BTC $63,463.64 +1.21%
ETH $1,786.64 +0.71%
BNB $583.99 -0.64%
XRP $1.12 +0.52%
SOL $81.44 +0.18%
TRX $0.3274 -0.50%
DOGE $0.0760 -1.34%
ADA $0.1852 -1.99%
BCH $239.60 +0.87%
LINK $8.01 +0.62%
HYPE $70.72 +1.75%
AAVE $96.36 +7.71%
SUI $0.7432 -1.29%
XLM $0.1996 -0.26%
ZEC $452.24 -2.19%
BTC $63,463.64 +1.21%
ETH $1,786.64 +0.71%
BNB $583.99 -0.64%
XRP $1.12 +0.52%
SOL $81.44 +0.18%
TRX $0.3274 -0.50%
DOGE $0.0760 -1.34%
ADA $0.1852 -1.99%
BCH $239.60 +0.87%
LINK $8.01 +0.62%
HYPE $70.72 +1.75%
AAVE $96.36 +7.71%
SUI $0.7432 -1.29%
XLM $0.1996 -0.26%
ZEC $452.24 -2.19%

Q-Day 倒計時:量子計算會終結加密貨幣嗎?

核心觀點
Summary: 面對被量子算力掠奪的休眠幣,是死守「代碼即法律」的不可篡改底線,還是通過軟分叉強制凍結遺留資產?
IOSG Ventures
2026-07-06 22:53:01
收藏
面對被量子算力掠奪的休眠幣,是死守「代碼即法律」的不可篡改底線,還是通過軟分叉強制凍結遺留資產?

作者|0xjacobzhao @ IOSG

假設 203X 年的某日凌晨,鏈上監控警報驟然撕裂寧靜:一批沉睡十餘年的早期 BTC 地址開始幽靈般向外轉移資產。沒有黑客入侵,沒有私鑰洩露,唯有憑空生成的"合法"簽名。當高價值休眠 UTXO 被接連清空,市場終於如夢初醒:某未知的量子算力實體已能直接從歷史暴露的公鑰中逆推私鑰。恐慌瞬間擊穿市場,暗網深處,囤積十年的"先收割、後解密"公鑰庫正被瘋狂拍賣,静待算力兌現財富。而比特幣社區則陷入了前所未有的信仰撕裂:面對被量子算力掠奪的休眠幣,是死守"代碼即法律"的不可篡改底線,還是通過軟分叉強制凍結遺留資產?產權敘事與生存法則的碰撞,讓治理死結徹底引爆。那一天,區塊依然按序出塊,網絡未曾停擺一秒,量子計算並未抹除一切的末日魔法,卻將整個 Web3 生態推入密碼學重構與共識深淵的漫長博弈。

量子計算常被解讀為懸在區塊鏈頭頂的"末日達摩克利斯之劍"。重新審視 Web3 世界即將面臨的最大"安全債務"。我們發現,量子威脅對區塊鏈的衝擊,本質上是對其"賬本公開、資產不可逆、私鑰自管"這三重底層架構的極限壓力測試。當容錯量子計算機(CRQC)的曙光初現,行業面臨如何在 Q-Day 到來前僅剩的 5 至 8 年"工程舒適窗口"內,跨越極度複雜的社會共識與治理博弈。

量子計算:技術原理、價值及威脅

量子計算是基於量子力學原理的新型計算範式。它以量子比特(qubit)為信息載體,突破經典比特只能表示 0 或 1 的二元限制,利用疊加、糾纏、干涉與測量等量子特性實現經典計算難以達到的計算效率:

  • 疊加態 (Superposition) ------ 拓展狀態空間:量子比特可處於 0 與 1 的線性組合。

  • 量子糾纏 (Entanglement) ------ 建立全局關聯:多個量子比特間形成的非局域強相關性。

  • 量子干涉 (Interference) ------ 操控概率振幅:量子算法加速的本質機制,使錯誤答案的概率振幅相互抵消(相消干涉),同時放大正確答案的概率振幅(相長干涉)。

