量子計算對區塊鏈的威脅：分辨真正的風險與炒作

圍繞區塊鏈安全的量子計算敘事已變得越來越扭曲。儘管威脅是真實存在的，但時間線被大大誤解，實際的緊迫性並非來自於量子機器的進步，而是源於區塊鏈治理限制與工程複雜性。經過仔細分析，大多數區塊鏈根據其密碼架構面臨的風險本質上是不同的，倉促採用後量子解決方案可能會帶來比遙遠的量子威脅更為迫切的危險。

時間線現實：為何密碼相關的量子電腦仍需數十年才能實現

儘管普遍擔憂，具備密碼相關能力的量子電腦（CRQC）——能大規模運行Shor’s算法以破解RSA或橢圓曲線密碼學的電腦——在2030年前出現的可能性極低。目前的量子計算平台，不論是基於陷阱離子、超導量子比特還是中性原子，都遠未達到進行此類攻擊所需的數十萬到數百萬個物理量子比特，更不用說執行密碼分析所需的數千個高保真、容錯邏輯量子比特。

限制因素遠不止於量子比特數量。閘操作的保真度、量子比特的連接性以及錯誤更正電路的深度都仍是重大瓶頸。雖然一些系統現在已超過1000個物理量子比特，但大多數缺乏進行有意義的密碼計算所需的連接性和閘保真度。尚未有系統展示出具有超過幾個邏輯量子比特的錯誤更正電路——遠未達到所需的數千個。

公開宣傳經常扭曲事實。關於「量子優勢」的說法通常涉及人工設定的基準，這些基準特意選擇能在現有硬體上運行，並且看似展現出令人印象深刻的速度提升。「邏輯量子比特」一詞已被扭曲到失去原意：一些公司聲稱已用距離-2錯誤更正碼實現了僅用兩個物理量子比特的邏輯量子比特。這在科學上是站不住腳的——距離-2碼只能檢測錯誤，不能糾正錯誤。Shor’s算法每個邏輯量子比特需要數百到數千個物理量子比特。

即使是該領域的樂觀派也承認差距存在。當量子計算先驅Scott Aaronson建議一台容錯的Shor’s算法量子電腦可能在下一次美國總統選舉前出現時，他明確指出這並不構成密碼學上的突破——甚至對15的因數分解都將被視為一個值得注意的成就，這個計算比破解現實世界的密碼學要簡單得多。

除非量子系統在量子比特數量和保真度方面取得數個數量級的提升，否則與加密相關的量子計算仍是數十年的事業。美國政府設定的2035年後移行到後量子方案的期限，反映的是一個合理的時間表，用於大規模轉型，而非預測量子威脅會在那之前到來。

理解差異化威脅：HNDL攻擊與簽名偽造

量子威脅的範圍根據密碼功能是否涉及加密或數字簽名而大不相同——這一點在大眾話語中經常被混淆。

Harvest-Now-Decrypt-Later（HNDL）攻擊是對加密數據的合法擔憂。擁有國家資源的對手已經在存檔加密通信，寄希望於量子電腦成熟後能解密。這一威脅支持立即部署後量子加密：今天加密的敏感數據，未來數十年仍可能具有價值。許多主要技術平台已經意識到這一點，例如Chrome、Cloudflare、Apple的iMessage和Signal都在採用結合後量子算法（如ML-KEM）與傳統密碼學（如X25519）的混合加密方案。

然而，數字簽名則呈現出根本不同的風險特徵。區塊鏈依賴簽名來授權交易，而非隱藏持續的秘密。今天產生的簽名，即使在公開區塊鏈上曝光，也無法在量子電腦出現後被追溯偽造——簽名已被網絡驗證。與可能多年後被解密的加密信息不同，簽名並不隱藏可以通過未來計算提取的秘密。

這解釋了為何聯邦儲備局聲稱比特幣面臨HNDL漏洞是事實上不正確的。比特幣的區塊鏈是公開的；量子威脅在於簽名偽造，讓攻擊者能推導出私鑰並盜取資金。這是根本不同的風險，需採取根本不同的緊迫措施。

以隱私為重點的區塊鏈則是例外。像Monero這樣的鏈會加密交易細節或隱藏收款人資訊。一旦量子電腦破解了橢圓曲線密碼學，這些歷史隱私就會消失。就Monero而言，攻擊者甚至可以事後從公開帳本中重建整個支出圖譜。這些鏈應優先考慮提前轉向後量子密碼學，或重新設計架構以避免在鏈上放置可解密的秘密。

