WT快讯

WeTrying | 币圈快讯早知道

WT快讯

WeTrying | 币圈快讯早知道

TechFlow

Hashkey Capital:量子计算的最新进展对加密行业的冲击与应对

admin

作者:Hashkey Capital

声明:本文为转载内容,读者可通过原文链接获得更多信息。如作者对转载形式有任何异议,请联系我们,我们将按照作者要求进行修改。转载仅用于信息分享,不构成任何投资建议,不代表吴说观点与立场。

第一章|引子:一份让行业警醒的白皮书

1.1 事件背景:一次不平常的主动披露

2026 年 3 月 30 日,Google Quantum AI 发布了一篇学术白皮书,题为《针对量子漏洞保护椭圆曲线加密货币:资源估算与缓解方案》论文共同作者包括 Google Quantum AI 核心研究员 Ryan Babbush、Craig Gidney 等人,以及以太坊基金会研究员 Justin Drake 和 Stanford 密码学教授 Dan Boneh。Google Research 博客同日刊发了一篇面向大众的传播文章,标题为《负责任地披露量子漏洞以保护加密货币》,向普通读者解释了这次披露的动机与方式。

这次发布有几处不寻常之处,第一,发布前与美国政府进行了协调。 Google 在博客文章中明确写道:”为了负责任地分享这项研究,我们与美国政府进行了沟通,并开发了一种通过零知识证明描述量子威胁的新方法,以便可以在不为攻击者提供路线图的情况下对其进行验证。” 这套方法由 Google 与美国政府协同开发,并被提议作为量子研究界处理敏感披露的行业模型。

第二,刻意不公开具体的攻击电路。 研究团队使用零知识证明对计算结果进行了密码学验证 — — 任何人可以独立核验资源估算是否属实,但无法从中提取攻击路径。这表明研究团队认为,量子计算进展已经到了应当停止公开发表改进版量子密码分析细节的阶段 — — 继续发表只会为潜在攻击者提供路线图,而不再有助于推动防御端的行动。这是一个在量子研究界极为罕见的自我约束声明,它传递的信号是:进展已经足够接近,需要开始管控信息扩散。

第三,时间窗口在发布前已经被内部设定。 Google 此前已经宣布将 2029 年设为完成后量子密码学迁移的目标节点,并建议整个行业采用这一时间表。白皮书的发布,是这个内部 deadline 向外部传递的公开信号。

1.2 核心结论:资源门槛的大幅下移

白皮书的核心技术贡献,是对一个关键参数给出了新的、更低的估算:破解保护主流加密货币的椭圆曲线密码学,究竟需要多大规模的量子计算机?

论文给出了两条优化后的量子电路方案:一条使用不超过 1200 个逻辑量子比特与 9000 万个 Toffoli 门,另一条使用不超过 1450 个逻辑量子比特与 7000 万个 Toffoli 门。在物理量子比特层面,两者均可在低于 50 万个物理量子比特的超导架构上运行,且整个计算可在数分钟内完成。

这一数字比此前学术文献中的主流估算减少了约20 倍。

悉知过去几年行业普遍用”需要数百万乃至数千万量子比特”来维持对量子威胁的心理距离。这个距离,是很多机构将量子风险归类为”远期尾部”的主要依据之一。Google 这篇白皮书系统性地压缩了这个距离。

1.3 为什么投资人需要重新定义这个风险

量子威胁长期被归类为”远期尾部风险”,这种定性使得绝大多数机构对其采取了”观察但不纳入框架”的态度。

但这种定性需要修正,理由有三:

1.4 信号与噪声:正确的阅读姿态

白皮书发布后,市场上出现了两种截然不同的误读,值得在这里点明,因为它们代表了两种典型的认知陷阱。

第一种是技术性恐慌:将”量子计算机可在 9 分钟内破解比特币私钥”作为标题传播,却省略了这一估算成立所需的前提 — — 目前不存在拥有数十万高质量纠错物理量子比特的机器。这个估算描述的是未来某台机器的能力上限,不是今天的现实。

第二种是防御性驳斥:援引”量子威胁也会破坏整个传统金融体系”的论点,以此论证比特币不会单独受到冲击。白皮书直接回应了这种逻辑:银行、军事网络等中心化系统可以通过软件更新推送密码学升级,而比特币需要在去中心化社区中达成共识。 两类系统面对同一技术威胁的应对速度,有结构性差异。

Google 研究团队对这两种倾向都有预判。白皮书明确指出:对量子风险的夸大或低估都会造成伤害 — — 夸大会动摇公众对数字系统的信心,低估则会推迟必要的安全升级。 他们选择负责任披露的方式本身,正是试图在两个极端之间找到一条准确传递信息的路径。

正确的阅读方式是将这篇白皮书理解为一次概率分布的强制更新:Q-Day 的发生概率、资产敞口的分布结构、协议迁移能力的差异 — — 这三个变量,已经从可以暂时搁置的背景假设,变成了需要主动纳入资产评估框架的分析维度。

本文接下来的章节将依次拆解:量子计算究竟能破什么(第二章)、为什么破解仍然需要时间(第三章)、时间窗口的合理估算(第四章)、以及各主要公链当前的应对进展(第五章) — — 目标是帮助读者将量子风险从情绪化的市场叙事,转化为可以落地操作的分析框架。

第二章|威胁解构:量子计算究竟能破什么

2.1 加密行业的密码学根基

比特币、以太坊等绝大多数区块链项目的安全性都建立在椭圆曲线密码学(Elliptic Curve Cryptography, ECC)上。这套体系的核心是三个要素:公钥、私钥和签名。

