撰文:Web4 研究中心 「未来已来,只是分布不均。」——威廉·吉布森 九分钟,足够一杯咖啡变凉,也足够一台量子计算机破解你的加密资产私钥。 想象一个这样的场景。 你刚刚发起了一笔转账,确认了地址,按下了发送。在接下来的十分钟里,这笔交易静静躺在内存池中,等待矿工打包。你觉得很安全——毕竟,椭圆曲线密码学(ECC)已经保护了这个世界最值钱的数字资产十几年,从未出过差错。 但你不知道的是,在地球某个角落的一台量子计算机,已经锁定了你的交易。它在链上捕捉到了你的公钥,然后,九分钟——比主流加密资产的平均出块时间还快——你的私钥被推导出来,你的资金被转移到了一个你不知道的地址。 这不是科幻小说的情节,不是好莱坞的剧本。 这是 2026 年 3 月 31 日,谷歌量子 AI 团队在其官方技术博文中白纸黑字写下的研究结论。 根据谷歌发布的研究数据,在攻击方事先进行部分预先计算的理论模型下,一台足够先进的量子计算机仅需约 9 分钟就能破解一枚加密资产私钥,而主流加密资产的平均出块时间是 10 分钟。这意味着,在一笔交易等待被打包的那个时间窗口里,攻击者有约 41%的概率成功拦截并篡改这笔交易。 谷歌的研究同时指出,攻击者可能仅需不到约 50 万个量子比特,就有机会对现有加密算法发动有效攻击;而在拥有约 1,200 至 1,450 个高质量量子比特的条件下,某些类型的实际攻击在理论上便有了实施空间。这一数字明显低于过去业界长期引用的「需要数百万量子比特」的门槛。 这便是「量子信任危机」——一个隐藏在算力进化曲线背后的、正在倒计时的系统性风险。 它不针对某一条链、某一个协议,而是指向整个依赖椭圆曲线密码学的数字资产世界。信任一旦被量子计算机从数学根基上瓦解,加密资产的核心价值主张——「无需信任的确定性」——将不复存在。 更重要的是,谷歌在这篇博文中给出了一个前所未有的硬性时间表:2029 年之前,必须完成抗量子密码(PQC)迁移。这不是建议,不是预测,而是工程意义上的截止日期。谷歌同时宣布,已与 Coinbase、斯坦福区块链研究中心、以太坊基金会等机构合作,共同推进这场可能是加密世界诞生以来最深刻的底层安全变革。 博文中有一句话格外刺眼——「行动紧迫性正在日益增加」。 这句话不是危言耸听。你的加密资产安全窗口,正在以肉眼可见的速度关闭。 量子危机不是加密世界的终点,而是它的成人礼——它逼着行业从「技术玩具」走向「制度级基础设施」。 一、ECDLP-256 的「阿喀琉斯之踵」:为什么量子计算机能轻松撕开它? 要理解这场危机的本质,需要先弄明白一个基本问题:量子计算机凭什么能破解现有的加密密码体系? 目前,包括以太坊和大多数主流公链在内,依赖的是椭圆曲线数字签名算法(ECDSA)及其底层协议 ECDLP-256。这套体系的数学基础是椭圆曲线离散对数问题——用传统计算机求解,需要天文数字级别的时间。 你可以把它想象成一道极难的数学题。传统计算机只能一个一个试答案,试到宇宙毁灭也试不出来。但量子计算机运行 Shor 算法时,解题方式完全不同。它不是「枚举」答案,而是利用量子叠加态的并行计算能力,从根本上改变了问题的求解复杂度。 事实上,量子攻击的主要威胁对象是公钥密码体系,而非哈希算法。Grover 算法在哈希函数上仅提供二次加速,并非指数级加速,因此哈希部分相对安全。真正的风险,在于公钥暴露的那一刻。 公钥暴露的那一刻,就是量子攻击的起点。 谷歌的研究报告揭示了两个关键发现,值得每一个加密资产持有者认真对待。 第一,破解门槛比想象的低得多。过去业界普遍认为,至少需要数百万量子比特才能威胁现有加密体系。但谷歌的估算将这个数字大幅下调——在特定攻击场景下,约 1,200 到 1,450 个高质量量子比特就可能构成实质威胁。这是量级上的差异。 第二,攻击窗口比想象的小得多。如前所述,在交易等待确认的十分钟内,量子计算机可能完成对公钥的破解。这意味着,即便你只是正常发起一笔交易,也可能在过程中被攻击——不是你的地址被盯上了,而是你的「这次操作」被盯上了。 