谷歌量子 AI 論文縮短比特幣和以太坊的量子威脅時間表

Google Quantum AI 於 3 月 30 日發布的白皮書，大幅壓縮了量子電腦破解保障幾乎所有主要區塊鏈的橢圓曲線加密技術的預估時間表，而加密行業正急於評估其後果。

這篇論文由谷歌研究人員 Ryan Babbush 和 Hartmut Neven，與以太坊基金會研究員 Justin Drake 及史丹佛密碼學家 Dan Boneh 共同撰寫。論文結論指出，破解支撐比特幣和以太坊交易簽名的 256 位橢圓曲線離散對數問題，僅需少於 500,000 個物理量子位元，較以往估計的百萬級門檻大幅降低約 20 倍。

「我們希望提高對此問題的認識，並在這成為可能之前，為加密貨幣社區提供改善安全性和穩定性的建議，」谷歌研究人員寫道於一篇配套的部落格文章中。

白皮書將量子攻擊分為三類，每類均針對交易生命週期中不同的弱點。

首先，「即時花費」攻擊針對處於傳輸中的交易。當使用者廣播一筆比特幣交易時，公鑰會在記憶體池中變得可見。在使用超導或光子量子位元的快速時鐘量子架構下，該論文估計，推導出對應的私鑰大約需要九分鐘。比特幣的平均區塊確認時間為 10 分鐘，這為攻擊者提供了狹窄但可行的窗口，以簽署一筆欺詐性的替代交易並搶先於原始交易。

其次，「靜態」攻擊針對的是公鑰已永久暴露於鏈上的休眠錢包。早期的比特幣輸出使用了直接嵌入公鑰的 Pay-to-Public-Key 腳本，而地址重用進一步加劇了這種暴露。該論文估計，目前約有 690 萬枚 BTC 易受此類攻擊，其中包括約 170 萬枚來自中本聰時代的幣。與「支出時」攻擊不同，此類攻擊沒有時間限制——任何量子計算機都可以按照自己的節奏破解加密演算法。

「透過量子技術加速挖礦主要只是一個旁支，真正具有存在性威脅的向量是私鑰竊取，」TEN Protocol 的首席產品官兼共同創辦人 Cais Manai 在二月對 The Defiant 表示。

最後，「設定時」攻擊專門針對以太坊資料可用性取樣等系統所依賴的密碼學儀式。以太坊的 blob 資料驗證所使用的 KZG 多項式承諾方案，依賴於一次性的可信設定，該設定會生成一個秘密標量，並在之後予以銷毀。量子電腦可從公開可用的參數中恢復該秘密，從而創造出一篇論文所稱的永久且可重複利用的漏洞，無需進一步的量子運算即可偽造資料可用性證明。

白皮書指出，僅以太坊就至少有五種不同的攻擊類別。

超越錢包層級的風險——該論文指出，約有 2050 萬枚 ETH 存放在公開密鑰外洩的帳戶中——控制穩定幣鑄造權限的管理密鑰也依賴於同樣易受攻擊的簽名。論文估計，約有 2000 億美元的穩定幣和以太坊上的代幣化資產依賴於這些管理密鑰。

以太坊的權益證明共識層面臨自身的風險。約 37 百萬枚質押的 ETH 透過該論文認為易受量子攻擊的數位簽章進行驗證。該論文警告，若大型質押池的集中度被利用，破壞共識的門檻將顯著降低。

第 2 層網路帶來額外風險。該論文估計，各大滾動層和跨鏈橋樑上至少有 1500 萬 ETH 暴露於風險中。作者指出，採用基於雜湊而非橢圓曲線密碼學的 StarkNet 在量子安全方面尤為突出。

論文警告稱：「社區將很快面臨關於這些資產命運的艱難且前所未有的決定，迫使人們在加密財產權的不可變性與網絡的經濟穩定性之間做出取捨。」

在論文作者所描述的量子密碼分析首次突破中，谷歌並未發布用於實現其優化資源估計的實際量子電路。相反，該團隊將其電路模擬器運行於 SP1 零知識虛擬機中，並發布了一個 Groth16 zkSNARK 證明，使第三方能在不獲取執行攻擊所需特定技術的情況下，驗證所聲稱的資源減少。

研究人員寫道：「為負責任地分享此項研究，我們與美國政府合作，透過零知識證明開發了一種新方法來描述這些漏洞，以便在不提供惡意行為者路線圖的情況下進行驗證。」

這份報告是在 Ethereum Foundation 推出一個公共資源中心一週後發布的，該中心將八年來的後量子研究整合為一個分階段的遷移路線圖。Ethereum Foundation 的計劃目標是在 2029 年前透過四次連續的硬分叉，對核心 Layer 1 協議進行升級，首先為驗證者配備抗量子備用密鑰，並逐步以基於雜湊的替代方案取代現有的 BLS 簽名方案。

比特幣的 BIP-360 提案建議採用抗量子的 Pay-to-Merkle-Root 輸出類型，以取代 Taproot 中易受攻擊的密鑰路徑支出方式，該提案已於二月合併至官方 BIP 倉庫。但此提案並未引入後量子簽名——僅移除了公鑰暴露的一種類型。完整的密碼學遷移將需要更大規模的協議變更。

Google 本身已 設定 2029 年為截止日期，以將其自身的認證和數位簽章服務遷移至抗量子密碼學。

這篇論文可能最具政治敏感性的含義，涉及無法遷移的資產——私鑰遺失的钱包中被鎖定的幣，包括中本聰估計在早期 P2PK 輸出中持有的 1.1 百萬 BTC。這些幣無法主動遷移至量子安全地址。

該論文提出了一個「數位打撈」框架，借鑑海事打撈法，作為解決這些資產量子恢復問題的潛在治理模式。行業面臨的政策選擇十分明確：是進行硬分叉並焚毀未遷移的代幣，設定遷移截止日期並配合限速提款期，還是允許具備量子能力的參與者聲稱休眠資產。

該論文並未聲稱現有的量子硬體今天就能執行這些攻擊——正如The Defiant noted在2024年12月該晶片發布時所指出的，谷歌最先進的處理器Willow僅擁有105個物理量子位。

但優化路徑才是核心論點：僅憑演算法改進，破解橢圓曲線密碼學的資源估計就下降了約一個數量級，與硬體擴展無關。

對於比特幣和以太坊——這兩個網絡佔據了加密貨幣市場資本總值的絕大多數——問題已不再是是否要遷移，而是定義這些協議的治理流程能否足夠快速地推進。

「這篇論文直接駁斥了加密貨幣行業用來否認量子威脅的每一個論點，」後量子遷移公司 Project Eleven 的首席執行官兼共同創辦人 Alex Pruden 透過郵件告訴 The Defiant。

「保護這些網絡的解決方案已經存在；問題在於，行業其他參與者和核心協議開發者是現在就開始建設，還是等到承受後果，」他總結道。

本文由 AI 工作流程協助撰寫，我們的所有文章均由人類進行策劃、編輯與事實核查。