量子計算到底威脅了什麼？一份通往後量子時代的 Crypto 用戶指南

就在上週，Google Quantum AI 團隊發表了一篇重磅論文，指出在超導架構、特定糾錯與硬體假設下，未來量子電腦可利用少於 50 萬個物理量子位元，在數分鐘內破解當前加密貨幣及區塊鏈廣泛採用的 256 位元橢圓曲線密碼（ECDLP-256），所需量子位元數量較此前預估減少約 20 倍。

這直接指向比特幣、以太坊等幾乎所有主流公鏈的簽章方案核心 ECDSA，消息一出，「量子電腦要破解比特幣私鑰」的說法開始在網路上不脛而走。

事實上，我們有必要先冷靜下來，把這件事講清楚——威脅是真實的，但它距離「明天你的錢包就不安全」還很遙遠。

更重要的是，整個行業其實早就開始行動了。

一、量子計算到底在威脅什麼？

要理解這個問題，我們先從最基礎的地方說起，就是你的 Crypto 資產，到底是怎麼被保護的？

眾所周知，在比特幣或以太坊上，每個帳戶背後都有一對金鑰：私鑰和公鑰。其中私鑰是一串隨機生成的大數，極度機密，相當於你保險櫃的密碼；公鑰由私鑰透過橢圓曲線乘法運算推導而來，你的錢包地址，則是公鑰再經過雜湊函數壓縮得到的字串。

這套體系的安全基礎，恰恰在於這個過程是單向的。

說到底，從私鑰算出公鑰很容易，但從公鑰反推私鑰，在傳統電腦上需要耗費的時間遠超宇宙年齡，這也是「橢圓曲線離散對數難題」（ECDLP）的本質——正向計算簡單，逆向破解不可能。

但量子電腦打破了這個假設，它能在多項式時間內解決整數分解和離散對數問題，換句話說，一台足夠強大的量子電腦，理論上可以從你的公鑰反推出私鑰。

那問題來了，公鑰什麼時候會暴露？

你每次向區塊鏈發起一筆交易，都需要用私鑰對交易資料進行簽章，同時廣播你的公鑰以供驗證，這意味著只要你發過交易，你的公鑰就已經公開在鏈上了。

Google 這篇論文的意義，正是將「從公鑰破解私鑰」這件事從理論上可行但荒誕不經，推進到了量子硬體路線圖上可以規劃的目標，譬如據論文估算，破解 256 位元 ECDLP 大約需要 50 萬個物理量子位元的容錯量子電腦，比之前預估的大大降低。

歸根結底，量子計算並不是在破解區塊鏈，它首先瞄準的是區塊鏈裡仍然建立在橢圓曲線離散對數難題之上的簽章體系。

所以，威脅是真實存在的，但嚴格意義上講，「迫在眉睫」這個說法並不準確，業界主流估計給出的窗口期，最快仍在 2030 年前後（延伸閱讀《原生帳戶抽象 + 抗量子威脅：EIP-8141 為何還沒成為以太坊 Hegotá 的頭牌？》）。

二、各條公鏈在做什麼準備？

當然，客觀而言，這裡有一個關鍵區別，很多報導都沒講清楚，就是很多比特幣地址並不會在一開始就直接把公鑰暴露在鏈上。

以 P2PKH、P2WPKH 這類常見形式為例，地址本身通常只是公鑰的雜湊，公鑰往往要等到「第一次花費」時才會暴露，這就意味著如果你的地址從未發出過交易，鏈上只有你的錢包地址，並沒有公鑰。

因此，量子計算最直接的攻擊面，更多偏向於是那些已經發過交易的地址的公鑰。當然這個細節直接引出了用戶層面現在能做的第一件事，我們稍後再談。

行業並非沒有意識到這個問題，事實上，後量子密碼遷移的準備工作，已經在多條戰線同步推進。

以太坊的應對思路，是把帳戶層和簽章方案解耦，譬如 EIP-7702 和帳戶抽象（AA）的推進，讓以太坊帳戶可以透過智慧合約邏輯來定義什麼叫合法簽章，這意味著，未來某一天當後量子簽章方案被引入時，不需要重寫協議底層，只需要更換帳戶的簽章驗證模組。

更進一步，以太坊基金會密碼學研究員 Antonio Sanso 在 EthCC9 大會上就更新了以太坊抗量子安全的最新進展，指出量子電腦可能在 2030 年代中期對 ECDSA 簽章演算法構成實際威脅，以太坊目前已完成約 20% 的抗量子準備工作，並計劃在 2028 年至 2032 年間透過 Lean Ethereum 升級實現全面量子抗性。

