量子计算对区块链和加密货币交易所的影响

量子计算对区块链和加密货币交易所的影响

底层密码学安全风险

1. 公钥密码体系完全失效(ECC,RSA)

主流区块链依赖椭圆曲线签名(ECDSA / EdDSA)

传统公钥加密依赖的数学难题：

• RSA: 大整数因式分解
• DH密码交换/DSA签名: 整数域的离散对数问题 （已知a，b，a^x=b，求x)
• ECC: 椭圆曲线上的离散对数问题 (已知Q，P，a*P=Q，求a)

经典计算机的解决办法是guess and check

量子计算中的 Shor 算法可在多项式时间内破解因式分解和离散对数问题。这两个问题都能转化为周期发现问题 period-finding problem

比如分解大数N，随机找一个与N没公因数的a, 定义周期函数f(x) = a^x mod N，计算函数周期r

经典计算机需要一个个试(a^1 % N, a^2 %N, …, 直到结果重复)

量子计算机可同时计算所有x，一个寄存器保存所有x的叠加态(superposition)，另一个寄存器保存对应f(x)的叠加态；然后应用量子傅里叶变换找到周期r

得到周期后计算a^(r/2)−1 和 a^(r/2)+1 与 N的最大公约数(gcd)，大概率就能得到N的一个非平凡因子(non-trivial factor，1和自身叫平凡因子)

已知a^r ≡ 1 (mod N) , 令x=a^(r/2), x^2 ≡ 1 (mod N), (x−1)(x+1) ≡ 0 (mod N), 已知N=pq, (x−1)(x+1) ≡ 0 (mod p) 并且 (x−1)(x+1) ≡ 0 (mod q)

有50%概率成功50%概率失败，每次选择a都是独立随机事件，所以如果失败连续选择a可以快速降低整体的失败率（50%*50%*...）

破解rsa需要的量子比特 | RSA key | Logical qubits | Physical qubits | | — | — | — | | RSA-1024 | ~2,500 | ~2–10 million | | RSA-2048 | ~5,000 | ~10–50 million | | RSA-3072 | ~8,000 | ~20–80 million |

逻辑量子比特是能用于量子算法的可靠的量子比特，需要多个物理量子比特加上量子纠错才能组成一个逻辑量子比特

shor算法破解ecc和rsa效率相同，ecc的密钥长度更小反而更容易破解。

当前量子计算机量子比特数

• IBM Nighthawk(夜鹰) 120
• 谷歌 Willow 105
• 合肥量超融合计算中心 180

Q-Day(或Y2Q、Quantum Apocalypse): 即量子计算机破解公钥体系(rsa/ecc)的预测日期

行业普遍预估在2030~2040中晚期可以攻破RSA-2048

• https://postquantum.com/q-day/q-day-y2q-rsa-broken-2030/
• https://thequantuminsider.com/2025/05/24/google-researcher-lowers-quantum-bar-to-crack-rsa-encryption/
• https://www.ibm.com/think/insights/prepare-your-organization-for-q-day
• https://www.paloaltonetworks.com/cyberpedia/what-is-q-day
• https://www.nokia.com/quantum/5-misconceptions-about-q-day/
• https://www.bankinfosecurity.com/countdown-to-q-day-a-30048

一旦公钥暴露（UTXO 花费后或账户首次交易后），私钥可被量子攻击者推导，资金可被伪造签名直接转移

1. 对称加密、哈希算法的等效安全性减半

区块链大量使用哈希函数：

• SHA-256（Bitcoin）

• Keccak-256（Ethereum）

量子 Grover 算法是一种无结构搜索算法，能将暴力搜索复杂度从 2^n 降到 2^n/2 (平发根级加速)

振幅放大（Amplitude Amplification): 反复放大正确答案的振幅，同时压低其他状态的振幅

如SHA-256 在量子环境下等效安全性约为 128 bit

aes/哈希不构成紧急风险, 但未来新链可能会使用更长输出或多轮结构

区块链账户模型与交易模型

1. UTXO vs 账户 UTXO（Bitcoin）: 只在花费时暴露公钥，未花费 UTXO 相对安全 (联系HD钱包衍生路径字段区分receive/change的合理性)

注意这里指p2pkh，而bitcoin最新的地址类型p2tr支持两种花钱方式:key-path spend和script-path spend，其中key-path spend会把公钥放在scriptPubkey里，从量子安全角度会更早暴露攻击面(风险类似eth)；script-path spend仍可延迟暴露脚本

虽然p2tr的internal pubkey/ internal private key不会上链；但是上链/验签用的是tweaked pubkey，签名用的tweaked private key；所以量子攻击者不需要知道internal key

账户模型（Ethereum）: 公钥长期暴露(可从交易签名恢复)，量子攻击面更大

账户模型链在量子威胁下更早失效，主要针对EOA账户(合约账户由代码控制，没有私钥不需要签名)

1. 共识机制PoW vs PoS

PoW基于哈希计算，可以通过提升难度来吸收grover算法的优势

PoS依赖长期质押身份+私钥安全，验证者私钥属于长期资产，直接面临shor算法威胁

PoS缓解路径:

• 强制快速密钥轮换,降低公钥暴露时间
• 用合约账户来托管验证逻辑，允许多算法、紧急冻结、社会恢复(类似多签，设置多个守护者Guardians，控制权可被 guardians 接管，怀疑私钥可能已被量子破解被攻击前撤权或切换到其他量子安全的密钥)
• 进行后量子签名算法迁移(不可避免)

1. 交易延迟攻击

攻击者可能：

• 现在收集链上公钥与签名数据

• 未来一旦量子计算成熟，回溯破解私钥

这对长期冷存储资产构成潜在威胁，需要尽量避免“长期未花费但公钥已暴露”的模型

交易所功能演进

1. 抽象签名算法

不要在业务层绑定 ECDSA / EdDSA

1. 支持多算法并行

同一交易支持多种签名，为未来升级留接口

当前主流抗量子签名算法，参考CNSA 2.0 和 nist规范：

• ML-DSA (fips-204)，基于模块晶格(module-lattice based), 也被称为CRYSTALS-Dilithium
• SLH-DSA (fips-205), 基于无状态哈希(stateless-hash based)，也叫SPHINCE+
• Falcon，暂无对应fips规范，目前已有两个链采用(Algorand, Crypnut)

1. 地址生命周期管理

• 关注密钥轮换和资产迁移机制，量子威胁下及时把旧地址资产迁移到新的量子安全地址

• 热地址：短期、自动轮换

• 冷地址：可迁移、可废弃

• 禁止“永久地址”

当前公链进展

• BTQ Technologies已实现一个基于ML-DSA量子安全的bitcoin分支，部署了一个testnet(https://explorer.bitcoinquantum.com/)
• 以太坊有5个阶段的演进路线图，抗量子签名迁移在最后一个阶段
  1. The Merge: PoW → PoS 转换 (Beacon Chain 与 Mainnet 合并，验证者系统。2022已完成)
  2. The Surge: 扩容，降低交易费用 (Rollups、分片Sharding、Danksharding。Rollups 已广泛使用，Danksharding 逐步测试，2023-2026)
  3. The Scourge: MEV / 去中心化风险控制 (MEV-Boost、共识层改进。2024–2026持续迭代)
  4. The Verge: 状态优化与客户端轻量化 (Stateless Client、Verkle 树。2025–2027逐步集成到主网)
  5. The Splurge: 兜底阶段，其他对协议长期安全性与可维护性至关重要的改进集合 (抗量子签名迁移、协议清理、边缘案例修复。2026–2030+)