Buterin认为在2030年前量子计算机攻破现有密码学的概率并非微不足道,约有20%,并主张以太坊应该开始为这种可能性做准备。
一个关键风险涉及ECDSA。一旦公钥在链上可见,未来的量子计算机理论上可以利用它恢复对应的私钥。
Buterin的量子紧急预案包括回滚区块、冻结EOA并将资金迁移至抗量子智能合约钱包。
缓解路径包括智能合约钱包、经NIST认可的后量子签名以及可以在不引发混乱的前提下切换方案的密码学敏捷基础设施。
在2025年末,以太坊联合创始人Vitalik Buterin 做了一件不同寻常的事:他为一种通常以科幻方式讨论的风险明确给出了概率数字。
援引预测平台Metaculus,Buterin表示 “大约有20%的概率”在2030年前出现能够攻破当今密码学的量子计算机,而中位预测更接近2040年。
几个月后,他在布宜诺斯艾利斯的Devconnect上警告,作为以太坊和比特币的支柱的椭圆曲线密码学,“可能会在2028年下一届美国总统选举之前被攻破。”他还敦促以太坊在大约四年内迁移到抗量子的基础之上。
在他看来,2020年代出现对密码学具备实际影响的量子计算机的概率并非微不足道;如果真如此,这个风险就应该进入以太坊的研究路线图,而不是被视为遥远未来的议题。
你知道吗? 截至2025年,Etherscan数据 显示 以太坊独立地址已超过3.5亿,这凸显了网络的广泛增长,尽管其中只有一小部分地址持有有意义的余额或保持活跃。
以太坊的大部分安全性建立在椭圆曲线离散对数(ECDLP)问题之上,它是椭圆曲线数字签名算法(ECDSA)的基础。以太坊在这些签名中使用secp256k1椭圆曲线。简而言之:
你的私钥是一个大的随机数。
你的公钥是由该私钥推导出的曲线点。
你的地址是该公钥的哈希。
在经典硬件上,从私钥到公钥很容易,但逆向计算被认为在计算上不可行。这种不对称性意味着256位密钥被视为实际上不可猜测。
量子计算威胁这种不对称性。1994年提出的Shor算法 显示,一台足够强大的量子计算机可以在多项式时间内求解离散对数问题及相关的因数分解问题,这将破坏Rivest-Shamir-Adleman(RSA)、Diffie-Hellman和ECDSA等方案。
互联网工程任务组(IETF)和美国国家标准与技术研究院(NIST)都认可:在存在对密码学具备实际影响的量子计算机(CRQC)时,经典椭圆曲线系统将会脆弱。
Buterin在以太坊研究论坛发表的关于潜在量子紧急情况的帖子强调了以太坊的一个关键细节:如果你从未从某个地址花费过资金,那么链上仅可见你的公钥哈希,这仍被认为对量子安全。一旦你发送交易,你的公钥就会暴露,这为未来的量子攻击者提供了恢复私钥并清空账户的原材料。
因此,核心风险并不是量子计算机会攻破Keccak或以太坊的数据结构;而是未来机器可以针对任何曾经暴露过公钥的地址,这涵盖了大多数用户钱包以及许多智能合约金库。
Buterin最近的表述有两大要点。
其一是概率估计。他并未凭空猜测,而是指向Metaculus的预测:在2030年前出现能够攻破当今公钥密码学的量子计算机的概率约为五分之一。同一预测将中位场景置于2040年左右。他的论点是,即使这种“尾部风险”,也足够高到让以太坊提前做准备。
其二是关于2028年的框定。在Devconnect上,他据称告诉 现场观众,“椭圆曲线将会死亡”,并引用研究称对256位椭圆曲线的量子攻击可能在2028年美国总统选举之前变得可行。一些报道将此压缩成“以太坊只剩四年”,但他的信息更为细致:
当前的量子计算机无法攻击以太坊或比特币。
一旦CRQC存在,ECDSA和相关系统将变得结构上不安全。
将全球网络迁移到后量子方案需要数年时间,因此等待明显的危险本身就是有风险的。
换句话说,他的思维方式像一个安全工程师。你不会因为未来十年有20%的可能性发生大地震而疏散城市,但你会在还有时间的时候加固桥梁。
你知道吗? IBM的最新 路线图 将新量子芯片Nighthawk和Loon配对,并以在2029年前演示容错量子计算为目标。它还最近展示了一项关键的量子纠错算法可在常规AMD硬件上高效运行。
早在这些公共警示之前,Buterin就在2024年的以太坊研究帖子 中提出了《如何通过硬分叉在量子紧急情况下拯救多数用户资金》。它勾勒了如果突然的量子突破让生态猝不及防,以太坊可以做些什么。
想象有一则关于大规模量子计算机上线的公共公告,且攻击者已经在清空基于ECDSA保护的钱包。那该怎么办?
