Nick Szabo 与加密行业在应对量子计算的竞赛：2028 年时间表

量子计算威胁对区块链安全的影响比以往任何时候都更为严重。Vitalik Buterin 最近在布宜诺斯艾利斯的 Devconnect 上的警告，已明确了许多密码学家——包括传奇人物 Nick Szabo——早已认识到的事实：椭圆曲线密码学，作为保障比特币和以太坊的数学基础，正面临来自不断进步的量子系统的生存挑战。据估计，量子计算机在2030年前破解现有密码方案的概率约为20%，加密货币行业已从理论担忧转向实际紧迫。

然而，这一时间表并非普遍接受。像 Blockstream 的 Adam Back 这样的人主张采取审慎态度，而 Nick Szabo 则提出了更为细致的观点，平衡了技术确定性与更广泛的风险评估。理解这些不同观点——以及背后的技术现实——对于任何持有大量加密货币的人来说都变得至关重要。

量子时间线与 Nick Szabo 对长期密码风险的看法

Vitalik Buterin 的数字值得关注：根据 Metaculus 预测平台的预测，他估算在2030年前出现能够破解当前加密的量子系统的概率大约为 20%。中位数预测时间甚至延伸到2040年。然而，在 Devconnect 上，Buterin 语气升级，暗示对256位椭圆曲线的量子攻击可能在2028年美国总统大选之前变得可行——这一时间线反映了许多开发者如今感受到的紧迫感。

这一表述在密码学界引发了实质性讨论。Nick Szabo，作为开创性密码学家和智能合约的先驱，以其一贯的精准态度看待量子风险。他并不将其视为迫在眉睫的紧急事件，而是将量子计算视为一种**“终将不可避免”**的威胁，但同时强调，当前法律、社会和治理方面的挑战同样甚至更需关注。他用一个令人难忘的比喻：对区块链的量子攻击就像“被困在琥珀中的苍蝇”——随着更多区块堆叠在一笔交易之上，想要将其撬开的敌对能量指数级增长，使盗窃变得越来越困难，即使对手拥有量子设备。

这种观点并不与 Buterin 的紧迫感相矛盾；相反，它反映了对区块链多层防御机制的更深理解。随着时间推移，资金越深埋在链的历史中，这些资金对未来量子盗窃的脆弱性就越低——即使未来的攻击者最终出现。这一 Szabo 的见解表明，早期迁移对于长期安全存储的资金影响较小，而对于在链上活跃交易的资金，公开密钥的暴露会带来即时的脆弱性。

ECDSA 脆弱性：为何量子计算机威胁当前区块链安全

技术上的脆弱性是具体且被充分理解的。以太坊和比特币都依赖ECDSA（椭圆曲线数字签名算法），使用的是 secp256k1 曲线。其机制很简单：你的私钥是一个随机生成的数字；你的公钥是由私钥数学推导而来的椭圆曲线上的一点；你的地址则是该公钥的哈希。

在经典计算机上，从公钥反推私钥的过程在计算上几乎不可行。这种单向的不对称性使得256位密钥几乎无法被破解。而量子计算机则能打破这一不对称。

Shor 算法，由 1994 年提出，表明只要有足够强大的量子计算机，就可以在多项式时间内解决离散对数问题。这将危及不仅是 ECDSA，还包括 RSA 和 Diffie-Hellman等密码体系——这些是互联网安全基础的核心。

一个关键的细节是：如果你从未花费过某个地址的资金，你的公钥在链上仍然隐藏，仅显示其哈希。这种基于哈希的安全机制在面对量子攻击时仍有抵抗力，因为哈希本质上不同于离散对数问题。然而，一旦你发起交易，你的公钥就会在区块链上暴露。此时，未来的量子攻击者就可以利用已暴露的公钥，推导出你的私钥，从而窃取你的资金。

Google 的 Willow：加速量子计算前沿

时间线的紧迫性反映了技术的实际进展。2024 年 12 月，Google 宣布了Willow，一款拥有 105 个超导量子比特的量子处理器，在不到五分钟内完成了一项任务——这在当今超级计算机上大约需要 10 兆年（10²⁵ 年）。

更重要的是，Willow 展示了**“低于阈值”的量子误差校正。近三十年来，研究人员一直在寻找一种量子系统，使得增加量子比特数反而能降低**误差率，而不是放大。Willow 实现了这一里程碑，标志着量子计算实际可行性的重要转折点。

但这一激动人心的消息也受到一定限制。Google Quantum AI 的主管 Hartmut Neven 明确表示：“Willow 目前还不能破解现代密码学。” 学术界的共识是，要破解 256 位椭圆曲线密码，可能需要数千万到数亿个物理量子比特——远远超出目前的系统能力。然而，IBM 和 Google 的路线图都设定了在 2029-2030 年实现容错量子计算机的目标，意味着在未来 5-10 年内实现这一能力是合理的。

这条技术轨迹正是促使 Buterin 和其他人主张立即采取行动的原因，尽管时间尚不确定。

以太坊的紧急应对措施与后量子安全路径

在公开警告之前，Buterin 在 Ethereum Research 上发布了一篇名为《如何硬分叉以在量子紧急情况下保护大部分用户资金》的详细文章。该方案概述了在量子突破意外发生时的全面恢复方案：

