Quantus 執行長 Christopher Smith 談量子威脅：沒有人在加密貨幣界想面對

量子計算在加密領域常被談論為一個遙遠的風險，認為是行業“某天”需要擔心的事情。但對於Quantus的CEO Christopher Smith來說，這種心態已經危險地過時了。他相信，加密世界最大的錯誤是將量子威脅視為一個狹隘的錢包安全問題，而實際上風險遠不止被盜的密鑰。

在這次訪談中，Smith 分析了他認為真正的危險是系統性問題，涉及比特幣長期暴露於穩定幣、橋接、隱私工具甚至投資者信心等各方面。他還解釋了為什麼在量子時代，區塊鏈的升級可能比傳統金融或中心化網絡系統更困難。他的訊息直白：行業面臨的不僅是技術問題，更是協調問題，而且時間可能比大多數人想像的更快用完。

Q1. 大多數關於量子威脅的討論都集中在錢包安全和私鑰被盜。你認為更廣泛的加密行業仍然誤解了量子計算帶來的系統性風險嗎？

這實際上是一個你必須跑得比熊還快的情況，不僅僅是你的朋友。即使你能讓你的錢包量子安全，那也不代表價格是量子安全的。如果你不重複使用比特幣地址，你在一定程度上是量子安全的，但如果中國政府拿到中本聰的幣，市場就會崩潰。

Q2. 你的報告指出“風險時間線”現在比行業的應對機制更快。近期哪些量子計算的發展讓你相信這不再是遙遠的理論問題？

真正的起點是2024年底谷歌的 Willow 晶片。之前，認為量子計算可能根本不可能，因為還未被發現的原理。但 Willow 證明了量子錯誤更正是可行的。

之後，量子計算從“也許可能，如果奇蹟出現”變成“只要有足夠工程資源就一定可能”。

今年又有兩份重要報告，一份來自谷歌，一份來自 Oratomic，顯著縮小了破解比特幣密鑰所需資源的估計，差距達數個數量級。谷歌的論文是軟體改進，Oratomic則是硬體，問題正從兩端被解決。

試圖預測這些的專家需要理解技術發展本質上是非線性且隨機的。如果等到有人能破解128位密鑰，可能已經太遲，無法遷移數百萬個地址。

Q3. 谷歌、貝萊德、花旗等主要機構的報告都以不同方式提及了量子風險。你認為這些報告在區塊鏈基礎設施方面忽略了哪些重要層面？

我覺得現在機構開始談論這個很棒。唯一的抱怨是他們聲稱風險還有好幾年，這其實他們並不確定。尤其是量子計算與網絡安全，甚至國家安全的相關性，讓公眾可能無法完全了解最新技術的狀況。以我們所知，美國政府可能已經擁有一台量子電腦，他們警告大家升級，因為他們認為中國很快就會擁有。

Q4. 你描述加密比傳統網路系統更脆弱，因為公鑰在鏈上永遠暴露。為什麼區塊鏈在“修補”量子威脅方面比傳統金融或網絡基礎設施更困難？

Signal Messenger、iMessage 和 CloudFlare 都已經是後量子系統。他們的用戶不需要做任何事情，因為這些系統或多或少是中心化的。銀行系統大致也是如此。它們有很多遺留層，這帶來困難，但基本上，有CEO可以說“我們要這樣做”，工程師就會建設，然後一鍵切換，所有用戶在一天內升級。用戶不管理自己的密鑰。

而在區塊鏈中情況不同。“不是你的密鑰，就不是你的幣”。即使開發者決定並更新加密技術，用戶也必須採取他們可能不理解的行動。如果密鑰遺失或用戶去世，甚至可能無法完成。

因此，技術層面並不是區塊鏈的瓶頸，社會層面的協調與遷移才是真正的挑戰。

Q5. 報告提出“偉大的量子濾波器”概念，即資本可能從脆弱鏈轉移到量子安全鏈。有哪些跡象會顯示這一轉變已經開始？

當谷歌宣布他們的量子晶片“Willow”時，加密市場像往常一樣反應過度，但也正確識別出比特幣是脆弱的，而像QRL這樣的鏈則不是。你可以看到，當天QRL的價格飆升，而比特幣則下跌。

一些投資者如Charles Edwards認為，比特幣近期表現不佳，部分原因是機構和大戶已經在價格中反映了量子威脅。

所以要觀察的點是：當有關量子進展的新報告出來時，哪些幣會漲，哪些會跌？

Q6. 報告中一個令人驚訝的發現是，從ECDSA轉向ML-DSA-87簽名時，交易大小大幅增加。你認為可擴展性，而非密碼學本身，會成為後量子採用的最大障礙嗎？

在計算機科學中有句老話，“過早優化是萬惡之源”。工程師有時會陷在細節中，忽略大局。沒有比數字簽名不安全更大的失敗模式了。你不如回到用銀行或傳金幣之類的方式。

所以安全是最重要的。性能是次要的。“正確、快速、美觀。按這個順序”。如果以天真的方式進行後量子升級，性能會受到影響。這也是我們提出“QTPS”——量子每秒交易數的原因。人們通常根據最大TPS來評價區塊鏈，但Solana做過一個後量子試點，TPS下降了90%，性能損失是真實的。另一方面，如果沒有用戶，較高的QTPS也沒意義。

