原始論文:Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations
作者:Ryan Babbush, Adam Zalcman, Craig Gidney 等(Google Quantum AI + UC Berkeley + Ethereum Foundation + Stanford)
日期:2026 年 3 月 30 日
TL;DR
如果只用一句話總結這篇 paper,那就是:
量子威脅不再「理論上會怎樣」,而是已經被壓縮成像工程規格書的細節與數字。
Google Quantum AI 這次不是在空泛地談「量子電腦未來可能會威脅 crypto」,而是直接對 Bitcoin / Ethereum 使用的 secp256k1 做 Shor’s algorithm 資源估算。結論非常直接:
- 約 1200–1450 個 logical qubits
- 約 7000–9000 萬個 Toffoli gates
- 在他們假設的 超導體 + surface code 路線下,約 50 萬個 physical qubits 就可能足夠
這個意義很大。因為它不是拿 RSA-2048 橫向類比,不是再講一遍老掉牙的「Shor’s algorithm 很可怕」,而是直接對 ECDLP 本體 下手。也就是說,這篇論文不是在問「量子會不會威脅加密貨幣」;它是在問:威脅長什麼樣子、要多少資源、會先打哪裡。
更微妙,也更值得警惕的是:Google 沒有公開完整攻擊電路,而是用零知識證明證明「我們真的做出來了,只是現在不放出exploit 細節」。這個動作本身就是一個訊號:量子計算的密碼學分析正在從學術展示,走向類似漏洞揭露的時代。 也就是說,從現在開始,你看到的公開資訊,很可能只會越來越少,而不是越來越多。
為什麼這次不一樣:這次不是拿 RSA 影射,而是直接對 Bitcoin 心臟開刀
過去很多「量子威脅加密貨幣」的討論,說穿了都還停留在一種很鬆的推理鏈:先估算 RSA-2048 要多少量子資源,再把這個數字半定量地外推到 ECDLP。
問題是,RSA 不是 ECDLP。前者是整數分解,後者是橢圓曲線離散對數。雖然 Shor’s algorithm 兩邊都能打,但電路結構、資源瓶頸、最佳化空間,根本不是同一題。你不能因為兩者都叫「量子可破」,就把它們當成只是換個參數表而已。
這篇論文做的事情是:直接編譯出針對 secp256k1(Bitcoin/Ethereum 使用的橢圓曲線)的 Shor’s algorithm 量子電路。他們給出了兩個 trade-off 變體:
- Low-qubit variant:≤ 1200 logical qubits + ≤ 9000 萬 Toffoli gates
- Low-gate variant:≤ 1450 logical qubits + ≤ 7000 萬 Toffoli gates
在 spacetime volume(量子計算中「同時」考慮 qubit 數量和 gate 數量的核心指標)上,這比先前最好的結果改善了大約一個數量級。
更關鍵的是,他們沒有公開完整的攻擊電路,而是用 SP1 zkVM 產生了一個 zero-knowledge proof 來證明電路的存在性和正確性。這個做法借鑒了傳統資安領域的 Coordinated Vulnerability Disclosure(CVD)精神——你不會在漏洞修補前就公開完整的 exploit code。Google 的態度很明確:量子密碼分析已經進入了需要「負責任揭露」的階段。
這也暗示了一件事:不要再幻想可以永遠靠 arXiv 公開文獻,精確追蹤 CRQC 的真實進度。量子計算一旦開始碰到有直接資安、金融、國安價值的區域,前沿成果自然會逐步轉入不透明。Google 這次用 ZK proof 而不是直接公開電路,本身就是一個非常清楚的時代信號。
高速 CRQC vs. 慢速 CRQC:不是每台量子電腦都一樣危險
CRQC(Cryptographically Relevant Quantum Computer)指的是能在合理時間內破解現有密碼學的量子電腦。但「合理時間」這四個字,背後藏著一個巨大的物理現實:不同硬體平台的「時鐘速度」差了好幾個數量級。
論文引入了一組關鍵的架構分類:
Fast-clock CRQC(高速 CRQC):以超導體量子位元(superconducting qubits)、矽基自旋量子位元(silicon spin qubits)和光學量子位元(photonic qubits)為代表。這些平台的基本操作速度在 GHz 到近 GHz 的量級,量子糾錯循環時間大約在微秒等級(~1 μs)。
