免责声明：金色财经所有资讯仅代表作者个人观点，不构成任何投资理财建议。请确保访问网址为（jinse.com.cn）举报

a16z深度研报：量子威胁真的要来了吗？

VWin Ventures

刚刚

最近这段时间，量子计算对于区块链安全的威胁再次引起了业内的广泛关注。Jefferies的全球股票策略主管 Wood 甚至公开表示，考虑到量子计算可能威胁到BTC的加密算法和安全性，他已经将模型组合中10%的BTC配置移除，改为实物黄金 + 黄金矿业股。

所以，目前量子计算技术到底发展到了什么阶段、而量子计算机对于区块链的加密算法到底是否会构成实质性威胁？

为了解答以上问题，我们编译了美国顶尖VC a16z发布的专题研究报告，详细拆解并且分析了以上关于量子计算、加密算法相关的问题。

a16z的这份深度研报给出的回答，可以概括为以下几个核心要点：

1）量子威胁的现实性很多人夸大了，目前的量子计算技术仍在非常早期

真正能实用破解加密算法的量子计算机（CRQC）短期内大概率还很远。

很多新闻通告用量子优势、逻辑量子比特等话术混淆视听，会让人误判进度。

2）不要把加密和签名混为一谈，面对量子威胁二者的紧迫性完全不同

加密（通信保密）要更早做后量子化处理：因为 HNDL攻击（现在先把密文存起来，未来量子技术成熟再解密）已经是现实风险。
签名（区块链用来授权转账）不用立刻全网换：因为签名不涉及今天存、未来解密这种风险，只有等量子计算机真出现后才会有被伪造的可能。

3）区块链大多数不怕 HNDL，但比特币仍然需要现在就规划

BTC、ETH 这类非隐私链主要靠签名，所以不需要为了担心 HNDL 攻击而立刻迁移。
BTC的压力主要来自自身：升级慢、迁移要用户主动协助、还有大量可能长期不动的老币、暴露公钥的币非常不好保护，所以必须提前多年规划迁移，而不是等实际的量子威胁临近再采取行动。

4）具体的行动建议

做长期保密通信、密钥交换的系统要尽快混合后量子方案。
做公链、钱包、签名体系的，不必马上切换到后量子方案，但现在就开始把迁移路线、应急预案、老地址、遗失资产的处理规则设计出来。
更现实的安全重点其实还是在 bug 和技术漏洞，先把工程安全做好，或许比担忧量子威胁更有意义。

以下是经过编译后的完整研报，供各位读者参考：

通往“对密码学构成实质威胁”的量子计算机的时间表，经常被夸大——这也引发了要求立刻、全面转向后量子密码学（post-quantum cryptography）的呼声。

但这些呼声往往忽视了过早迁移的成本与风险，也忽略了不同密码学原语（cryptographic primitives）之间截然不同的风险画像：

后量子加密尽管代价高昂，也需要尽快部署：因为“先收集、后解密”（Harvest-now-decrypt-later，HNDL）攻击已经在发生——今天被加密的敏感数据，即便量子计算机要几十年后才出现，届时仍可能有价值。后量子加密确实存在性能开销与实现风险，但对那些需要长期保密的数据来说，HNDL 攻击让我们几乎没有选择。
后量子签名则是另一套算账方式。它不受 HNDL 攻击影响，而其成本与风险（体积更大、性能开销、实现尚不成熟、以及漏洞）意味着应该审慎推进，而不是立刻迁移。
这些区别非常关键。错误认知会扭曲成本收益分析，让团队忽视更现实、更紧迫的安全风险——比如软件缺陷（bugs）。

要成功完成向后量子密码学的迁移，真正的挑战是：让紧迫性与真实威胁相匹配。下面我会澄清关于量子威胁与密码学的一些常见误解——涵盖加密、签名与零知识证明，并特别讨论它们对区块链的影响。

