量子計算的時間線分裂：Vitalik Buterin 和 Nick Szabo 如何不同看待以太坊的加密危機

當Vitalik Buterin在布宜諾斯艾利斯的Devconnect發表演說時，他的信息在加密社群中引起了震動：保障以太坊和比特幣的橢圓曲線“將會死亡”。但並非所有人都認同他的緊迫感。幫助開創智能合約的傳奇密碼學家Nick Szabo提供了一個截然不同的觀點：量子威脅“終究不可避免”，但目前的治理、法律和社會風險帶來的更是迫在眉睫的危險。這種根本的分歧並非關於量子電腦是否威脅加密——而是何時，以及今天應該關注什麼。

改變產業時間線的20%概率

在2025年，Buterin量化了長久以來的抽象推測。他引用Metaculus平台的預測，將量子電腦在2030年前破解現有密碼系統的概率定為20%。中位預測則延伸到2040年——留出十年的緩衝期。但Buterin在Devconnect的立場變得更為堅定：研究現在顯示，對256位橢圓曲線的量子攻擊可能在2028年美國總統選舉之前變得可行。這不是遙遠的抽象風險，而是在一屆總統任期內。

這些聲明刻意避免末日預言的語調。正如Buterin解釋：量子電腦今天不會危及加密資產，但轉向後量子安全需要數年的時間。現在拖延，未來就可能陷入混亂。產業必須立即開始建設抗量子攻擊的基礎設施——不是因為威脅會在下個月到來，而是因為去中心化網絡行動緩慢。

為何橢圓曲線成為以太坊的阿喀琉斯之踵

以太坊和比特幣都依賴ECDSA（橢圓曲線數字簽名算法），使用secp256k1曲線。密碼學設計巧妙：私鑰是一個隨機數，公鑰是由私鑰導出的曲線上的點，地址則是該公鑰的哈希。反向破解——從公鑰回推私鑰——需要解決一個離散對數問題，傳統電腦認為幾乎不可能。

量子計算能打破這個不對稱性。Shor’s算法，在1994年理論上證明，足夠強大的量子電腦可以在多項式時間內解決離散對數和因數分解問題。這將危及ECDSA、RSA和Diffie-Hellman等方案。

這個漏洞有實際角度：只要你從未花費過某個地址，鏈上只會顯示該地址的哈希（仍具抗量子性）。但一旦你發送交易，你的公鑰就會曝光。未來的量子攻擊者擁有這些原始資料，理論上可以重建你的私鑰。這種“休眠地址”和“活躍地址”之間的時間差，塑造了每一個遷移策略。

Google Willow與現實檢驗

2024年底，Google宣布了Willow，一款105量子比特的超導量子處理器，在不到五分鐘內完成一項計算——這項任務若用經典超級電腦大約需要10萬億年。更重要的是，Willow實現了**“低於閾值”**的量子錯誤更正，即增加量子比特數反而降低錯誤率。這是量子計算30年來的聖杯終於被攻破。

然而，Google量子AI主管Neven立即澄清：Willow無法破解現代密碼學。破解RSA需要數千萬到數億個物理量子比特。學術界普遍預估，這至少還有10年的距離——這是底線，不是天花板。

IBM和Google都預計在2029-2030年前後實現容錯量子電腦。這種“沒有量子密碼分析能力”與“容錯系統已存在”之間的接近，讓Buterin的20%概率看起來合理而非危言聳聽。

Nick Szabo的反駁：時間、信任與嵌入的歷史

這裡，Nick Szabo的觀點成為辯論的關鍵。Szabo不否認量子風險，他將其置於背景中。他強調，雖然量子攻擊“終究不可避免”，但當前治理、法律和社會的威脅更為迫切。他用一個強而有力的比喻：交易就像“被困在琥珀中的蒼蠅”——越積越多的區塊圍繞著一筆交易，就越難將其擺脫，即使面對強大的對手。

Szabo的觀點反映了不同的時間視角。他優先考慮當前存在的風險——監管敵意、交易所崩潰、協議治理被操控——而非投機性的未來威脅。他的謹慎不是否認，而是資源的分配。在資源有限的世界裡，對已知敵人的防禦可能比為假設的威脅做準備更重要。這種框架引起許多建設者的共鳴，他們認為量子遷移固然重要，但尚未迫在眉睫。

Blockstream的CEO、比特幣先驅Adam Back也持類似謹慎立場。他警告說，量子威脅“還有幾十年”，而“穩定的研究”勝過“匆忙或破壞性的協議變更”。他的擔憂與Szabo一致：恐慌驅動的升級可能引入比量子威脅更嚴重的漏洞。一個失誤的遷移甚至可能比量子電腦破解更快崩潰系統。