Slow-clock CRQC(慢速 CRQC):以離子阱(trapped ions)和中性原子(neutral atoms)為代表。基本操作速度在 kHz 到 MHz 量級,量子糾錯循環時間約在 100 微秒或更長。
一點個人脈絡:我博士做的是離子阱量子計算(Ion Trap QC),所以這裡不是站在旁邊看熱鬧,而是大概知道這兩條硬體路線各自的痛點在哪。
很多人喜歡爭論「超導體 vs. 離子阱誰會先到達 CRQC」。平心而論,這兩個平台在 coherence time 和 gate time 的比值上其實差不多打平——離子阱的 T2 coherence time 極長(可以到達分鐘)、two-qubit gate fidelity 也很高(99.9%+ 的實驗結果已經有了),而超導體在最近幾年的糾錯表現也突飛猛進。鹿死誰手,真的很難說。
但物理世界需要的是具體時間,不只是能抽象運行幾個量子邏輯閘。 這就是問題所在。
Shor’s algorithm 破解 256-bit ECDLP 需要執行 7000 萬到 9000 萬個 Toffoli gates。在超導體平台上,假設每個 Toffoli gate 的執行需要的 reaction time 約 10 微秒(這是 Google 超導體量子位元的標準數字),加上約 50% 的 overhead,那麼 7000 萬個 Toffoli gates 可以在大約 18 分鐘內跑完,9000 萬個大約 23 分鐘。但如果在離子阱或中性原子平台上,同樣的 gate sequence 需要的 wall-clock time 會是這個的 100 到 1000 倍——也就是以天甚至月為單位。
用一個簡單的比喻:超導體和離子阱就像是兩位跑步總距離差不多的學生,但前者跑步速度是後者的一千倍、後者耐力是前者一千倍。在限時競賽(也就是 on-spend 攻擊要求的即時性)裡面,跑得快的那個有壓倒性的優勢。
論文的硬體假設
論文的 physical qubit 估算基於以下假設:
- Planar architecture with degree-four connectivity:每個 physical qubit 和四個相鄰的 qubit 有直接耦合。這已經被 Google 的 Sycamore 和後續處理器在實驗中實現。
- Physical gate error rate ~10⁻³:這也是現有超導體處理器已經達到的水準。
- Surface code 量子糾錯:假設用大約 500 個 physical qubits 編碼 1 個 logical qubit。
這裡有一個微妙的 calibration 問題:500 physical-to-1 logical 的比率,對超導體來說是偏樂觀的估計(意味著假設 surface code 的效率和硬體品質都相當好),但對離子阱來說反而是偏悲觀的——因為離子阱的原生 gate fidelity 通常更高,理論上可以用更少的 physical qubits 達到同樣的 logical error rate。不過 surface code 本身就是為了 planar connectivity 設計的,而離子阱的 connectivity 結構和超導體很不一樣(通常是全連接或近全連接),所以直接套用 surface code 的 overhead 比較不公平。更新的量子糾錯碼可能可以大幅降低 physical qubit 需求,但這些技術離工程化還有一段距離。
總結來說:在大約 50 萬個 physical qubits 的超導體量子電腦上,這個攻擊可以在分鐘級的時間內完成。這就是 fast-clock CRQC 的威脅所在。
三種攻擊模型:不是只有「偷私鑰」,而是三種完全不同的災難
論文最有價值的貢獻之一,是清晰定義了三種針對加密貨幣的量子攻擊模型。這不是抽象的學術分類,而是直接對應到不同的防禦策略和風險等級:
On-Spend 攻擊(動態即時攻擊)
定義:攻擊者監控 mempool(交易等待池),當用戶廣播一筆交易時,公鑰被暴露。攻擊者在交易被確認上鏈之前,用量子電腦從公鑰反推私鑰,然後搶先發送一筆轉帳到自己的地址。
時間窗口:取決於目標區塊鏈的 block time。Bitcoin 平均 10 分鐘,Ethereum 約 12 秒,Solana 約 400 毫秒。