  • 量子測量 (Measurement) ------ 將量子態收斂為一個經典結果,量子算法的核心並不是"讀出所有答案",讓正確答案在測量時更高概率出現。

圖片 圖1:量子計算的四大支柱

(①) 疊加態擴展了狀態空間------量子比特在布洛赫球面上以 |0⟩ 與 |1⟩ 的連續混合形式存在。

(②) 糾纏製造非局域關聯,測量一個量子比特會立即確定其搭檔。

(③) 干涉是加速的引擎:錯誤答案的振幅相消,正確答案的振幅相長。

(④) 測量將量子態塌縮為單一經典結果------算法的任務就是事先讓正確結果以壓倒性概率出現。 量子計算的兩大核心算法:Shor 的"降維打擊"與 Grover 的"暴力加速"

  • Shor 算法(1994):公鑰密碼的"降維打擊" :Shor 算法能利用量子特性直接"看穿"大整數分解與離散對數的數學規律,從而徹底摧毀 RSA、橢圓曲線(ECC)等現代互聯網與區塊鏈的信任基石;但受限於現實中的量子糾錯開銷,破解主流密碼仍需數百萬級物理量子比特,在更激進的算法優化下門檻可能被大幅下修 。

  • Grover 算法(1996):對稱加密的"暴力加速器":Grover 算法無法直接破解密碼結構,而是讓計算機"猜密碼"的速度呈平方根級飆升(例如將 128 位加密的安全強度直接腰斬至 64 位);其威脅遠不及 Shor 致命,且應對方法簡單粗暴------通常可通過更長密鑰、更長哈希輸出或更高安全參數恢復安全邊際 (如升級至 AES-256 或 SHA-512)。

圖片 圖2: 量子計算的兩大核心算法: Shor 算法 與 Grover 算法

量子計算的商業化路線:五大技術陣營的"群雄逐鹿" 尚無任何一種量子比特技術確立明確的工程領先地位。當前商業化推進的有五種路線,各具優劣。 圖片 量子計算的正向價值與負向威脅 量子計算的核心價值,在於突破經典計算在特定複雜問題上的能力邊界,推動基礎科學與工程領域實現範式級躍遷。其正向價值主要集中在兩大方向:一是對複雜量子體系的模擬,包括量子化學、藥物研發、新材料和能源技術;二是對高複雜度優化問題的求解,包括物流、金融、供應鏈、晶片設計和工業調度等。其中,量子模擬被普遍認為是確定性更高的長期應用場景,複雜優化仍處於探索與驗證階段。當前,量子計算正處於從實驗室原型邁向工程化應用的關鍵階段,退相干、物理噪聲、糾錯開銷與系統可擴展性,仍是跨越產業化鴻溝的核心壁壘。

量子威脅則本質性地指向現代公鑰密碼體系的根基,並沿"數據壽命 × 遷移難度 × 攻擊收益"的邏輯逐層擴散:國家安全、軍工及情報系統首當其衝,直面"現在收集、以後解密"(HNDL)的戰略級風險;金融與支付基礎設施因深度依賴TLS、HSM及身份認證體系,將率先進入合規遷移軌道;互聯網信任根與區塊鏈/Web3 生態,則面臨代碼簽名、雲端密鑰管理(KMS)、鏈上資產不可逆性及治理遷移等多重系統性風險;而醫療、能源、工業控制與IoT領域,因設備生命周期長、升級窗口窄,將形成長期且難以消弭的尾部風險。 圖片 時間窗口與規劃法則:Q-Day 與 Mosca 不等式 Q-Day指量子計算機首次具備實際破解主流公鑰密碼能力的時間點。它不是一個確定日期,而是受硬件進展、糾錯能力、算法優化與國家項目保密性共同影響的概率區間。當前主流預期大致集中在 2035--2045 年,快速情景可能提前至 2030--2035 年,2030 年前則屬於低概率尾部風險。

Mosca 不等式 X + Y > Z 解釋了為什麼即便 Q-Day 尚未臨近,後量子遷移依然具有現實緊迫性。其中,X 是數據需要保密的時間,Y 是完成密碼遷移所需時間,Z 是距離 Q-Day 的剩余時間。只要數據生命周期與遷移周期之和超過 Q-Day 到來的剩余時間,系統就已經進入遷移滯後區間:今天被收集的數據,未來可能被量子計算解密。因此,抗量子安全不是 Q-Day 到來後的應急工程,而是必須提前啟動的長期基礎設施遷移。 圖片 圖3: 2026 年的專家 Q-Day 預測分布。每個條形顯示單一來源的合理窗口;圓點標記中心估計。

