1. 引言
本文重点关注:以太坊正在如何为后量子时代做准备、当前有哪些脆弱点,以及社区正在构建哪些防护方案。
量子计算机最终将能够破解当前保护以太坊以及大多数数字系统的加密方法。本文解释这意味着什么、以太坊网络如何主动推进改进来降低这一风险,以及需要了解的内容。
2. 为什么后量子密码学很重要
以太坊依赖多种密码学机制来保障网络安全并保护用户资金。其中最重要的包括:
- 椭圆曲线数字签名算法(ECDSA):用于签署交易的密码学方案。用户的以太坊账户安全依赖于它。
- BLS 签名:验证者用于就网络状态达成共识。
- KZG 多项式承诺(Polynomial Commitments):用于以太坊扩容路线中的数据可用性。
- 零知识证明系统(ZK-proof systems):被 Rollup 及其他应用用于链下计算验证。
这些机制都依赖某些数学结构(如阿贝尔群)。对于经典计算机而言,这些问题难以求解;但量子计算机可以利用 Shor's algorithm 高效求解。
3. 量子计算机会在何时威胁以太坊?
2026 年 3 月,Google Quantum AI 发布研究称,破解 256 位椭圆曲线密码(即以太坊账户签名所使用的类型)大约需要 1,200 个逻辑量子比特(logical qubits)。而更早期的估算通常远高于这个数字。Google 还设定了一个内部目标:在 2029 年前将其自身系统迁移至后量子密码体系。
当前的量子硬件距离这一规模仍相差甚远。目前设备通常只拥有数千个存在噪声的物理量子比特。逻辑量子比特(能够进行纠错并执行可靠计算)则需要由大量物理量子比特构成。当前硬件与真正能够破解以太坊密码学之间仍存在巨大差距,但这一差距的缩小速度比许多人预期得更快。
值得注意的是,美国国家标准与技术研究院(NIST)预计将在 2030 年弃用 ECDSA,并在 2035 年正式禁止其使用。
这并不是一个迫在眉睫的威胁。但密码学迁移往往需要多年时间,而以太坊的安全模型目标是持续数百年。因此,以太坊提出了 Lean Ethereum 路线图------一个长期、多阶段的计划,旨在围绕能够抵御未来任何密码学威胁的基础原语,重构整个以太坊体系。
4. 四个容易受到量子攻击的领域
2026 年 2 月,Vitalik Buterin 发布了一份路线图,指出以太坊密码学体系中有四个不同领域需要进行后量子升级。每个领域面临的挑战不同,解决路径也不同。
- 1)共识层 BLS 签名
- 2)数据可用性:KZG 承诺
- 3)账户签名:ECDSA
- 4)应用层零知识证明(ZK-Proofs)
4.1 共识层 BLS 签名
作用是什么:以太坊的 PoS(权益证明)协议使用 BLS 签名来聚合数十万个验证者的投票。BLS 允许将大量签名合并成一个,从而保持网络高效运行。
为什么容易受到攻击:BLS 签名依赖椭圆曲线配对(elliptic curve pairings),而量子计算机能够破解这类密码学结构。
解决方案方向:Lean Consensus 路线图包括开发两个互补工具:
- leanXMSS:以太坊将使用 leanXMSS(一种基于哈希的签名方案)替代 BLS 签名用于验证者签名。基于哈希的签名通常被认为具备抗量子能力,因为它们仅依赖哈希函数的安全性;量子计算机会削弱哈希安全性,但无法直接破解它。
- leanVM:一个极简 zkVM(零知识虚拟机),用于基于 SNARK 的签名聚合。由于基于哈希的签名体积明显更大(约 3,000 字节,而 BLS 仅约 96 字节),切换到 leanXMSS 后,每个 slot 产生的数据量会显著增加。为了解决这个问题,leanVM 作为聚合引擎,可将数据压缩约 250 倍。这样即使切换到抗量子签名方案,仍然能够保留"将大量签名聚合为一个"的效率优势。
为什么以太坊不能直接用一种抗量子方案替换 BLS?