關鍵數字:論文估算在 fast-clock CRQC 上,Shor’s algorithm 的量子態預處理(priming)需要約 9 分鐘。加上從量子態開始到實際推導出私鑰的完整流程,大約需要 20 分鐘左右。但因為預處理可以提前做(precompute Shor’s algorithm 中只依賴公開橢圓曲線參數的部分),實際上「看到公鑰 → 推出私鑰」的有效攻擊時間可以壓到約 9 分鐘。
這代表在 Bitcoin 的 10 分鐘平均 block time 下,on-spend 攻擊有大約 41% 的成功率(因為 block time 是 Poisson 分佈,有相當比例的 block 間隔超過 9 分鐘)。
但注意:即使只有 41%,攻擊者是理性的。一旦推導出私鑰,攻擊者可以發起 Replace-By-Fee(RBF)競價,支付極高的手續費讓礦工優先打包自己的偽造交易。極端情況下,攻擊者甚至願意把幾乎整個 UTXO 的價值作為手續費付給礦工——反正這筆錢本來也不是他的,能搶到 1% 也是淨賺。這種「焦土策略」意味著即使成功率不是 100%,on-spend 攻擊仍然是嚴肅的威脅。
對於其他 PoW 鏈呢?Litecoin 的 2.5 分鐘平均 block time 讓 on-spend 成功率降到 3% 以下。Zcash 的 75 秒 block time 讓成功率低於 1/1300。Dogecoin 的 1 分鐘 block time 讓成功率低於 1/8000。所以 on-spend 攻擊基本上是 Bitcoin 專屬的噩夢——至少在 fast-clock CRQC 的第一代硬體上是如此。
重點:只有 fast-clock CRQC 能做到 on-spend 攻擊。Slow-clock CRQC 的 wall-clock time 太長,根本來不及。
At-Rest 攻擊(靜態側錄攻擊)
定義:攻擊者鎖定那些公鑰已經在鏈上暴露、且長期沒有移動的資金。攻擊者不需要搶時間,可以花數天甚至數月慢慢用量子電腦推導私鑰。
威脅範圍:所有公鑰已暴露的地址,包括 P2PK 地址(公鑰直接寫在 locking script 裡)、P2TR 地址(tweaked public key 暴露在鏈上)、以及任何重複使用過的地址(因為花費交易會暴露公鑰)。
關鍵數字:Bitcoin 上約有 170 萬 BTC 鎖在 P2PK 地址中(包括 Satoshi 時代的挖礦獎勵),加上所有 P2TR 和重複使用地址的暴露資金,at-rest 脆弱的 BTC 總量約 690 萬顆。
Fast-clock 和 slow-clock CRQC 都可以執行 at-rest 攻擊。 差別只在速度:fast-clock 約 9 分鐘破一個地址,slow-clock 約 14 小時到 12 天。
On-Setup 攻擊(系統攻擊)
定義:攻擊者鎖定的不是某個特定用戶的公鑰,而是密碼學協議中的固定公開參數。只要量子電腦解出這些參數背後的秘密(例如 trusted setup 中的 “toxic waste”),攻擊者就能製造出一個可重複使用的萬能後門——之後所有基於這組參數的密碼學操作都可以在經典電腦上被偽造。
這是三種攻擊中最可怕的,因為它有「一次量子計算,永久經典利用」的特性。更糟的是,在隱私協議中,這類攻擊往往不是立刻被看見,而是可以長時間潛伏:系統表面上仍然正常運作,但底層 soundness 或 binding 假設其實已經被攻破。
具體風險場景:
- zkSNARK 的 trusted setup(如 Tornado Cash 與早期 Groth16 系統使用的 ceremony):CRQC 可以從公開的 Structured Reference String(SRS)中反推出 “toxic waste”。一旦得手,攻擊者就能偽造 validity proof。論文直接拿 Tornado Cash 當例子:攻擊者可以提走超過自己存入的金額,而且因為隱私池會刻意隱藏資金流向,整個 anonymity pool 甚至可能要等到接近被抽乾時外界才察覺。
- Zcash 的舊隱私池資金:Sprout 和 Sapling 電路使用 Groth16,確實依賴 trusted setup;如果 setup 假設失效,理論上可以偽造 proof 並造成隱私池被抽乾。Zcash 最新最主要的 Orchard / Halo 2 隱私池移除了 trusted setup,明顯降低了這一類 on-setup 風險;但論文也強調,這不等於 Zcash 因此就變成完全抗量子。
- Ethereum 的 Data Availability Sampling(DAS):使用 KZG polynomial commitments,依賴 BLS12-381 曲線上的 trusted setup。CRQC 解出 toxic waste 後,可以偽造 data availability proofs,欺騙 validators 相信某個 blob 的資料是可用的(實際上根本不存在),從而癱瘓整個 Layer 2 生態系。
