区块链量子风险实用指南

OpenZeppelin 发布于 2026-04-29 阅读 239

文章深入探讨了量子计算对当前区块链加密体系(如ECDSA)的威胁。核心风险在于“现在收集,以后解密”(HNDL),即攻击者可先存储公开的公钥数据,待量子计算机成熟后破解。研究显示,破解256位椭圆曲线所需的量子资源正在减少,且顶级智能合约的管理员权限也面临风险。目前NIST已发布ML-KEM等后量子加密(PQC)标准,比特币和以太坊正推进迁移方案。作者建议开发者应尽早进行加密资产普查,减少公钥暴露,并测试混合加密方案以应对长期的量子挑战。

大多数人认为他们的加密资产受到不可破解的数学保护。这种信心并非毫无根据。但任何密码系统的强度,都取决于试图破解它的人所拥有的计算能力。而这种能力正在发生变化。
这篇文章探讨的正是这种转变。量子计算的进展,意味着支撑现代密码学运行的基础假设正在发生渐进但实质性的变化,而这是金融基础设施无法忽视的。

1. 核心问题:今天的密码学并非面向未来

在比特币和以太坊等公有链上,交易使用椭圆曲线密码学(ECDSA)进行身份验证:私钥生成数字签名,对应的公钥负责验证。该模型的安全性建立在一个已维持数十年的基础假设之上,即解决椭圆曲线离散对数问题(ECDLP),从而由公钥推导出私钥,在计算上是不可行的。在经典计算机上,这一假设仍然成立;但在足够强大的量子计算机上(如果它出现的话),这一假设就不再成立。

Shor 算法提供了一种高效发现椭圆曲线底层数学结构的方法。理论上,未来的容错量子计算机能够足够快速地从公钥中恢复私钥,从而攻破当前系统。

Grover 算法为挖矿等暴力搜索问题提供了平方级加速。然而在实践中,这种加速会被量子纠错开销以及算法无法并行化的限制所抵消。根据 Google Quantum AI 及其合作者(其中包括来自以太坊基金会的 Justin Drake)的研究,这使得工作量证明共识机制依然难以被量子计算攻破。

美国国家标准与技术研究院 (NIST) 宣布,广泛使用的公钥系统(如 RSA 和 ECC)在后量子环境下存在脆弱性,这也是其已经敲定替代标准的原因。其含义明确且影响深远:链上钱包在今天仍然是安全的,但支撑这种安全性的假设存在一个有限的期限

2. 不安的现实:你的公钥通常已经暴露

许多用户认为,只要私钥不泄露,资金就是安全的。这只对了一半。在公有链上,一旦发起交易,公钥本身通常就已经暴露。

在比特币中,某些地址类型在历史上会直接暴露公钥。在以太坊中,公钥可以从交易签名中推导出来。两者的结果是一样的:形成了一个永久公开且可访问的记录,其中包含无法撤回的密码学材料。

这形成了一种非对称的风险结构。攻击者不需要实时攻破钱包,他们可以今天就收集区块链数据、提取公钥,然后等待。

估算结果会因方法不同而有所差异,但 Chaincode Labs 的分析表明,大约有 160 万到 170 万枚 BTC 处于明显暴露的遗留格式中;如果再计入地址复用和其他模式,更广泛的暴露规模可能达到数百万枚。此外,还有大量处于休眠状态的 BTC 资产,其中包括那些密钥很可能已经丢失或被弃置的账户。

相比精确数字,结构性现实更重要:暴露是永久的,而利用可以延后进行。

3. 真正的威胁模型:“现在收集,以后解密”

量子风险并不只是面向未来的担忧。当前占主导地位的威胁模型被称为“现在收集,以后解密”(HNDL),其逻辑很直接:今天先收集暂时还无法破解的数据,等到具备必要的计算能力后再进行解密。

这一模型已经被诸如 美联储论文 等机构明确识别为系统性风险,并且也在 NIST 迁移指南 中有所讨论。

对区块链系统而言,其影响非常直接。历史交易、已暴露的公钥以及长期存在的金融数据,都已经可以被收集。一旦这些数据进入公共记录,时钟就开始计时。

4. 我们到底离得有多近?