用户持有私钥,由此派生出公钥,公钥用于收款,私钥用于汇款。发起交易时(如转账 1 个 BTC),用户用私钥对交易内容签名。网络中的任何节点都可验证签名来自对应的私钥持有者,但无法从公钥或签名倒推出私钥。

这是区块链安全的根基:从公钥推导私钥在经典计算机上是不可行的。 比特币和以太坊使用的 secp256k1 椭圆曲线,其安全性依赖于 256 位椭圆曲线离散对数问题(ECDLP-256)的计算困难性。

量子计算挑战的正是这一关键假设。Shor 算法在理论上能够高效求解 ECDLP,使得从公钥倒推私钥成为可能。一旦这一假设被打破,所有已经在链上暴露公钥的资产都将面临被盗的风险。

这一风险并非遥远的假设。目前,比特币网络中约有 690 万枚 BTC 的公钥已经暴露在链上 — — 约占总供应量的三分之一。其中约 170 万枚来自比特币最早期(包括中本聪时代),使用的是 Pay-to-Public-Key(P2PK)脚本格式,公钥直接嵌入在交易输出中,完全暴露。此外,地址复用和 2021 年 Taproot 升级(P2TR 地址默认暴露公钥)进一步扩大了暴露面。在以太坊一侧,只要账户发起过一笔交易,其公钥就永久可见。Google 估算,仅以太坊余额排名前 1000 的钱包就持有约 2050 万枚 ETH,全部处于暴露状态。

2.2 量子计算的新资源估算

2026 年 3 月,Google Quantum AI 联合以太坊基金会和斯坦福大学发表了一篇白皮书,系统评估了量子计算机破解 ECDLP-256 所需的资源。这篇论文引起广泛关注的原因是它给出的数字远低于此前的学术估算。

研究团队编译了两条优化的量子电路方案,均基于 Shor 算法实现对 secp256k1 曲线上 ECDLP-256 的求解。两条电路均可在不到 50 万个物理量子比特的超导量子计算机上、在数分钟内完成运算。

此前的主流估算认为破解 ECDLP-256 需要数百万物理量子比特。Google 的结果将这一数字缩减了约 20 倍。 这是论文最核心的贡献。它意味着量子威胁到来的时间将会前移。

为了防止攻击电路被黑客利用,Google 在披露方式上采取了特殊做法:研究团队没有公开实际的攻击电路,而是发布了一个零知识证明(Zero-Knowledge Proof),允许外部研究者验证资源估算的正确性,同时不暴露可被复现的攻击细节。论文发布前,Google 还与美国政府进行了沟通协调。

Google 已将自身认证和数字签名服务的后量子计算迁移截止日期设定为 2029 年。这意味着 Google 预计在 2029 年后当前的密码学根基将不再安全。

2.3 三种攻击模式

Google 的白皮书梳理了量子计算对区块链的三种攻击模式。

On-Spend 攻击(交易在途攻击)。 这类攻击的时间窗口最紧。用户广播比特币交易时,公钥在内存池(mempool)中暴露。攻击者用量子计算机从公钥推算出私钥,签署竞争交易(手续费更高),试图在原始交易被确认前完成替换。

Google 的论文估算,在快时钟超导量子架构上,从公钥推导私钥约需 9 分钟。比特币的平均出块时间约为 10 分钟。在理想条件下,量子计算机成功抢先完成攻击的概率约为 41%。这个窗口虽然狭窄,但足以构成威胁。

At-Rest 攻击(静态资产攻击)。 这类攻击针对公钥已永久暴露在链上的地址,尤其是休眠钱包。攻击者不需要等待新交易,不存在时间窗口限制,可以离线计算。前述的 690 万枚公钥已暴露的 BTC(包括 170 万枚中本聪时代的 P2PK 比特币)以及以太坊上大量已暴露公钥的账户,都属于此类攻击的目标。如果地址持有者已丢失私钥或无法操作(如中本聪的钱包),资产无法迁移至量子安全地址,风险不可逆。

On-Setup 攻击(协议参数攻击)。 这是影响最深远但最不直观的攻击,针对以太坊的密码学基础设施。以太坊的数据可用性采样(Data Availability Sampling)依赖 KZG 多项式承诺方案,该方案建立在 2023 年完成的可信设置仪式(Trusted Setup Ceremony)之上。仪式生成了一个秘密标量(业内称为”toxic waste”),已在仪式结束后被销毁。

量子计算机能从该仪式公开发布的参数中恢复秘密标量。恢复成功后,攻击者获得一个永久性、可复用的经典计算漏洞。此后无需再使用量子计算机,就能持续伪造数据可用性证明。

2.4 哪些资产已处于风险敞口

量子威胁不是均匀分布的,不同链上资产的风险等级差异很大。

比特币方面: 约 690 万枚 BTC(占总供应量约 33%)的公钥已暴露在链上。其中约 170 万枚来自早期 P2PK 脚本(含中本聪钱包估计的 110 万枚,分布在约 22,000 个地址);约 520 万枚来自地址复用和 P2TR(Taproot)地址。2021 年的 Taproot 升级在提升隐私性和灵活性的同时,默认暴露了公钥。设计时未预见量子威胁的紧迫性。目前 Taproot key-path 花费占 P2TR 交易的 60%–80%,是新增暴露面的主要来源。Bitcoin 社区已在讨论缓解方案,2026 年 2 月一项名为 Pay-to-Merkle-Root(BIP-0360)的新输出类型提案已合并至官方 BIP 仓库,但代价是更高的手续费和隐私降级。