- 穩定幣和 RWA 智能合約的 admin key:USDT、USDC 等穩定幣的智能合約有 admin 權限可以鑄幣、銷幣、凍結帳戶。這些 admin key 一旦被量子攻擊者奪取,就可以無限鑄造穩定幣,直接rug整個 peg。
- Rollup 的驗證合約:zkSNARK-based 的 L2(如使用 pairing-based proof 的 rollups)的 verifier contract,其底層密碼學參數如果被破解,攻擊者可以偽造 validity proof 來偷取資金。
- 跨鏈橋的多簽錢包:橋合約通常由一組 multisig 帳戶控制。這些公鑰往往因為過往的治理投票或合約升級而暴露在鏈上。CRQC 可以逐一破解這些私鑰,接管整個橋合約。
重要的對照:Starknet 使用的 STARK(Scalable Transparent Arguments of Knowledge)是基於 hash function 的,不依賴 ECDLP,因此被認為是抗量子的。 這是 SNARK vs. STARK 在量子安全性上的根本差異。
Bitcoin 的七種地址格式:哪些是時間炸彈,哪些只是晚一點爆
Bitcoin 的交易不是基於「帳戶」而是 UTXO(Unspent Transaction Output)模型。大多數 UTXO 被鎖定在七種標準的 locking script(地址格式)中,每種格式的量子脆弱性各不相同:
| 地址格式 | 地址前綴 | 公鑰暴露方式 | At-Rest 脆弱 | On-Spend 脆弱 | 備註 |
|---|---|---|---|---|---|
| P2PK | 無標準地址 | 公鑰直接寫在 locking script | 是 | 是 | Satoshi 時代挖礦獎勵,~170 萬 BTC |
| P2PKH | 1… | 公鑰藏在 hash 後面,花費時暴露 | 未重複使用則否 | 是 | 長期最普遍的格式 |
| P2MS | 無標準地址 | 公鑰直接寫在 locking script | 是 | 是 | 舊式多簽,已被 P2SH 取代 |
| P2SH | 3… | script 藏在 hash 後面 | 未重複使用則否 | 是 | 支援複雜花費條件 |
| P2WPKH | bc1q… | 公鑰藏在 hash 後面,花費時暴露 | 未重複使用則否 | 是 | SegWit,目前最普遍 |
| P2WSH | bc1q… | script 藏在 hash 後面 | 未重複使用則否 | 是 | SegWit 多簽 |
| P2TR | bc1p… | tweaked public key 暴露在鏈上 | 是 | 是 | Taproot,2021 年啟用,安全性倒退 |
| P2MR | bc1z… | script 藏在 Merkle root 後面 | 未重複使用則否 | 是 | BIP-360 提案中,尚未上線 |
幾個關鍵觀察:
P2PK 和 P2MS 是最脆弱的:公鑰直接寫死在 locking script 裡,任何人都可以從區塊鏈上讀到。Slow-clock CRQC 就能搞定,不需要搶時間。
P2TR 是安全性的倒退:Taproot 在 2021 年上線,本意是提升 Bitcoin 的隱私和靈活性。但它把 tweaked public key 直接暴露在 locking script 中(不像 P2WPKH 藏在 hash 後面),從量子安全的角度來看反而是退步。2025 年 P2TR 佔所有交易輸出的 21.68%,移動了約 1680 萬 BTC。
BIP-360(P2MR)是 Taproot 的量子修補:它是 Pay-to-Merkle-Root,保留了 P2TR 的大部分功能但移除了暴露公鑰的 key path spend。P2MR 目前仍然是提案階段,尚未上線。但即使上線了,P2MR 和所有其他格式一樣,都無法防禦 on-spend 攻擊——因為花費交易的 unlocking script 必然暴露公鑰。
核心結論:只要你花過錢(暴露公鑰)、重複使用地址(暴露公鑰),那你用什麼格式都一樣脆弱。而且,即使你做到每筆交易都用新地址,也只是降低了 at-rest 風險,on-spend 風險依然存在。PQC 是唯一能防禦 on-spend 攻擊的方案。
「9 分鐘破解 Bitcoin」這句話到底是真的,還是標題黨?
