為何維塔利克相信量子計算可能比預期更早破解以太坊的加密技術
維塔利克·布特林(Vitalik Buterin)警告,量子計算機可能會比預期更快地威脅到以太坊的加密技術,並概述了網絡如何安全地做好準備。
關鍵要點
* 布特林認為,量子計算機在2030年前有20%的機會能夠破解當前的加密技術,他主張以太坊應該開始為此做好準備。
* 一個關鍵風險涉及到ECDSA。一旦公鑰在區塊鏈上可見,未來的量子計算機理論上可以利用它來恢復相應的私鑰。
* 布特林的量子緊急計劃包括回滾區塊、凍結外部擁有賬戶(EOA)以及將資金轉移到量子抗性智能合約錢包中。
* 緩解措施包括智能合約錢包、NIST認可的後量子簽名和能夠在不造成混亂的情況下更換方案的加密靈活基礎設施。
在2025年底,以太坊的聯合創始人維塔利克·布特林做了一件不尋常的事情。他對一個通常以科幻術語討論的風險給出了具體的數字。
根據預測平台Metaculus,布特林表示,量子計算機在2030年前能夠破解當今的加密技術的機會約為20%,而中位數預測更接近2040年。幾個月後,在布宜諾斯艾利斯的Devconnect上,他警告說,作為以太坊和比特幣基礎的橢圓曲線加密技術“可能在2028年美國總統選舉之前就會被破解”。他還敦促以太坊在大約四年內轉向量子抗性基礎。
根據他的說法,在2020年代出現與加密技術相關的量子計算機的可能性不容小覷;如果是這樣,這一風險應該被納入以太坊的研究路線圖,而不應被視為遙遠未來的問題。
為何量子計算對以太坊的加密技術構成威脅
以太坊的安全性主要依賴於橢圓曲線離散對數(ECDLP)方程,這是橢圓曲線數字簽名算法(ECDSA)的基礎。以太坊使用secp256k1橢圓曲線進行這些簽名。簡單來說:
* 你的私鑰是一個大的隨機數。
* 你的公鑰是從該私鑰派生的曲線上的一個點。
* 你的地址是該公鑰的哈希值。
在傳統硬件上,從私鑰到公鑰的過程相對簡單,但反向推導被認為是計算上不可行的。這種不對稱性使得256位的密鑰被視為實際上無法猜測。
量子計算威脅到了這種不對稱性。1994年提出的Shor算法顯示,足夠強大的量子計算機可以在多項式時間內解決離散對數方程和相關的因式分解方程,這將破壞像RSA、Diffie-Hellman和ECDSA這樣的加密方案。
互聯網工程任務組和美國國家標準與技術研究所(NIST)都認識到,傳統的橢圓曲線系統在存在具有加密相關性的量子計算機(CRQC)時將會變得脆弱。
布特林關於潛在量子緊急情況的以太坊研究文章突顯了以太坊的一個關鍵細微之處。如果你從未從某個地址進行過交易,那麼在區塊鏈上只能看到你的公鑰的哈希值,這仍然被認為是量子安全的。一旦你發送交易,你的公鑰就會被揭露,這使得未來的量子攻擊者能夠獲得恢復你的私鑰所需的原材料,並清空該賬戶。
因此,核心風險並不是量子計算機破解Keccak或以太坊的數據結構;而是未來的機器可能針對任何曾經暴露過公鑰的地址進行攻擊,這涵蓋了大多數用戶錢包和許多智能合約的資金庫。
布特林的言論及其風險框架
布特林最近的評論有兩個主要部分。
首先是概率估計。他沒有自己猜測,而是引用了Metaculus的預測,將量子計算機能夠破解當今公共密鑰加密的機會約為五分之一,並將中位數情境放在2040年左右。他的論點是,即使這種尾部風險也足夠高,值得以太坊提前做好準備。
其次是2028年的框架。在Devconnect上,他告訴觀眾“橢圓曲線將會消亡”,引用了研究表明,在2028年美國總統選舉之前,對256位橢圓曲線的量子攻擊可能變得可行。一些報導將此壓縮為“以太坊只有四年時間”,但他的訊息更為微妙:
* 當前的量子計算機無法攻擊今天的以太坊或比特幣。
* 一旦CRQC存在,ECDSA和相關系統將變得結構上不安全。
* 將全球網絡遷移到後量子方案需要數年時間,因此等待明顯的危險本身就是一種風險。
換句話說,他的思考方式更像是一位安全工程師。你不會因為未來十年有20%的機會發生大地震而撤離一座城市,但你會在還有時間的時候加固橋樑。
量子緊急情況硬分叉計劃的內部運作
在這些最近的公開警告之前,布特林早在2024年就已經在一篇以太坊研究文章中描述了“如何在量子緊急情況下進行硬分叉以保護大多數用戶的資金”。該文章勾勒了如果突然出現量子突破,生態系統將如何應對。
想像一下,公眾宣佈大規模量子計算機已經上線,攻擊者已經開始清空使用ECDSA保護的錢包。那麼該怎麼辦?