进度到哪一步了？

在 2020 年代出现“对密码学构成实质威胁”的量子计算机（CRQC，cryptographically relevant quantum computer）几乎不可能，尽管有些高调说法暗示相反。

这里所说的 CRQC，是指一种可容错、具备纠错能力的量子计算机，能够在足够规模上运行 Shor 算法，从而在合理时间内攻击椭圆曲线密码或 RSA（例如，在最多约一个月的持续计算内攻破 secp256k1 或 RSA-2048）。

从公开里程碑与资源估算的任何合理解读来看，我们距离 CRQC 都还非常远。一些公司声称 CRQC 可能在 2030 年前或远早于 2035 年出现，但公开可见的进展并不支持这些说法。

作为参照：在现有所有主流路线——离子阱、超导量子比特、中性原子系统——今天没有任何平台接近运行 Shor 算法所需的几十万到上百万个物理量子比特（具体数量取决于误差率与纠错方案），更不用说对 RSA-2048 或 secp256k1 做实用级别的攻击。

瓶颈不仅是量子比特数量，还包括操作保真度、量子比特连接性，以及运行深层量子算法所需要的、可持续的纠错电路深度。尽管一些系统的物理量子比特已超过 1000 个，但仅看数量会误导：这些系统缺乏进行“对密码学有意义的计算”所必需的连接性与门保真度。

近期系统的物理误差率接近“量子纠错开始有效工作”的区间，但至今也没人展示过超过少量逻辑量子比特，并具备可持续的纠错电路深度……更不用说真正运行 Shor 算法所需要的、数千个高保真、深电路、可容错的逻辑量子比特。从“证明量子纠错原理可行”到“达到可用于密码分析的规模”，中间仍有巨大的鸿沟。

简言之：在量子比特数量与保真度都提升几个数量级之前，CRQC 仍然遥不可及。

不过，企业新闻稿与媒体报道很容易让人混淆。常见误解包括：

声称实现了“量子优势”的演示，往往针对人为设计的任务。这些任务不是因为有实际用途，而是因为它们能在现有硬件上运行，同时看起来展示了巨大的量子加速——而这一点常常在发布中被刻意淡化。
有公司宣称拥有数千个物理量子比特，但这通常指的是量子退火机，而非运行 Shor 算法、攻击公钥密码所需的门模型量子计算机。
有公司大量使用“逻辑量子比特”一词。物理量子比特有噪声，量子算法需要逻辑量子比特；而 Shor 算法需要数千个逻辑量子比特。通过量子纠错，可以用许多物理量子比特来构造一个逻辑量子比特——通常每个逻辑比特要用几百到几千个物理比特，取决于误差率。但有些公司把这个词用到面目全非：例如某次公告声称用一种距离为 2 的编码、每个逻辑比特只需两个物理比特，就实现了 48 个逻辑比特。这很荒谬：距离为 2 的编码只能检测错误，不能纠正错误。用于密码分析的真正可容错逻辑量子比特，每个都需要几百到几千个物理量子比特，而不是两个。
更普遍地说，许多路线图把只能支持 Clifford 操作的量子比特也称作“逻辑量子比特”。但 Clifford 操作可被经典计算机高效模拟，不足以运行 Shor 算法；Shor 需要大量纠错后的 T 门（或更一般的非 Clifford 门）。
即便路线图写着“到某年实现数千逻辑量子比特”，也不等于同一年就能运行 Shor 算法去破解传统密码学。

这些做法严重扭曲了公众（甚至不少专业观察者）对我们距离 CRQC 有多近的判断。

当然，也确实有专家对进展感到兴奋。比如 Scott Aaronson 近期写道，考虑到“当前惊人的硬件进步速度”，

他认为在下一次美国总统大选之前，我们“有可能”看到一台可容错的量子计算机运行 Shor 算法。

但 Aaronson 随后澄清，他所说并不意味着 CRQC：哪怕完整可容错地运行 Shor 算法只分解出 15 = 3×5（用纸笔都更快），他也算达成。门槛仍是极小规模的 Shor 执行，而不是具备密码学相关性的那种；此前在量子计算机上“分解 15”的实验，多使用的是简化电路而非完整可容错的 Shor。并且这些实验总爱选 15 也有原因：模 15 的算术很容易，而哪怕稍大一点的 21 都难得多。因此，声称分解 21 的量子实验往往依赖额外提示或捷径。