以太坊方面: 以太坊的暴露面在多个层面上比比特币更深。账户一旦发起交易,公钥就永久暴露 — — Google 估算前 1000 个高净值钱包就持有约 2050 万枚 ETH。至少 70 个管理员控制的关键智能合约(包括支撑 USDT、USDC 等稳定币)依赖暴露的管理员密钥,涉及约 2000 亿美元资产。至少 1500 万枚 ETH 分布在主要 L2 网络和跨链桥中,这些基础设施依赖以太坊内置的密码学工具,同样不具备量子抗性。加上前述的 KZG 可信设置漏洞,Google 的论文认为以太坊面临至少 5 条量子攻击路径,总风险敞口超过 1000 亿美元。以太坊基金会已启动后量子迁移路线图,计划通过 4 次连续硬分叉在 2029 年前完成核心协议升级。但升级基础层不能自动修复已部署的数千个智能合约 — — 每个协议、桥和 L2 都需要独立升级代码并轮换密钥。

除此之外,比特币的工作量证明(PoW)挖矿机制不受上述量子攻击影响。SHA-256 是对称哈希函数,量子计算机通过 Grover 算法仅能将其有效安全性减半(从 256 位降至 128 位),不足以构成威胁。更关键的是,2026 年的研究指出,在比特币当前主网难度下实现量子挖矿所需的量子比特数和能耗达到天文数字级别(约 1⁰²³个量子比特,功耗接近卡尔达肖夫 II 型文明的门槛)。比特币网络还可通过难度调整应对任何算力变化。因此,量子计算对区块链的核心威胁不在于共识机制,而在于签名算法 — — 即上文讨论的椭圆曲线密码学。

当前比特币社区和以太坊社区都在密切监控量子计算的发展,并且积极讨论各类解决方案。因此量子计算对于密码学的威胁是可控的,我们相信在抗量子计算的比特币和以太坊一定会先于量子计算实现。抗量子计算升级路线图位于本文第五章,这里不做赘述。

第三章|技术底层:从量子比特到逻辑比特 — — 为什么破解还需要时间

3.1 量子比特的物理原理

经典信息的基本单位是比特(bit),只能处于$$0$$或$$1$$两种确定状态之一。

1 个比特:0 或 1

2 个比特:00,01,10,11

量子计算的基本单位是量子比特(Qubit),可以处于 0 和 1 的叠加态。

Press enter or click to view image in full size

其中 α,β,γ,δ 是复数概率幅,其模的平方表示测量得到对应状态的概率,并满足归一化条件:

Press enter or click to view image in full size

微观粒子世界中的粒子均可以用量子态表示,因此可以使用不同的粒子来实现量子比特的逻辑运算,常用的有中性原子、光子、带电原子(离子)等。

量子计算特有的纠缠态,这是有别于经典比特的地方,也是量子计算的优势。当 2 量子处于某种特定的纠缠态时,可以表示为:

Press enter or click to view image in full size

图:一对处于纠缠的粒子,Alice 对粒子测量的结果会影响 Bob 测量到的状态

3.2 量子逻辑门和逻辑比特(Logical Qubit)

Press enter or click to view image in full size

图:经典计算的逻辑电路输入和输出的是确定逻辑值,如 110011 通过非门得到 001100。

量子计算机的逻辑门操作是对所有叠加态实施操作,如

Press enter or click to view image in full size

通过 NOT 门得到

Press enter or click to view image in full size

改变的是叠加态的复数概率幅和相位,从而间接影响观测到的概率。

因为量子可以表示为叠加态,多个量子比特表示的状态以指数提升,如 4 个量子比特可以表示 16 个状态,n 个量子比特可以表示 2^n 个状态。理论上 1 台 n 个量子比特运算的量子计算机,可以同时进行 2^n 个状态的演化,而经典计算机则需要对这些状态进行 2^n次运算,在特定算法和结果输出时,有着恐怖的指数加速效果。

量子计算中,我们需要通过一系列量子逻辑门,让系统从初始状态不断演化。这个过程中,所有可能的答案会以叠加态的形式同时存在,但我们不能直接读出这些结果,因为系统一直以叠加态存在。关键在于,我们可以通过精心设计这些逻辑门,让正确答案的“概率幅”不断被放大,而错误答案逐渐被抵消。通过量子门操作对叠加态进行演化,调控各个状态的概率幅和相位,使目标答案的概率逐步放大,从而在测量时以高概率获得正确结果。

量子态非常脆弱,任何微小环境波动就会导致退相干,从而导致量子信息丢失。而想要可靠的实现量子计算,需要用一组物理比特编码信息,进行持续检测并纠正错误。量子比特记录的是单一的信号,容易出现相位错误、状态翻转,甚至数据丢失等问题,而逻辑比特是加了纠错编码的稳定通信信号。

简单的例子,如我们可以使用 3 个量子比特绑定,将逻辑态 0 和 1 定义为:

Press enter or click to view image in full size

这样当其中一个量子比特发生状态翻转时(如从∣000⟩ 翻转为∣010⟩) ,我们可以对状态进行修正。这是最简单的重复码纠正示例,实际逻辑比特需要更复杂的纠缠态来同时纠正比特翻转和相位翻转错误。