量子计算正在多个方向上推进:量子硬件已从数十个物理操作量子位扩展到数百个;纠错正在小规模实验中得到验证;算法研究也降低了攻破经典系统所需的资源估算。尽管如此,要构建一台能够破解 256 位椭圆曲线签名方案的容错机器,仍然必须跨越关键的扩展鸿沟

剑桥替代金融中心(CCAF)报告Google 研究博客 都下调了破解常见区块链密码学所需的量子资源估算。CCAF 的分析表明,破解 RSA-2048 所需的逻辑量子位更少,并明确警告称,进展速度远快于此前预期,从而缩短了平稳过渡的窗口期。同样,Google Quantum AI 及其合作者 编译了针对 256 位椭圆曲线离散对数问题(ECDLP)的量子电路,并估计其可以在不到 50 万个物理量子位的超导量子计算机上于数分钟内运行。这大幅降低了对所需机器规模的估计,也凸显了采取行动的紧迫性。

根据 CCAF 报告,专家共识通常认为,密码学相关量子计算机(CRQC)还需要 10 到 20 年才会出现,尽管这是一个高度波动的预测。硬件扩展和算法突破都在持续压缩这一时间表。与此同时,进展并非线性的:一次关键突破可能会显著加速威胁到来,而顽固的工程障碍也同样可能推迟它。因此,在扩展方面仍然需要关键突破,而这种不确定性是双向存在的。考虑到与迁移到抗量子密码方案相比,风险一旦兑现将带来灾难性后果,因此等到一切都确定后再行动,只会让代价更高。

5. 进一步的影响:智能合约也在范围之内

Google Quantum AI 及其合作者 的漏洞评估并不局限于个人钱包。在按 ETH 余额排名的前 500 个智能合约中(总计约 250 万枚 ETH),该论文识别出大约 70 个合约,可能因其管理密钥而面临量子密钥推导风险。其分类标准很有代表性:如果合约的事件日志中包含 AdminChanged 或 Upgraded 事件(与 ERC-1967 代理标准一致),或包含 OpenZeppelin 的 Ownable 模式中的 OwnershipTransferred 事件,该合约就会被标记为易受攻击。

这些都是已在生产环境中广泛使用的行业标准智能合约原语。它们被纳入论文的漏洞分类,本身就是一个明确信号:量子风险影响的不只是个人密钥持有者,也包括链上金融基础设施。若管理密钥被大规模攻破,将影响生态系统中相当大一部分协议的治理、可升级性与资产托管。

6. 零知识证明系统:二阶暴露

零知识证明允许一方在不泄露背后秘密数据的前提下,证明某个陈述为真。它们被用于隐私系统(如 Zcash 屏蔽交易)以及扩容系统(如以太坊 zk-rollups)。许多生产环境中的 zkSNARK 系统依赖椭圆曲线或基于配对的密码学,而密码学相关量子计算机(CRQC)可能会对这些方案构成威胁。不过,也有一些生产系统,例如 Starknet 基于 STARK 的设计,采用了被认为更具抗量子性的哈希构造。在可信设置系统中,一个主要风险在于,CRQC 可能从公共参数中恢复设置秘密,例如 KZG 的“有毒废物”,并将其转化为可重复利用的后门。如果底层承诺的绑定性失效,SNARK 的健全性就可能失效,伪造证明也可能通过验证;在某些系统中,隐私还可能因其他量子破解方式而削弱。包括基于哈希和基于格的方法在内的后量子替代方案正在推进,因此,建立在量子易受影响的 ZK 原语之上的团队,未来很可能会面临迁移压力。

7. 好消息:替代方案已经存在

经过近十年的全球协作,NIST PQC 标准 于 2024 年 8 月敲定了首批后量子密码学(PQC)标准。其中包括用于密钥封装的 ML-KEM(FIPS 203)、用于数字签名的 ML-DSA(FIPS 204),以及作为哈希签名方案的 SLH-DSA(FIPS 205);后者作为 ML-DSA 的备选方案,提供了算法多样性。基于格的系统(ML-KEM、ML-DSA)依赖于 learning-with-errors 问题,目前尚无已知高效的量子攻击。SLH-DSA 则采取了完全不同的路径,使用基于哈希的构造,作为在格假设减弱时的后备方案。