Q7. Quantus認為後量子密碼學創造了一個新的區塊鏈三難困境。你能解釋在量子時代，安全、隱私和擴展性如何變得更難平衡嗎？

是的，這裡有三個相互關聯的關係。後量子簽名和密鑰佔用更多空間，但隱私技術也使用密碼學，而這些密碼學可以是前量子或後量子。後量子隱私技術通常證明更大。

而且，隱私本身會影響擴展性。加密任何東西都會使索引變得困難，導致擴展性挑戰，比如錢包必須下載所有交易並嘗試解密，以查看哪些是相關的。這些因素本身就存在張力，但優秀的工程就是在權衡中找到平衡。你可以做任何事，但都會付出代價。

Q8. 目前許多區塊鏈項目仍依賴基於橢圓曲線的零知識系統，如Groth16或PLONK。行業對於一些最受歡迎的隱私技術可能也會變得量子脆弱的現實準備得如何？

我認為目前已經相當普遍知道zk並非自動後量子，但我覺得人們常常忽略一個特殊的失效模式，與標準數字簽名不同。在前量子zk系統中，量子攻擊者可以製造假證明，看起來像是真的，但無法撤回真正的證明或看到隱藏的輸入。

舉例來說，這也是為什麼有人說Zcash在某種程度上是量子安全的。量子攻擊者無法從你的隱蔽交易中獲取私鑰，但他可以製造假交易，從而鑄造無限幣。

Q9. 你的架構使用Wormhole地址、Plonky2和STARK風格的證明聚合來降低後量子交易的負擔。從你的角度來看，為什麼量子安全最終會成為一個架構問題，而不僅僅是密碼學升級？

十年來的口號一直是“比特幣無法擴展”，這在某種程度上是對的。區塊鏈確實面臨擴展挑戰，若以天真的方式整合後量子密碼學，只會讓問題更嚴重。比特幣已經是TPS最慢的鏈，大約7 TPS，如果不提高區塊大小，QTPS將遠低於1。

但我們不必用天真的方法。我們有現代技術，這些技術在比特幣誕生時根本不存在。零知識密碼學不僅提供隱私，還能壓縮計算，有助於擴展。但它是一項相當有主見的技術，且難以事後加入。它必須在一開始就引入，才能正常運作。

Q10. 報告指出穩定幣管理密鑰、橋接驗證者、多簽托管系統和治理合約面臨風險。在這些領域中，你認為哪一個可能成為量子情境下的第一個主要失敗點？

如果我戴上黑帽，想像最壞情況，可能是這樣：假設朝鮮成功獲得一台能破解密鑰的量子電腦。它們可能想賺錢，但更可能的是想削弱美國和美元的影響力，因為現在美元通過穩定幣在全球分布，沒有銀行介入。如果朝鮮想確保沒有人再信任穩定幣，他們可能破解USDC的管理密鑰。一旦做到，他們可以在一筆交易中改變密鑰，讓其他人無法控制，凍結所有最大賬戶，鑄造一千萬億幣，買入任何在去中心化交易所的主要幣，然後悄然退出。這裡最有趣的是，穩定幣不同於其他代幣。對於穩定幣來說，區塊鏈並不是最終的所有權判定。Circle可以聯絡所有交易所，發佈新合約，恢復到被攻擊前的餘額，但其他生態系統就沒那麼容易了。比如ETH或WBTC的餘額幾乎不可能回滾。DeFi將崩潰，可能要十年才能恢復。

這只是其中一個場景，並非唯一。另一個可能是量子引發比特幣危機，誘使不同角色控制它。我可以想像BlackRock試圖進行敵意收購，製造一個後量子制裁友好的比特幣分叉，並只在其ETF中承認該分叉（他們保留選擇分叉的權利）。所以密碼學很重要，這是一場高賭注的遊戲，可能會有一些花招。

Q11. NIST在2024年完成了後量子密碼標準制定，像Signal、Google Chrome和Apple已經開始採用。為什麼你認為加密行業的推進速度如此緩慢，儘管它可能面臨更大的風險？

我認為，行業已經迷失在賭博中了。過度槓桿和迷因幣，過去幾年在區塊鏈上大多是內部人和外部人之間的零和遊戲。

大家都看向比特幣，它是最慢的。比特幣有一個強大的免疫系統，抗拒變革，這在你已經完美時很棒，但密碼學一直是軍備競賽，所以“固化”在橢圓曲線上永遠行不通，不管有沒有量子。

Q12. 如果行業等太久，等到“Q日”來臨時才進行有意義的遷移，你認為最壞的情況會是什麼？

最壞的情況是大量資金離開加密，且不再回來。整個市場的市值可能會跌到幾百億甚至幾十億美元，DeFi也幾乎死掉。

當然，我不希望那樣。我一生都在區塊鏈工作，這也是我們建立Quantus的原因。它就像是方舟，為量子洪水準備。

訪談結語

Christopher Smith的訊息是，量子風險在加密領域並非遙遠的技術理論，而是一個行業仍低估的真正結構性威脅。在他看來，危險不僅僅是暴露的私鑰，還可能重塑比特幣的市場價值、穩定幣、隱私工具甚至跨鏈基礎設施。他認為，更大的問題在於，加密不能靠簡單的軟體修補來解決，必須在量子時代來臨前進行大規模協調遷移，否則將從投機轉變為市場危機。