IOSG:Q-Day 倒計時,量子計算會終結加密貨幣嗎?

重新審視 Web3 世界即將面臨的最大「安全債務」。

作者|0xjacobzhao @ IOSG

假設 203X 年的某日凌晨,鏈上監控警報驟然撕裂寧靜:一批沉睡十餘年的早期 BTC 地址開始幽靈般向外轉移資產。沒有黑客入侵,沒有私鑰洩露,唯有憑空生成的「合法」簽名。當高價值休眠 UTXO 被接連清空,市場終於如夢初醒:某未知的量子算力實體已能直接從歷史暴露的公鑰中逆推私鑰。恐慌瞬間擊穿市場,暗網深處,囤積十年的「先收割、後解密」公鑰庫正被瘋狂拍賣,靜待算力兌現財富。而比特幣社群則陷入了前所未有的信仰撕裂:面對被量子算力掠奪的休眠幣,是死守「程式碼即法律」的不可篡改底線,還是透過軟分叉強制凍結遺留資產?產權敍事與生存法則的碰撞,讓治理死結徹底引爆。那一天,區塊依然按序出塊,網絡未曾停擺一秒,量子計算並未抹除一切的末日魔法,卻將整個 Web3 生態推入密碼學重構與共識深淵的漫長博弈。

量子計算常被解讀為懸在區塊鏈頭頂的「末日達摩克利斯之劍」。重新審視 Web3 世界即將面臨的最大「安全債務」。我們發現,量子威脅對區塊鏈的衝擊,本質上是對其「帳本公開、資產不可逆、私鑰自管」這三重底層架構的極限壓力測試。當容錯量子電腦(CRQC)的曙光初現,行業面臨如何在 Q-Day 到來前僅剩的 5 至 8 年「工程舒適窗口」內,跨越極度複雜的社會共識與治理博弈。

量子計算:技術原理、價值及威脅

量子計算是基於量子力學原理的新型計算範式。它以量子位元(qubit)為資訊載體,突破經典位元只能表示 0 或 1 的二元限制,利用疊加、糾纏、干涉與測量等量子特性實現經典計算難以達到的計算效率:

  • 疊加態 (Superposition) —— 拓展狀態空間:量子位元可處於 0 與 1 的線性組合。
  • 量子糾纏 (Entanglement) —— 建立全局關聯:多個量子位元間形成的非局域強相關性。
  • 量子干涉 (Interference) —— 操控機率振幅:量子演算法加速的本質機制,使錯誤答案的機率振幅相互抵消(相消干涉),同時放大正確答案的機率振幅(相長干涉)。
  • 量子測量 (Measurement) —— 將量子態收斂為一個經典結果,量子演算法的核心並不是「讀出所有答案」, 讓正確答案在測量時更高機率出現。

圖片

圖1:量子計算的四大支柱

  • (①) 疊加態擴展了狀態空間——量子位元在布洛赫球面上以 |0⟩ 與 |1⟩ 的連續混合形式存在。
  • (②) 糾纏製造非局域關聯,測量一個量子位元會立即確定其搭檔。
  • (③) 干涉是加速的引擎:錯誤答案的振幅相消,正確答案的振幅相長。
  • (④) 測量將量子態塌縮為單一經典結果——演算法的任務就是事先讓正確結果以壓倒性機率出現。

量子計算的兩大核心演算法:Shor 的「降維打擊」與 Grover 的「暴力加速」

  • Shor 演算法(1994):公鑰密碼的「降維打擊」 :Shor 演算法能利用量子特性直接「看穿」大整數分解與離散對數的數學規律,從而徹底摧毀 RSA、橢圓曲線(ECC)等現代網際網路與區塊鏈的信任基石;但受限於現實中的量子糾錯開銷,破解主流密碼仍需數百萬級物理量子位元,在更激進的演算法優化下門檻可能被大幅下修 。
  • Grover 演算法(1996):對稱加密的「暴力加速器」:Grover 演算法無法直接破解密碼結構,而是讓電腦「猜密碼」的速度呈平方根級飆升(例如將 128 位加密的安全強度直接腰斬至 64 位);其威脅遠不及 Shor 致命,且應對方法簡單粗暴——通常可透過更長金鑰、更長雜湊輸出或更高安全參數恢復安全邊際 (如升級至 AES-256 或 SHA-512)。