NIST 还选定了另外两种算法继续推进标准化:Falcon,一种因签名紧凑而受到青睐的基于格的签名方案;以及 HQC,一种作为 ML-KEM 数学多样性备份而被选中的基于代码的密钥封装机制。

“抗量子”并不意味着无条件安全。它的含义是:根据当前的认知,对于这些构造,还不存在类似 Shor 或 Grover 的算法。

8. 迁移才是真正的瓶颈

要在全球范围内替换密码学基础设施,需要对那些在设计之初并未考虑密码学敏捷性的系统进行协调一致的转型。

去中心化的区块链环境进一步放大了这种复杂性。它们的不可篡改性意味着历史数据会被无限期保留;它们的治理结构要求在没有中心化权威的情况下达成广泛协调;它们的生态又依赖向后兼容。

不同网络正在以不同方式应对。以太坊 PQC 路线图 已开始围绕后量子迁移展开协调研究与公开路线图讨论。Binance Report on BIP-360 successfully 在合并了 BIP-360 的抗量子测试网络上成功执行了首笔交易,使其成为目前保护已暴露比特币地址的最先进活跃提案。

在更广泛的生态系统中,包括企业平台在内,已经有 PQC 实验 将 PQC 算法集成到测试环境中。总体趋势是一致的:迁移不是一次性的升级,而是一个会触及技术栈每一层、持续多年的过程。

9. 区块链之外:更广泛的金融服务领域

如果把量子风险仅仅视为区块链领域的小众问题,那将是一个错误。金融机构、监管者和基础设施提供商已经在为后量子转型做准备。

世界经济论坛(WEF)金融服务报告 估计,量子计算可为金融服务创造高达数千亿美元的价值,同时也会带来新的安全风险。NIST 迁移目标 则设定了一个广泛目标:到 2035 年前完成从量子易受攻击密码体系的迁移。

原因在于其系统性。金融基础设施是深度互联的,一个层面的漏洞不会被局限在局部,而是会向外传播。如果区块链系统被用于现实世界资产的结算、托管或代币化,那么它们就是这套基础设施的一部分。因此,它们的安全态势不仅是技术问题,更是金融系统层面的问题。

10. 今天应优先考虑什么

量子风险要求在有限时间窗口内做出操作层面的回应,而不是停留在关于不确定未来的理论争论上。

首先,要弄清楚密码学在你的系统中分布在哪里。盘点钱包、API、基础设施和智能合约中所有使用量子易受攻击公钥密码学的地方,例如 RSA、椭圆曲线方案(ECDSA、EdDSA、ECDH)、Diffie-Hellman,以及像 BLS 这样的基于配对的方案。尽可能减少不必要的暴露:避免地址复用;而在设计上无法避免公钥暴露的场景下(例如以太坊账户首次支出后),则应为未来可用的后量子格式预留密钥轮换或迁移方案。每一个暴露的公钥,都会成为未来量子对手可永久收集的攻击面。行为上的改变只能争取时间,真正持久的防护仍需要协议层面的后量子密码学迁移。

应尽早尝试混合方案,在测试环境中让后量子算法与现有 RSA/ECC 系统并行运行,以便在正式迁移到生产环境前建立密码学敏捷性。Linux 基金会的 Open Quantum Safe(OQS)项目正是为此提供原型库和协议集成,不过 OQS 也明确将其实现标记为研究级,而非生产就绪。

同时,持续关注生态系统的发展:以太坊的后量子 strawmap、比特币的 BIP-360 草案,以及 NIST 已敲定的 PQC 标准的落地进展,还有 Falcon 和 HQC 的持续标准化工作。

最后,直接向你的供应商提问。托管服务商、云平台和基础设施合作伙伴,应当能够清晰说明其后量子策略,例如采用哪些算法、时间表如何安排,以及在过渡期间如何处理混合部署。