检测与链回滚：以太坊会将区块链回滚到大规模量子盗窃变得明显之前的最后一个区块，基本上撤销被破坏的交易。

传统账户冻结：使用 ECDSA 的传统外部拥有账户（EOA）将被暂停，防止攻击者通过新暴露的公钥窃取资金。

智能合约钱包迁移：一种新型交易类型允许用户通过密码学证明自己控制了原始的助记词，然后利用零知识证明（特别是基于 STARK 的证明）将资金迁移到抗量子攻击的智能合约钱包。

这仍是最后的应急措施。Buterin 更广泛的观点是，账户抽象、强大的零知识系统和标准化的后量子签名方案等基础设施组件，应在危机发生前“现在”就开始建设和测试，以避免在紧急情况下仓促部署带来的新漏洞。

后量子密码标准：NIST 框架与行业实践

令人欣慰的是：解决方案已经存在。2024 年，NIST（国家标准与技术研究院）完成了其首批三种后量子密码（PQC）算法的标准化：ML-KEM（密钥封装机制）以及ML-DSA 和 SLH-DSA（数字签名）。这些算法旨在抵抗 Shor 算法的攻击，依赖于格子数学或哈希函数的特性，即使在量子系统下也难以破解。

2024 年的 NIST/白宫报告估算，美国联邦系统迁移到 PQC 的成本约为 71 亿美元，预计在 2025-2035 年间完成。区块链行业尚未制定类似的监管要求，但项目方正自发推进。

Naoris Protocol 就是积极应对的典范。该项目构建了一个本地集成 NIST 兼容后量子算法的去中心化网络安全基础设施。2025 年 9 月，Naoris 在正式提交中获得了美国证券交易委员会（SEC）的认可，作为量子抗性区块链架构的示范模型。

该协议采用dPoSec（去中心化安全证明）：每个网络参与者都成为验证节点，实时验证其他设备的安全状态。结合后量子密码，这种去中心化的网格架构消除了传统安全模型中的单点故障。测试网于 2025 年初上线，已处理超过1 亿笔后量子安全交易，并实时检测和缓解了超过6亿次威胁。主网部署预计在近期，Naoris 称之为“Sub-Zero 层”基础设施，能在现有区块链之下运行。

扩展到以太坊的更广泛密码学暴露

挑战不仅限于用户密钥管理。以太坊协议依赖椭圆曲线，不仅用于账户安全，还用于BLS 签名（验证者操作）、KZG 承诺（数据可用性）以及各种rollup 证明系统。一套全面的抗量子路线图必须替换所有依赖离散对数的组件。

多方面已有进展。账户抽象（ERC-4337） 已经支持从旧的外部账户迁移到可升级的智能合约钱包，允许在不发生灾难性硬分叉的情况下更换签名方案。研究团队已在以太坊上演示了 Lamport 和 XMSS 风格的抗量子签名实现。技术上可行，但需要协调和社区共识。

保守派与紧迫派：Adam Back、Nick Szabo 及关于量子风险时间线的辩论

并非所有权威都认同 Buterin 的紧迫感。Adam Back，Blockstream 的 CEO 和比特币先驱，将量子威胁描述为“几十年后”。他建议**“稳步研究，而非仓促或破坏性地变更协议”**，警告恐慌式升级可能引入比量子威胁更为危险的实现漏洞。他的立场反映了对未成熟系统中危机驱动技术决策的健康怀疑。

Nick Szabo 则持不同的分析立场。虽然承认量子风险“终将不可避免”，但 Szabo 强调，法律、社会和治理的失败才是比量子计算更紧迫的威胁。他的“琥珀中的苍蝇”框架——即区块链历史的时间累积提供指数级的安全——意味着长期持有者面临的量子风险低于频繁交易、反复暴露公钥的活跃用户。这一观点与 Buterin 并不冲突；它反映了不同的时间视角和风险优先级。

目前，严肃研究者的共识是应立即开始迁移，而非等待量子攻击的确切到来，因为去中心化网络需要数年时间协调重大密码学转变。等待确定的时间线可能会使协议协调陷入困境。

量子不确定未来中的加密货币参与者实践指南

对于活跃交易者，建议保持正常操作，同时关注协议升级公告。对于长期持有者，重点应放在确保所用平台和托管方案积极准备抗量子基础设施。

一些降低风险的实践包括：

钱包与托管的灵活性：优先选择可以在不迁移到新地址的情况下升级密码方案的解决方案，减少未来迁移的摩擦。

减少地址重用：每次交易都会暴露你的公钥；越少暴露的密钥，未来量子攻击的面越小。

监控协议动态：关注以太坊的后量子签名方案和工具的进展。一旦成熟实现成为标准，迁移就会变得简单。

2030 年前 20% 的概率意味着，量子计算机在此期间威胁加密货币的概率为 20%，但也意味着有 80% 的概率在此时间范围内不会发生威胁。然而，在一个市值数万亿的市场中，即使只有 20% 的风险，也值得提前做好充分准备。

正如 Buterin 所强调的——以及 Nick Szabo 长远视角所强化的——量子风险应像结构工程师对待地震或洪水风险一样：不太可能在今年发生，但在更长的时间跨度内很可能发生，为此设计基础设施是合理的。不同的是，区块链的基础设施必须集体重建和升级，协调周期长于 quantum 突破发生后几个月的应急反应。