Taproot 升级在这个问题上扮演了一个复杂角色。谷歌研究团队特别指出,Taproot 在提升交易效率和隐私的同时,在某些交易类型下会「预设」更早、更多地在链上曝光公钥信息,反而让原本受到较高保护的地址类型变得更容易在量子攻击场景下遭到锁定。 这不是危言耸听。根据谷歌研究的估算,目前已有约 690 万枚主流加密资产的公钥在链上完全曝光,约占总供给量的三分之一。其中包含早期挖矿所得的约 170 万枚。另一份来自 ARK Invest 与 Unchained 联合发布的报告给出了相近的数据,显示约 35%的供应量处于潜在量子威胁风险之中。 Galaxy Digital 研究主管 Alex Thorn 则指出,当前风险主要局限于链上已暴露公钥的特定地址,包括复用地址、部分托管机构持有的地址及旧版地址格式中的资产。安全机构 Project Eleven 的分析显示,约 700 万枚(按近期价格约合 4700 亿美元)处于此类「长期暴露」状态。 这些数字背后,是真金白银。 真正危险的,不是量子计算本身,而是整个行业在假装这个问题不存在。 二、2029 年:不是「遥远的目标」,而是硬截止日期 时间是这个故事里最残酷的变量。 2029 年不是「遥远的未来」,而是硬截止日期——你的加密资产安全窗口正在关闭。 为什么是 2029 年?谷歌的路线图并非凭空捏造。过去两年,量子硬件的进展速度超出了很多人的预期。 2024 年 12 月,谷歌推出了 105 量子比特的 Willow 量子芯片,能够在不到五分钟内完成一项传统超级计算机需要约 1,025 年才能完成的标准基准计算。更关键的是,Willow 实现了「低于阈值」的量子计算——当更多量子比特被添加到系统中时,错误率反而呈指数级下降,这在量子纠错领域是一个里程碑式的突破。 随后,IBM、PsiQuantum 等主要玩家也陆续发布了各自的硬件路线图,不约而同地将「千级逻辑量子比特」目标锁定在 2028 年至 2030 年区间。这些日期并非巧合——整个行业正在同步逼近一个临界点。 但谷歌给出的 2029 年,指的并不是「量子计算机将在这一年破解加密资产」。谷歌的意思是:它计划在 2029 年之前,将自己的基础设施全部迁移到后量子密码体系。换句话说,2029 年不是威胁到来的时间,而是安全窗口关闭的时间。 为什么这个截止日期对加密世界如此重要? 因为一次主流公链的硬分叉,从提案到社区讨论,再到测试网部署和主网激活,通常需要 18 到 24 个月。从本文发布到 2029 年,剩余约 34 个月。 这意味着,几乎没有试错的空间。 如果某条主流公链在 2027 年底之前仍未在测试网上启动 PQC 迁移,那么 2029 年的截止日期将几乎不可能按时完成。对于那些将「不可更改」奉为圭臬的公链来说,这个时间表尤其残酷。 Nic Carter 对此发表了尖锐的批评。Castle Island Ventures 的这位创始合伙人公开指责部分开发者长期忽视量子相关提案,采取「否认、煤气灯效应、设置门槛、鸵鸟心态」等态度。他指出,目前广泛应用的椭圆曲线密码学「即将过时,这只是时间问题」。无论是 3 年还是 10 年,它都已经过时了。唯一的问题是,开发者要多快意识到,他们需要在网络中内建加密可变性。 这场争论正在将加密世界撕裂成两个阵营:一个积极布局、将后量子安全列为「最高战略优先级」;另一个则在漫长而痛苦的共识拉锯中缓慢前行。 慢,在这个时间窗口里,是最昂贵的成本。 三、谁在行动?谁在观望?——行业分化进行时 面对量子威胁,不同公链的反应速度差异巨大,而这很可能成为未来几年行业格局变化的重要变量。 以太坊跑在了最前面。 2026 年 1 月,以太坊基金会做出了一项具有标志性意义的决策:将后量子安全列为「最高战略优先事项」 ,并宣布成立专门的后量子(PQ)安全团队。 这个团队由以太坊基金会的密码工程师 Thomas Coratger 领导,成员包括密码学家和工程师,正在通过开发网络(devnets)测试量子安全系统。