不必恐慌，后量子密码学将守护比特币与以太坊

“Bitcoin 在 9 分钟内被破解。” 这个标题出现在 2026 年 3 月，当时 Google 的 Quantum AI 团队展示了一台拥有不到 500,000 个物理 qubit 的机器，可以在大约 9 分钟内推导出一个 ECDSA 私钥。Bitcoin 的平均出块时间是 10 分钟。攻击者有 41% 的概率赢得这场竞赛。对于仅 Bitcoin 上就由椭圆曲线密码学保护的 1.3 万亿美元资产而言，这是自 Satoshi 白皮书以来最具影响力的安全论文。

但这里是标题所忽略的内容：防御方案在攻击出现前两年就已经发布。NIST 在 2024 年 8 月最终确定了三项后量子密码学标准。ML-KEM 替代密钥交换。ML-DSA 替代 ECDSA 签名。SLH-DSA 提供一种仅基于哈希的后备方案，除了 SHA-256 之外不依赖任何东西。这些不是白皮书。它们是联邦标准，已经被实现、测试，并在生产环境中交付。altpq 提供了全部三项标准的纯 Go 实现，606/606 个 NIST 测试向量全部通过。eth2030 参考实现已经将 altpq 集成到 Ethereum 的后量子路线图中。Ethereum Foundation 成立了专门的 PQ 团队，推出了 pq.ethereum.org，并提供 200 万美元研究奖金，Vitalik 还发布了一份为期四年的“Strawmap”。问题不在于 PQC 是否有效。问题在于构建者能否在 Q-Day 到来之前完成迁移。

威胁：Google 实际发现了什么

这篇论文由 Ryan Babbush、Craig Gidney、Dan Boneh 和 Justin Drake 等人撰写，编译了针对 256-bit 椭圆曲线密码学实施 Shor 算法的量子电路。资源需求为：少于 1,200 个逻辑 qubit 和 9,000 万个 Toffoli 门，或者少于 1,450 个逻辑 qubit 和 7,000 万个 Toffoli 门。在超导 qubit 架构上，这相当于少于 500,000 个物理 qubit，在数分钟内执行完成。

作为背景，如今最大的量子计算机运行在数千个物理 qubit 规模。数千与数十万之间的差距很大，但正在缩小。Forrester 预计 Q-Day 会在 2030 年前到来。Google 自己修订后的时间线表明 2029 年是有可能的。一位诺贝尔奖得主物理学家称 Bitcoin 是“一个早期目标”。FBI 将 2026 年指定为“量子安全之年”。NSA 的 CNSA 2.0 要求所有国家安全系统在 2027 年 1 月前实现量子安全。

解决方案：三项已经存在的 NIST 标准

这是标题所跳过的部分。密码学社区已经花了八年时间为此做准备。NIST 的后量子密码学标准化流程始于 2016 年，评估了 82 份提交，并在 2024 年 8 月发布了三项最终标准。这些不是理论。它们今天已经在生产系统中被实现、测试和部署。

其数学难题与量子计算机攻击的对象不同。ECDSA 依赖椭圆曲线离散对数问题，而 Shor 算法可以在多项式时间内解决它。ML-KEM 和 ML-DSA 依赖多项式环上的 Learning With Errors（LWE）问题，目前已知最好的量子攻击依然是指数级的。SLH-DSA 除了 SHA-256 的安全性之外不依赖任何东西，而这正是保护 Bitcoin 工作量证明的同一种哈希函数。没有任何量子算法能对 SHA-256 提供有意义的加速。

迁移：谁已经开始行动

“区块链忽视量子威胁”的叙事已经过时。最大的生态系统正在动员，拥有预算、专门团队和具体时间表。

Ethereum 的暴露面比大多数人意识到的更大。论文和 eth2030 的威胁分析量化了五条攻击路径：约 1000 亿美元的顶级钱包公钥，约 2000–2500 亿美元的智能合约管理员密钥，其中包括 USDT/USDC 的铸造权限，分布在 L2 和桥上的 1500 万 ETH，3700 万质押 ETH，其中 1/3 会导致终局性停止，2/3 会改写链，以及 KZG 可信设置，这是一个风险无限且永久存在的经典后门。Vitalik 估计量子威胁在 2030 年前到来的概率约为 20%。Strawmap 目标是在四年内进行大约七次硬分叉，其中 Glamsterdam 和 Hegota 已确认将在 2026 年进行。