很多報導直接說「9 分鐘破解 Bitcoin」,但這需要精確理解。Shor’s algorithm 在實際執行時可以分成兩個階段:
- 前處理 / 預計算(Precomputation / Priming):Shor’s algorithm 有一部分運算只依賴橢圓曲線的公開參數(secp256k1 的生成元 G、群的階等),跟具體要攻擊哪個公鑰無關。這個部分可以提前做好,讓量子電腦進入一個 “primed” 狀態。
- 即時攻擊(Online phase):看到目標公鑰後,從 primed 狀態繼續執行剩餘的量子運算,推導出私鑰。
論文的 9 分鐘是指第二階段——從 primed 狀態到推出私鑰。如果從零開始計算(包含前處理),完整的 wall-clock time 大約是 18–23 分鐘(取決於用 low-qubit 還是 low-gate 變體)。也就是說,加上前處理的話,完整流程需要約 20 分鐘。
但在 on-spend 攻擊的場景中,9 分鐘才是關鍵數字——因為攻擊者可以提前把量子電腦 prime 好,只等目標交易出現在 mempool 中就開始第二階段。
Ethereum 的問題更大:它不是幾個地址不安全,而是整個帳戶模型天生暴露
如果說 Bitcoin 的 UTXO 模型至少允許「用完即丟」的地址衛生,Ethereum 的帳戶模型(Account Model)在設計上就鼓勵長期使用同一個地址。
在 Ethereum 上,EOA(Externally Owned Account)的地址是直接從公鑰的 hash 推導出來的。一旦這個帳戶發起過任何一筆交易,簽名中就會暴露完整的公鑰,而且這個公鑰會永久留在鏈上。更重要的是,Ethereum 的生態系(DeFi positions、ENS 域名、DAO 投票權、帳戶 reputation)都綁定在固定地址上,用戶根本不可能像 Bitcoin 那樣頻繁更換地址。
論文估算:一台 fast-clock CRQC 大約可以在 9 天內破解 Ethereum 上前 1000 個最高淨值帳戶的私鑰,這些帳戶合計持有約 2050 萬顆 ETH。
但個人帳戶還只是冰山一角。Ethereum 的量子脆弱性是結構性的,涵蓋五個層面(論文 Table II):
- Account Vulnerability:所有發起過交易的 EOA(公鑰暴露),~2050 萬 ETH at risk
- Admin Vulnerability:智能合約的 admin key(穩定幣、橋、Oracle、Guardian),~250 萬 ETH + ~2000 億美元 stablecoins/RWAs
- Code Vulnerability:L2 和橋使用的 quantum-vulnerable zkSNARK,~1500 萬 ETH(L2 TVS)
- Consensus Vulnerability:PoS validators 使用的 BLS 簽名,~3700 萬 staked ETH
- Data Availability Vulnerability:KZG commitments,~1500 萬 ETH(L2 TVS)
穩定幣智能合約(USDT、USDC 的 ERC-20 合約)有 admin 權限可以 mint/burn/freeze。這些 admin key 的持有者帳戶如果公鑰已暴露,量子攻擊者就可以接管這些合約,無限鑄造穩定幣——這不只是偷錢,而是直接摧毀整個 peg 和信任基礎。
Rollup 的智能合約同樣危險。使用 pairing-based zkSNARK 的 L2(如部分基於 Groth16 或 KZG 的 rollup),其 verifier contract 的密碼學可以被 CRQC 攻破。攻擊者可以偽造 validity proof,讓無效的交易批次通過驗證。
跨鏈橋的多簽錢包更是高槓桿目標——控制了橋的 multisig 就控制了兩條鏈之間的所有鎖定資產。