顏色編碼代表發言類別:紅 = 激進產業;橙 = 基準調查/共識;藍 = 硬件路線圖;綠 = 懷疑派。

後量子密碼學(PQC): 技術路線、標準化與產業遷移全景

後量子密碼學(Post-Quantum Cryptography, PQC),亦稱抗量子密碼或量子安全密碼,是一類旨在抵禦未來量子計算機攻擊的新一代密碼算法體系。其核心特徵在於:仍運行於現有經典計算架構之上,但安全性建立在量子計算機也難以高效求解的數學難題之上。PQC 已成為全球數字基礎設施最現實、最具規模化部署潛力的抗量子遷移主線。 主流技術路線:格密碼與哈希簽名的雙雄並立 當前PQC的研究與落地主要聚焦於以下幾大數學陣營:

  • 基於格(Lattice-based)的密碼學:安全性建立在高維格難題(如Module-LWE)之上,兼具效率與安全性,是當前標準化與工程落地的核心方向,代表算法為 ML-KEM 與 ML-DSA。

  • 基於哈希(Hash-based)的簽名:僅依賴哈希函數的抗碰撞性,數學假設極簡且極為保守,代表標準為 SLH-DSA。

  • 其他路線:基於編碼的密碼學(HQC)已於 2025 年 3 月被 NIST 選為第五個 PQC 算法,作為 ML-KEM 的非格基備份,草案標準預計 2026 年、正式標準 2027 年發布;而多變量(Multivariate)與同源(Isogeny-based)密碼學因安全性或效率問題,暫未進入NIST首批標準化主線,其中同源路線更曾因SIKE算法被攻破而遭遇重大挫折。

標準化里程碑:NIST確立"一封裝、兩簽名"格局 美國國家標準與技術研究院(NIST)主導的FIPS標準化進程,是推動PQC從理論走向應用的關鍵轉折點。2024年8月,NIST正式發布三項核心標準,確立了PQC遷移的基本分工:

  • FIPS 203 (ML-KEM):基於格問題的密鑰封裝機制(KEM),負責密鑰交換;

  • FIPS 204 (ML-DSA):基於格密碼的數字簽名算法,負責通用數字簽名;

  • FIPS 205 (SLH-DSA):基於無狀態哈希的數字簽名算法,作為高安全級簽名的備選方案。

產業落地生態:主線、過渡與輔助的三層架構 除核心算法外,抗量子安全體系的構建還依賴於多層次的工程策略:

  • 混合部署(Hybrid):採用"傳統算法(如ECC/RSA)+ PQC"並行簽名/加密的模式,作為遷移早期的風險對沖手段,確保即便新算法存在未知漏洞,傳統算法仍能提供底線安全。

  • 密碼敏捷性(Crypto-agility):通過架構設計使系統具備快速替換、升級或回滾算法的能力,以應對未來可能出現的算法破解風險。

  • 輔助增強技術:包括量子密鑰分發(QKD) (適用於政務/軍工專網,但無法替代互聯網簽名驗證)、量子隨機數生成(QRNG) 以及硬件安全模塊(HSM/Secure Enclave),用於增強隨機數質量與密鑰存儲安全。

