「第一次花费」时才会暴露，这就意味着如果你的地址从未发出过交易，链上只有你的钱包地址，并没有公钥。

因此，量子计算最直接的攻击面，更多偏向于是那些已经发过交易的地址的公钥。当然这个细节直接引出了用户层面现在能做的第一件事，我们稍后再谈。

行业并非没有意识到这个问题，事实上，后量子密码迁移的准备工作，已经在多条战线同步推进。

以太坊的应对思路，是把账户层和签名方案解耦，譬如EIP-7702 和账户抽象（AA）的推进，让以太坊账户可以通过智能合约逻辑来定义什么叫合法签名，这意味着，未来某一天当后量子签名方案被引入时，不需要重写协议底层，只需要更换账户的签名验证模块。

更进一步，以太坊基金会密码学研究员 Antonio Sanso 在 EthCC9 大会上就更新了以太坊抗量子安全的最新进展，指出量子计算机可能在 2030 年代中期对 ECDSA 签名算法构成实际威胁，以太坊目前已完成约 20% 的抗量子准备工作，并计划在 2028 年至 2032 年间通过 Lean Ethereum 升级实现全面量子抗性。

不过，当前面临的主要技术挑战是签名体积问题，像最轻量级的后量子签名算法 Falcon 的签名大小仍是 ECDSA 的 10 倍以上，直接在 Solidity 中验证 Lattice-based 的 Gas 成本极高，因此研究团队确立了两条核心技术路径：

一是通过账户抽象允许用户将钱包签名算法升级为抗量子方案，无需修改底层协议；
二是引入 LeanVM 处理复杂哈希运算，并结合零知识证明验证地址助记词所有权，保障迁移过程中的资产安全；

Antonio 表示将从 2026 年 2 月起主持双周 ACD 后量子专项会议，目前 Lighthouse 和 Grandine 等共识客户端已上线实验性后量子测试网。

除此之外，比特币社区的风格则明显更保守，最近进入 BIPs 仓库的 BIP360 提出了一种新的输出类型 P2MR（Pay-to-Merkle-Root），它的设计目标之一，就是去掉 Taproot 里量子脆弱的 key-path spend，为未来可能的后量子签名迁移预留更友好的结构。

当然，一个提案进入 BIPs 仓库，并不意味着它已经形成社区共识，更不意味着即将被采用，因此只能说比特币社区内部已经开始围绕量子暴露面和潜在输出类型变化进行更具体的提案讨论，这也很符合比特币一贯的风格，都是先把问题界定清楚，再非常缓慢地形成共识。

值得注意的是，早在 2024 年，美国国家标准与技术研究院（NIST）正式发布了三项后量子密码标准，意味着区块链生态有了明确的迁移目标，不再需要等待哪个算法更好的讨论收敛，工程实现实质上早就开始了。

三、普通用户应该怎么做？

虽然量子计算机的威胁是多年以后的事，但以后的事不意味着现在不用管，有些好习惯，今天养成，代价几乎为零。

首先就是避免地址复用，这也是最直接、最有效的自我保护措施。

原因也正如上文所言——如果你是比特币等 UTXO 链用户，每次发起交易，你的公钥就会暴露在链上，那如果你每次都使用同一个地址，公钥长期公开，一旦量子算力成熟，攻击者可以从容地从你的公钥反推私钥。

目前像 imToken 等主流钱包已经默认提供 HD 钱包功能，好的习惯是每次转账用新地址接收，不要把一个地址当成永久身份标识反复使用，而对于那些从未发出过交易的地址，公钥从未暴露，当前的量子威胁几乎不适用。

其次是关注钱包的后量子升级路线。

如果你主要使用的是以太坊等账户模型链，那么重点就不是机械地不断换新地址，而是关注你使用的钱包和所处公链，未来是否提供明确的迁移路径。

因为对账户模型链来说，量子时代更大的问题往往不是单次暴露，而是活跃账户、公钥历史、链上身份和应用权限的长期绑定，一旦将来真正进入迁移窗口，谁的账户更可升级、谁的钱包能更平滑地替换签名逻辑，谁就更安全。

最后，也是从人性的角度，可以预见的是，随着话题热度上升，市面上会出现越来越多声称「量子安全」的钱包或协议，我们该警惕这些打着「量子安全」旗号的钱包、协议和基础设施产品。

面对这类说法，最该问的不是宣传文案，而是三个更硬的问题：

它依赖的算法是不是 NIST 已定稿标准?
它的安全性有没有经过独立审计和充分实现验证?
它宣称的量子安全到底是链级迁移、账户级升级，还是只是应用层包装？

毕竟真正的后量子安全，最终要覆盖的不只是一个 App 的标签，而是从签名、验证到链上兼容性的整条路径。

总的来看，量子计算对区块链的威胁，是真实存在的，Google 这份最新白皮书的重要性，也确实在于它把威胁从遥远理论往可规划风险推近了一步。

但这仍然不是「明天钱包就会被攻破」的信号，更准确的理解应该是后量子迁移已经不再是一个只属于学术圈的话题，而是会在未来多年逐步进入协议升级、钱包设计和用户资产管理的现实问题。

写在最后

对行业来说，接下来真正重要的，不是谁先喊出量子来了，而是谁能先把迁移路径设计清楚。

对用户来说，也不是现在就要陷入恐慌，而是先把最基本的风险认知建立起来：哪些资产先暴露，哪些操作会放大暴露面，哪些钱包和公链更有可能在未来提供平滑升级。

我们需要的，是及早行动，而不是过度焦虑。

与大家共勉。