使 BLS 高效的"签名聚合"特性(即把数十万个签名合并成一个)目前并没有明显对应的抗量子替代方案。而且,后量子签名的体积通常也远大于 BLS 签名。
如果只是简单地把 BLS 替换为后量子签名方案,将会让以太坊共识层变得明显更慢、成本更高。
这也是为什么以太坊团队正在构建 leanVM:一种利用零知识证明来高效聚合抗量子签名的工具。
4.2 数据可用性:KZG 承诺
作用是什么:KZG 多项式承诺用于确保数据(尤其是 Rollup 的 blob 数据)在网络中可用,而无需每个节点都下载全部数据。
为什么容易受到攻击:KZG 承诺依赖椭圆曲线配对,而这正是量子计算机能够攻击的数学结构。
当前缓解措施:KZG 承诺使用一种"可信设置(trusted setup)"机制,由许多参与者共同贡献随机性。只要其中至少有一个参与者是诚实的,并且销毁了自己的秘密数据,那么即使未来量子计算机试图事后逆向恢复这些秘密,该 setup 依然是安全的。
长期解决方案:使用抗量子的承诺方案替换 KZG。目前主要有两个候选方向:
- 基于 STARK 的承诺方案:依赖哈希函数而非椭圆曲线。目前已经被部分 ZK Rollup 使用。
- 基于格(Lattice)的承诺方案:依赖格问题的困难性,而格问题被普遍认为具备抗量子能力。
这两种方案目前仍在研究其在以太坊规模下的效率与实际可行性。
4.3 账户签名:ECDSA
作用是什么:每个标准以太坊账户(EOA,外部拥有账户)都使用 secp256k1 曲线上的 ECDSA 来签署交易。这正是保护用户资金安全的核心机制。
为什么容易受到攻击:对于任何已经发送过交易的账户,其公钥都会暴露在链上。量子计算机可以基于这些已暴露的公钥数据反推出私钥。
一个重要细节:如果账户仅接收过 ETH、从未发送过交易,那么其公钥尚未暴露。链上仅能看到地址(即公钥的哈希值),这会额外提供一层保护。
解决方案方向 :以太坊并不计划进行一次性、全协议范围的迁移,而是计划通过 账户抽象(account abstraction)(具体是预计在 2026 年下半年 Hegotá 中考虑纳入的 EIP-8141)为用户提供 签名灵活性(signature agility)。这样,单个账户就可以独立切换到后量子签名方案,而无需等待整个协议完成升级。
这是一个相对务实的方案。希望尽早获得抗量子保护的钱包和用户可以自愿采用,而整个生态系统则可以逐步完成迁移。
4.4 应用层零知识证明(ZK-Proofs)
作用是什么:零知识证明系统被 L2 Rollup 和其他应用用于验证计算结果,而无需暴露底层数据。
为什么容易受到攻击:许多主流 ZK 证明系统(如基于椭圆曲线配对的 SNARK)依赖于容易受到量子攻击的数学假设。
解决方案方向:STARK 使用哈希函数而非椭圆曲线,因此天然具备抗量子能力。目前已有多个 Rollup 在使用 STARK。生态系统对 STARK 方案的自然采用,实际上已经在应用层提供了后量子安全能力。
5. NIST 标准
2024 年 8 月,美国国家标准与技术研究院(NIST)正式发布了三项后量子密码学标准。
这些标准之所以重要,是因为它们为整个科技行业(包括以太坊)提供了一套经过审查和验证的统一算法基础,而不需要每个项目都自行设计一套后量子密码方案。
| 标准 | 名称 | 类型 | 使用场景 |
|---|---|---|---|
| FIPS 203 | ML-KEM | 基于格(Lattice-based) | 密钥封装(密钥交换) |
| FIPS 204 | ML-DSA(Dilithium) | 基于格 | 数字签名 |
| FIPS 205 | SLH-DSA(SPHINCS+) | 基于哈希(Hash-based) | 数字签名 |
这些标准为整个行业向后量子时代迁移奠定了基础。以太坊的工作是在这些标准之上进一步扩展,并特别关注去中心化网络中的独特挑战,例如效率与签名聚合能力。
6. 以太坊基金会的方案路线
Ethereum Foundation 于 2026 年 1 月成立了专门的后量子安全团队(Post-Quantum Security team),由 Thomas Coratger 领导。该团队的工作进展会公开发布在 pq.ethereum.org。
7. 当前进展(截至 2026 年 4 月)
- 每周互操作性开发测试网(interop devnets):已有超过 10 个客户端团队参与定期的后量子互操作性测试,包括 Lighthouse、Grandine、Zeam、Ream Labs 和 PierTwo。
- Poseidon Prize:一项 100 万美元的研究奖励计划,旨在推动基于哈希的密码学原语改进。
- 开源实现 :leanXMSS、leanVM、leanSpec(Python)、leanSig(Rust)以及 leanMultisig 均已在 leanEthereum GitHub organization 开源。
- 第二届年度后量子研究 Retreat:计划于 2026 年 10 月 9 日至 10 月 12 日在英国剑桥举行。
- 与 NIST 标准对齐:以太坊的后量子工作建立在 NIST 于 2024 年 8 月最终确定的后量子密码标准之上(例如 ML-KEM、ML-DSA 与 SLH-DSA)。
8. 迁移里程碑
以太坊团队已经规划了一系列协议升级,用于逐步将后量子密码学引入以太坊。这些属于规划中的阶段性目标,并非已经确定的最终承诺。名称和顺序未来都可能发生变化。
| 里程碑 | 引入内容 |
|---|---|
| I* | 后量子公钥注册表。验证者可以在现有 BLS 公钥之外,额外注册后量子公钥。 |
| J* | 后量子签名验证预编译(precompile)。智能合约与钱包可以原生验证后量子签名。 |
| L* | 通过 leanVM 实现后量子证明(PQ attestations)与实时共识层证明。验证者开始在共识中使用后量子签名。 |
| M* | 完整的后量子签名聚合,以及抗量子的 blob 承诺方案。 |
目标:这些结构化分叉里程碑的目标,是在大约 2029 年前完成核心后量子基础设施。完整的执行层(execution layer)与生态系统迁移则会延续到更久之后。
9. 用户需要做什么?