以太坊基金会还为此投入了总计约 200 万美元的资金,其中 100 万美元用于改进 Poseidon 哈希函数,另外 100 万美元支持更广泛的后量子研究。 根据以太坊研究员 Justin Drake 的表述,经过多年的低调研发,以太坊基金会管理层已正式将后量子安全从抽象的研究课题提升为核心战略重点。多客户端后量子共识开发网络已经上线,多个团队正通过每周兼容性会议参与并协同推进。由以太坊研究员 Antonio Sanso 牵头、为后量子交易设置的双周开发者会议也已启动。 以太坊计划在 2026 年 3 月 ETHCC 大会前举办「后量子日」,并在 2026 年 10 月举办更大规模的后量子活动,展示进展并规划后续步骤。 交易所方面,Coinbase 的行动同样迅速。 2026 年 1 月,Coinbase 披露已成立独立量子咨询委员会,成员包括量子计算领域的顶尖学者 Scott Aaronson、密码学家 Dan Boneh,以及来自以太坊基金会和区块链安全领域的多位专家。委员会将评估量子计算进展对包括以太坊在内的主要网络安全的密码学影响,并为开发者、机构及用户发布公开研究和指导文件。首份立场文件预计于 2027 年初发布。 Coinbase 还发布了三支柱后量子安全路线图,涵盖产品升级、强化内部密钥管理,以及长期密码学研究——例如整合后量子签名方案与安全的多方计算。CEO Brian Armstrong 强调安全是 Coinbase 的首要任务,并敦促在量子硬件成熟前及早准备。 另一条主流公链这边,情况则要复杂得多。 一份首次将量子抗性正式列入长期技术路线图的提案,通过引入 Pay-to-Merkle-Root 脚本,移除了 Taproot 中的密钥路径支出选项,从而最大限度地减少椭圆曲线公钥的暴露风险。但这本质上是一个谨慎而渐进的更新,而非彻底的加密系统大修。它不升级现有的 UTXO,也不将 ECDSA/Schnorr 签名替换为后量子替代方案。该提案的共同作者指出,它收到的评论数量已超过该改进提案历史上的任何其他提案。这种社区参与的深度本身是该网络的韧性所在,但也意味着共识的形成极其缓慢。 在量子危机面前,速度本身就是一种安全。 四、升级之路的三重考验:为什么迁移如此困难? 即便有了标准、有了团队、有了路线图,从 ECDSA 迁移到 PQC 的过程仍然布满技术陷阱。这不是一次简单的软件升级,而是对底层密码学基础设施的彻底重构。 第一重考验是兼容性。当前主流的后量子签名算法(如 ML-DSA)生成的签名长度远大于 ECDSA——从 32 字节膨胀到上千字节。这个差异直接影响区块空间、Gas 模型和网络吞吐量。在以太坊上,这意味着每个区块能容纳的交易数量大幅下降;在其他网络中,这意味着区块大小的争议将被重新点燃。 密码学没有永久的盾,只有不断升级的矛与盾。 第二重考验是旧资产保护。已经存在于旧地址中的 UTXO 或账户如何迁移?一个简单的答案是:让用户主动将资产转移到新的 PQC 地址。但问题是,那些长期未动的地址——包括大量丢失私钥的沉睡地址、早期矿工地址,以及某些创始人的地址——将永远无法完成迁移。这些「幽灵资产」一旦被量子计算机攻破,就可能在市场上被集中抛售,引发灾难性的价格崩塌。 第三重考验是治理。后量子迁移几乎必然涉及硬分叉。而硬分叉在加密世界里从来不只是技术问题,更是政治问题。当一条链分裂成两条——一条升级了 PQC、一条保留原始密码体系——算力、社区、流动性将如何分配?历史已经给出了警示。 技术路径的讨论也在持续进行。除了直接的 PQC 迁移,开发者还提出了「沙漏」机制等替代方案——逐步限制公钥已暴露地址的支出权限,在不强制迁移的情况下降低系统性风险。这些方案各有优劣,但都需要时间验证和社区共识。 一座大桥的改建,不能在通车的同时拆掉桥墩。迁移必须分阶段、可验证、有回退机制。 五、你的资产安全窗口正在关闭——行动清单 面对这场正在逼近的危机,加密资产持有者该怎么办? 不要恐慌抛售。量子攻击尚未成为现实威胁。正如 Galaxy Digital 研究主管 Alex Thorn 所说,投资者不应将这一长期技术挑战误判为立即规避的理由。