圖片

圖2: 量子計算的兩大核心演算法: Shor 演算法 與 Grover 演算法

量子計算的商業化路線:五大技術陣營的「群雄逐鹿」

尚無任何一種量子位元技術確立明確的工程領先地位。當前商業化推進的有五種路線,各具優劣。

圖片

量子計算的正向價值與負向威脅

量子計算的核心價值,在於突破經典計算在特定複雜問題上的能力邊界,推動基礎科學與工程領域實現範式級躍遷。其正向價值主要集中在兩大方向:一是對複雜量子體系的模擬,包括量子化學、藥物研發、新材料和能源技術;二是對高複雜度最佳化問題的求解,包括物流、金融、供應鏈、晶片設計和工業排程等。其中,量子模擬被普遍認為是確定性更高的長期應用場景,複雜最佳化仍處於探索與驗證階段。當前,量子計算正處於從實驗室原型邁向工程化應用的關鍵階段,退相干、物理雜訊、糾錯開銷與系統可擴展性,仍是跨越產業化鴻溝的核心壁壘。

量子威脅則本質性地指向現代公鑰密碼體系的根基,並沿「數據壽命 × 遷移難度 × 攻擊收益」的邏輯逐層擴散:國家安全、軍工及情報系統首當其衝,直面「現在收集、以後解密」(HNDL)的戰略級風險;金融與支付基礎設施因深度依賴TLS、HSM及身份認證體系,將率先進入合規遷移軌道;網際網路信任根與區塊鏈/Web3 生態,則面臨程式碼簽章、雲端金鑰管理(KMS)、鏈上資產不可逆性及治理遷移等多重系統性風險;而醫療、能源、工業控制與IoT領域,因設備生命週期長、升級窗口窄,將形成長期且難以消弭的尾部風險。

圖片

時間窗口與規劃法則:Q-Day 與 Mosca 不等式

Q-Day 指量子電腦首次具備實際破解主流公鑰密碼能力的時間點。它不是一個確定日期,而是受硬體進展、糾錯能力、演算法最佳化與國家項目保密性共同影響的機率區間。當前主流預期大致集中在 2035–2045 年,快速情景可能提前至 2030–2035 年,2030 年前則屬於低機率尾部風險。

Mosca 不等式 X + Y > Z 解釋了為什麼即便 Q-Day 尚未臨近,後量子遷移依然具有現實緊迫性。其中,X 是數據需要保密的時間,Y 是完成密碼遷移所需時間,Z 是距離 Q-Day 的剩餘時間。只要數據生命週期與遷移週期之和大於 Q-Day 到來的剩餘時間,系統就已經進入遷移滯後區間:今天被收集的數據,未來可能被量子計算解密。因此,抗量子安全不是 Q-Day 到來後的應急工程,而是必須提前啟動的長期基礎設施遷移。

圖片

圖3: 2026 年的專家 Q-Day 預測分布。每個條形顯示單一來源的合理窗口;圓點標記中心估計。

顏色編碼代表發言類別:紅 = 激進產業;橙 = 基準調查/共識;藍 = 硬體路線圖;綠 = 懷疑派。

後量子密碼學(PQC):技術路線、標準化與產業遷移全景

後量子密碼學(Post-Quantum Cryptography, PQC),亦稱抗量子密碼或量子安全密碼,是一類旨在抵禦未來量子電腦攻擊的新一代密碼演算法體系。其核心特徵在於:仍運行於現有經典計算架構之上,但安全性建立在量子電腦也難以高效求解的數學難題之上。PQC 已成為全球數位基礎設施最現實、最具規模化部署潛力的抗量子遷移主線。

主流技術路線:格密碼與雜湊簽章的雙雄並立

當前PQC的研究與落地主要聚焦於以下幾大數學陣營:

  • 基於格(Lattice-based)的密碼學:安全性建立在高維格難題(如Module-LWE)之上,兼具效率與安全性,是當前標準化與工程落地的核心方向,代表演算法為 ML-KEM 與 ML-DSA。
  • 基於雜湊(Hash-based)的簽章:僅依賴雜湊函數的抗碰撞性,數學假設極簡且極為保守,代表標準為 SLH-DSA。
  • 其他路線:基於編碼的密碼學(HQC)已於 2025 年 3 月被 NIST 選為第五個 PQC 演算法,作為 ML-KEM 的非格基備份,草案標準預計 2026 年、正式標準 2027 年發布;而多變量(Multivariate)與同源(Isogeny-based)密碼學因安全性或效率問題,暫未進入NIST首批標準化主線,其中同源路線更曾因SIKE演算法被攻破而遭遇重大挫折。

標準化里程碑:NIST 確立「一封裝、兩簽章」格局

美國國家標準與技術研究院(NIST)主導的 FIPS 標準化進程,是推動 PQC 從理論走向應用的關鍵轉折點。2024 年 8 月,NIST 正式發布三項核心標準,確立了 PQC 遷移的基本分工:

  • FIPS 203 (ML-KEM):基於格問題的密鑰封裝機制(KEM),負責密鑰交換;
  • FIPS 204 (ML-DSA):基於格密碼的數位簽章演算法,負責通用數位簽章;
  • FIPS 205 (SLH-DSA):基於無狀態雜湊的數位簽章演算法,作為高安全級別簽章的備選方案。

產業落地生態:主線、過渡與輔助的三層架構

除核心演算法外,抗量子安全體系的構建還依賴於多層次的工程策略:

  • 混合部署(Hybrid):採用「傳統演算法(如 ECC/RSA)+ PQC」並行簽章/加密的模式,作為遷移早期的風險對沖手段,確保即便新演算法存在未知漏洞,傳統演算法仍能提供底線安全。
  • 密碼敏捷性(Crypto-agility):透過架構設計使系統具備快速替換、升級或回滾演算法的能力,以應對未來可能出現的演算法破解風險。
  • 輔助增強技術:包括量子密鑰分發(QKD)(適用於政務/軍工專網,但無法替代網際網路簽章驗證)、量子隨機數生成(QRNG)以及硬體安全模組(HSM/Secure Enclave),用於增強隨機數品質與金鑰儲存安全。

圖片

圖 4: 抗量子路線全景圖

區塊鏈產業的量子風險與抗量子實踐

區塊鏈並非量子威脅的首要目標,卻是最具研究價值的「壓力測試」場景。相較於傳統 Web2 依賴中心化機制(如憑證輪換、帳戶凍結)緩衝資料洩漏風險,區塊鏈將底層密碼學危機直接、即時地轉化為資產滅失與治理僵局。其架構底層的「三重不可逆」——帳本永久公開、資產轉移不可逆與私鑰自管,已暴露公鑰的資產可能面臨私鑰恢復與簽章偽造,且毫無中心化兜底餘地。更致命的是,主流公鏈高度依賴的橢圓曲線與 BLS 簽章體系在 Shor 演算法面前面臨結構性擊穿;一旦容錯量子電腦(CRQC)問世,攻擊者即可從鏈上暴露的公鑰推導私鑰並偽造簽章,從根本上動搖區塊鏈的信任基石。

圖片

區塊鏈系統的密碼學組件威脅圖譜

對區塊鏈產業而言,核心命題並非應對眼前的駭客,而是啟動一場與時間賽跑的「遷移倒計時」。量子運算不會瞬間摧毀區塊鏈,但會迫使產業經歷比 Web2 更為艱難的底層密碼學重構。真正的風險不在於缺乏已標準化的後量子演算法,而在於全生態能否在 Q-Day(容錯量子電腦具備實戰破解能力的時間臨界點)前,完成從底層協定到存量資產的全鏈路協調遷移。

