區塊鏈無法忽視的「緩慢逼近」威脅
量子電腦目前看起來仍像是實驗室裡的玩具:一排排硬體、動輒出錯的量子位元,以及幾乎沒有真正的實用案例。但如果你查看主流第一層(Layer-1)區塊鏈的路線圖,會發現一項新的優先事項正與擴容和模組化並列:後量子安全(post-quantum security)。
問題本身很簡單(儘管背後的數學並不簡單):大多數主流區塊鏈依賴橢圓曲線簽章演算法(ECDSA 與 Ed25519)來證明交易確實由某個私鑰持有者發起。而一台足夠強大的量子電腦若運行 Shor 演算法,理論上就能從公鑰推導出對應的私鑰,使攻擊者能偽造簽章、發起假交易。
還有另一個「先蒐集、後解密」(harvest now, decrypt later)的威脅角度。攻擊者今天就能複製公有區塊鏈上的資料,並等待量子硬體的能力追上需求。一旦量子運算成熟,即便網路之後改用更安全的演算法,舊地址、長期未動的錢包,以及某些智慧合約模式,都可能變得脆弱。
對無法回溯、需長期運行的公共帳本而言,量子規劃正成為一項重要的長期考量。隨著美國國家標準與技術研究院(NIST)發布正式的後量子標準,以及各國政府設定 2030 年後的遷移時間表,Layer-1 團隊如今將量子安全視為一個緩慢逼近且不可逆轉的風險,而已有少數網路開始推出第一批的應對措施。
以下為 全文忠實直譯成繁體中文(A 版本)。
我會保持技術語句原貌、不額外潤飾。
量子電腦在加密領域實際威脅到什麼
量子電腦並不會神奇地「破解區塊鏈」;它們針對的是特定的演算法。
對加密領域而言,最大的風險在於 公鑰簽名。
比特幣、以太坊與許多其他鏈依賴椭圓曲線簽名方案(ECDSA 與 Ed25519)來證明一筆交易確實來自行使該私鑰的人。一台足夠強大的量子電腦若運行 Shor 演算法,便能從公鑰推導出私鑰,使得偽造簽名與在未經允許的情況下移動資金成為可能。
並非所有機制受到的破壞程度都一樣。像 SHA-256 與 Keccak 這類雜湊函數要強韌得多。量子搜尋演算法,例如 Grover 演算法,僅能在這方面提供平方級的加速,而設計者大多可透過增加雜湊長度與安全邊際來抵銷這種效果。未來最可能需要升級的領域是 簽名機制,而非工作量證明(PoW)的雜湊或基本的交易完整性。
對區塊鏈而言,這些領域將需要長期的密碼學升級,以在標準演進時維持預期的安全性。
比特幣中未花費的舊交易輸出(UTXO)、帳戶式鏈上重複使用的地址、驗證者金鑰、以及權益證明(PoS)系統中依賴簽名的隨機數信標,都會成為有吸引力的目標。
由於關鍵基礎設施中的密碼學遷移通常需要十年以上,一層鏈必須在量子機器強大到能攻擊它們之前就開始規劃。
你知道嗎?「Y2Q」 一詞常被用來描述量子電腦在密碼分析層面變得具有實質威脅的年份,有點類似「Y2K(2000 年)」的概念。一些早期估計指出可能落在 2030 年左右。
為什麼量子安全突然躍上 Layer-1 的路線圖
量子風險在學術圈已討論多年,但直到最近才成為一層開發團隊的具體路線圖項目。真正的轉折點在於情勢從「理論」轉向「標準」與「期限」。
從 2022 到 2024 年,美國 NIST 選定並開始標準化第一波後量子演算法——包括格基方案,如用於金鑰交換的 CRYSTALS-Kyber,以及用於數位簽名的 Dilithium——並搭配像 SPHINCS+ 這類無狀態、實務化的雜湊基簽名替代方案。這讓工程師得以圍繞明確標準進行設計,而非面對一個持續移動的研究目標。
同時,各國政府與大型企業開始談論「密碼敏捷性」(crypto agility),並為關鍵系統設定延伸至 2030 年代的遷移時程。如果你運行的是一條預期要保存價值與法律協議數十年的公共帳本,無法與這項轉型保持同步就會變成治理問題。
Layer-1 團隊也會對外界事件做出反應。每當量子計算在硬體或研究方面有重大突破時,便會重新喚起人們對長期安全性的討論。團隊也會開始質疑,今日的簽名方案是否能在整個網路生命周期內保持安全。他們也會考慮:是否應該趁現在還不緊急時就先建立後量子選項,而不是在未來被迫在壓力下進行。
你知道嗎?英國國家網路安全中心(NCSC)已指出,各組織應在 2028 年前 找出量子安全密碼升級路徑,並在 2035 年左右 完成遷移。
第一波:哪些 Layer-1 網路正在做準備
一小部分但成長中的 Layer-1 網路已從推測走向具體工程實作,嘗試在不破壞現有功能的情況下加入量子韌性。
Algorand:State Proofs 與已上線的 PQ 交易