以太坊的量子緊急逃生路線

在這些公開辯論之前，Buterin已於2024年發布一篇研究文章，詳細說明以太坊的量子緊急應對計劃。該策略假設量子突破突然來襲，且系統未做好準備。如果大規模的量子盜竊在鏈上變得明顯，以太坊可以：

偵測並回滾：將鏈回溯到明顯受到量子攻擊前的最後一個區塊。

凍結傳統交易：禁用使用ECDSA的傳統外部擁有帳戶（EOAs），切斷進一步的盜竊，因為公鑰已曝光。

通過智能合約遷移：引入一種新型交易，允許用戶證明（通過STARK零知識證明）他們控制原始種子，然後轉向抗量子智能合約錢包。

這個方案明確是最後手段。但Buterin的核心論點是：執行這一方案所需的基礎設施——帳戶抽象、強大的零知識系統、標準化的後量子簽名方案——應該“現在”就開始建設，而非在危機中臨時趕工。

後量子武器庫：NIST標準已經到來

好消息是：密碼學解決方案已經存在。2024年，NIST完成了其首批三個**後量子密碼（PQC）**標準：用於密鑰封裝的ML-KEM，數字簽名的ML-DSA和SLH-DSA。這些算法基於格子數學或哈希函數，理論上抗Shor算法攻擊。

一份2024年的NIST/白宮報告預估，2025年至2035年間，美國聯邦將投入71億美元用於量子遷移。在區塊鏈方面，Naoris Protocol正建立一個本地整合後量子算法的去中心化網絡安全基礎設施。2025年，Naoris在SEC提交文件中被引用為抗量子區塊鏈基礎設施的範例。

Naoris部署了一個名為dPoSec（去中心化安全證明）的機制：每個設備都成為驗證者，實時驗證其他設備的安全狀態。結合後量子密碼學，這個去中心化網格消除了單點故障。根據Naoris的數據，其2025年的測試網處理了超過1億次抗量子安全交易，並在實時中緩解了超過6億次威脅。主網部署預計在2026年第一季度。

帳戶抽象與以太坊的未來之路

以太坊的抗量子能力不僅取決於理論密碼學。協議還需要實用的遷移工具。**帳戶抽象（ERC-4337）**允許用戶從傳統EOA升級到智能合約錢包，實現簽名方案的切換，而不必更改地址或進行緊急硬分叉。一些團隊已經在以太坊上展示了Lamport或XMSS風格的抗量子錢包實現。

但橢圓曲線不僅用於用戶端。共識中使用的BLS簽名、數據可用性的KZG承諾，以及部分rollup證明系統，都依賴離散對數的困難性。完整的抗量子路線圖需要為每個密碼學構件提供替代方案，而不僅僅是用戶簽名。

Nick Szabo的重點：風險層級的排序

Buterin與Szabo的辯論最終反映出兩種風險模型的競爭。Szabo的“琥珀陷阱”比喻具有戰略意義：不可變性——交易背後越多的區塊——提供對未來對手的安全保障。按照這個邏輯，較早的交易不會受到量子攻擊的威脅；它們受到重寫歷史的巨大計算成本保護。Szabo認為，這是以太坊已經擁有的自然防禦機制。

Buterin則反駁說，依賴歷史的不可變性會讓活躍錢包和當前交易暴露在風險中。這場辯論不僅是技術層面——更是關於優先考慮哪些風險、何時採取行動。Nick Szabo的聲音讓討論保持誠實：量子風險是真實的，但疏忽或破壞性升級的危險也同樣存在。

加密資產持有者的實務建議

2030年前20%的概率意味著，仍有80%的可能量子電腦不會在此期間威脅加密。但在一個3兆美元的市場中，20%的災難性安全失敗概率，值得認真準備。

對交易者而言：保持正常操作，同時關注協議升級和密碼學路線圖。

對長期持有者：優先選擇積極建設後量子基礎設施的平台和協議。偏好允許在不更改地址的情況下進行密碼學升級的托管方案。避免地址重用——公開密鑰越少，攻擊面越小。密切關注以太坊的後量子簽名採用情況，一旦工具成熟，即可進行遷移。

這兩位（雖然立場不同）都提出了最佳的框架：將量子風險視為工程師設計地震或洪水防護的思考方式。它不太可能在今年發生，但在長遠的時間範圍內，足夠可能，提前建立抗量子基礎，都是明智之舉。