归根结底：认为未来 5 年内会出现能在实践上攻破 RSA-2048 或 secp256k1 的 CRQC（这才是现实密码学真正关心的）——这一预期缺乏公开进展的支撑。

即使给到 10 年也仍然是激进的时间表。考虑到我们距离 CRQC 仍很远，对进展感到兴奋，与“十年以上的时间线”完全可以同时成立。

那么，美国政府为何把 2035 作为政府系统全面完成后量子迁移的目标节点？我认为这对如此大规模的迁移来说是合理的完成时间表。但这并不是在预测届时一定会出现 CRQC。

HNDL 攻击适用在哪里（以及不适用在哪里）？

“先收集、后解密”（HNDL）指的是：攻击者现在就大规模存储加密通信，等未来出现 CRQC 后再解密。国家级对手很可能已经在对美国政府等目标的加密通信做规模化归档，以便在多年后 CRQC 出现时进行解密。

这就是为什么加密需要尽早转向——至少对那些有 10–50 年以上保密需求的人而言。

但数字签名（几乎所有区块链都依赖它）与加密不同：签名不涉及“保密性”，不存在可被“事后解密”的秘密。

换句话说，若 CRQC 到来，从那一刻起确实可能伪造签名；但过去的签名并不像加密消息那样“藏着秘密”。只要你知道某个签名是在 CRQC 出现之前生成的，它就不可能是伪造的。

因此，迁移到后量子数字签名的紧迫性，低于加密的后量子迁移。

大型平台也在按这个逻辑行动：Chrome 和 Cloudflare 已在 TLS 中部署了 X25519 + ML-KEM 的混合方案用于传输层加密（为便于表述我用“加密方案”，严格说 TLS 采用的是密钥交换或密钥封装机制，而非公钥加密本身）。

这里的“混合”是指把一个后量子安全方案（ML-KEM）与现有方案（X25519）叠加，获得两者合并后的安全保证：既希望用 ML-KEM 抵御 HNDL 攻击，同时也保留 X25519 的经典安全性，以防 ML-KEM 事实证明即使对今天的计算机也不安全。

苹果 iMessage 也用 PQ3 协议部署了类似的混合后量子加密，Signal 则在 PQXDH 与 SPQR 协议中做了相同方向的部署。

相较之下，关键 Web 基础设施上的后量子数字签名推广被刻意延后，直到 CRQC 真正临近才会加速，因为现有后量子签名方案会带来明显的性能回退（后文会展开）。

zkSNARK（零知识简洁非交互知识证明）——对区块链的长期扩容与隐私至关重要——在风险形态上与签名类似。原因是：即便某些 zkSNARK 不是后量子安全的（它们使用椭圆曲线密码学，就像今天的非后量子加密与签名一样），它们的零知识性质仍然是后量子安全的。

零知识性质保证证明不会泄露关于秘密见证（witness）的任何信息——即使面对量子对手也不会——因此不存在可以“现在收集、以后解密”的机密信息。

因此，zkSNARK 不受 HNDL 攻击影响。就像今天生成的非后量子签名仍然安全一样，只要 zkSNARK 证明是在 CRQC 到来之前生成的，它就可信（即被证明的陈述必然为真）——哪怕该 zkSNARK 依赖椭圆曲线密码学。只有在 CRQC 到来之后，攻击者才可能为“假陈述”伪造看似可信的证明。