比特幣與真正的緊迫性：治理，而非量子時間線

比特幣的量子脆弱性源於技術遺留問題，而非迫在眉睫的量子威脅。早期比特幣交易使用pay-to-public-key（P2PK）輸出，直接在鏈上暴露公鑰。再加上地址重用和Taproot地址（也暴露公鑰），相當比例的比特幣流通量成為量子攻擊的目標——一些分析師估計價值數千萬甚至數十億美元的比特幣。

然而，這種脆弱性是逐步展開的，而非災難性的。Shor’s算法不可能同時破解所有簽名；攻擊者必須逐一針對個別公鑰。早期的量子攻擊成本將高得令人望而卻步，只會針對高價值錢包。避免地址重用、避免通過Taproot暴露公鑰（在花費前將其隱藏在哈希函數後）的人，即使沒有升級協議，也能保持較高的保護。

比特幣真正的量子挑戰來自治理與協調。與由積極開發團隊快速升級的平台不同，比特幣變更緩慢且充滿爭議。更關鍵的是，後量子簽名遷移不能被動完成：所有者必須主動將資金轉移到新的量子安全地址。這造成了一個啟動問題——使比特幣在結算方面具有價值的網絡吞吐限制，也使得遷移數十億美元的脆弱資金變得耗時。

以目前的交易容量，即使社群明天就達成遷移方案，轉移所有暴露資金也需數月的持續處理。層級2解決方案和其他創新或許最終能改善這一點，但這個挑戰凸顯了比特幣的量子緊迫性來自於治理和架構，而非量子技術的進步。

後量子簽名的性能與安全成本

當前的後量子簽名方案帶來嚴重的權衡，令人謹慎避免過早部署。五大主要方案——哈希基、格子基、多變量二次、等距基和碼基方法——各自反映了安全假設與實用性能之間的根本折衷。

哈希基簽名代表最保守的安全策略。研究人員對其受到量子電腦有效攻破的可能性有最高信心。然而，標準化的哈希基方案體積巨大：即使在最低參數下，也達到7-8千字節。相比之下，當前的橢圓曲線簽名只有64字節——約是前者的100倍。

格子基方案在當前部署討論中佔據主導地位，因為NIST已選擇它們作為標準。ML-DSA（前稱Dilithium）產生的簽名範圍從2.4 KB（128位安全）到4.6 KB（256位安全），大約是現有橢圓曲線簽名的40到70倍。Falcon簽名較小（666字節到1.3 KB），但涉及複雜的浮點運算，NIST本身也指出這是實作上的挑戰。Falcon的創建者稱其為「我實作過的最複雜的密碼算法」。

實作風險進一步放大這些性能折衷。ML-DSA由於敏感中間值和拒絕邏輯，需要複雜的側信道和故障注入保護。Falcon的恆定時間浮點運算要求也證明特別困難：多次側信道攻擊已成功從部署系統中提取出秘密鑰匙。這些即時漏洞比遙遠的量子電腦帶來的威脅更為嚴重。

歷史經驗提供警示。像Rainbow和SIKE/SIDH這樣的著名後量子候選方案，都是用經典電腦破解的——而非量子電腦——在NIST標準化過程的後期。過早的標準化與部署反而弊大於利。以網際網路基礎設施為例，從MD5和SHA-1等已知漏洞的算法遷移花了多年時間，儘管它們已被證明易受現有電腦攻擊。倉促推動後量子簽名方案的部署，可能會重蹈覆轍。

為何比特幣抗量子加速：Grover限制

一個關鍵誤解是將比特幣的量子威脅與其經濟安全的威脅（Proof-of-Work）混為一談。這兩者代表完全不同的攻擊向量，且可行性差異巨大。

比特幣的PoW共識機制依賴哈希函數，而非易受Shor’s算法攻擊的密碼原語。量子電腦僅能通過Grover的搜索算法提供平方級的加速，而非指數級。雖然Grover算法理論上將暴力破解的成本翻倍，但實際實作的額外開銷使得任何量子電腦在比特幣PoW系統上取得顯著加速的可能性極低。

即使量子礦工能取得Grover的顯著加速，這也只會讓他們在較小的經典礦工面前佔優，但不會根本動搖比特幣的經濟安全模型。共識機制仍由分散的計算難度所保護，這與其抗經典優化的原理一致：網絡算力的分散性使得攻擊者無法單獨控制整個網絡。量子攻擊者只會成為礦工網絡中的一員，只是更高效的一員，無法單方面控制。

