Nick Szabo 與加密行業對抗量子計算的競賽：2028 年時間表

在未來幾年內，量子計算的快速發展可能會對現有的加密技術構成嚴重威脅。Nick Szabo 這位加密先驅和數字貨幣的早期倡導者，預測到到 2028 年，量子電腦將達到足以破解目前廣泛使用的加密算法的能力。這場競賽不僅關乎技術的進步，也涉及整個行業的安全與信任。

*圖示：量子計算的基本原理*

為了應對這一挑戰，加密社群正積極研發抗量子攻擊的加密算法，包括格基加密和多變數多項式等新技術。這些努力旨在確保在 2028 年之前，數字資產和通信的安全性不會受到威脅。

### 主要挑戰與應對策略
- **量子算法的突破**：如 Shor 算法能在多項式時間內破解 RSA 和 ECC。
- **升級現有系統**：逐步遷移到抗量子算法，確保兼容性與安全性。
- **政策與標準制定**：國際合作制定新標準，推動行業採用。

### 對行業的影響
- **資產安全**：加密貨幣和數字資產可能面臨被破解的風險。
- **合規與監管**：政府和監管機構將制定新規範來保障用戶安全。
- **技術創新**：促使行業加快採用新型抗量子技術的步伐。

### 結語
Nick Szabo 強調，提前準備是關鍵。雖然量子計算帶來巨大挑戰，但也激發了創新與合作的機會。到 2028 年，整個加密行業將迎來一場前所未有的轉型，只有提前布局，才能在未來的數字世界中立於不敗之地。

量子計算威脅對區塊鏈安全的影響比以往任何時候都更為嚴峻。Vitalik Buterin 在布宜諾斯艾利斯 Devconnect 上的最新警告，已經明確展現出許多密碼學家——包括傳奇人物 Nick Szabo——長期以來的共識：椭圆曲线密码学，作為保障比特幣與以太坊的數學基礎，正面臨來自進步的量子系統的生存挑戰。根據估計，在2030年前，量子電腦破解現有密碼方案的概率約為20%，加密貨幣產業已經從理論上的擔憂轉向實際的緊迫性。

然而，這個時間表並非普遍接受。像 Blockstream 的 Adam Back 等聲音主張採取審慎的策略，而 Nick Szabo 則提供一個更為細膩的觀點，平衡技術確定性與更廣泛的風險評估。理解這些不同觀點——以及背後的技術現實——對於持有大量加密貨幣的投資者來說，已變得至關重要。

量子時間表與 Nick Szabo 對長期密碼風險的觀點

Vitalik Buterin 的數據值得關注：根據 Metaculus 預測平台的預測，他估計在2030年前，出現能破解現有加密的量子系統的概率約為20%。中位數預測則延伸至2040年。然而，在 Devconnect 上，Buterin 升高了語調，暗示在2028年美國總統選舉前，量子攻擊256位椭圆曲线可能變得可行——這個時間線反映出許多開發者現在感受到的緊迫感。

這種說法在密碼學界引發了激烈的討論。Nick Szabo，這位先驅密碼學家與智能合約的先驅者，以其一貫的精確態度看待量子風險。他並不將其視為迫在眉睫的緊急事件，而是將量子計算定位為一個**“最終不可避免”**的威脅，但同時強調，當前法律、社會與治理的挑戰同樣甚至更需優先關注。他用一個令人難忘的比喻：對區塊鏈的量子攻擊就像“琥珀中困住的蒼蠅”——隨著越來越多的區塊堆疊在一筆交易上，想要將其擺脫所需的敵對能量呈指數級增長，使得即使是配備量子技術的攻擊者也越來越難以成功盜取。

這個觀點並不與 Buterin 的緊迫感相矛盾；相反，它反映出對區塊鏈層層防禦的更深理解。隨著時間推移，且資金越埋越深在鏈的歷史中，這些資產對未來量子盜竊的脆弱性會逐漸降低——即使未來的攻擊者最終出現。Szabo 的見解暗示，長期持有的資產，尤其是長期安全存放的資金，受到的威脅較少；而那些頻繁交易、公開金鑰暴露的資產，則面臨更直接的風險。