目前主流的方案之一是使用表面码进行数据纠错,需要用到的量子比特数量是 d²+(d−1)² ,d 为码距,数字越大则可靠度越高。这种情况下,实现一个逻辑比特所需要的量子比特数量为几十到上千个。

3.3 四条技术路线的竞赛

量子计算领域尚未选定最优方案,目前主要路线包括:超导量子比特(Superconducting qubits);光量子比特(Photonic qubits);离子阱(Trapped-ion qubits);以及中性原子(Neutral atom qubits)。

超导量子计算的核心思想是利用超导电路,在宏观尺度上构造具有离散能级结构的量子系统,即“人造原子”,以此实现量子比特。目前最成熟的实现形式是 Transmon 及其改进型电荷比特,已被 Google、IBM 等公司实现工程化落地。

中性原子路线在近期实现了快速规模扩展,光学阵列规模在短时间内从数万提升至数十万级别,同时已能够稳定操控约 6,100 个高相干物理量子比特,接近万比特量级这一重要里程碑。整体来看,中性原子体系在基础物理可行性方面已得到充分验证,当前主要挑战集中在工程化与系统集成层面,相关解决方案仍在持续推进中。

离子阱路线是用电磁场把带电原子“困住”,用激光精确操控其量子态,并利用共同的振动模式实现量子门。目前离子阱方案也实现了约百比特级系统,并在高保真量子门(>99%)和全连接结构方面具有显著优势。

光量子计算路线使用光子作为信息载体,通过光子干涉与测量实现量子操作,是唯一可在室温常压下运行的解决方案。该路线具有天然的可扩展性和网络化优势,但两比特门通常为概率性过程,目前尚未实现大规模容错逻辑比特计算。

在当前主流的四条量子计算技术路径中,超导量子与中性原子路线整体处于领先地位。超导量子依托成熟的半导体制造工艺体系,在器件制备、系统集成及规模化工程能力方面具备显著优势,是目前工程化程度最高、最接近实际应用落地的技术路线。中性原子则在物理层面展现出更优的可扩展性与体系纯净性,具备实现大规模量子比特阵列的潜力,并已在可编程多比特系统上取得实质性进展。相比之下,其余两条技术路径虽在特定性能指标上具有差异化优势,但在系统规模、工程成熟度以及应用转化能力等方面仍存在一定差距。

3.4 前沿投入和进展

过去三年,全球头部量子硬件公司完成了一轮密集融资 — — 估值从数亿到百亿美元不等,背后站着 BlackRock、淡马锡、NVIDIA 等机构。这些主权基金和战略投资人的入场意味着这条赛道的不确定性已经降低到机构可以接受的程度。

Press enter or click to view image in full size

表格:全球量子计算头部企业资本投入(2023–2026)

2024–2025 年,量子硬件的技术边界被密集突破 — — Google Willow 首次在实验上证明纠错低于阈值,Caltech 实现 6100 个高相干量子比特,Harvard/MIT 把中性原子推进到可编程逻辑比特处理器层面。这些里程碑不是孤立的学术成果,它们是资本押注的技术依据,也是下一轮估值重定价的基础。

Press enter or click to view image in full size

表格:过去 2 年重点量子计算重点研究进展

3.5 现存的难点

退相干效应与噪声控制 (Decoherence & Noise)

量子比特极其脆弱,任何微小的环境波动(如温度变化、电磁波、甚至是宇宙射线)都会导致量子态坍缩,这种现象称为退相干。

极低温度需求 :超导量子比特通常需要在 10mK(接近绝对零度)的环境下运行。

:超导量子比特通常需要在 10mK(接近绝对零度)的环境下运行。 保真度瓶颈:目前的量子比特门操作保真度虽能达到 99.9%,但对于复杂的长路径运算,误差会迅速累积,导致计算结果变成随机噪声。

量子纠错的“高昂成本” (The Overhead of Error Correction)

由于量子比特不可靠,我们需要用很多个量子比特去“保护”一个逻辑比特。

比特冗余 :根据目前的表面码(Surface Code)理论,要实现一个高性能的逻辑比特,可能需要 几十到上千个量子比特。

:根据目前的表面码(Surface Code)理论,要实现一个高性能的逻辑比特,可能需要 几十到上千个量子比特。 计算开销:实时检测和修复错误需要极高的算力和极低的延迟,这对控制电路提出了巨大挑战。“盈亏平衡点”(逻辑比特质量超过物理比特)是目前全行业的头号难题。

可扩展性与连通性 (Scalability & Connectivity)

即便我们能做出 1 个完美的逻辑比特,要解决实际问题(如破解加密、模拟药物分子)可能需要成千上万个逻辑比特。

布线难题 :在超导系统中,成千上万根极低温线缆会导致制冷机体积爆炸。

:在超导系统中,成千上万根极低温线缆会导致制冷机体积爆炸。 全连接挑战:离子阱和中性原子路线虽然保真度高,但如何让相距较远的比特发生纠缠(交互)是一个巨大的物理难题。

控制系统的精度与速度 (Control Hardware)

量子计算不只是量子芯片的问题,它还需要一套极其复杂的经典电子设备来控制。

微波/激光精度 :需要用纳秒级别的精准脉冲去操控比特。随着比特数增加,如何同步控制成千上万个激光束(如光镊阵列)或微波通道而不产生干扰,是极大的工程挑战。

:需要用纳秒级别的精准脉冲去操控比特。随着比特数增加,如何同步控制成千上万个激光束(如光镊阵列)或微波通道而不产生干扰,是极大的工程挑战。 读出速度:量子态的读取速度必须快于退相干速度,这对高灵敏度检测器要求极高。