总结

支撑链上安全的基础假设正在发生变化。最新研究表明,攻破椭圆曲线密码学所需的量子资源正在减少,这使得这一挑战正从理论上的不可能,转向现实中的工程问题。

这进一步验证了“现在收集,以后解密”这一威胁模型是一项长期负债:一旦密码学相关量子计算机出现,已经暴露的公钥、智能合约管理密钥以及协议层系统,都将面临未来被解密的永久性风险。

幸运的是,所需的解决方案已经存在。NIST 已经敲定了抗量子标准,而比特币 BIP-360 这样的具体迁移提案也已在推进之中。当前的重点在于有策略地推进落地采用。金融基础设施、协议和用户都应主动引入后量子密码学,将其作为长期风险管理中的关键一步,以确保平稳且安全的过渡。

常见问题解答

量子计算在今天是否对区块链安全构成真实威胁?

如果是作为一种可执行攻击,目前还不是,因为尚不存在能够攻破椭圆曲线密码学的量子计算机。但结构性风险已经开始形成。今天公有链上每一个暴露的公钥都会被永久记录,并且现在就可以被收集,等待未来密码学相关量子计算机(CRQC)出现后再进行解密。专家通常预测 CRQC 还需 10 到 20 年,但这一预测在两个方向上都存在波动。Google 最近的研究显示,所需量子资源正在显著下降,使这一门槛进一步逼近;与此同时,重大工程瓶颈——包括逻辑量子位错误率、物理量子位相干时间,以及扩展到数十万个物理量子位——在 CRQC 成为现实之前仍需解决。

什么是“现在收集,以后解密”威胁,为什么它对链上资产很重要?

“现在收集,以后解密”(HNDL)是指攻击者今天先收集密码学材料并保存起来,等到未来密码学相关量子计算机(CRQC)出现后再进行解密。在区块链中,历史交易中已暴露的公钥是主要的收集目标。由于交易记录是永久存在且公开可见的,这种威胁并不只是面向未来:目标数据现在就已经在链上。美联储研究人员和 NIST 都已将 HNDL 视为推动后量子迁移紧迫性的现实风险。

智能合约也面临风险吗,还是这只是钱包层面的担忧?

智能合约明确处于风险范围之内。Google 在 2026 年 3 月的研究指出,在按 ETH 余额排名的前 500 个智能合约中,大约有 70 个可能因其管理密钥而面临量子密钥推导风险,这些合约采用了包括 OpenZeppelin 的 Ownable 和 ERC-1967 代理标准在内的行业标准模式。一旦这些管理密钥被攻破,将影响链上金融基础设施中相当大一部分协议的治理、可升级性和资产托管。

后量子密码学标准是否已经存在,是否可以使用?

是的。NIST 于 2024 年敲定了首批后量子密码学(PQC)标准,包括用于密钥封装的 ML-KEM、用于数字签名的 ML-DSA,以及作为 ML-DSA 哈希后备方案的 SLH-DSA。这些标准依赖的数学问题,目前尚无已知高效量子攻击。需要注意的是,“抗量子”表示基于当前认知被认为是安全的,而不是无条件安全。

构建链上金融基础设施的团队现在应该优先考虑什么?

首先,全面盘点钱包、API、智能合约和基础设施中哪些地方使用了量子易受攻击公钥密码学(RSA、ECDSA、EdDSA、DH、BLS)。在此基础上,团队应避免地址复用,尽量减少可避免的公钥暴露,并开始在测试环境中尝试混合 PQC,也就是让后量子算法与现有经典算法并行运行。同时,要为密码学敏捷性做设计,以便未来可以在不重建核心系统的情况下替换算法,并直接向托管服务商、云平台和其他基础设施合作伙伴索取清晰的后量子路线图。迁移会是一个持续数年乃至十多年的过程;越早开始,越能降低风险和运营中断。

准备好保护你的代码了吗?

请求审计 →

  • 原文链接: openzeppelin.com/news/a-...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论