Algorand 是最明確將後量子概念投入生產的例子。2022 年,它推出了 State Proofs,即使用 NIST 遴選的格基簽名方案 FALCON 所簽署的鏈上歷史緊湊證明。這些證明設計為量子安全,並已用於每隔數百區塊證明 Algorand 的帳本狀態。
更近期,Algorand 已在主網展示以 Falcon 為基礎的邏輯簽名進行完整的後量子交易,使其有望成為其他鏈的量子安全驗證中心。
Cardano:研究導向的後量子未來
Cardano 目前仍依賴 Ed25519,但其核心團隊與基金會已將量子準備度視為長期差異化因素。公開資料與創辦人 Charles Hoskinson 近期演講勾勒出一個結合獨立證明鏈、Mithril 憑證,以及與 NIST FIPS 203–206 對齊的後量子簽名方案的計畫。其目標是為鏈上歷史新增量子韌性驗證層,而不是強迫所有使用者一次性切換。
Ethereum、Sui、Solana 與「量子就緒」新鏈
在 Ethereum 上,研究團隊已開始規劃後量子遷移的任務清單,包括新交易類型、rollup 實驗以及利用零知識包裝(wrapper)讓使用者在不重寫基礎協議的情況下加入 PQ 金鑰。
同時,Sui 團隊發表了專門的量子安全路線圖,並與學術合作夥伴提出一套適用於 Sui、Solana、Near、Cosmos 等 EdDSA 鏈的升級路徑,避免造成破壞性的硬分叉。
Solana 已推出選用型的量子抗性金庫,採用雜湊基一次性簽名來保護高價值資產,使使用者可將資金存放在更強的安全假設下。
另外,也有一批新的一層鏈標榜從第一天起就具備量子安全性,通常是直接將後量子簽名寫入底層協議。這些專案大多規模小且未經驗證,但共同反映量子安全姿態已逐漸成為網路建立長期可信度的一部分。
你知道嗎?最早以量子抗性為核心設計的區塊鏈之一是 Quantum Resistant Ledger(2018),其使用雜湊基的 XMSS 簽名,而非傳統的椭圓曲線方案。
底層挑戰:為什麼進入後量子世界並不是簡單替換算法
升級到後量子簽名聽起來簡單,但在一個全球運行的活鏈上實施並不容易。新演算法的行為不同,而這些差異會出現在各個層面,從區塊大小到錢包使用體驗。
多數領先候選方案分成三類:
格基簽名(如 Dilithium、Falcon):NIST 正在標準化,速度快、效率高,但金鑰與簽名仍比現今椭圓曲線方案更大。
雜湊基簽名(如 SPHINCS+):基於保守假設,但體積可能較大,且部分變體為一次性使用,導致一般錢包運作複雜化。
碼基與多變量簽名方案:主要用於金鑰交換與特定應用,在 Layer-1 計畫中較少見。
對區塊鏈而言,這些設計會帶來一連串影響。更大的簽名意味著更重的區塊、驗證者需要更多頻寬、以及更長期的儲存需求。硬體錢包與輕節點也必須驗證更多資料。共識也受到影響,因為依賴可驗證隨機函數或委員會簽名的 PoS 系統需要的不僅是使用者金鑰替換,而是完整的量子安全替代機制。
還有遷移問題。數十億美元被鎖在遺留地址中,而其持有者可能已遺失金鑰、過世或只是再也不關注。網路必須決定要做到什麼程度:
支援混合簽名(傳統 + PQ),讓使用者逐步過渡
引入新交易類型,將舊金鑰包裝在 PQ 方案中
或創造誘因與期限,要求長期休眠的資金重新換鑰
這些選擇都不是純技術問題,也牽涉到治理、資產法律地位,以及未升級金鑰的資產最終命運。
使用者、建設者與投資人應該接下來關注什麼
量子風險並不需要立即恐慌,但它改變了不同利益相關者評估網路長期可信度的方式。
對一般使用者而言,最實用的做法是注意你的生態系如何談論「密碼敏捷性」,也就是能在不造成破壞性硬分叉的情況下加入並替換密碼學原語的能力。
未來數年,你將看到新帳戶類型、混合簽名選項,以及錢包提示建議你為高價值資產升級金鑰。最早的實作很可能出現在跨鏈橋、側鏈與 rollups,而不是主層 L1。
對開發者與協議設計者而言,關鍵是彈性。硬編碼單一簽名演算法的智能合約、rollups 或驗證機制都將快速過時。設計能插入多種類型(傳統與後量子)的接口與標準會使得遵循 NIST 與產業指南變得容易得多。
對投資人與治理參與者而言,量子準備度正成為技術盡職調查的另一個維度。不再只有吞吐量、資料可用性或 MEV;更深層的問題包括:
這條鏈是否有正式的後量子路線圖?
是否已有原型或上線功能,如 State Proofs、金庫或混合交易?還是只有行銷詞?
當真正需要遷移時,誰負責做決策?
如果在遙遠未來,大型量子攻擊變得可行,更新過密碼的網路將更符合建議的安全標準。
將量子視為一種緩慢、偏治理層面的風險並及早建立逃生艙的 Layer-1,等於在押注自己的鏈會在數十年後仍然重要。