这四个难点相互叠加,构成了一道工程意义上的复合屏障。退相干迫使系统引入纠错,纠错的高昂开销推高了所需的物理量子比特数量,规模扩展又触发了连通性和控制系统的瓶颈 — — 每一关都必须同时过,缺一不可。这正是为什么 Google 白皮书将攻击所需的物理量子比特从数百万压缩至 50 万是一个重要里程碑,但 50 万个高质量、可纠错、稳定运行的物理量子比特,在今天的工程现实中依然是一道尚未跨越的门槛。理解这道门槛的结构,是理解第四章时间轴为何仍有争议、但又在持续收窄的前提。

第四章|时间轴评估:我们还有多少时间

4.1 当前量子能力 vs 威胁门槛:一个正在快速收窄的差距

理解时间轴,首先需要理解两条曲线:攻击所需的资源门槛,以及硬件实际能够提供的资源规模。这两条曲线之间的距离,就是留给行业准备的时间。

Press enter or click to view image in full size

表格:威胁门槛 vs 当前量子能力

注: “逻辑量子比特”这个词在不同论文里定义并不统一 — — 两者都叫逻辑量子比特,但要求的稳定程度差了一亿倍。因此第二行”约 25 倍”的差距严重低估了实际距离。第一行(物理量子比特,约 250–500 倍)使用相同技术假设,是目前最严谨、可以直接引用的差距描述。

威胁门槛 — — 攻击所需的资源门槛:

根据 Google 白皮书,破解 secp256k1 椭圆曲线密码学,需要约 1200 至 1450 个逻辑量子比特和数千万个 Toffoli 门操作,折算为物理比特约 50 万个。这是目前最权威的估算,比三年前的主流数字低了约 20 倍。

白皮书共同作者、以太坊基金会研究员 Justin Drake 指出,目前优化后的量子电路”仅需约 1 亿个 Toffoli 门,这个深度出人意料地浅”,并补充说逻辑量子比特数”有可能很快降到 1000 以下”。 换言之,这个门槛本身仍在被算法层面的持续优化向下压缩,且 Drake 明确表示”AI 尚未被用于寻找优化空间” — — 意味着人类研究者还在用比较传统的方式持续降低这个门槛。

当前量子能力 — — 硬件实际能够提供的资源规模:

需要从两个维度分开来看,因为物理量子比特和逻辑量子比特是两个不同的度量标准,不能混用。

物理量子比特层面:当前主流系统 — — 包括 Google 的 Willow 芯片(105 个物理量子比特)、IBM Nighthawk(120 个物理量子比特)等 — — 规模在数百至数千个物理量子比特之间。与破解 ECC 所需的 50 万物理量子比特相比,差距约 250–500 倍。

逻辑量子比特层面:当前全球最高实测值是 Quantinuum Helios 2025 的 48 个逻辑量子比特(完全纠错模式,采用串联纠错码),距离破解 ECC 所需的 1200–1450 个差约 25 倍。但这个 25 倍的数字会产生误导 — — 两侧对”逻辑量子比特”的质量要求差了 7–8 个数量级(详见上方表格)。IBM 的 2029 年路线图目标是实现 200 个逻辑量子比特,即便届时实现,距离破解门槛仍差 6–7 倍,且纠错质量的差距同样存在。

两个维度合并来看:

用物理量子比特口径衡量,当前能力与威胁门槛的差距约 250–500 倍 — — 这是目前最严谨、两侧使用相同技术假设的比较方式。这个差距听起来很大,但有两点让它变得不那么令人安心:第一,威胁门槛在算法优化的驱动下持续下移,且下移速度不可预测;第二,硬件进步的曲线并非线性,历史上多次出现资源估算被单篇论文压缩 20 倍的加速拐点。

4.2 各方时间线预判对比

没有人能精确预测 Q-Day 的到来时间。但过去两年里,主要机构和研究者的判断出现了一个明显的方向性变化:区间在整体前移,且不确定性正在向悲观方向倾斜。

下表中对 Q-Day 时间线的公开预判的各方预判者身份迥异 — — 有亲手构建攻击算法的 Google 研究员,有参与白皮书写作的以太坊基金会研究员,有制定监管标准的政府机构,也有来自投资界的独立判断。他们使用的方法论不同,信息来源不同,对”风险可接受”的阈值也不同。

Press enter or click to view image in full size

表格:各方对 Q-Day 时间线的公开预判(截至 2026 年 3 月)

综合七方预判,有两个结构性特征值得单独点出。

第一,区间的下限在前移,而上限基本稳定。最保守的监管时间表(NIST,2035 年)过去五年几乎没有变化;但技术机构和一线研究者的判断 — — Google 的 2029 年行动截止日、Drake 和 Gidney 的”2030–2032 年前≥10%概率” — — 在过去两年持续向前压缩。这意味着风险分布是右偏的:超预期提前的概率,系统性高于大幅推迟的概率。

第二,表中没有任何一方认为威胁不会发生,分歧只在于时间。从最激进的 Vitalik(2028 年前)到最保守的 NIST(2035 年前),所有预判都指向同一个方向,区别仅在于速度假设。这种一致性本身就是一个信号。