以太坊会将链回滚到在大规模量子盗窃清晰可见之前的最后一个区块。
使用ECDSA的传统外部拥有账户(EOA)将被冻结以发送资金,这将切断通过暴露的公钥进行的进一步盗窃。
一种新的交易类型将允许用户通过零知识STARK 证明他们控制着易受攻击地址的原始种子或派生路径——例如,比特币改进提案(BIP)32 HD钱包的原像。
该证明还将指定一个抗量子的智能合约钱包 的新验证代码。一旦验证通过,资金的控制权将迁移到该合约,从此可强制使用后量子签名。
由于STARK证明体积较大,该设计预期进行批处理。聚合者提交证明捆绑包,使许多用户可以同时迁移,同时保持每个用户的秘密原像私密。
关键的是,这被定位为最后手段的资金恢复工具,而非首选方案。Buterin的论点是,支持这种分叉所需的协议管道——包括账户抽象、强大的ZK证明 系统以及标准化的量子安全签名方案——可以且应该提前构建。
从这个意义上讲,量子紧急情况的准备成为以太坊基础设施的设计要求,而不只是一个有趣的思想实验。
如果Buterin依赖于公共预测,那么硬件和加密专家实际上在说什么?
在硬件方面,谷歌的Willow芯片于2024年底推出,是迄今为止最先进的公共量子处理器之一,拥有105个物理量子比特和可以在特定基准上击败经典超级计算机的错误校正逻辑量子比特。
然而,谷歌的量子AI总监明确表示,“Willow芯片无法打破现代加密技术。”他估计,打破RSA需要数百万个物理量子比特,至少需要10年时间。
学术资源也指向同一方向。一项广泛引用的分析发现,使用表面码保护的量子比特在一小时内打破256位椭圆曲线加密需要数千万到数亿个物理量子比特,这远远超出目前的可用范围。
在加密方面,NIST和麻省理工学院等学术团体多年来警告,一旦存在与加密相关的量子计算机,它们将通过Shor算法打破几乎所有广泛部署的公钥系统,包括RSA、Diffie-Hellman、椭圆曲线Diffie-Hellman和ECDSA。这适用于回顾性,通过解密收集的流量,以及前瞻性,通过伪造签名。
这就是为什么NIST花了近十年时间进行其后量子加密竞赛,并在2024年最终确定了其前三个PQC标准:用于密钥封装的ML-KEM和用于签名的ML-DSA和SLH-DSA。
对于一个精确的“Q日”没有专家共识。大多数估计在10到20年的窗口内,尽管一些最近的工作考虑了在激进假设下,椭圆曲线的容错攻击可能在2020年代后期成为可能的乐观情景。
像美国白宫和NIST这样的政策机构足够认真地对待这一风险,以推动联邦系统在2030年代中期转向PQC,这意味着在此范围内出现与加密相关的量子计算机的可能性不容忽视。
从这个角度看,Buterin的“2030年前20%”和“可能在2028年前”框架是更广泛风险评估的一部分,真正的信息是不确定性加上长迁移前置时间,而不是今天有一个破译代码的机器秘密上线的想法。
你知道吗?2024年国家标准与技术研究院和白宫的一份报告估计美国联邦机构在2025年至2035年间将其系统迁移到后量子加密技术将花费约71亿美元,而这只是一个国家的政府IT堆栈。
在协议和钱包方面,几个线程已经在汇聚:
通过ERC-4337风格的账户抽象,将用户从裸EOA迁移到可升级的智能合约钱包,使得以后更换签名方案变得更加容易,而无需紧急硬分叉。一些项目已经在以太坊上演示了Lamport风格或扩展Merkle签名方案(XMSS)风格的抗量子钱包。
以太坊将需要选择(并经过实战测试)一个或多个PQC签名家族(可能来自NIST的ML-DSA/SLH-DSA或基于哈希的构造),并解决密钥大小、签名大小、验证成本和智能合约集成的权衡。
椭圆曲线不仅用于用户密钥。BLS签名、KZG承诺和一些rollup证明系统也依赖于离散对数的难度。一个严肃的量子抗性路线图需要为这些构建块提供替代方案。
在社会和治理方面,Buterin的量子紧急分叉提案提醒我们,任何真正的响应需要多少协调。即使有完美的加密技术,回滚区块、冻结传统账户或强制大规模密钥迁移也将是政治上和操作上有争议的。这也是他和其他研究人员主张的部分原因:
构建自动触发迁移规则的终止开关或量子金丝雀机制,一旦一个较小的、故意脆弱的测试资产被证明被打破。
将后量子迁移视为一个渐进的选择过程,用户可以在任何可信攻击之前很久就采用,而不是最后一刻的仓促。
对于个人和机构,近期的清单更简单:
优先选择可以在不强制迁移到全新地址的情况下升级其加密技术的钱包和托管设置。
避免不必要的地址重用,以便在链上暴露的公钥更少。
跟踪以太坊最终的后量子签名选择,并准备在有稳健工具可用时进行迁移。
量子风险应像工程师看待洪水或地震那样去对待。它今年毁掉你房子的可能性不大,但在长期视角下的可能性足够高,值得在设计地基时将其纳入考量。
相关推荐:美联储降息押注激增:比特币(BTC)能否最终突破91000美元再创新高?
原文: 《 为何Vitalik认为量子计算可能比预期更早攻破以太坊(ETH)的密码学 》
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