这对区块链意味着什么？

大多数区块链并不暴露在 HNDL 攻击下：

多数非隐私链（如今天的 Bitcoin 与 Ethereum）使用非后量子密码学，主要是为了交易授权——也就是使用数字签名，而不是加密。
再强调一次：签名不存在 HNDL 风险；HNDL 针对的是加密数据。例如比特币链上数据是公开的，量子威胁是伪造签名（推导私钥盗币），而不是“解密已公开的交易数据”。因此，HNDL 不会带来“立刻必须迁移”的密码学紧迫性。

遗憾的是，甚至一些可信来源（如美联储）的分析也曾错误声称比特币易受 HNDL 攻击，这会夸大向后量子密码迁移的紧迫性。

当然，紧迫性降低不等于比特币可以拖延：它面临的是另一类时间压力——改变协议所需的巨大社会协调成本（下文会更详细讨论比特币的独特挑战）。

截至目前的例外是隐私链：其中许多链会加密或隐藏收款方与金额。这类保密性可以被现在就“收集”，并在未来量子计算机能攻破椭圆曲线密码后被追溯性去匿名化。

对隐私链而言，攻击严重程度取决于链的设计。例如 Monero 的基于曲线的环签名与 key image（每个输出的可链接标签，用于防止双花）使得仅凭公开账本就可能在事后重建大量支出关系图。而在其他设计中，损害更有限——可参考 Zcash 密码工程师与研究员 Sean Bowe 的讨论。

如果用户确实重视“即使未来出现 CRQC 也不应暴露其交易”，那么隐私链应在可行且性能可接受时尽快迁移到后量子原语（或混合方案），或采用避免把可解密秘密放上链的架构。

比特币的特殊麻烦

对比特币而言，推动开始向后量子签名切换的紧迫性主要来自两点现实，而且这两点都与量子技术本身无关。

第一是治理速度：比特币升级极慢。一旦出现争议，社区可能无法就合适方案达成一致，从而触发破坏性的硬分叉。

第二是：比特币迁移到后量子签名无法被动完成，持币者必须主动迁移。也就是说，那些被遗弃、但暴露在量子风险下的币无法被保护。有些估计认为，这类“量子脆弱且可能被遗弃”的 BTC 数量达到数百万枚，按 2025 年 12 月的价格计价值可能高达数千亿美元。

不过，量子对比特币的威胁不会是一夜之间的末日，而更像是“选择性、渐进式”的打击过程。量子计算机不会同时破解所有密钥——Shor 算法必须逐个公钥去攻击。早期量子攻击会极其昂贵且缓慢，因此一旦量子计算能破解单个比特币签名密钥，攻击者会优先盯上高价值钱包。

此外，只要用户避免地址复用，并且不使用会在链上直接暴露公钥的 Taproot 地址，即便不改协议也在很大程度上是安全的：他们的公钥在花费前都隐藏在哈希函数之后。等他们广播花费交易时，公钥才会显现，此时会出现一场短暂的“实时竞赛”：诚实花费者希望交易尽快确认，而拥有量子能力的攻击者试图在交易最终确认前推导私钥并抢先花费。因此，真正脆弱的是那些公钥已经暴露在链上的币：早期的 P2PK 输出、复用地址，以及 Taproot 持仓。

对于已被遗弃的脆弱币，没有简单解法。可能的选择包括：

社区设定一个“旗日”（flag day），此后所有未迁移的币被视为销毁；
继续让这些被遗弃且量子脆弱的币保持可被任何拥有 CRQC 的人夺取。

第二种选择会引发严重的法律与安全问题：即便声称拥有合法所有权或出于善意，使用量子计算机在没有私钥的情况下“夺取”币，在许多司法辖区都可能触及盗窃与计算机欺诈相关法律。

更进一步，“被遗弃”本身只是基于长期不动用的推断，没人能确定这些币是否仍有在世且持有密钥的主人。你能证明自己曾拥有这些币，也未必构成足够的法律授权，让你去“破解加密保护”把它们找回。这种法律不确定性反而会提高风险：最终更可能是无视法律约束的恶意行为者拿走这些币。