对投资人而言,这个分布有一个直接的决策含义:以 NIST 的 2035 年为参照系做风险规划,相当于系统性采用了最乐观的假设;而以 Google 的 2029 年为参照系,则更接近当前技术前沿的共识中位数。两个参照系选哪个,将直接影响对持仓中高风险敞口的处置节奏。

4.3 “留存时间”悖论:技术窗口与治理窗口的剪刀差

Google 白皮书给出了一个表面上令人安慰的判断:迁移区块链至后量子密码学所需的时间,目前仍少于 CRQC 到来所需的时间 — — 但这个容错空间正越来越窄。

当前问题的核心在于:”技术上还来得及”和”实际上能完成”是两件完全不同的事。

技术层面:迁移路径已经清晰

从纯技术角度看,PQC 迁移的工具已经就绪。NIST 于 2024 年正式发布了三项 PQC 标准(FIPS 203、FIPS 204、FIPS 205),算法经过多年评审,实现路径清晰。以太坊基金会已经规划了详细的四叉路线图,包含从后量子密钥注册到完整 PQC 共识的分阶段实施计划,目前已有超过 10 个客户端团队在每周运行开发测试网,路线图包含跨越四次硬分叉的具体里程碑。

技术上,这是一个工程问题,不是一个物理学问题。路径存在,工具存在,问题是能否在时间窗口关闭之前走完这条路。

治理层面及隐形代价:这才是真正的瓶颈

区块链的密码学迁移,本质上不是一个工程问题,而是一个社会协调问题。

区块链之所以是密码学迁移中极为困难的领域,根本原因在于它的去中心化架构和长期安全要求。投资者追求短期利润、矿工关注挖矿收益等基于经济理性的人为因素,已经成为迁移的关键障碍。以比特币为例,问题尤为突出。比特币的治理模式使这种协调响应在结构上更加困难 — — 没有以太坊基金会那样可以资助和主导多年工程工作的等效机构,协议变更需要去中心化开发者社区的广泛共识,而这个社区历来行动缓慢且审慎。

更关键的是,PQC 迁移在经济上的激励结构与以往升级根本不同。PQC 迁移对治理构成了前所未有的共识挑战:它强加了即时的巨大成本,却没有任何短期内可见的收益。甚至技术上的隐性代价是毁灭性的。

Press enter or click to view image in full size

表格:PQC 迁移的隐形代价

数据来源: 签名方案技术参数来自 NIST FIPS 204(Module-Lattice-Based Digital Signature Standard,ML-DSA-65 安全级别);区块容量推算基于比特币 1MB 原生区块共识限制,推导逻辑参考 CEUR Workshop Proceedings 刊载的《Impact of post-quantum signatures on blockchain and DLT systems》及比特币开发者邮件组(Bitcoin-dev mailing list)相关讨论。上述推算未考虑 SegWit 扩展区块或 Taproot 优化,为保守基准估算。

在后量子时代,PQC(后量子密码学)签名的体积远大于现有的椭圆曲线签名。以 NIST 标准算法 ML-DSA-65 为例,其签名和公钥体积膨胀了数十倍。这意味着,在比特币不进行大幅度硬分叉扩容的前提下,其原本每区块可容纳的两三千笔交易将骤降至区区两百笔左右,网络吞吐量面临高达 90% 以上的断崖式下跌。

休眠资产:一个无解的治理难题

PQC 迁移中存在一个特殊的结构性困境,使比特币的治理问题更加棘手:无人认领的休眠资产无法自动升级。

链可以接受新规则,但它无法通知每一个把助记词写在纸上锁进保险箱、或者存在被遗忘的硬件钱包里的持有者。约 170 万枚中本聪时代的休眠比特币,以及大量暴露公钥的以太坊地址,在技术层面无法主动参与迁移 — — 它们只能等待被攻击,或者被协议层面的集体决策处置。

这带来了一个在治理上极为棘手的问题:如果协议对特定地址或持有者类别编码了特殊情况,就会将政治引入基础层 — — 而一旦共识规则涉及具体资产的命运,就可能立即破坏此前对齐的各方激励。烧毁未迁移的休眠资产?这相当于没收财产。冻结这些地址?需要界定什么是”真正丢失”、什么是”还没回来” — — 在链上这两者无法区分。放任不管?这些资产将成为第一批量子攻击的目标,一旦被盗,引发的市场恐慌可能远比技术问题本身更具破坏性。

Google 白皮书专门用一整章讨论了”数字打捞”(Digital Salvage)等公共政策框架,试图为这一问题提供出路,但这个问题在技术层面没有干净的解决方案。

总而言之,技术窗口是可以被压缩的 — — 算法标准已就绪,工程路径已知,实施时间可以通过资源投入加速。治理窗口几乎无法被外力压缩 — — 它取决于社区政治意愿、利益博弈、经济激励的重新对齐,以及去中心化网络天然的决策迟缓。即使技术上”留存时间”为正,治理层面的摩擦仍然可能导致迁移未能在威胁到来前完成。

第五章|行业应对:主流链的抗量子路线图

5.1 后量子密码学(PQC)标准化进展

密码学标准的准备工作已经完成,2024 年 8 月,NIST 正式发布了三项 PQC 标准:FIPS 203(ML-KEM/Kyber,用于密钥封装)、FIPS 204(ML-DSA/Dilithium,用于数字签名)、FIPS 205(SLH-DSA/SPHINCS+,基于哈希的签名)。2025 年 3 月,NIST 进一步选定 HQC 作为基于编码的备选方案,以防格密码学出现意外漏洞。这些算法经过多年全球密码学界评审,是区块链迁移的标准方案 — — 工具已经准备好,问题只在于能否用上。