但「不恐慌」不等于「不行动」。 你需要了解风险分级。在量子威胁面前,不同类型的地址面临不同级别的风险。最危险的是长期未动的老旧地址,尤其是 2019 年之前创建的地址,以及那些重复使用公钥的地址(如部分交易所的提现地址)。普通钱包地址的风险相对较低——如果你的地址从未花费过资产(即公钥未公开),量子计算机目前无法对其进行攻击。当前风险最低的是那些已迁移至 PQC 协议的地址,但这样的协议在主流公链上几乎还不存在。 在安全这件事上,被动等待就是主动冒险。 你可以采取的具体行动包括:分散存储,将大额资产分散到多个地址,降低单点破解的影响;关注迁移信号,优先选择明确发布 PQC 路线图的交易所和钱包,Coinbase 已经走在了前面;对于极度厌恶风险的人,可以考虑将部分资产转换为抗量子路线图明确的项目,但需要清醒认识到——目前还没有任何经过实战验证的 PQC 区块链产品。 不要相信任何声称「已经抗量子」的代币营销。这仍然是一个在实验室和测试网中不断验证的领域。 Galaxy Digital 的 Thorn 给出了一句值得记住的判断:\*\*量子风险应该被监控,但不应该被用作全面规避的借口。\*\*用 ARK Invest 的话来说,量子计算的威胁并非一个突然降临的「奇点」,而是一个可被追踪、分阶段演进的渐进过程。 Ark Invest 与 Unchained 在 2026 年 3 月联合发布的一份报告中,通过构建一个五阶段框架,为市场理解这一长期风险提供了结构化的分析工具,并明确指出在当前这个时间点,所谓的「Q-Day」并不构成紧迫威胁。该报告同时指出,数以百万计的加密资产可能已永久丢失,而许多其他资产可以在技术威胁出现时迁移到更安全的地址——前提是,社区已经开始行动。 你的安全窗口不会一直开着。它正在关闭,一天比一天窄。 量子危机让我们意识到,区块链的真正挑战不是性能,不是扩容,而是——它是否能够真正成为人类文明的信任基础设施。当密码学可以被量子计算机瓦解,唯一可信的,是那些经过压力测试的治理机制。 六、从「技术玩具」到「制度级基础设施」:一场不得不经历的成人礼 历史学家有一种说法:人类总是高估技术的短期影响,而低估技术的长期影响。 加密行业对量子计算的态度,恰好反过来。它低估了量子威胁的短期紧迫性,也低估了迁移本身的长期复杂度。 但如果我们把目光拉长,会发现一个更有趣的结论:量子危机不是终结,而是一场成人礼。 海德格尔曾追问技术的本质,认为现代技术是一种「座架」,它将万物包括人自身都纳入一种可计算、可操控的秩序。加密资产诞生的初衷,恰恰是要反抗这种座架——创造一个不受任何中心力量操控的价值网络。然而讽刺的是,量子计算机作为一种极致的技术力量,正在从外部威胁这个网络的数学根基。 要应对这种威胁,加密世界必须完成自我迭代。它将不再是那个「代码即法律」的极客乌托邦,而必须进化为一个能够主动管理密码学风险、具备治理弹性、接受外部审计的制度级基础设施。 这需要完成三次根本性的升级。 第一次是密码学韧性的升级。未来的区块链将不得不拥抱可替换、可升级的密码学框架,不再把签名算法写死在共识层。这意味着从「一次性设计」走向「可进化架构」。 第二次是治理成熟度的升级。硬分叉将不再只是扩容之争或社区内斗,而是涉及国家安全级的「基础设施升级」。这需要更透明的决策机制、更广泛的利益相关方参与,以及更严格的时间表管理。 第三次是用户意识的升级。从「Not your keys, not your coins」进阶为「Your keys can be cracked — prepare for migration」。用户将像今天管理密码一样,定期检查自己的地址是否暴露在量子风险中,并主动执行迁移。 量子危机是一面镜子,照出了加密世界的不成熟,也照出了它走向成熟的唯一路径。 加缪在《夏天集》中写道:「在隆冬,我终于知道,我身上有一个不可战胜的夏天。」 量子计算的冬天正在逼近,但加密世界的夏天——那个经过压力测试、淬火重生的制度级基础设施——也正在这场危机中孕育。 那杯咖啡还没有完全变凉。 现在,就是行动的第一天。