圖片 圖 4: 抗量子路線全景圖

區塊鏈行業的量子風險與抗量子實踐

區塊鏈並非量子威脅的首要目標,卻是最具研究價值的"壓力測試"場景。相較於傳統 Web2 依賴中心化機制(如證書輪換、賬戶凍結)緩衝數據洩露風險,區塊鏈將底層密碼學危機直接、即時地轉化為資產滅失與治理僵局。其架構底層的"三重不可逆"------賬本永久公開、資產轉移不可逆私鑰自管,已暴露公鑰的資產可能面臨私鑰恢復與簽名偽造,且毫無中心化兜底餘地。更致命的是,主流公鏈高度依賴的橢圓曲線與 BLS 簽名體系在 Shor 算法面前面臨結構性擊穿;一旦容錯量子計算機(CRQC)問世,攻擊者即可從鏈上暴露的公鑰推導私鑰並偽造簽名,從根本上動搖區塊鏈的信任基石。 圖片 區塊鏈系統的密碼學組件威脅圖譜 對區塊鏈行業而言,核心命題並非應對眼前的黑客,而是啟動一場與時間賽跑的"遷移倒計時"。量子計算不會瞬間摧毀區塊鏈,但會迫使行業經歷比 Web2 更為艱難的底層密碼學重構。真正的風險不在於缺乏已標準化的後量子算法,而在於全生態能否在 Q-Day(容錯量子計算機具備實戰破解能力的時間臨界點) 前,完成從底層協議到存量資產的全鏈路協調遷移。

在此進程中,量子威脅並非均勻降臨,而是沿"資產、協議、基礎設施、應用、治理"五層架構逐級傳導。最核心的洞見在於:高價值的基礎設施層(如交易所、托管方、跨鏈橋)將先於 L1 主網協議承壓;而決定這場全鏈路遷移成敗的最終瓶頸,並非密碼學技術的替換,而是極其複雜的社會共識與治理博弈。 圖片

比特幣與以太坊的抗量子實踐

比特幣抗量子風險:公鑰暴露、簽名膨脹與治理摩擦 比特幣的量子風險並不均勻分布於全部 BTC,而是高度取決於公鑰是否已經在鏈上暴露。真正的高風險並非全網所有 UTXO,而是集中在早期遺留輸出、已暴露公鑰且仍有餘額的地址,以及長期休眠的高價值 UTXO。比特幣的哈希組件(SHA-256、SHA256d 與 RIPEMD-160),主要面臨 Grover 算法帶來的安全邊際下降,而非像 ECDSA / Schnorr 那樣被 Shor 算法結構性擊穿。

  • 高風險:公鑰已靜態暴露的 UTXO:早期 P2PK、Taproot(P2TR)輸出,以及已花費且復用、仍持有餘額的 P2PKH/P2WPKH 地址。其完整公鑰已永久上鏈,一旦 CRQC 問世將首當其衝被 Shor 算法直接擊穿。

  • 中風險:公鑰尚未暴露但未來會暴露的 UTXO:未花費且未復用的 P2PKH/P2WPKH 地址。鏈上僅暴露公鑰哈希,風險僅存在於未來交易廣播至確認的短暫"量子搶跑窗口"內。

  • 低風險:已遷移至量子安全地址的資產:未來通過軟分叉遷移至抗量子(PQ)地址的資產,其風險將顯著降低,但這高度依賴全生態的長期協同升級。

工程挑戰:簽名膨脹與"軟分叉優先"路徑 在比特幣的治理結構下,一次性硬分叉淘汰 ECDSA / Schnorr 的政治成本極高。通過軟分叉引入新的量子安全輸出類型,是更現實的漸進式路徑之一。目前相關討論包括 BIP-360 / P2MR(Pay-to-Merkle-Root)等草案方向,但距離全網共識和激活仍有很長距離。

此舉必須繳納高昂的"工程稅":現行 ECDSA / Schnorr 簽名僅約 64--72 字節,而候選的 ML-DSA(2.4--4.6 KB)與 SLH-DSA(7--49 KB)體積激增數十倍。這種數量級的膨脹將引發系統性連鎖反應:直接推高區塊權重與手續費,加劇節點存儲與帶寬負擔,導致 UTXO 集與錢包 UX 顯著惡化,最終形成負反饋,反向加大全網抗量子遷移阻力。

更重要的是,比特幣缺乏快速算法切換能力。它不像中心化系統可以由單一主體升級證書或替換算法,而是需要共識規則、地址格式、錢包、礦池、交易所、托管方和硬件錢包同步適配。因此,抗量子遷移不是單點技術升級,而是一場跨全生態的長期協調工程。 治理博弈:遺留 UTXO 的"價值觀兩難" 即便 PQ 地址成功上線,如何處理長期不遷移的遺留 UTXO,包括市場通常認為屬於中本聰時代的早期長期休眠 BTC,仍是終極難題。兩種極端方案均與比特幣的核心價值觀相衝突:

  • 無所作為:遺留幣將淪為首位擁有 CRQC 能力攻擊者的"免費午餐",引發市場恐慌。

  • 強制凍結/作廢:直接違背"Not your keys, not your coins"的產權原則與不可篡改敘事,極易撕裂社區共識,甚至引發鏈分叉。

務實折中路徑,是推行多年期的 "遺留落日"(Legacy Sunset)機制:通過長期發布棄用警告、逐步提高花費舊輸出的中繼策略摩擦,最終在多方協調下通過軟分叉施加約束。BIP-361這類 legacy signature sunset 討論,本質上就是在探索這種路徑。

因此,比特幣遷移在根本上不是密碼學問題。PQ 算法已經存在,也可以接入;真正瓶頸在於圍繞不可篡改性、產權與"宣布資產為量子不安全"之合法性等議題的社會共識。換言之,比特幣的量子風險不是某天突然歸零的末日場景,而是一個從理論可行、經濟昂貴到現實可執行的漸進過程;行業真正需要爭取的,是在攻擊經濟性成立之前完成遷移協調。 圖片 圖 5: 比特幣抗量子遷移:一場長期治理過程 以太坊抗量子遷移------全棧重構與"Lean"路線圖 以太坊正主動應對量子威脅。由以太坊基金會(EF)Post-Quantum團隊(https://pq.ethereum.org/) 牽頭研究,正通過 All Core Devs 等開放治理流程穩步推進。其核心戰略並非"一次性押注單一抗量子(PQ)算法",而是全面提升網絡的密碼敏捷性(Cryptographic Agility)------確保賬戶認證、共識簽名、證明系統與數據層承諾具備長期可替換、可升級與可驗證的能力。

以太坊的量子風險高度集中於四大密碼學組件:EOA 賬戶(ECDSA/secp256k1)、驗證者共識(BLS 簽名)、數據可用性(KZG 承諾)以及部分 ZK 證明系統。為此,EF設計了沿執行、共識、數據三條軌道並行推進的"Lean"路線圖。

  • 執行層(用戶賬戶):AA 緩衝與 L2 試驗場

    面對海量 EOA,直接硬分叉阻力極大。以太坊依托賬戶抽象(如 ERC-4337 與 EIP-7702)賦予智能合約錢包"簽名敏捷性",支持混合簽名與漸進式遷移,避免全網強制協調。同時,L2 憑借靈活治理成為 PQ 部署的天然試驗場;

  • 共識層(驗證者簽名):leanXMSS 與 leanVM 的"組合拳"

    旨在徹底替換依賴橢圓曲線配對的 BLS 簽名。核心策略是採用基於哈希的 leanXMSS,並結合極簡 zkVM(leanVM)進行 SNARK 聚合。關鍵工程突破:leanVM 預計能將龐大的哈希簽名數據壓縮約 250 倍,對沖 PQ 簽名體積膨脹,在邁入後量子時代的同時保留了"多簽合一"的擴展優勢。

  • 數據層(Blob、DA 與 KZG):底層承諾的長期重構

    在 CRQC 條件下,KZG 的底層安全假設仍需被重新評估,並長期遷移至更 PQ-friendly 的承諾或證明系統,其終局方向是向基於哈希的 STARK 或基於格(Lattice)的承諾方案演進。這是一項多年期的協議級底層重構,而非眼前的即時失效。

此外,以太坊的量子風險並非平均分布。EOA 是最大的價值池;交易所、橋、托管熱錢包、治理/升級 key、L2 sequencer 和 admin key 則是高價值 operational keys,可能先於協議本身承壓。整體來看,以太坊的抗量子遷移不是單點簽名替換,而是賬戶、共識、DA、ZK、L2、橋、托管與形式化驗證共同參與的多年期全棧工程。 圖片 圖 6: Ethereum 後量子遷移:執行 (用戶賬戶)、共識 (驗證者簽名) 與數據 (承諾與證明)。 圖片 Bitcoin 與 Ethereum 後量子遷移畫像全景對比 理論上,所有依賴傳統公鑰密碼學的公鏈都面臨量子風險。但真正構成系統性抗量子遷移命題的,仍主要是 Bitcoin 與 Ethereum:前者涉及 legacy UTXO、不可篡改性與財產權治理,後者涉及賬戶、共識、DA、ZK 與 L2 的全棧重構。其他公鏈更適合作為技術路徑與風險場景的補充參照。