与此同时,政策层面的压力也在同步升级。美国联邦机构须于 2026 年 4 月前提交 PQC 迁移计划(依据 NSM-10),欧盟要求关键基础设施于 2030 年前完成量子抗性升级,NIST 的整体目标是 2035 年前完成全行业迁移。

然而,实际进展与政策时间表之间存在着巨大的执行缺口。根据剑桥大学贾吉商学院(Cambridge Judge Business School)下属替代金融中心对 1725 个涉及密码学应用的开源区块链代码库的分析显示,传统密码算法依然占比高达 98.7%,而后量子算法仅出现在 0.35% 的代码库中。这表明绝大多数区块链项目仍停留在理论探讨阶段,真正的代码级防御建设尚未展开。

5.2 主要公链的应对状态

并非所有公链面临相同的量子风险,也并非所有公链拥有相同的应对能力。从密码学暴露程度、迁移路线图的完整性,到治理结构的执行力和资金保障 — — 这四个维度的组合,决定了每条链在量子威胁到来时的真实处境。

以下表格对五条主流或代表性公链的准备状态做了横向对比,覆盖当前进展、路线图可信度、治理与资金支持,以及对投资人最直接相关的风险与机遇。需要说明的是,这张表呈现的是截至 2026 年 3 月的快照,各链的响应进展都在持续演进,而非静态评级。

Press enter or click to view image in full size

表:各公链当前准备状态

整体来看,分化格局已经形成且仍在扩大:

以太坊:是目前唯一同时具备高路线图可信度、强治理执行力和明确资金承诺的主流公链,基金会内部的量子安全工作从 2019 年就已开始,2026 年 1 月正式将后量子安全列为核心战略优先级,成立专职 PQ 团队,并投入 200 万美元定向资助后量子密码学研究;

比特币:提案存在:BIP-360(Pay-to-Merkle-Root,P2MR)是目前最具体的量子抗性升级方案;截至 2026 年 3 月,BIP-360 在比特币官方 BIP 流程中仍处于草案状态 — — 未被激活,未被排入任何计划表,距离主网激活还需要经历完整的同行评审、安全审计和社区共识建立过程。其面临的核心挑战不是技术,而是去中心化治理下的协调成本技术。

Solana:2025 年 12 月 16 日,Solana 基金会与安全机构 Project Eleven 合作,在测试网上部署了后量子数字签名原型,完成了对验证者身份、用户钱包和网络签名假设的完整量子威胁评估。 据 Unchained 报道,具体采用的后量子签名算法官方未予公开,但外界推测其参考了 NIST 已发布的 PQC 数字签名标准(如 FIPS 204/205)。这是实验性测试网部署,主网路线图和时间表尚未发布,整体准备状态仍处于早期阶段。

5.3 短期过渡措施(Google 白皮书建议)

Google 白皮书在呼吁 PQC 完整迁移的同时,也给出了可以立即执行的短期防御措施:

停止公钥复用:每次交易后更换地址,避免公钥长期暴露在链上 — — 这是成本最低、可立即执行的风险缓释手段,对比特币用户尤为重要。

Taproot 地址的额外注意:2021 年 Taproot 升级默认暴露公钥,使用 Taproot 地址的持有者面临更高的 at-rest 攻击风险,建议在 BIP-360 等方案成熟前保持地址卫生。

机构冷钱包的公钥管理:对于大额持仓,交易所和机构托管方应立即盘点其密码学资产敞口,识别哪些冷钱包地址属于高风险类别,并制定迁移预案。

“私有内存池”与”提交-揭示”方案:Google 白皮书特别提到这两种技术方案可以有效抵御 on-spend 攻击 — — 通过延迟公钥暴露的时机,在交易确认前缩小攻击窗口。

这些措施都是过渡性的,无法替代协议层的根本迁移。

总结|将量子风险纳入决策框架

本文前五章试图完成一件事:将量子威胁从一个模糊的技术叙事,转化为一个可以操作的投资分析框架。

风险分层评估矩阵 按项目维度,投资人关注以下问题:

项目是否已有公开的 PQC 迁移路线图?

核心签名方案是否可升级(密码学敏捷性)?

治理结构是否具备执行大规模升级的能力(去中心化程度越高,越难协调)?

哪类资产风险最高

大量依赖地址复用的交易所冷钱包

长期不活跃的机构大户地址

治理刚性极强、无法快速升级的原始链(如 P2PK 格式的早期 BTC 地址)

哪类赛道或迎来机会

原生后量子公链(QRL 等)

隐私链中已采用 ZK 抗量子方案的项目

提供密码学审计和 PQC 迁移服务的基础设施项目

结语:

量子计算对加密货币的攻击,目前尚未发生。Google 白皮书没有宣告危机已经到来,它宣告的是:此前支撑”威胁还很遥远”这一判断的技术假设,已经被系统性地修正。

这个修正的含义是具体的:资源门槛在下移,硬件能力在上升,迁移所需的治理时间无法被压缩,而不同协议之间的准备差距已经形成且还在扩大。这些变量叠加在一起,指向同一个结论:市场需对量子风险重新定价。

对投资人而言,量子风险的正确处理方式不是预测 Q-Day 的精确时间,而是将其作为一个概率分布持续前移的结构性变量,纳入日常尽调框架。评估路线图的可信度、识别高风险敞口、关注迁移能力的分化。