比特币还有一个现实限制：吞吐量低。即便迁移方案确定，把所有量子脆弱资金迁移到后量子安全地址，在比特币当前的交易速率下也需要数月。

这些挑战意味着：比特币必须从现在开始规划后量子迁移——并不是因为 2030 年前出现 CRQC 的概率高，而是因为治理、协调与迁移数十亿乃至数千亿美元资金的技术与运营安排，本身就需要很多年。

量子对比特币的威胁是真实的，但时间压力主要来自比特币自身的约束，而非“量子计算机即将到来”。其他区块链也会面临量子脆弱资金的迁移难题，但比特币尤其暴露：其最早期交易使用了把公钥直接放上链的 P2PK 输出，使得相当一部分 BTC 更易被 CRQC 攻击。这个技术差异叠加比特币的历史长、价值集中、吞吐量低与治理僵硬，使问题更为严重。

需要注意：上述脆弱性针对的是比特币数字签名的密码学安全性，但并不直接等同于比特币区块链的经济安全性。后者来自工作量证明（PoW）共识机制，它对量子计算的脆弱性相对小，原因有三：

PoW 依赖哈希，因此只会受到 Grover 搜索算法带来的二次方级加速，而不会受到 Shor 算法的指数级加速。
Grover 搜索在现实实现中有很高的工程开销，因此量子计算机在比特币 PoW 上取得哪怕小幅真实加速的概率也不大。
即便实现了显著加速，也更可能让大型量子矿工相对小矿工更有优势，而不会从根本上击穿比特币的经济安全模型。

后量子签名的成本与风险

要理解为什么区块链不应急于部署后量子签名，需要同时理解性能成本，以及我们对后量子安全性的信心仍在演进。

大多数后量子密码学大致基于五类方法：

哈希
纠错码
格
多变量二次方程系统（MQ）
同源（isogeny）

为什么会有这么多路线？因为任何后量子密码原语的安全性都基于一个假设：量子计算机无法高效求解某个特定数学问题。这个问题结构越强，我们越能构造更高效的协议。

但这也是双刃剑：结构越多，攻击算法可利用的“攻击面”也越大。于是形成一个根本张力：更强的假设可能带来更好的性能，但同时也增加假设出错、从而出现安全漏洞的可能性。

总体而言，基于哈希的方案在安全假设上最保守，因为我们更有把握量子计算机无法高效攻击这类协议；但它们的性能最差。例如 NIST 标准化的哈希签名即便在最小参数下也有 7–8KB 的大小。相比之下，今天基于椭圆曲线的数字签名只有 64 字节，体积差异约 100 倍。

格方案是当下部署的重点。NIST 已选定用于标准化的唯一加密方案，以及三种签名算法中的两种，都基于格。其中一个格签名方案 ML-DSA（原 Dilithium）的签名大小大约在 2.4KB（128 位安全级）到 4.6KB（256 位安全级）之间，约为当前椭圆曲线签名的 40–70 倍。另一个格方案 Falcon 的签名更小（Falcon-512 为 666 字节，Falcon-1024 为 1.3KB），但它涉及复杂的浮点运算，NIST 自己也把这点标记为特殊的实现挑战。Falcon 的作者之一 Thomas Pornin 甚至称其为“我实现过的最复杂的密码算法”。

在实现安全方面，格签名也比椭圆曲线签名难得多：ML-DSA 拥有更多敏感中间值以及非平凡的拒绝采样逻辑，需要额外防护侧信道与故障攻击；Falcon 还叠加了常数时间浮点实现的难题。实际上，针对 Falcon 实现的若干侧信道攻击已经能恢复私钥。

这些问题带来的是当下的现实风险，而不是遥远的 CRQC 风险。

谨慎部署更高性能的后量子方案是有充分理由的：历史上，一些领先候选（例如基于 MQ 的签名方案 Rainbow，以及基于同源的加密方案 SIKE/SIDH）最终都被经典计算机攻破——也就是说，是被今天的计算机攻破的，不是被量子计算机。