权衡：为什么迁移很难

后量子密码学是有效的。挑战不在数学，而在工程。PQC 签名和密钥相比其经典对应物大得多，而这对区块链有真实影响，因为每一个字节都要消耗 gas，每一毫秒都很重要。

这就是为什么迁移不可能一夜之间完成。更大的交易意味着更高的费用、更低的吞吐量，以及更高的存储需求。若直接将 ECDSA 简单替换为 ML-DSA，而没有配套优化，Ethereum 的有效 TPS 将下降 10–20 倍。工程挑战是真实存在的，但可以解决：签名聚合、证明压缩、EVM 预编译，以及账户抽象（EIP-8141）都正在被研究，以缓解尺寸增加的问题。

SLH-DSA 的权衡

SLH-DSA 提供了最高的安全信心，因为它只依赖 SHA-256，没有 lattice 假设。但它的签名极其庞大：对于 SLH-DSA-SHAKE-128f，签名大小为 17,088 字节。这使得它不适合高频区块链交易，但非常适合高价值、低频操作，例如验证者密钥注册或 multisig 冷存储。

altpq：从标准到可交付代码

标准本身并不能保护任何东西。实现才可以。密码学历史充满了这样的例子：正确的算法搭配错误的代码被部署——KyberSlash 通过可变时间除法泄露密钥，Clang 在生产环境中悄悄破坏了常数时间操作，未经检查的随机读取使 PQClean 的实现暴露于漏洞之中。已发布标准与安全部署之间的差距，正是大多数密码学失败发生的地方。altpq 的存在就是为了弥合这一差距：它是全部三项 NIST PQC 标准的纯 Go 实现，其设计目标是让密码学家能够在一天之内独立审计每种算法。

设计优先级是经过刻意安排的。

规范忠实性高于性能

每个算法都逐行匹配 FIPS 规范。

可审查性高于技巧性

没有任何文件超过 500 行。没有跨 package 依赖。密码学家可以在不阅读 ML-DSA 的情况下审计 ML-KEM。

默认常数时间

在秘密值上使用 Barrett reduction 而不是除法。无分支有限域算术。使用 subtle.ConstantTimeCopy 进行隐式拒绝。

该实现已经由 8 个 Claude Code Agent 和 3 个 OpenAI Codex 实例审查，所有分歧都按照更严格的裁决解决。

eth2030 是第一个将 altpq 集成到 Ethereum 全部四个易受量子攻击层中的项目。eth2030 参考实现 将 altpq 的 ML-DSA-65 接入 EIP-8141 frame 交易验证中，用于替代 ECDSA；接入 PQ attestation 签名中，用于替代 BLS；并使用 ML-KEM 的有限域算术来构建基于 lattice 的 blob commitments，用于替代 KZG。两个关键绕过问题——即处理器接受任何非零 PQ 签名——现已通过真正的 FIPS 204 验证修复。

Google 的论文指出了一种大多数报道忽略的新型攻击：针对 KZG 可信设置仪式“toxic waste”的 setup 阶段攻击。与针对单个密钥的 Shor 攻击不同，恢复 KZG toxic waste 是一次性的量子计算，它会产生一个永久性的经典后门。任何获得它的人都可以无限期伪造数据可用性证明。论文将这种利用描述为“可能可以交易”。eth2030 使用基于 Module-LWE 的 lattice blob commitments 作为防御：它们完全替代 KZG，消除了对可信设置的依赖。

时间线：紧迫，但不必恐慌

威胁是真实的。解决方案已经存在。迁移正在进行中。剩下的是执行，而窗口期以年为单位，而不是以月为单位。

每一代密码学都面临过其生存性威胁。在 1990 年代，人们担心因数分解会攻破 RSA。回应是椭圆曲线。在 2000 年代，人们担心 MD5 和 SHA-1 碰撞会削弱证书颁发机构。回应是 SHA-256。现在，人们担心量子计算机会攻破椭圆曲线。回应是基于 lattice 和基于哈希的密码学。模式总是相同的：威胁在真正发生前多年就被识别出来，替代方案被标准化，然后迁移发生。唯一的变量是，构建者究竟是足够早地开始，从而谨慎迁移，还是太晚开始，不得不在危机中迁移。

Y2K 有一个固定的截止日期。Q-Day 是一个概率分布。但负责任的方法是相同的：现在就开始，趁还有时间。标准已经准备好了。实现已经存在。路线图已经发布。唯一缺失的部分是采用速度。

• 原文链接： x.com/yq_acc/status/2042...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～