主要来源

核心白皮书与官方文件

[1] Babbush, R., Zalcman, A., Gidney, C., Broughton, M., Khattar, T., Neven, H., Bergamaschi, T., Drake, J., & Boneh, D. (2026). Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations. Google Quantum AI. arXiv:2603.28846. https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf

[2] Google Research Blog. (2026, March 30). Safeguarding Cryptocurrency by Disclosing Quantum Vulnerabilities Responsibly. https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/

[3] Google Security Blog. (2026, March). Setting a 2029 Timeline for Post-Quantum Cryptography Migration. https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/

[4] NIST. (2024). FIPS 204: Module-Lattice-Based Digital Signature Standard (ML-DSA/Dilithium). https://doi.org/10.6028/NIST.FIPS.204

[5] NIST. (2024). FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM/Kyber). https://doi.org/10.6028/NIST.FIPS.203

[6] NIST. (2024). FIPS 205: Stateless Hash-Based Digital Signature Standard (SLH-DSA/SPHINCS+). https://doi.org/10.6028/NIST.FIPS.205

[7] Ethereum Foundation. (2026, March 25). Post-Quantum Ethereum Roadmap. https://pq.ethereum.org/

量子硬件里程碑

[8] Google Quantum AI and Collaborators. (2025). Quantum error correction below the surface code threshold. Nature, 638, 920–926. https://doi.org/10.1038/s41586-024-08449-y

[9] Ransford, A. et al. (2025). Helios: A 98-qubit trapped-ion quantum computer. arXiv preprint arXiv:2511.05465. (Quantinuum Helios,本文 4.1 节 48 个逻辑量子比特数据来源)

[10] Bluvstein, D. et al. (2024). Logical quantum processor based on reconfigurable atom arrays. Nature. (中性原子路线里程碑)

[11] Bravyi, S. et al. (2024). High-threshold and low-overhead fault-tolerant quantum memory. Nature, 627, 778–782. https://doi.org/10.1038/s41586-024-07107-7. (QLDPC 纠错码,IBM Heron 处理器相关)

[12] Bartolucci, S. et al. (2025). Scaling and networking a modular photonic quantum computer. Nature, 638, 57–63. https://doi.org/10.1038/s41586-024-08406-9. (光子路线)

[13] Manetsch, H. J. et al. (2025). A tweezer array with 6100 highly coherent atomic qubits. Nature. (中性原子 6100 量子比特)

[14] Zhao, X. et al. (2025). High-fidelity two-qubit quantum logic gates in a trapped-ion chain using axial motional modes. Chinese Physics Letters, 42, 110601. (离子阱路线)

[15] Koch, J. et al. (2007). Charge-insensitive qubit design derived from the Cooper pair box. Physical Review A, 76, 042319. (超导 transmon 量子比特奠基论文)

算法优化历史

[16] Gidney, C., & Ekerå, M. (2021). How to factor 2048-bit RSA integers in 8 hours using 20 million noisy qubits. Quantum, 5, 433. (2019 年资源估算,攻击门槛历史数据)

[17] Gidney, C. (2025). Factoring 2048-bit RSA integers in under a week with only 1 million noisy qubits. arXiv preprint. (2025 年 RSA 资源估算)

[18] Litinski, D. (2023). How to compute a 256-bit elliptic curve private key with only 50 million Toffoli gates. arXiv:2306.08585. (2023 年 ECC 资源估算,本文攻击门槛数据来源之一)

区块链 PQC 迁移

[19] Fukuda, K., Matsuo, S., Suga, Y., & Ito, T. (2025). The Grand Challenge of PQC Migration: Analysis of Modern Blockchain and Intertwined Human Egoisms. Cryptology ePrint Archive, 2025/1626. https://eprint.iacr.org/2025/1626

[20] BTQ Technologies. (2026, March 20). BTQ Technologies Announces First Deployment of BIP 360 on Bitcoin Quantum Testnet v0.3.0. Press Release. https://www.prnewswire.com/news-releases/btq-technologies-announces-first-deployment-of-bip-360-on-bitcoin-quantum-testnet-v0-3-0–302718592.html

[21] Campbell, R. et al. (2026). Hybrid Post-Quantum Signatures for Bitcoin and Ethereum: A Protocol-Level Integration Strategy. The Journal of the British Blockchain Association, 9(1). (PQC 迁移对比特币吞吐量影响数据来源)

[22] Carchidi, A. (2026, March 11). Bitcoin’s Migration Problem Is Self-Organization. Quantum Canary. https://www.quantumcanary.org/insights/bitcoins-migration-problem-is-self-organization

时间线与行业预判

[23] The Quantum Insider. (2026, March 31). Q-Day Just Got Closer: Three Papers in Three Months Are Rewriting the Quantum Threat Timeline. https://thequantuminsider.com/2026/03/31/q-day-just-got-closer-three-papers-in-three-months-are-rewriting-the-quantum-threat-timeline/

[24] CoinDesk. (2026, March 28). Watch Out Bitcoin Devs. Google Says Post-Quantum Migration Needs to Happen by 2029. https://www.coindesk.com/tech/2026/03/28/watch-out-bitcoin-devs-google-says-post-quantum-migration-needs-to-happen-by-2029

[25] Federal Reserve Board. (2025). Quantum Computing and Cryptocurrency: Policy Considerations. Finance and Economics Discussion Series. https://www.federalreserve.gov/econres/feds/files/2025093pap.pdf

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注