這個區別非常重要。比特幣的簽名漏洞理論上可能允許選定高價值地址的盜取，但比特幣的挖礦安全性則根本不可能被量子電腦在任何有意義的層面破解。

區塊鏈特有的實作挑戰

區塊鏈面臨的遷移挑戰不同於傳統的網路基礎設施。雖然以太坊和Solana能比傳統網路更快升級，但它們缺乏傳統系統的密鑰輪換優勢。網路基礎設施經常輪換密鑰，目標變化速度遠快於早期量子攻擊的追蹤能力。區塊鏈地址和密鑰可以永久存在，形成靜態目標。

此外，區塊鏈還有獨特的密碼學需求。許多現代系統依賴BLS簽名來實現快速聚合，從而支持高效的共識協議。目前沒有任何後量子簽名方案能提供等效的聚合效率。研究者正在探索SNARK基的聚合方法，但仍處於早期階段。對於隱私保護的零知識證明（SNARKs），哈希基結構目前是後量子方案中的領先選擇，雖然格子基方案可能變得具有競爭力。

提前遷移的區塊鏈若採用次優方案，可能會陷入困境。如果在部署後出現更優的後量子方案，或發現關鍵實作漏洞，則需要昂貴的重遷移。這在歷史上曾發生於密碼標準的遷移，未來也可能在後量子原語中重演。

近期安全威脅比量子更迫切

未來數年，區塊鏈面臨的最大安全風險並非來自量子電腦，而是來自實作失誤和程序錯誤。側信道攻擊、故障注入攻擊以及複雜密碼學代碼中的微妙漏洞，都是比量子電腦更為迫切且更可能發生的威脅。

對於像SNARKs這樣的高級原語，程式錯誤是主要的弱點。將數字簽名比作SNARK，能凸顯出兩者的複雜度差異：簽名是簡單的證明，表明「我控制此密鑰並授權此操作」，而SNARK則必須證明任意計算，攻擊面更大。密碼學界將花費多年時間來識別和修復生產中的微妙漏洞。

後量子簽名同樣需要嚴格的實作。能從部署系統中提取秘密鑰匙的側信道攻擊已被充分記錄並積極研究。這些攻擊向量是已知的威脅，而量子電腦仍屬理論範疇。

因此，當前的安全重點應放在審計、形式驗證、模糊測試和多層防禦策略上。投資於漏洞識別與修復，比過早推動後量子遷移能帶來更大的安全回報。

利益相關者的七項具體行動建議

鑑於風險格局的複雜性，不同利益相關者應採取平衡量子準備與當前安全的調整策略：

立即部署混合加密以確保長期機密性。 需要數十年保密的系統應實施結合後量子與傳統算法的混合方案。這樣既能防範HNDL攻擊，也能在後量子方案較弱時保持安全。許多技術平台已經證明了技術可行性。

在低頻率、大小不敏感的場景中採用哈希基簽名。 軟體更新、韌體修補和其他不頻繁操作應立即部署混合哈希基簽名。這種保守策略在量子電腦意外提前到來時提供明確的備選方案，也解決了啟動問題：在量子緊急情況下，我們需要安全的分發渠道來推廣後量子密碼學修正。

立即規劃區塊鏈遷移，但避免倉促部署。 區塊鏈開發者應遵循傳統網路基礎設施的穩健做法，給予後量子方案時間成熟，包括性能和安全性。這樣可以讓系統重新架構以支持更大的簽名和更優的聚合技術。

針對比特幣，制定針對量子脆弱資產的遷移政策。 比特幣的治理與協調挑戰要求立即規劃。社群應明確是否將放棄的量子脆弱資產視為銷毀、沒收或其他處理方式。對「過時」地址的法律模糊性也需澄清。

優先考慮隱私鏈的早期後量子轉型，條件允許性能。 面臨真實HNDL風險的隱私鏈應優先遷移到後量子原語或混合方案，只要性能仍在接受範圍內。

立即投入審計、形式驗證與實作防禦。 資源應用於漏洞識別、防止側信道攻擊和實施多層安全措施。這些努力比過早推動量子方案的遷移能帶來更即時的安全回報。

支持量子計算研究與對公告的批判性評估。 持續資助量子計算的發展，以防止對手先行獲得密碼相關能力。同時，將量子計算的新聞稿視為進展報告，進行批判性評估，而非催促緊急行動。每一則公告都是通往密碼分析能力的橋樑之一，仍有大量進展待實現。

量子威脅對區塊鏈是真實但遙遠的。緊迫的工作在於治理協調、實作安全與長遠規劃——而非過早遷移到尚未成熟的後量子方案。認識到這一點，利益相關者才能建立真正安全的系統，避免恐慌與次優決策的陷阱。