量子危机逼近区块链:你的加密资产,正在被「未来」破解
撰文:Web4 研究中心
「未来已来,只是分布不均。」——威廉·吉布森
九分钟,足够一杯咖啡变凉,也足够一台量子计算机破解你的加密资产私钥。
想象一个这样的场景。
你刚刚发起了一笔转账,确认了地址,按下了发送。在接下来的十分钟里,这笔交易静静躺在内存池中,等待矿工打包。你觉得很安全——毕竟,椭圆曲线密码学(ECC)已经保护了这个世界最值钱的数字资产十几年,从未出过差错。
但你不知道的是,在地球某个角落的一台量子计算机,已经锁定了你的交易。它在链上捕捉到了你的公钥,然后,九分钟——比主流加密资产的平均出块时间还快——你的私钥被推导出来,你的资金被转移到了一个你不知道的地址。
这不是科幻小说的情节,不是好莱坞的剧本。
这是 2026 年 3 月 31 日,谷歌量子 AI 团队在其官方技术博文中白纸黑字写下的研究结论。
根据谷歌发布的研究数据,在攻击方事先进行部分预先计算的理论模型下,一台足够先进的量子计算机仅需约 9 分钟就能破解一枚加密资产私钥,而主流加密资产的平均出块时间是 10 分钟。这意味着,在一笔交易等待被打包的那个时间窗口里,攻击者有约 41%的概率成功拦截并篡改这笔交易。
谷歌的研究同时指出,攻击者可能仅需不到约 50 万个量子比特,就有机会对现有加密算法发动有效攻击;而在拥有约 1,200 至 1,450 个高质量量子比特的条件下,某些类型的实际攻击在理论上便有了实施空间。这一数字明显低于过去业界长期引用的「需要数百万量子比特」的门槛。
这便是「量子信任危机」——一个隐藏在算力进化曲线背后的、正在倒计时的系统性风险。 它不针对某一条链、某一个协议,而是指向整个依赖椭圆曲线密码学的数字资产世界。信任一旦被量子计算机从数学根基上瓦解,加密资产的核心价值主张——「无需信任的确定性」——将不复存在。
更重要的是,谷歌在这篇博文中给出了一个前所未有的硬性时间表:2029 年之前,必须完成抗量子密码(PQC)迁移。这不是建议,不是预测,而是工程意义上的截止日期。谷歌同时宣布,已与 Coinbase、斯坦福区块链研究中心、以太坊基金会等机构合作,共同推进这场可能是加密世界诞生以来最深刻的底层安全变革。
博文中有一句话格外刺眼——「行动紧迫性正在日益增加」。
这句话不是危言耸听。你的加密资产安全窗口,正在以肉眼可见的速度关闭。
量子危机不是加密世界的终点,而是它的成人礼——它逼着行业从「技术玩具」走向「制度级基础设施」。
一、ECDLP-256 的「阿喀琉斯之踵」:为什么量子计算机能轻松撕开它?
要理解这场危机的本质,需要先弄明白一个基本问题:量子计算机凭什么能破解现有的加密密码体系?
目前,包括以太坊和大多数主流公链在内,依赖的是椭圆曲线数字签名算法(ECDSA)及其底层协议 ECDLP-256。这套体系的数学基础是椭圆曲线离散对数问题——用传统计算机求解,需要天文数字级别的时间。
你可以把它想象成一道极难的数学题。传统计算机只能一个一个试答案,试到宇宙毁灭也试不出来。但量子计算机运行 Shor 算法时,解题方式完全不同。它不是「枚举」答案,而是利用量子叠加态的并行计算能力,从根本上改变了问题的求解复杂度。
事实上,量子攻击的主要威胁对象是公钥密码体系,而非哈希算法。Grover 算法在哈希函数上仅提供二次加速,并非指数级加速,因此哈希部分相对安全。真正的风险,在于公钥暴露的那一刻。
公钥暴露的那一刻,就是量子攻击的起点。
谷歌的研究报告揭示了两个关键发现,值得每一个加密资产持有者认真对待。
第一,破解门槛比想象的低得多。过去业界普遍认为,至少需要数百万量子比特才能威胁现有加密体系。但谷歌的估算将这个数字大幅下调——在特定攻击场景下,约 1,200 到 1,450 个高质量量子比特就可能构成实质威胁。这是量级上的差异。
第二,攻击窗口比想象的小得多。如前所述,在交易等待确认的十分钟内,量子计算机可能完成对公钥的破解。这意味着,即便你只是正常发起一笔交易,也可能在过程中被攻击——不是你的地址被盯上了,而是你的「这次操作」被盯上了。