ECDSA 的脆弱性：為何量子電腦威脅當前區塊鏈安全

技術上的脆弱性是具體且已被充分理解的。以太坊與比特幣都依賴ECDSA（椭圆曲线数字签名算法），使用 secp256k1 曲線。其運作原理很簡單：你的私鑰是隨機生成的數字；你的公鑰是由私鑰數學推導出來的椭圆曲线上的一個點；你的地址則是該公鑰的哈希值。

在經典電腦上，從公鑰反推私鑰的逆向過程是計算上不可行的。這種單向的不對稱性，使得256位的密鑰幾乎無法破解。而量子計算則能打破這個不對稱。

Shor’s算法，於1994年提出，證明一個足夠強大的量子電腦可以在多項式時間內解決離散對數問題。這將危及不僅是 ECDSA，還有 RSA 和 Diffie-Hellman 等多數網路安全的密碼基礎。

一個關鍵的細節是：如果你從未花費過某個地址的資金，你的公鑰在鏈上仍然是隱藏的；只有其哈希值是可見的。這種基於哈希的安全性在量子攻擊下仍具有一定抵抗力，因為哈希函數與離散對數問題本質不同。然而，一旦你發送交易，你的公鑰就會在區塊鏈上暴露。屆時，未來的量子攻擊者就可以利用已暴露的公鑰，推導出你的私鑰，進而竊取資金。

Google 的 Willow：推動量子計算前沿的加速器

時間線的緊迫感反映了技術的實際進展。2024年12月，Google 宣布了Willow，一款擁有105個超導量子比特的量子處理器，在不到五分鐘內完成了一項計算——這在當今的超級電腦上約需10的25次方年。

更重要的是，Willow 展示了**“低於閾值”的量子錯誤更正技術。近三十年來，研究人員一直在尋找一個量子系統，使得增加量子比特數量能降低**錯誤率，而非放大。Willow 達成了這一里程碑，標誌著量子計算實用性的一個轉折點。

但這個激動人心的消息也受到一定的限制。Google Quantum AI 的主管 Hartmut Neven 明確表示：“Willow 目前還無法破解現代密碼學。” 學術界普遍認為，要破解256位椭圆曲线密碼，可能需要數千萬到數億個物理量子比特，遠超目前的系統規模。然而，IBM 和 Google 的路線圖都設定了在2029-2030年前實現容錯量子電腦的目標，這使得這樣的能力在未來5到10年內變得可能。

這一技術趨勢正是促使 Buterin 和其他專家呼籲立即行動的原因，儘管時間尚不明朗。

以太坊的緊急應對措施與後量子安全之路

在公開警告之前，Buterin 在 Ethereum Research 發表了一篇名為《如何硬分叉以在量子緊急情況下拯救大多數用戶資金》的詳細文章。該方案概述了一套完整的救援流程，應對量子突破可能讓生態系措手不及的情況：

檢測與鏈回滾：以太坊將回退到大規模量子攻擊出現之前的最後一個區塊，基本上撤銷被破壞的交易。

傳統賬戶凍結：使用 ECDSA 的外部擁有賬戶（EOA）將被暫停，防止攻擊者利用新暴露的公鑰竊取資金。

智能合約錢包遷移：一種新型交易類型允許用戶用密碼學證明自己控制原始助記詞，然後利用零知識證明（特別是基於 STARK 的證明）將資金遷移到抗量子的智能合約錢包。

這是一個最後的安全備案。Buterin 更廣泛的觀點是，賬戶抽象、強大的零知識系統，以及標準化的後量子簽名方案，都應該在危機來臨前“現在”就建立並測試，以避免在緊急情況下匆忙部署，反而引入新的漏洞。

後量子密碼標準：NIST 的框架與產業實踐

令人欣慰的是：解決方案已經存在。2024年，NIST（美國國家標準與技術研究院）完成了其首批三個**後量子密碼（PQC）**算法的標準化：ML-KEM（密鑰封裝）、ML-DSA 和 SLH-DSA（數字簽名）。這些算法旨在抵抗 Shor’s 算法的攻擊，依賴於格子數學或哈希函數的特性，即使在量子系統下也難以破解。

