關鍵要點
Buterin認為在2030年前量子計算機攻破現有密碼學的概率並非微不足道,約有20%,並主張以太坊應該開始為這種可能性做準備。
一個關鍵風險涉及ECDSA。一旦公鑰在鏈上可見,未來的量子計算機理論上可以利用它恢復對應的私鑰。
Buterin的量子緊急預案包括回滾區塊、凍結EOA並將資金遷移至抗量子智能合約錢包。
緩解路徑包括智能合約錢包、經NIST認可的後量子簽名以及可以在不引發混亂的前提下切換方案的密碼學敏捷基礎設施。
在2025年末,以太坊聯合創始人Vitalik Buterin 做了一件不同尋常的事:他為一種通常以科幻方式討論的風險明確給出了概率數字。
援引預測平台Metaculus,Buterin表示 “大約有20%的概率”在2030年前出現能夠攻破當今密碼學的量子計算機,而中位預測更接近2040年。
幾個月後,他在布宜諾斯艾利斯的Devconnect上警告,作為以太坊和比特幣的支柱的橢圓曲線密碼學,“可能會在2028年下一屆美國總統選舉之前被攻破。”他還敦促以太坊在大約四年內遷移到抗量子的基礎之上。
在他看來,2020年代出現對密碼學具備實際影響的量子計算機的概率並非微不足道;如果真如此,這個風險就應該進入以太坊的研究路線圖,而不是被視為遙遠未來的議題。
你知道嗎? 截至2025年,Etherscan數據 顯示 以太坊獨立地址已超過3.5億,這凸顯了網絡的廣泛增長,儘管其中只有一小部分地址持有有意義的餘額或保持活躍。
為什麼量子計算會成為以太坊密碼學的問題
以太坊的大部分安全性建立在橢圓曲線離散對數(ECDLP)問題之上,它是橢圓曲線數字簽名算法(ECDSA)的基礎。以太坊在這些簽名中使用secp256k1橢圓曲線。簡而言之:
你的私鑰是一個大的隨機數。
你的公鑰是由該私鑰推導出的曲線點。
你的地址是該公鑰的哈希。
在經典硬件上,從私鑰到公鑰很容易,但逆向計算被認為在計算上不可行。這種不對稱性意味著256位密鑰被視為實際上不可猜測。
量子計算威脅這種不對稱性。1994年提出的Shor算法 顯示,一台足夠強大的量子計算機可以在多項式時間內求解離散對數問題及相關的因數分解問題,這將破壞Rivest-Shamir-Adleman(RSA)、Diffie-Hellman和ECDSA等方案。
互聯網工程任務組(IETF)和美國國家標準與技術研究院(NIST)都認可:在存在對密碼學具備實際影響的量子計算機(CRQC)時,經典橢圓曲線系統將會脆弱。
Buterin在以太坊研究論壇發表的關於潛在量子緊急情況的帖子強調了以太坊的一個關鍵細節:如果你從未從某個地址花費過資金,那麼鏈上僅可見你的公鑰哈希,這仍被認為對量子安全。一旦你發送交易,你的公鑰就會暴露,這為未來的量子攻擊者提供了恢復私鑰並清空賬戶的原材料。
因此,核心風險並不是量子計算機會攻破Keccak或以太坊的數據結構;而是未來機器可以針對任何曾經暴露過公鑰的地址,這涵蓋了大多數用戶錢包以及許多智能合約金庫。
Buterin說了什麼以及他如何界定風險
Buterin最近的表述有兩大要點。
其一是概率估計。他並未憑空猜測,而是指向Metaculus的預測:在2030年前出現能夠攻破當今公鑰密碼學的量子計算機的概率約為五分之一。同一預測將中位場景置於2040年左右。他的論點是,即使這種“尾部風險”,也足夠高到讓以太坊提前做準備。
其二是關於2028年的框定。在Devconnect上,他據稱告訴 現場觀眾,“橢圓曲線將會死亡”,並引用研究稱對256位橢圓曲線的量子攻擊可能在2028年美國總統選舉之前變得可行。一些報導將此壓縮成“以太坊只剩四年”,但他的信息更為細緻:
當前的量子計算機無法攻擊以太坊或比特幣。
一旦CRQC存在,ECDSA和相關系統將變得結構上不安全。
將全球網絡遷移到後量子方案需要數年時間,因此等待明顯的危險本身就是有風險的。
換句話說,他的思維方式像一個安全工程師。你不會因為未來十年有20%的可能性發生大地震而疏散城市,但你會在還有時間的時候加固橋樑。
你知道嗎? IBM的最新 路線圖 將新量子芯片Nighthawk和Loon配對,並以在2029年前演示容錯量子計算為目標。它還最近展示了一項關鍵的量子糾錯算法可在常規AMD硬件上高效運行。
“量子緊急情況”硬分叉方案內部解讀
早在這些公共警示之前,Buterin就在2024年的以太坊研究帖子 中提出了《如何通過硬分叉在量子緊急情況下拯救多數用戶資金》。它勾勒了如果突然的量子突破讓生態猝不及防,以太坊可以做些什麼。
想像有一則關於大規模量子計算機上線的公共公告,且攻擊者已經在清空基於ECDSA保護的錢包。那該怎麼辦?