Taproot 升级在这个问题上扮演了一个复杂角色。谷歌研究团队特别指出,Taproot 在提升交易效率和隐私的同时,在某些交易类型下会「预设」更早、更多地在链上曝光公钥信息,反而让原本受到较高保护的地址类型变得更容易在量子攻击场景下遭到锁定。
这不是危言耸听。根据谷歌研究的估算,目前已有约 690 万枚主流加密资产的公钥在链上完全曝光,约占总供给量的三分之一。其中包含早期挖矿所得的约 170 万枚。另一份来自 ARK Invest 与 Unchained 联合发布的报告给出了相近的数据,显示约 35%的供应量处于潜在量子威胁风险之中。
Galaxy Digital 研究主管 Alex Thorn 则指出,当前风险主要局限于链上已暴露公钥的特定地址,包括复用地址、部分托管机构持有的地址及旧版地址格式中的资产。安全机构 Project Eleven 的分析显示,约 700 万枚(按近期价格约合 4700 亿美元)处于此类「长期暴露」状态。
这些数字背后,是真金白银。
真正危险的,不是量子计算本身,而是整个行业在假装这个问题不存在。
二、2029 年:不是「遥远的目标」,而是硬截止日期
时间是这个故事里最残酷的变量。
2029 年不是「遥远的未来」,而是硬截止日期——你的加密资产安全窗口正在关闭。
为什么是 2029 年?谷歌的路线图并非凭空捏造。过去两年,量子硬件的进展速度超出了很多人的预期。
2024 年 12 月,谷歌推出了 105 量子比特的 Willow 量子芯片,能够在不到五分钟内完成一项传统超级计算机需要约 1,025 年才能完成的标准基准计算。更关键的是,Willow 实现了「低于阈值」的量子计算——当更多量子比特被添加到系统中时,错误率反而呈指数级下降,这在量子纠错领域是一个里程碑式的突破。
随后,IBM、PsiQuantum 等主要玩家也陆续发布了各自的硬件路线图,不约而同地将「千级逻辑量子比特」目标锁定在 2028 年至 2030 年区间。这些日期并非巧合——整个行业正在同步逼近一个临界点。
但谷歌给出的 2029 年,指的并不是「量子计算机将在这一年破解加密资产」。谷歌的意思是:它计划在 2029 年之前,将自己的基础设施全部迁移到后量子密码体系。换句话说,2029 年不是威胁到来的时间,而是安全窗口关闭的时间。
为什么这个截止日期对加密世界如此重要?
因为一次主流公链的硬分叉,从提案到社区讨论,再到测试网部署和主网激活,通常需要 18 到 24 个月。从本文发布到 2029 年,剩余约 34 个月。 这意味着,几乎没有试错的空间。
如果某条主流公链在 2027 年底之前仍未在测试网上启动 PQC 迁移,那么 2029 年的截止日期将几乎不可能按时完成。对于那些将「不可更改」奉为圭臬的公链来说,这个时间表尤其残酷。
Nic Carter 对此发表了尖锐的批评。Castle Island Ventures 的这位创始合伙人公开指责部分开发者长期忽视量子相关提案,采取「否认、煤气灯效应、设置门槛、鸵鸟心态」等态度。他指出,目前广泛应用的椭圆曲线密码学「即将过时,这只是时间问题」。无论是 3 年还是 10 年,它都已经过时了。唯一的问题是,开发者要多快意识到,他们需要在网络中内建加密可变性。
这场争论正在将加密世界撕裂成两个阵营:一个积极布局、将后量子安全列为「最高战略优先级」;另一个则在漫长而痛苦的共识拉锯中缓慢前行。
慢,在这个时间窗口里,是最昂贵的成本。
三、谁在行动?谁在观望?——行业分化进行时
面对量子威胁,不同公链的反应速度差异巨大,而这很可能成为未来几年行业格局变化的重要变量。
以太坊跑在了最前面。
2026 年 1 月,以太坊基金会做出了一项具有标志性意义的决策:将后量子安全列为「最高战略优先事项」 ,并宣布成立专门的后量子(PQ)安全团队。