一份2024年的NIST/白宮報告估計，美國聯邦系統在2025至2035年間轉向PQC的遷移成本約為71億美元。雖然區塊鏈行業尚未制定類似的法規，但許多項目正自願推進。

Naoris Protocol 就是積極的行業範例。該項目正構建一個去中心化的網絡安全基礎設施，原生整合符合NIST標準的後量子算法。2025年9月，Naoris 在正式提交中獲得美國證券交易委員會（SEC）的認可，成為量子抗性區塊鏈架構的參考模型。

該協議採用dPoSec（去中心化安全證明）：每個網絡參與者都成為驗證節點，實時驗證其他設備的安全狀態。結合後量子密碼，這種去中心化的網格架構消除了傳統安全模型中的單點故障。測試網於2025年初啟動，已處理超過1億次後量子安全交易，並在實時中檢測與緩解了超過6億次威脅。主網部署預計在近期，Naoris 稱之為“Sub-Zero 層”基礎設施，能在現有區塊鏈之下運行。

以太坊的更廣泛密碼學暴露問題

這個挑戰不僅限於用戶私鑰管理。以太坊的協議不僅依賴椭圆曲线來保障賬戶安全，還在BLS簽名（驗證者操作）、KZG承諾（數據可用性）以及各種rollup證明系統中使用。要實現全面的抗量子方案，必須替換所有依賴離散對數的組件。

多方面的進展已經在進行中。賬戶抽象（ERC-4337） 已經允許從傳統的外部擁有賬戶遷移到可升級的智能合約錢包，實現簽名方案的切換而不需大規模硬分叉。研究團隊已經展示了 Lamport 和 XMSS 類的量子抗性簽名實現。技術上這是可行的，但需要社群協調與共識。

保守與緊迫：Adam Back、Nick Szabo 與量子風險時間線的辯論

並非所有權威都認同 Buterin 的緊迫感。Blockstream CEO、比特幣先驅 Adam Back 認為量子威脅“還有幾十年”，建議採取**“穩健研究而非匆忙或破壞性變革”**，警告恐慌性升級可能引入比量子威脅更為危險的實作漏洞。他的立場反映出對於尚未成熟系統中危機驅動技術決策的健康懷疑。

Nick Szabo 則持不同的分析立場。雖然承認量子風險“最終不可避免”，但他強調，法律、社會與治理失敗，才是比量子計算更為緊迫的威脅。他的“琥珀中的蒼蠅”框架——即區塊鏈歷史的時間累積提供指數級的安全——暗示長期持有者面臨的量子風險較低，因為他們的資產未來較少暴露於公開金鑰。而活躍交易者頻繁暴露公鑰，則面臨較高的風險。這個觀點與 Buterin 的看法並不矛盾，而是反映不同的時間視角與風險優先順序。

目前，嚴肅的研究者普遍認為應該立即開始遷移，而非等待量子攻擊的確切時間點，因為去中心化網絡需要數年時間協調重大密碼轉換。等待確定時間線，可能會使協調工作陷入危機。

在量子不確定的未來中，為加密貨幣參與者提供實務指引

對於活躍交易者，建議很簡單：保持正常操作，並密切關注協議升級公告。對於長期持有者，則應確保所用平台與托管方案正積極準備抗量子基礎設施。

幾個降低風險的實務措施包括：

錢包與托管彈性：選擇能在不完全更換地址的情況下升級密碼方案的方案，減少未來轉移的摩擦。

減少地址重用：每次交易都會暴露公鑰；越少暴露的公鑰，未來量子攻擊的面越小。

監控協議動態：追蹤以太坊的後量子簽名方案選擇與工具支持。一旦成熟實現成為標準，遷移就會變得較為容易。

2030年前20%的概率意味著，量子電腦在此期間不威脅加密貨幣的概率約為80%。但在價值數萬億美元的市場中，即使只有20%的風險，也值得認真準備。

正如 Buterin 所說——以及 Nick Szabo 長期觀點所強調——量子風險應像結構工程師對地震或洪水風險的態度：不太可能今年發生，但在較長的時間範圍內，足夠的可能性使得設計基礎建設以應對該風險，既符合經濟也符合技術邏輯。不同的是，對於加密貨幣來說，這些基礎必須集體重建與升級，需用數年協調，而非突破後的幾個月內完成。