现在:什么都不用做。 用户的资金目前是安全的。现阶段没有任何量子计算机能够威胁以太坊的密码学体系。
未来:当后量子签名方案在以太坊上得到广泛支持后(预计会在 Hegotá 硬分叉及 EIP-8141 落地之后),用户需要将账户迁移到抗量子签名方案。钱包软件会引导完成这一迁移过程。
如果账户从未发送过交易(即公钥尚未在链上暴露),那么它会额外拥有一层保护。但最终所有账户都应完成迁移。
至于如何处理"休眠钱包"(即账户所有者可能并不知道需要迁移的账户),目前仍是一个开放的治理议题。以太坊社区尚未对此达成共识。
10. 常见问题
量子计算机今天能偷走用户的 ETH 吗?
不能。 当前没有任何量子计算机能够破解以太坊的密码学体系。现有量子硬件距离真正所需规模还差得非常远。本文所描述的工作,是面向未来的提前准备,而不是对现实中已存在威胁的紧急应对。
量子计算机何时会成为真正威胁?
目前业内估计差异较大。Google 在 2026 年 3 月的研究认为,能够破解 256 位椭圆曲线密码学的硬件,最早可能会在本十年末期出现,但仍然存在大量工程挑战。大多数研究人员认为,现实中的威胁至少还需要数年时间。
坦率地说,没有人知道确切时间线------而这恰恰也是为什么现在就开始准备如此重要。
用户需要做些什么来保护其钱包吗?
最终是需要的。一旦以太坊支持后量子签名方案,用户将需要把自己的账户迁移到新的签名体系。钱包软件很可能会帮助自动完成这一迁移过程。
但目前用户无需采取任何行动。当真正需要用户操作时,以太坊社区和钱包开发者会提供明确的指引与工具。
用户的代币、NFT 和 DeFi 仓位怎么办?
以太坊上的资产是由账户签名控制的。一旦用户的账户迁移到了抗量子签名方案,该账户中的所有资产都会随之受到保护。用户不需要逐个迁移每个资产。
不过,持有资金的智能合约(如 DeFi 协议)可能需要根据其内部所使用的密码学原语,进行各自的升级。
以太坊在这方面落后于其他区块链吗?
并没有。以太坊拥有目前区块链领域中最系统化的后量子计划之一:包括专门团队、研究资金支持、每周开发测试网,以及公开的迁移路线图,并且已经把量子计算视为核心设计约束之一。
目前还没有任何区块链完成了全面的后量子迁移。根据 Ethereum Foundation 的估计,以太坊中暴露于量子风险的"休眠资金"占比约为 0.1%,远低于其他主流区块链网络。
什么是 "Harvest now, decrypt later(现在收集,未来破解)"?
"Harvest now, decrypt later" 指的是一种攻击方式:攻击者今天先记录下加密数据或已暴露的公钥,等未来拥有足够强大的量子计算机后,再去破解这些数据。
对于以太坊而言,这主要关系到那些公钥已经暴露在链上的账户(即任何发送过交易的账户)。
这也是为什么尽管量子威胁尚未真正到来,社区仍然认为后量子迁移具有时间敏感性的重要原因之一。
参考资料
1\] 以太坊基金会2026年4月9日博客 [Post-quantum cryptography on Ethereum](https://ethereum.org/roadmap/future-proofing/quantum-resistance/)