这个团队由以太坊基金会的密码工程师 Thomas Coratger 领导,成员包括密码学家和工程师,正在通过开发网络(devnets)测试量子安全系统。以太坊基金会还为此投入了总计约 200 万美元的资金,其中 100 万美元用于改进 Poseidon 哈希函数,另外 100 万美元支持更广泛的后量子研究。
根据以太坊研究员 Justin Drake 的表述,经过多年的低调研发,以太坊基金会管理层已正式将后量子安全从抽象的研究课题提升为核心战略重点。多客户端后量子共识开发网络已经上线,多个团队正通过每周兼容性会议参与并协同推进。由以太坊研究员 Antonio Sanso 牵头、为后量子交易设置的双周开发者会议也已启动。
以太坊计划在 2026 年 3 月 ETHCC 大会前举办「后量子日」,并在 2026 年 10 月举办更大规模的后量子活动,展示进展并规划后续步骤。
交易所方面,Coinbase 的行动同样迅速。
2026 年 1 月,Coinbase 披露已成立独立量子咨询委员会,成员包括量子计算领域的顶尖学者 Scott Aaronson、密码学家 Dan Boneh,以及来自以太坊基金会和区块链安全领域的多位专家。委员会将评估量子计算进展对包括以太坊在内的主要网络安全的密码学影响,并为开发者、机构及用户发布公开研究和指导文件。首份立场文件预计于 2027 年初发布。
Coinbase 还发布了三支柱后量子安全路线图,涵盖产品升级、强化内部密钥管理,以及长期密码学研究——例如整合后量子签名方案与安全的多方计算。CEO Brian Armstrong 强调安全是 Coinbase 的首要任务,并敦促在量子硬件成熟前及早准备。
另一条主流公链这边,情况则要复杂得多。
一份首次将量子抗性正式列入长期技术路线图的提案,通过引入 Pay-to-Merkle-Root 脚本,移除了 Taproot 中的密钥路径支出选项,从而最大限度地减少椭圆曲线公钥的暴露风险。但这本质上是一个谨慎而渐进的更新,而非彻底的加密系统大修。它不升级现有的 UTXO,也不将 ECDSA/Schnorr 签名替换为后量子替代方案。该提案的共同作者指出,它收到的评论数量已超过该改进提案历史上的任何其他提案。这种社区参与的深度本身是该网络的韧性所在,但也意味着共识的形成极其缓慢。
在量子危机面前,速度本身就是一种安全。
四、升级之路的三重考验:为什么迁移如此困难?
即便有了标准、有了团队、有了路线图,从 ECDSA 迁移到 PQC 的过程仍然布满技术陷阱。这不是一次简单的软件升级,而是对底层密码学基础设施的彻底重构。
第一重考验是兼容性。当前主流的后量子签名算法(如 ML-DSA)生成的签名长度远大于 ECDSA——从 32 字节膨胀到上千字节。这个差异直接影响区块空间、Gas 模型和网络吞吐量。在以太坊上,这意味着每个区块能容纳的交易数量大幅下降;在其他网络中,这意味着区块大小的争议将被重新点燃。
密码学没有永久的盾,只有不断升级的矛与盾。
第二重考验是旧资产保护。已经存在于旧地址中的 UTXO 或账户如何迁移?一个简单的答案是:让用户主动将资产转移到新的 PQC 地址。但问题是,那些长期未动的地址——包括大量丢失私钥的沉睡地址、早期矿工地址,以及某些创始人的地址——将永远无法完成迁移。这些「幽灵资产」一旦被量子计算机攻破,就可能在市场上被集中抛售,引发灾难性的价格崩塌。
第三重考验是治理。后量子迁移几乎必然涉及硬分叉。而硬分叉在加密世界里从来不只是技术问题,更是政治问题。当一条链分裂成两条——一条升级了 PQC、一条保留原始密码体系——算力、社区、流动性将如何分配?历史已经给出了警示。
技术路径的讨论也在持续进行。除了直接的 PQC 迁移,开发者还提出了「沙漏」机制等替代方案——逐步限制公钥已暴露地址的支出权限,在不强制迁移的情况下降低系统性风险。这些方案各有优劣,但都需要时间验证和社区共识。
一座大桥的改建,不能在通车的同时拆掉桥墩。迁移必须分阶段、可验证、有回退机制。
五、你的资产安全窗口正在关闭——行动清单
面对这场正在逼近的危机,加密资产持有者该怎么办?