在此進程中,量子威脅並非均勻降臨,而是沿「資產、協定、基礎設施、應用、治理」五層架構逐級傳導。最核心的洞見在於:高價值的基礎設施層(如交易所、託管方、跨鏈橋)將先於 L1 主網協定承受壓力;而決定這場全鏈路遷移成敗的最終瓶頸,並非密碼學技術的替換,而是極其複雜的社會共識與治理博弈。

圖片

比特幣與以太坊的抗量子實踐

比特幣抗量子風險:公鑰暴露、簽章膨脹與治理摩擦

比特幣的量子風險並不均勻分佈於全部 BTC,而是高度取決於公鑰是否已經在鏈上暴露。真正的高風險並非全網所有 UTXO,而是集中在早期遺留輸出、已暴露公鑰且仍有餘額的位址,以及長期休眠的高價值 UTXO。比特幣的雜湊組件(SHA-256、SHA256d 與 RIPEMD-160),主要面臨 Grover 演算法帶來的安全邊際下降,而非像 ECDSA / Schnorr 那樣被 Shor 演算法結構性擊穿。

  • 高風險:公鑰已靜態暴露的 UTXO :早期 P2PK、Taproot(P2TR)輸出,以及已花費且複用、仍持有餘額的 P2PKH/P2WPKH 位址。其完整公鑰已永久上鏈,一旦 CRQC 問世將首當其衝被 Shor 演算法直接擊穿。
  • 中風險:公鑰尚未暴露但未來會暴露的 UTXO:未花費且未複用的 P2PKH/P2WPKH 位址。鏈上僅暴露公鑰雜湊,風險僅存在於未來交易廣播至確認的短暫「量子搶跑窗口」內。
  • 低風險:已遷移至量子安全位址的資產:未來透過軟分岔遷移至抗量子(PQ)位址的資產,其風險將顯著降低,但這高度依賴全生態的長期協同升級

工程挑戰:簽章膨脹與「軟分岔優先」路徑

在比特幣的治理結構下,一次性硬分岔淘汰 ECDSA / Schnorr 的政治成本極高。透過軟分岔引入新的量子安全輸出類型,是更現實的漸進式路徑之一。目前相關討論包括 BIP-360 / P2MR(Pay-to-Merkle-Root)等草案方向,但距離全網共識和激活仍有很長距離。

此舉必須繳納高昂的「工程稅」:現行 ECDSA / Schnorr 簽章僅約 64–72 位元組,而候選的 ML-DSA(2.4–4.6 KB)與 SLH-DSA(7–49 KB)體積激增數十倍。這種數量級的膨脹將引發系統性連鎖反應:直接推高區塊權重與手續費,加劇節點儲存與頻寬負擔,導致 UTXO 集與錢包 UX 顯著惡化,最終形成負回饋,反向加大全網抗量子遷移阻力。

更重要的是,比特幣缺乏快速演算法切換能力。它不像中心化系統可以由單一主體升級憑證或替換演算法,而是需要共識規則、位址格式、錢包、礦池、交易所、託管方和硬體錢包同步適配。因此,抗量子遷移不是單點技術升級,而是一場跨全生態的長期協調工程。

治理博弈:遺留 UTXO 的「價值觀兩難」

即便 PQ 位址成功上線,如何處理長期不遷移的遺留 UTXO,包括市場通常認為屬於中本聰時代的早期長期休眠 BTC,仍是終極難題。兩種極端方案均與比特幣的核心價值觀相衝突:

  • 無所作為:遺留幣將淪為首位擁有 CRQC 能力攻擊者的「免費午餐」,引發市場恐慌。
  • 強制凍結/作廢:直接違背「Not your keys, not your coins」的產權原則與不可篡改敘事,極易撕裂社群共識,甚至引發鏈分岔。

務實折中路徑,是推行多年期的「遺留落日」(Legacy Sunset)機制:透過長期發布棄用警告、逐步提高花費舊輸出的中繼策略摩擦,最終在多方協調下透過軟分岔施加約束。BIP-361 這類 legacy signature sunset 討論,本質上就是在探索這種路徑。