檢測攻擊並回滾
以太坊會將鏈回滾到在大規模量子盜竊清晰可見之前的最後一個區塊。
禁用傳統EOA交易
使用ECDSA的傳統外部擁有賬戶(EOA)將被凍結以發送資金,這將切斷通過暴露的公鑰進行的進一步盜竊。
通過智能合約錢包路由所有內容
一種新的交易類型將允許用戶通過零知識STARK 證明他們控制著易受攻擊地址的原始種子或派生路徑——例如,比特幣改進提案(BIP)32 HD錢包的原像。
該證明還將指定一個抗量子的智能合約錢包 的新驗證代碼。一旦驗證通過,資金的控制權將遷移到該合約,從此可強制使用後量子簽名。
批量證明以提高燃氣效率
由於STARK證明體積較大,該設計預期進行批處理。聚合者提交證明捆綁包,使許多用戶可以同時遷移,同時保持每個用戶的秘密原像私密。
關鍵的是,這被定位為最後手段的資金恢復工具,而非首選方案。Buterin的論點是,支持這種分叉所需的協議管道——包括賬戶抽象、強大的ZK證明 系統以及標準化的量子安全簽名方案——可以且應該提前構建。
從這個意義上講,量子緊急情況的準備成為以太坊基礎設施的設計要求,而不只是一個有趣的思想實驗。
專家對時間表的看法
如果Buterin依賴於公共預測,那麼硬件和加密專家實際上在說什麼?
在硬件方面,谷歌的Willow芯片於2024年底推出,是迄今為止最先進的公共量子處理器之一,擁有105個物理量子比特和可以在特定基準上擊敗經典超級計算機的錯誤校正邏輯量子比特。
然而,谷歌的量子AI總監明確表示,“Willow芯片無法打破現代加密技術。”他估計,打破RSA需要數百萬個物理量子比特,至少需要10年時間。
學術資源也指向同一方向。一項廣泛引用的分析發現,使用表面碼保護的量子比特在一小時內打破256位橢圓曲線加密需要數千萬到數億個物理量子比特,這遠遠超出目前的可用範圍。
在加密方面,NIST和麻省理工學院等學術團體多年來警告,一旦存在與加密相關的量子計算機,它們將通過Shor算法打破幾乎所有廣泛部署的公鑰系統,包括RSA、Diffie-Hellman、橢圓曲線Diffie-Hellman和ECDSA。這適用於回顧性,通過解密收集的流量,以及前瞻性,通過偽造簽名。
這就是為什麼NIST花了近十年時間進行其後量子加密競賽,並在2024年最終確定了其前三個PQC標準:用於密鑰封裝的ML-KEM和用於簽名的ML-DSA和SLH-DSA。
對於一個精確的“Q日”沒有專家共識。大多數估計在10到20年的窗口內,儘管一些最近的工作考慮了在激進假設下,橢圓曲線的容錯攻擊可能在2020年代後期成為可能的樂觀情景。
像美國白宮和NIST這樣的政策機構足夠認真地對待這一風險,以推動聯邦系統在2030年代中期轉向PQC,這意味著在此範圍內出現與加密相關的量子計算機的可能性不容忽視。
從這個角度看,Buterin的“2030年前20%”和“可能在2028年前”框架是更廣泛風險評估的一部分,真正的信息是不確定性加上長遷移前置時間,而不是今天有一個破譯代碼的機器秘密上線的想法。
你知道嗎?2024年國家標準與技術研究院和白宮的一份報告估計美國聯邦機構在2025年至2035年間將其系統遷移到後量子加密技術將花費約71億美元,而這只是一個國家的政府IT堆棧。
如果量子進展加速,以太坊需要改變什麼
在協議和錢包方面,幾個線程已經在匯聚:
賬戶抽象和智能合約錢包
通過ERC-4337風格的賬戶抽象,將用戶從裸EOA遷移到可升級的智能合約錢包,使得以後更換簽名方案變得更加容易,而無需緊急硬分叉。一些項目已經在以太坊上演示了Lamport風格或擴展Merkle簽名方案(XMSS)風格的抗量子錢包。
後量子簽名方案
以太坊將需要選擇(並經過實戰測試)一個或多個PQC簽名家族(可能來自NIST的ML-DSA/SLH-DSA或基於哈希的構造),並解決密鑰大小、簽名大小、驗證成本和智能合約集成的權衡。
其餘堆棧的加密敏捷性
橢圓曲線不僅用於用戶密鑰。BLS簽名、KZG承諾和一些rollup證明系統也依賴於離散對數的難度。一個嚴肅的量子抗性路線圖需要為這些構建塊提供替代方案。
在社會和治理方面,Buterin的量子緊急分叉提案提醒我們,任何真正的響應需要多少協調。即使有完美的加密技術,回滾區塊、凍結傳統賬戶或強制大規模密鑰遷移也將是政治上和操作上有爭議的。這也是他和其他研究人員主張的部分原因:
構建自動觸發遷移規則的終止開關或量子金絲雀機制,一旦一個較小的、故意脆弱的測試資產被證明被打破。
將後量子遷移視為一個漸進的選擇過程,用戶可以在任何可信攻擊之前很久就採用,而不是最後一刻的倉促。
對於個人和機構,近期的清單更簡單:
優先選擇可以在不強制遷移到全新地址的情況下升級其加密技術的錢包和託管設置。
避免不必要的地址重用,以便在鏈上暴露的公鑰更少。
跟蹤以太坊最終的後量子簽名選擇,並準備在有穩健工具可用時進行遷移。
量子風險應像工程師看待洪水或地震那樣去對待。它今年毀掉你房子的可能性不大,但在長期視角下的可能性足夠高,值得在設計地基時將其納入考量。