不要恐慌抛售。量子攻击尚未成为现实威胁。正如 Galaxy Digital 研究主管 Alex Thorn 所说,投资者不应将这一长期技术挑战误判为立即规避的理由。但「不恐慌」不等于「不行动」。
你需要了解风险分级。在量子威胁面前,不同类型的地址面临不同级别的风险。最危险的是长期未动的老旧地址,尤其是 2019 年之前创建的地址,以及那些重复使用公钥的地址(如部分交易所的提现地址)。普通钱包地址的风险相对较低——如果你的地址从未花费过资产(即公钥未公开),量子计算机目前无法对其进行攻击。当前风险最低的是那些已迁移至 PQC 协议的地址,但这样的协议在主流公链上几乎还不存在。
在安全这件事上,被动等待就是主动冒险。
你可以采取的具体行动包括:分散存储,将大额资产分散到多个地址,降低单点破解的影响;关注迁移信号,优先选择明确发布 PQC 路线图的交易所和钱包,Coinbase 已经走在了前面;对于极度厌恶风险的人,可以考虑将部分资产转换为抗量子路线图明确的项目,但需要清醒认识到——目前还没有任何经过实战验证的 PQC 区块链产品。
不要相信任何声称「已经抗量子」的代币营销。这仍然是一个在实验室和测试网中不断验证的领域。
Galaxy Digital 的 Thorn 给出了一句值得记住的判断:**量子风险应该被监控,但不应该被用作全面规避的借口。**用 ARK Invest 的话来说,量子计算的威胁并非一个突然降临的「奇点」,而是一个可被追踪、分阶段演进的渐进过程。
Ark Invest 与 Unchained 在 2026 年 3 月联合发布的一份报告中,通过构建一个五阶段框架,为市场理解这一长期风险提供了结构化的分析工具,并明确指出在当前这个时间点,所谓的「Q-Day」并不构成紧迫威胁。该报告同时指出,数以百万计的加密资产可能已永久丢失,而许多其他资产可以在技术威胁出现时迁移到更安全的地址——前提是,社区已经开始行动。
你的安全窗口不会一直开着。它正在关闭,一天比一天窄。
量子危机让我们意识到,区块链的真正挑战不是性能,不是扩容,而是——它是否能够真正成为人类文明的信任基础设施。当密码学可以被量子计算机瓦解,唯一可信的,是那些经过压力测试的治理机制。
六、从「技术玩具」到「制度级基础设施」:一场不得不经历的成人礼
历史学家有一种说法:人类总是高估技术的短期影响,而低估技术的长期影响。
加密行业对量子计算的态度,恰好反过来。它低估了量子威胁的短期紧迫性,也低估了迁移本身的长期复杂度。
但如果我们把目光拉长,会发现一个更有趣的结论:量子危机不是终结,而是一场成人礼。
海德格尔曾追问技术的本质,认为现代技术是一种「座架」,它将万物包括人自身都纳入一种可计算、可操控的秩序。加密资产诞生的初衷,恰恰是要反抗这种座架——创造一个不受任何中心力量操控的价值网络。然而讽刺的是,量子计算机作为一种极致的技术力量,正在从外部威胁这个网络的数学根基。
要应对这种威胁,加密世界必须完成自我迭代。它将不再是那个「代码即法律」的极客乌托邦,而必须进化为一个能够主动管理密码学风险、具备治理弹性、接受外部审计的制度级基础设施。
这需要完成三次根本性的升级。
第一次是密码学韧性的升级。未来的区块链将不得不拥抱可替换、可升级的密码学框架,不再把签名算法写死在共识层。这意味着从「一次性设计」走向「可进化架构」。
第二次是治理成熟度的升级。硬分叉将不再只是扩容之争或社区内斗,而是涉及国家安全级的「基础设施升级」。这需要更透明的决策机制、更广泛的利益相关方参与,以及更严格的时间表管理。
第三次是用户意识的升级。从「Not your keys, not your coins」进阶为「Your keys can be cracked — prepare for migration」。用户将像今天管理密码一样,定期检查自己的地址是否暴露在量子风险中,并主动执行迁移。
量子危机是一面镜子,照出了加密世界的不成熟,也照出了它走向成熟的唯一路径。
加缪在《夏天集》中写道:「在隆冬,我终于知道,我身上有一个不可战胜的夏天。」
量子计算的冬天正在逼近,但加密世界的夏天——那个经过压力测试、淬火重生的制度级基础设施——也正在这场危机中孕育。
那杯咖啡还没有完全变凉。
现在,就是行动的第一天。