浅谈量子计算机对区块链生态的影响

作者：Haotian；来源：X，@tmel0211

这几天闲来无事，粗略研究了下量子计算机对区块链生态的影响，涉及大量密码学的背景知识，不说太多细节，分享几个观点：

1）过去学界普遍认知要破解256位的椭圆曲线加密算法大概需要数百万个物理量子比特，逻辑量子比特6000个左右，但Google这次发表的新论文，并没有推出什么逆天的新硬件，而只是重新编译了Shor's algorithm（肖尔算法）在量子电路上的执行方式，就把所需的逻辑量子比特压缩到了1200个。

什么概念？意味着算力成本直接缩减了近20倍。这是本次量子威胁论被热议的根本，以前我们一直认为绝对不可能的事，到了今天，开始有了一个“倒计时”；

2）Google给这个倒计时的时间节点是2029年，意味着这个时间点前包括互联网的HTTPS、SSL银行证书、SSH远程登录等加密方式以及BTC和以太坊等公链的底层ECDSA签名体系都必须完成一次“抗量子”换血，否则到时候可能会存在灭顶之灾。

关于这一点，2029年也就是3年的时间，我觉得过于夸张了，毕竟纯理论落地到现实可执行落地还有很大的距离，但至少说明了一点，抗量子攻击的加密算法升级时间窗口开始打开了，没有迫在眉睫，但也绝不能掉以轻心；

3）如果说到此，很多人对量子威胁还是没概念，那可以再细化说几个攻击面：

1、目前BTC链上大概有25%-35%的地址，公钥已经处于暴露状态，包括中本聪时代采用P2PK格式的早期地址，以及所有复用过、发生过转账的地址，这些地址都在攻击范畴内；而其他没有发生转账的地址，只要在量子计算机成熟后启动转账，其在Mempool处理交易的10分钟内，足以被量子破解抢先截胡攻击，等于整个网络都已瘫痪；

2、以太坊面临的危机更直接，ETH的EOA账户在第一次发送交易时，公钥就会通过签名被暴露上链，，加上EIP-4844之后的数据可用性采样机制，以及本身依赖POS签名验证的共识网络。以太坊公链面临的都不是私钥能不能破解的问题，而是一旦签名算法得不到升级，整个网络都形同虚设了；

3、关键是，由于区块链交易历史都是可追溯且永久存储在链上，别看现在量子计算机攻击条件还不成熟，但过去和今天链上已经暴露公钥的交易，都会被记录起来，成为潜在攻击的对象，就等量子机器慢慢就位。

4）当然，既然量子攻击还存在技术突破+时间的窗口，同样理论上，只要在接下来的数年内完成“抗量子攻击”大换血，也可以实现一次自救。

以太坊早就在抗量子威胁上面做“工程化”优化布局了，包括推进账户抽象允许EOA地址在应用层面直接切换签名方案，验证者签名也在向抗量子攻击的PQC加密算法（Post-Quantum Cryptography，后量子密码学，专门为抵抗量子攻击设计的新一代加密标准）等都可以从底层结构上强化抗量子特性。本身以太坊最牛逼的就是“飞行状态下加油”的动态升级特性，既然方向明确了，抗量子特性也只是时间问题了。

比特币选择了引入BIP-360，这会引入FALCON或CRYSTALS-Dilithium这类后量子签名算法，技术上并不复杂，但是难在共识确立，要知道，比特币社区曾为了一个区块大小的分叉吵了几年，指望他们在抗量子硬分叉上迅速妥协，实在难以乐观。但一旦威胁进一步有了“确定性”，这个自救式的补丁再佛系的开发社区也会硬着头皮上。

以上。

最后说一件有意思的是，Google用零知识证明ZK披露了这个潜在的量子威胁，一开始就有意识的让其“软着陆”，毕竟一旦失控发生别说区块链了，互联网文明都是毁灭性的。另外Google Quantum AI团队里，有以太坊基金会的研究员参与，没准抗量子攻击会成为区块链接下来的一个主流叙事也未可知，毕竟天然基因就是密码学技术，这样全新的使命，很Crypto！