### 偵測攻擊並回滾
以太坊將把鏈回滾到在大規模量子盜竊明顯可見之前的最後一個區塊。
### 禁用傳統EOA交易
使用ECDSA的傳統外部擁有賬戶(EOA)將被凍結,這將切斷通過暴露的公鑰進一步盜竊的可能性。
### 通過智能合約錢包進行所有交易
一種新的交易類型將允許用戶通過零知識STARK證明他們控制原始種子或派生路徑——例如,對於脆弱地址的比特幣改進提案(BIP)32 HD錢包預映像。
這一證明還將指定一個新的驗證代碼,用於量子抗性的智能合約錢包。一旦驗證,資金的控制權將轉移到該合約,從那時起可以強制執行後量子簽名。
### 批量證明以提高氣體效率
由於STARK證明的大小,設計預期將其批量處理。聚合器提交證明的捆綁,這樣可以讓許多用戶同時移動,同時保持每個用戶的秘密預映像的私密性。
至關重要的是,這被定位為最後的恢復工具,而不是計劃A。布特林的論點是,為這種分叉所需的許多協議基礎設施,包括賬戶抽象、強大的ZK證明系統和標準化的量子安全簽名方案,應該可以並且應該被提前建立。
從這個意義上說,量子緊急準備工作成為以太坊基礎設施的設計要求,而不僅僅是一個有趣的思想實驗。
專家對時間表的看法
如果布特林依賴於公共預測,那麼硬件和加密專家實際上是怎麼說的呢?
在硬件方面,谷歌在2024年底推出的Willow芯片是迄今為止最先進的公共量子處理器之一,擁有105個物理量子位和能在特定基準上超越傳統超級計算機的錯誤更正邏輯量子位。
然而,谷歌的量子AI主管明確表示,“Willow芯片無法破解現代加密技術”。他估計,破解RSA需要數百萬個物理量子位,並且至少還需要10年的時間。
學術資源也指向同一方向。一項廣泛引用的分析發現,使用表面碼保護的量子位在一小時內破解256位橢圓曲線加密需要數千萬到數億個物理量子位,這遠超當前的可用數量。
在加密方面,NIST和麻省理工學院等學術團體多年來一直警告,一旦出現具有加密相關性的量子計算機,它們將破解幾乎所有廣泛部署的公共密鑰系統,包括RSA、Diffie-Hellman、橢圓曲線Diffie-Hellman和ECDSA,這是通過Shor算法實現的。這適用於回顧性,即通過解密已獲取的流量,以及前瞻性,即偽造簽名。
這就是為什麼NIST花了近十年的時間進行其後量子加密競賽,並在2024年最終確定了首三項PQC標準:ML-KEM(密鑰封裝)和ML-DSA及SLH-DSA(簽名)。
目前尚無專家對精確的“量子日”達成共識。大多數估計都在10到20年的窗口內,儘管一些最近的研究探討了在激進假設下,對橢圓曲線的容錯攻擊可能在2020年代末變得可行的樂觀情境。
美國白宮和NIST等政策機構對此風險非常重視,正在推動聯邦系統在2030年代中期轉向PQC,這意味著在那個時間範圍內出現具有加密相關性的量子計算機的機會不容小覷。
從這個角度看,布特林的“2030年前20%的機會”和“可能在2028年前”框架是更廣泛風險評估的一部分,真正的訊息是不確定性加上長期遷移的時間,而不是暗示一台破解機器今天就在線上。
如果量子進展加速,以太坊需要改變什麼
在協議和錢包方面,幾個線索已經開始交匯:
### 賬戶抽象和智能合約錢包
將用戶從裸EOA轉移到可升級的智能合約錢包,通過ERC-4337風格的賬戶抽象,使得將來更換簽名方案變得更容易,而無需緊急硬分叉。一些項目已經在以太坊上演示了基於Lamport或擴展梅克爾簽名方案(XMSS)的量子抗性錢包。
### 後量子簽名方案
以太坊需要選擇(並進行戰鬥測試)一個或多個PQC簽名家族(可能來自NIST的ML-DSA/SLH-DSA或基於哈希的結構),並在密鑰大小、簽名大小、驗證成本和智能合約集成方面進行權衡。
### 其餘堆棧的加密靈活性
橢圓曲線不僅用於用戶密鑰。BLS簽名、KZG承諾和一些rollup證明系統也依賴於離散對數的難度。一個認真的量子抗性路線圖需要為這些基礎構建塊提供替代方案。
在社會和治理方面,布特林的量子緊急分叉提案提醒我們,任何真正的應對措施都需要大量協調。即使擁有完美的加密技術,回滾區塊、凍結舊賬戶或強制大規模密鑰遷移都將在政治和操作上引發爭議。這就是為什麼他和其他研究人員主張:
* 建立可以自動觸發遷移規則的殺死開關或量子“金絲雀”機制,一旦某個較小的故意脆弱測試資產被證明被破解。
* 將後量子遷移視為一個逐步的選擇性過程,讓用戶可以在任何可信攻擊之前就採用,而不是最後一刻的混亂。
對於個人和機構來說,近期的檢查清單更簡單:
* 優先考慮可以升級其加密技術的錢包和保管設置,而無需完全轉移到全新的地址。
* 避免不必要的地址重用,以減少在區塊鏈上暴露的公鑰數量。
* 跟踪以太坊最終的後量子簽名選擇,並在穩健的工具可用時準備遷移。
量子風險應被視為工程師對待洪水或地震的方式。它不太可能在今年摧毀你的房子,但在長期內的可能性足夠高,因此設計基礎時應考慮到這一點。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🎨 Nano Banana Pro 圖像生成器|打幾句說話就出圖
想畫人像、產品圖、插畫?SSFuture 圖像生成器支援 Flux 同 Gemini Nano Banana Pro 改圖 / 合成, 打廣東話都得,仲可以沿用上一張圖繼續微調。