  • Solana代表高吞吐鏈對 PQ 簽名驗證成本的工程探索,其社區已有 Falcon-512 / FN-DSA 驗證 syscall 的討論,但該方案仍屬探索性補充,不替代現有 Ed25519,也不代表 Solana 已形成官方遷移路線;

  • Starknet / STARK代表 hash-based proof system 更 PQ-friendly 的 ZK 路線。相較依賴 pairing / KZG 的 SNARK 系統,STARK 的底層證明機制更適合作為後量子 ZK 方向;但這並不等於整個 Starknet 網絡已經量子安全,錢包簽名、哈希參數、橋接機制與 Ethereum L1 settlement 仍需同步遷移。

  • QRL、Quantus、Abelian 等原生或準原生 PQ 鏈,則提供了 clean-slate post-quantum design 的技術參照:QRL 代表早期 hash-based signature 路線,Quantus 代表新一代 NIST PQC 敘事的原生 PQ L1,Abelian 則偏向 lattice-based privacy-preserving L1。它們"從第一天構建抗量子鏈"的可行路徑,但網絡效應、流動性與應用生態仍遠弱於 BTC / ETH,更適合作為技術樣本。

結論:安全債務到期與全生態的"Q-Day"倒計時

量子計算並非終結區塊鏈的"末日武器",而是對現代公鑰密碼體系的系統性重置。核心威脅在於未來具備戰略級破解能力的大規模容錯量子計算機(CRQC)。行業的真正風險不在於缺乏後量子算法(PQC),而在於整個Web3生態能否在 Q-Day(量子破解臨界點) 前完成全鏈路協調遷移。 短中期內,現有簽名體系失效風險與全棧升級的高昂成本構成沉重的"安全債務";長期來看,生存壓力將轉化為產業催化劑,直接催生 PQ 混合錢包、抗量子機構托管、量子風險雷達及 PQ 簽名聚合等全新安全基建賽道。

儘管宏觀準備期可能長達 5--15 年,但真正從容的"工程舒適窗口"僅剩 5--8 年。這要求全鏈路(從 BIP/EIP 提案、節點實現、錢包適配到交易所與托管機構的合規升級)必須高度協同。更重要的是,市場重定價可能早於 Q-Day 本身:一旦量子資源估算持續下修、硬件路線圖顯著提前,或監管機構和大型托管方率先提出 PQC 合規要求,市場就可能提前審視區塊鏈資產的密碼學安全模型。在此窗口期內,兩大核心生態將面臨截然不同的終極考驗:

  • Bitcoin:核心挑戰並非密碼學,而是全球社會共識與財產權治理。如何處理長期休眠、公鑰已暴露的Legacy UTXO,是關乎"不可篡改"敘事底線的政治博弈。

  • Ethereum:核心挑戰在於多層協議與全棧生態的工程複雜度。如何在不導致網絡癱瘓的前提下,完成賬戶、共識、DA與ZK層的跨層級密碼學替換,並對沖簽名體積膨脹。

在長期資產配置中,後量子治理摩擦構成了BTC的"結構性尾部風險",但絕非當下看空的理由。其"難以改變"的極度保守治理呈現出雙刃劍效應:既是抗量子遷移的最大阻力,亦是維持其價值儲藏敘事與抵禦中心化干預的核心護城河,這要求投資者摒棄"BTC永遠無需重大升級"的靜態信仰。未來,若出現Q-Day時間線被實質性提前、社區拒絕推進PQ遷移而外圍生態已率先行動、高價值暴露公鑰UTXO引發恐慌拋售,或Legacy資產處置陷入徹底分裂等任一情景,市場將對BTC的安全模型與底層共識進行重新折價。

欢迎加入 ChainCatcher 官方社群
Telegram 订阅: @chaincatcher
X (Twitter): @ChainCatcher_
warnning 風險提示
app_icon
ChainCatcher 與創新者共建Web3世界