而且这些破解发生在 NIST 标准化流程推进到很后期时。这说明科学过程在发挥作用，但也提醒我们：过早标准化与部署可能适得其反。

正因如此，互联网基础设施在签名迁移上采取了更审慎的策略。这点尤其值得注意，因为互联网的密码迁移一旦启动，往往需要非常长的时间。比如从 MD5 与 SHA-1 的迁移——这些哈希函数早已在技术上被相关机构宣布弃用——真正落地到基础设施层面仍花了多年，在一些场景里甚至至今未完全完成。更何况这些算法不是“未来可能不安全”，而是已经被彻底攻破。

区块链相比互联网基础设施的独特挑战

好的一面是，像以太坊或 Solana 这类由开源社区持续维护的区块链，升级速度可能快于传统互联网基础设施。另一方面，传统互联网基础设施受益于频繁的密钥轮换，使其攻击面移动得比早期量子机器逐个攻击密钥更快——而区块链没有这份“奢侈”：币与其对应密钥可能长期暴露不变。

但总体而言，区块链仍应遵循互联网在签名迁移上的“审慎推进”策略：两者在签名层面都不面临 HNDL 攻击，而过早迁移到不成熟后量子方案的成本与风险依然很大，不会因为密钥持久性而消失。

另外，区块链还有一些特定需求会让过早迁移更复杂、更危险：例如区块链常需要快速聚合大量签名。今天广泛使用 BLS 签名，正是因为它支持非常高效的聚合，但它并不具备后量子安全性。研究者正在探索用 SNARK 来聚合后量子签名，这方向很有前景，但仍处在早期。

就 SNARK 而言，社区目前把基于哈希的构造视为后量子的主流选项。但我确信未来几个月到几年会出现格基选项，成为有吸引力的替代：它们在多方面性能更好，比如证明长度显著更短——类似于格签名相对哈希签名更短的那种优势。

当下更大的问题：实现安全

在未来很多年里，实现层漏洞会比 CRQC 带来更大的安全风险。对 SNARK 来说，首要问题就是 bug。

数字签名与加密方案本来就容易出实现漏洞，而 SNARK 复杂得多。事实上，数字签名可以被视为一种非常简单的 zkSNARK：证明“我知道与该公钥对应的私钥，并且我授权了这条消息”。

对后量子签名来说，眼下的风险还包括侧信道与故障注入等实现攻击。这类攻击早已被充分研究，并且确实能从已部署系统中提取私钥；它们远比遥远的量子计算机更迫近。

社区需要多年时间来发现与修复 SNARK 的漏洞，并把后量子签名实现加固到能抵御侧信道与故障注入攻击。由于后量子 SNARK 与可聚合签名方案的路线仍未稳定，区块链若过早迁移，可能会把自己锁死在次优方案上；当更好的方案出现，或当实现漏洞被发现时，又不得不二次迁移。

我们该怎么做？7 条建议

基于上述现实，我给不同利益相关方（从开发者到政策制定者）一些建议。总原则是：认真对待量子威胁，但不要预设“2030 年前一定会出现 CRQC”。这一预设不符合当前公开进展。不过，我们仍然可以、也应该现在就做一些事：

#1 立刻部署混合加密。至少在长期保密重要且成本可接受的场景。

许多浏览器、CDN 与消息应用（如 iMessage、Signal）已经部署混合方案。混合（后量子 + 经典）既能抵御 HNDL，又能对冲后量子方案可能在经典世界里也不安全的风险。

#2 在体积可接受的场景，立刻使用基于哈希的签名。

软件、固件更新这类低频、对体积不敏感的场景，应当现在就采用混合的哈希签名（混合是为了对冲新方案的实现 bug，而不是因为哈希的安全假设有疑虑）。

这更保守，也为社会提供一条明确的“救生艇”：一旦极小概率事件发生——CRQC 意外提前出现——如果我们没有已经用后量子签名保护的软件更新机制，就会陷入引导难题：我们甚至无法安全分发用来修补系统的后量子密码更新。

