量子攻击逼近，比特币成最大“活靶子”？

最近，区块链圈和量子安全圈几乎同时出现了几条重磅信息。

一条来自BNB Chain。它发布了一份后量子密码学迁移报告，直接把BSC核心密码系统替换成抗量子签名方案做测试。结果显示，安全性可以往前走，但代价也肉眼可见，交易变胖、区块变大、吞吐下降、确认变慢。

另一条来自Cardano创始人Charles Hoskinson。他判断，到2033年前，出现具备商业化、规模化运行能力的量子计算机，概率可能超过50%。在他看来，量子计算带来的风险不应再被视为遥远的理论问题，而应被看作需要从现在开始应对的现实课题。

与此同时，花旗也在报告中提醒，量子计算突破正在加速，加密货币和互联网基础设施都面临潜在冲击。其中，因治理机制保守、协议升级节奏较慢、公钥暴露资产较多，比特币被认为比以太坊等网络更容易承受超额量子风险。

显然，这一切都指表明，Q日（Q-Day），也就是量子计算机能够破解现有公钥加密体系的那一天，不仅真实存在，而且正在以超出所有人预期的速度逼近。

量子威胁早已不是新鲜事

量子计算威胁密码体系，这本身就不是什么新鲜事。

早在Shor算法提出之后，密码学界就已经知道，一旦未来出现足够强大的容错量子计算机，那么基于大整数分解和离散对数问题的公钥密码体系都会受到挑战。比特币、以太坊、BNB Chain等主流公链大量使用的椭圆曲线签名机制，也在这个范围内。

简单来说，现在的区块链安全，很大程度上依赖一个前提，即使别人知道你的公钥，也无法倒推出你的私钥。

在经典计算机上，这个前提是非常可靠的。但在足够强大的量子计算机面前，Shor算法理论上可以解决椭圆曲线离散对数问题，从公钥推出私钥。攻击者一旦拿到私钥，就可以伪造签名，转移资产。

虽然目前并没有公开证据表明，有哪台量子计算机已经具备这种真实攻击能力。但问题在于，安全迁移不能等到攻击真正发生后再开始。

这也是为什么BNB Chain、Cardano、Solana等项目开始提前做后量子方案测试。他们意识到，如果不提前做准备，等到威胁来临之际，可能已经来不及了。

当然，近两年量子技术的快速发展，也让上述问题显得更为紧迫起来。

比如，2026年3月底，Google Quantum AI发布技术白皮书，公布了破解ECC-256的最新研究成果。研究团队设计了两套高效的Shor算法量子电路，一套使用少于1200个逻辑量子比特和9000万个Toffoli门，另一套使用约1450个逻辑量子比特和7000万个Toffoli门。在标准硬件假设下，只需要不到50万个物理量子比特，几分钟就能完成攻击。

此前业界普遍认为这个数字在千万级，而谷歌的研究直接把这个门槛降低了大约20倍。

类似的变化也出现在量子硬件设计领域。借助OpenEvolve这类基于大模型的开源工具，研究人员可以用接近自然选择的方式优化算法。原本性能差距约1000倍的方案，在AI调优后，将构建原子量子计算机所需的粒子数量减少了约100倍。

BNB Chain后量子密码学迁移报告

BNB Chain发布的研究报告，旨在评估BNB智能链未来如何将其核心密码学系统迁移至后量子（抗量子计算）替代方案。该报告探讨了用抗量子方法，包括采用ML-DSA-44作为交易签名方案以及使用pqSTARK聚合验证者共识签名，取代传统区块链密码学在实现路径与性能影响方面的具体表现。

测试结果显示，切换到ML-DSA-44后，公钥体积大约变为原来的20倍，签名数据更是膨胀到原来的37倍。

这表明，原来一笔约110字节的交易，可能膨胀到约2.5KB。交易变大之后，区块自然也会变大。在相同TPS负载下，原来约110KB的区块，会膨胀到约2MB，区块大小接近原来的18倍。