不過，當前面臨的主要技術挑戰是簽章體積問題，像最輕量級的後量子簽章演算法 Falcon 的簽章大小仍是 ECDSA 的 10 倍以上，直接在 Solidity 中驗證 Lattice-based 的 Gas 成本極高，因此研究團隊確立了兩條核心技術路徑：

• 一是透過帳戶抽象允許用戶將錢包簽章演算法升級為抗量子方案，無需修改底層協議；
• 二是引入 LeanVM 處理複雜雜湊運算，並結合零知識證明驗證地址助記詞所有權，保障遷移過程中的資產安全；

Antonio 表示將從 2026 年 2 月起主持雙週 ACD 後量子專項會議，目前 Lighthouse 和 Grandine 等共識客戶端已上線實驗性後量子測試網。

除此之外，比特幣社群的風格則明顯更保守，最近進入 BIPs 倉庫的 BIP360 提出了一種新的輸出類型 P2MR（Pay-to-Merkle-Root），它的設計目標之一，就是去掉 Taproot 裡量子脆弱的 key-path spend，為未來可能的後量子簽章遷移預留更友好的結構。

當然，一個提案進入 BIPs 倉庫，並不意味著它已經形成社群共識，更不意味著即將被採用，因此只能說比特幣社群內部已經開始圍繞量子暴露面和潛在輸出類型變化進行更具體的提案討論，這也很符合比特幣一貫的風格，都是先把問題界定清楚，再非常緩慢地形成共識。

值得注意的是，早在 2024 年，美國國家標準與技術研究院（NIST）正式發布了三項後量子密碼標準，意味著區塊鏈生態有了明確的遷移目標，不再需要等待哪個演算法更好的討論收斂，工程實現實質上早就開始了。

三、普通用戶應該怎麼做？

雖然量子電腦的威脅是多年以後的事，但以後的事不意味著現在不用管，有些好習慣，今天養成，代價幾乎為零。

首先就是避免地址複用，這也是最直接、最有效的自我保護措施。

原因也正如上文所言——如果你是比特幣等 UTXO 鏈用戶，每次發起交易，你的公鑰就會暴露在鏈上，那如果你每次都使用同一個地址，公鑰長期公開，一旦量子算力成熟，攻擊者可以從容地從你的公鑰反推私鑰。

目前像 imToken 等主流錢包已經預設提供 HD 錢包功能，好的習慣是每次轉帳用新地址接收，不要把一個地址當成永久身份標識反覆使用，而對於那些從未發出過交易的地址，公鑰從未暴露，當前的量子威脅幾乎不適用。

其次是關注錢包的後量子升級路線。

如果你主要使用的是以太坊等帳戶模型鏈，那麼重點就不是機械地不斷換新地址，而是關注你使用的錢包和所處公鏈，未來是否提供明確的遷移路徑。

因為對帳戶模型鏈來說，量子時代更大的問題往往不是單次暴露，而是活躍帳戶、公鑰歷史、鏈上身份和應用權限的長期綁定，一旦將來真正進入遷移窗口，誰的帳戶更可升級、誰的錢包能更平滑地替換簽章邏輯，誰就更安全。

最後，也是從人性的角度，可以預見的是，隨著話題熱度上升，市面上會出現越來越多聲稱「量子安全」的錢包或協議，我們該警惕這些打著「量子安全」旗號的錢包、協議和基礎設施產品。

面對這類說法，最該問的不是宣傳文案，而是三個更硬的問題：

• 它依賴的演算法是不是 NIST 已定稿標準?
• 它的安全性有沒有經過獨立審計和充分實現驗證?
• 它宣稱的量子安全到底是鏈級遷移、帳戶級升級，還是只是應用層包裝？

畢竟真正的後量子安全，最終要覆蓋的不只是一個 App 的標籤，而是從簽章、驗證到鏈上相容性的整條路徑。

總的來看，量子計算對區塊鏈的威脅，是真實存在的，Google 這份最新白皮書的重要性，也確實在於它把威脅從遙遠理論往可規劃風險推近了一步。

但這仍然不是「明天錢包就會被攻破」的信號，更準確的理解應該是後量子遷移已經不再是一個只屬於學術圈的話題，而是會在未來多年逐步進入協議升級、錢包設計和用戶資產管理的現實問題。

寫在最後

對行業來說，接下來真正重要的，不是誰先喊出量子來了，而是誰能先把遷移路徑設計清楚。

對用戶來說，也不是現在就要陷入恐慌，而是先把最基本的風險認知建立起來：哪些資產先暴露，哪些操作會放大暴露面，哪些錢包和公鏈更有可能在未來提供平滑升級。

我們需要的，是及早行動，而不是過度焦慮。

與大家共勉。