因此,Bitcoin 遷移在根本上不是密碼學問題。PQ 演算法已經存在,也可以接入;真正瓶頸在於圍繞不可篡改性、產權與「宣布資產為量子不安全」之合法性等議題的社會共識。換言之,比特幣的量子風險不是某天突然歸零的末日場景,而是一個從理論可行、經濟昂貴到現實可執行的漸進過程;產業真正需要爭取的,是在攻擊經濟性成立之前完成遷移協調。

圖片

圖 5: 比特幣抗量子遷移:一場長期治理過程

以太坊抗量子遷移——全棧重構與「Lean」路線圖

以太坊正主動應對量子威脅。由以太坊基金會(EF)Post-Quantum 團隊(https://pq.ethereum.org/) 牽頭研究,正透過 All Core Devs 等開放治理流程穩步推進。其核心戰略並非「一次性押注單一抗量子(PQ)演算法」,而是全面提升網路的密碼敏捷性(Cryptographic Agility)——確保帳戶認證、共識簽章、證明系統與資料層承諾具備長期可替換、可升級與可驗證的能力。

以太坊的量子風險高度集中於四大密碼學組件:EOA 帳戶(ECDSA/secp256k1)、驗證者共識(BLS 簽章)、資料可用性(KZG 承諾)以及部分 ZK 證明系統。為此,EF 設計了沿執行、共識、數據三條軌道並行推進的「Lean」路線圖。

  • 執行層(用戶帳戶):AA 緩衝與 L2 試驗場
    面對海量 EOA,直接硬分叉阻力極大。以太坊依託帳戶抽象(如 ERC-4337 與 EIP-7702)賦予智慧合約錢包「簽名敏捷性」,支援混合簽名與漸進式遷移,避免全網強制協調。同時,L2 憑藉靈活治理成為 PQ 部署的天然試驗場;
  • 共識層(驗證者簽名):leanXMSS 與 leanVM 的「組合拳」
    旨在徹底替換依賴橢圓曲線配對的 BLS 簽名。核心策略是採用基於雜湊的 leanXMSS,並結合極簡 zkVM(leanVM)進行 SNARK 聚合。關鍵工程突破:leanVM 預計能將龐大的雜湊簽名資料壓縮約 250 倍,對沖 PQ 簽名體積膨脹,在邁入後量子時代的同時保留了「多簽合一」的擴展優勢。
  • 數據層(Blob、DA 與 KZG):底層承諾的長期重構
    在 CRQC 條件下,KZG 的底層安全假設仍需被重新評估,並長期遷移至更 PQ-friendly 的承諾或證明系統,其終局方向是向基於雜湊的 STARK 或基於格(Lattice)的承諾方案演進。這是一項多年期的協議級底層重構,而非眼前的即時失效。

此外,以太坊的量子風險並非平均分佈。EOA 是最大的價值池;交易所、橋、託管熱錢包、治理/升級 key、L2 sequencer 和 admin key 則是高價值 operational keys,可能先於協議本身承壓。整體來看,以太坊的抗量子遷移不是單點簽名替換,而是帳戶、共識、DA、ZK、L2、橋、託管與形式化驗證共同參與的多年期全棧工程。

圖片

圖 6: Ethereum 後量子遷移:執行 (用戶帳戶)、共識 (驗證者簽名) 與數據 (承諾與證明)。

圖片

Bitcoin 與 Ethereum 後量子遷移畫像全景對比

理論上,所有依賴傳統公鑰密碼學的公鏈都面臨量子風險。但真正構成系統性抗量子遷移命題的,仍主要是 Bitcoin 與 Ethereum:前者涉及 legacy UTXO、不可篡改性與財產權治理,後者涉及帳戶、共識、DA、ZK 與 L2 的全棧重構。其他公鏈更適合作為技術路徑與風險場景的補充參照。