区块一旦变大，影响会顺着网络传播放大。报告显示，在跨区域测试中，BSC原生转账吞吐量从约4973 TPS下降到约2997 TPS，降幅接近40%。

同时，因为区块变大、跨区域网络传播变慢，网络最终确认时间（Finality P99）从2个区块拉长到了11个区块。

对普通转账来说，这可能只是体验变慢。但如果放到毫秒必争的DeFi套利环境，或者要求极致丝滑的GameFi元宇宙里，这类延迟就会明显影响用户体验。

所以，这份报告最有价值的地方就在于，现在就让网络穿上“抗量子铠甲”，技术上完全可行，但一定会付出惨痛的扩展性降级代价。

Cardano：2033年前概率超过50%

Cardano（ADA）创始人Charles Hoskinson警告称，到2033年前，量子计算机对加密资产构成实质性威胁的概率可能超过50%。

他认为，量子计算带来的风险不应再被视为遥远的理论问题，而应被看作需要从现在开始应对的现实课题。

目前，Cardano正在推进向格基密码体系过渡，并计划纳入NIST后量子密码标准，包括FIPS 203的ML-KEM、FIPS 204的ML-DSA和FIPS 205的SLH-DSA。同时，Cardano也在研究基于FALCON的签名方案作为补充选项。

所谓格基密码，简单说就是基于格问题构造的密码算法。它被认为是目前最有希望抵御量子攻击的技术路线之一。NIST最终标准化的ML-KEM和ML-DSA，都属于这一大类。

其中，ML-KEM主要用于密钥封装，适合替代传统密钥交换方案。ML-DSA主要用于数字签名，适合替代ECDSA、EdDSA这类签名方案。SLH-DSA则是基于哈希的签名方案，安全假设相对保守，但签名尺寸和性能也有自己的取舍。

Cardano选择格基密码并不意外。它本身就比较强调研究驱动和路线图治理，社区对长期协议升级的接受度也相对更高。

但是，真正迁移仍然不轻松。毕竟公链不是单体软件，而是一整个生态系统。

底层密码学一旦调整，钱包、节点、交易格式、智能合约工具链、交易所托管系统、硬件钱包，甚至用户操作习惯，都需要同步适配。

所以说，2033年这个时间点是否能够兑现，仍取决于量子硬件进展、纠错能力以及容错体系能否真正落地，这些问题目前尚未解决。对行业而言，更值得关注的是，在量子风险真正变成现实之前，现有公链有没有足够时间完成协议改造和生态迁移。

花旗点名比特币

花旗银行表示，量子计算技术突破正在加速推进，对加密货币与互联网基础设施的安全风险时间表正被缩短，其中比特币面临的风险尤为突出。

花旗分析师指出，比特币由于治理机制较为保守、协议升级速度较慢，在应对抗量子升级方面相对脆弱。目前约有650万至690万枚BTC因公钥已暴露而面临潜在量子攻击风险，约占流通供应量三分之一，根据比特币价格计算，价值约4500亿美元。

报告还提到，以太坊等PoS网络可能因协议升级更灵活而更容易适应抗量子加密方案，但验证者密钥仍存在潜在风险。

尽管存在风险，花旗仍对加密行业长期适应能力持积极态度，认为区块链未来仍可通过后量子密码学及协议重构完成迁移。同时，拟议中的比特币升级方案，包括BIP-360和BIP-361，都是值得关注的发展。

结语

这轮BNB Chain、Cardano、花旗围绕后量子风险的密集讨论，说明量子威胁的时间表正在被大幅压缩。

谷歌给出的时间线是2029年，Hoskinson说的是2033年，Martinis给的是5到10年。各方的说法有差异，但统一表明，留给行业完成密码迁移的时间，要比大多数人以为的短得多。

总之，区块链行业最引以为傲的安全性，建立在椭圆曲线密码学这个底座上，而这个底座，正在被量子计算的进展一点一点撬动。

源自--智量研究所