#3 区块链不必急于部署后量子签名，但应从现在开始规划。

区块链开发者应跟随 Web PKI 社区的做法，审慎推进签名迁移，让后量子签名方案在性能与安全理解上继续成熟，同时也给系统重构（适应更大签名、改进聚合技术）留出时间。

对比特币与其他 L1：社区需要定义迁移路径，并制定对“被遗弃且量子脆弱资金”的政策。被动迁移不可能，所以规划至关重要。比特币的特殊挑战多为非技术因素——治理慢与大量高价值、可能被遗弃的脆弱地址——因此比特币社区尤其需要现在就启动规划。

同时，应当让后量子 SNARK 与可聚合签名研究继续成熟（大概率还需要几年）。过早迁移容易锁定次优方案，或因实现漏洞被迫二次迁移。

关于以太坊账户模型的一点补充：以太坊有两类账户，迁移含义不同——外部账户（EOA，受 secp256k1 私钥控制）与智能合约钱包（可编程授权逻辑）。在非紧急情境下，如果以太坊加入后量子签名支持，可升级的智能合约钱包可以通过合约升级切换到后量子验证；而 EOA 可能需要把资金迁移到新的后量子安全地址（以太坊也可能为 EOA 提供专门迁移机制）。在量子紧急情境下，以太坊研究者提出过硬分叉方案：冻结脆弱账户，并允许用户通过后量子安全的 SNARK 证明自己知道助记词，从而恢复资金。该机制既适用于 EOA，也适用于未升级的合约钱包。

对用户的现实含义是：审计充分、可升级的智能合约钱包可能带来略顺滑的迁移路径，但优势有限，并伴随对钱包提供方与升级治理的信任取舍。比账户类型更重要的是：以太坊社区持续推进后量子原语与应急预案的研究。

对建设者的更广泛启示是：许多链把账户身份与特定密码原语强绑定——比特币与以太坊绑定 ECDSA/secp256k1，其他链绑定 EdDSA。后量子迁移凸显了“把账户身份与具体签名方案解耦”的价值。以太坊走向智能账户、以及其他链的账户抽象努力，都体现了这一趋势：让账户能升级认证逻辑，而无需抛弃链上历史与状态。解耦无法让迁移变得轻松，但确实比把账户硬编码到单一签名方案上更灵活（并且还能支持诸如代付手续费、社交恢复、多签等其他功能）。

#4 对隐私链：只要性能可接受，应更优先、更早迁移。

这些链的用户机密性当前暴露于 HNDL 攻击之下，虽严重程度因设计不同而异。若仅凭公开账本即可完全追溯性去匿名化的设计，风险最紧迫。

可考虑混合（后量子 + 经典）以对冲“名义上后量子”的方案最终在经典世界里也不安全的风险，或通过架构调整避免把可解密秘密放上链。

#5 近端优先级应放在实现安全，而非量子威胁缓解。

尤其对 SNARK 与后量子签名这类复杂原语，未来多年里，bug 与实现攻击（侧信道、故障注入）会远比 CRQC 更可能成为主要风险。

现在就投入审计、模糊测试、形式化验证，以及纵深防御与分层安全——不要让量子焦虑盖过更迫切的 bug 威胁。

#6 资助量子计算研发。

上述所有内容的一个重要国家安全含义是：需要持续投入资金与人才来发展量子计算。若主要对手在美国之前获得 CRQC 能力，将对美国及全球带来严重国家安全风险。

#7 对量子计算公告保持清醒视角。

未来几年随着硬件成熟，会不断出现里程碑。某种意义上，公告越频繁，越说明我们距离 CRQC 还很远：每个里程碑只是众多必须跨越的桥之一，每一次也都会引发新一轮标题党与兴奋。

把新闻稿当作需要批判性评估的进展报告，而不是触发仓促行动的信号。

当然，时间线可能因意外创新而加速，也可能因严重扩展瓶颈而拉长。