  • Solana 代表高吞吐鏈對 PQ 簽名驗證成本的工程探索,其社群已有 Falcon-512 / FN-DSA 驗證 syscall 的討論,但該方案仍屬探索性補充,不替代現有 Ed25519,也不代表 Solana 已形成官方遷移路線;
  • Starknet / STARK 代表 hash-based proof system 更 PQ-friendly 的 ZK 路線。相較依賴 pairing / KZG 的 SNARK 系統,STARK 的底層證明機制更適合作為後量子 ZK 方向;但這並不等於整個 Starknet 網路已經量子安全,錢包簽名、雜湊參數、橋接機制與 Ethereum L1 settlement 仍需同步遷移。
  • QRL、Quantus、Abelian 等原生或準原生 PQ 鏈,則提供了 clean-slate post-quantum design 的技術參照:QRL 代表早期 hash-based signature 路線,Quantus 代表新一代 NIST PQC 敘事的原生 PQ L1,Abelian 則偏向 lattice-based privacy-preserving L1。它們「從第一天構建抗量子鏈」的可行路徑,但網路效應、流動性與應用生態仍遠弱於 BTC / ETH,更適合作為技術樣本。

結論:安全債務到期與全生態的「Q-Day」倒數計時

量子運算並非終結區塊鏈的「末日武器」,而是對現代公鑰密碼體系的系統性重置。核心威脅在於未來具備戰略級破解能力的大規模容錯量子電腦(CRQC)。行業的真正風險不在於缺乏後量子演算法(PQC),而在於整個Web3生態能否在 Q-Day(量子破解臨界點) 前完成全鏈路協調遷移。 短中期內,現有簽名體系失效風險與全棧升級的高昂成本構成沉重的「安全債務」;長期來看,生存壓力將轉化為產業催化劑,直接催生 PQ 混合錢包、抗量子機構託管、量子風險雷達及 PQ 簽名聚合等全新安全基建賽道。

儘管宏觀準備期可能長達 5–15 年,但真正從容的「工程舒適窗口」僅剩 5–8 年。這要求全鏈路(從 BIP/EIP 提案、節點實現、錢包適配到交易所與託管機構的合規升級)必須高度協同。更重要的是,市場重定價可能早於 Q-Day 本身:一旦量子資源估算持續下修、硬體路線圖顯著提前,或監管機構和大型託管方率先提出 PQC 合規要求,市場就可能提前審視區塊鏈資產的密碼學安全模型。在此窗口期內,兩大核心生態將面臨截然不同的終極考驗:

  • Bitcoin:核心挑戰並非密碼學,而是全球社會共識與財產權治理。如何處理長期休眠、公鑰已暴露的Legacy UTXO,是關乎「不可篡改」敘事底線的政治博弈。
  • Ethereum:核心挑戰在於多層協定與全棧生態的工程複雜度。如何在不導致網路癱瘓的前提下,完成帳戶、共識、DA與ZK層的跨層級密碼學替換,並對沖簽名體積膨脹。

在長期資產配置中,後量子治理摩擦構成了BTC的「結構性尾部風險」,但絕非當下看空的理由。其「難以改變」的極度保守治理呈現出雙刃劍效應:既是抗量子遷移的最大阻力,亦是維持其價值儲藏敘事與抵禦中心化干預的核心護城河,這要求投資者摒棄「BTC永遠無需重大升級」的靜態信仰。未來,若出現Q-Day時間線被實質性提前、社群拒絕推進PQ遷移而外圍生態已率先行動、高價值暴露公鑰UTXO引發恐慌拋售,或Legacy資產處置陷入徹底分裂等任一情景,市場將對BTC的安全模型與底層共識進行重新折價。

分享至:

作者:博闻札记

本文為PANews入駐專欄作者的觀點,不代表PANews立場,不承擔法律責任。

文章及觀點也不構成投資意見

圖片來源:博闻札记如有侵權,請聯絡作者刪除。

關注PANews官方賬號,一起穿越牛熊
PANews APP
Gate 股票已上線 ANTA(安塔阿爾法平臺)等 6 隻美股交易
PANews 快訊