隱私鏈部分才是真正容易被低估的地方:量子不只會偷幣,還會把隱私翻出來
這篇文章在隱私鏈這一段,其實補上了很多人平常討論裡最缺的東西:量子脆弱不是單一維度。有些 primitive 被打穿之後,先死的是 binding。那代表的不是單純隱私流失,而是資產完整性被打爆:可以偷幣、可以偽造餘額、可以做出隱蔽通膨。但也有一些 primitive,先死的是 hiding。那結果就不是「錢立刻沒了」,而是更陰:帳目還在,但隱私被整批掀開。
這也是我覺得很多人現在對「隱私鏈的量子風險」講得太粗糙的原因。不是一句「隱私幣會被量子破解」就講完。你要問的是:先壞的是哪個安全性?資產完整性?還是隱私性?還是兩個一起死?
Zcash:新一代協議降低了 trusted setup 風險,但「未來追溯去隱私化」仍然很嚴重
論文對 Zcash 的判斷也比很多人想像得細:
- Sapling:Groth16 + trusted setup,所以有典型的 toxic waste / on-setup 風險。
- Orchard / Halo 2:移除了 trusted setup,這是實質改進。
- 但:Zcash 仍大量使用 ECDLP-based primitive,例如 ECDH、Pedersen commitments、以及其他曲線密碼學元件。
這意味著,對 Zcash 來說,未來最現實的量子風險之一未必是第一天就「整池被偷光」,而是隱私被追溯性剝除:已知 diversified address 的情況下,量子攻擊者可能恢復 incoming viewing key,破壞 unlinkability;同時也可能藉由破解 ECDH 衍生出的加密金鑰,去解密 note、transaction amount 和 memo。換句話說,今天看似安全封存的隱私資料,未來可能被回頭翻帳。
Monero / Bulletproofs:論文也把它放進 on-setup 風險家族
這篇文章還順手點出一件很多人會忽略的事:
它把 Bulletproofs(Monero 與 Mimblewimble 都會用到) 也列為 on-setup 風險的代表例子之一。這不代表 Monero 的風險輪廓和 Zcash 完全一樣(關於Monero升級歡迎閲讀「密碼龐克」門羅幣的隱私升級:FCMP++、未竟的數位現金革命,與量子時代的隱私保衛戰),但它提醒了一個更深的事實:只要隱私協議底層仍高度依賴 ECDLP-based fixed public parameters、ECDH、Pedersen-style commitments 或相關曲線構件,量子風險就不會只停留在「簽章被打破」這一層。
HD 錢包還有一個多數人沒認真想過的坑:Normal Derivation 可能一鍋端
現代 Bitcoin 錢包幾乎都是 Hierarchical Deterministic(HD)錢包,從一個 seed phrase 推導出整棵金鑰樹。HD 錢包有兩種推導方式:
- Normal derivation:可以從 parent extended public key 推導出所有子公鑰。這個設計讓第三方服務(如交易所的監控系統、portfolio tracker)可以只用 extended public key 就追蹤所有子地址,不需要接觸私鑰。
- Hardened derivation:子公鑰只能從 parent extended private key 推導,extended public key 無法推導。
問題在於:如果使用 normal derivation,CRQC 只需要破解一個子私鑰,就能反推出 parent extended private key,從而一次性推導出所有子私鑰。這等於是「破一個等於破全部」。
這對交易所和託管服務商尤其危險。 交易所為了方便監控大量充值地址,通常會使用 normal derivation 搭配 extended public key 分享給內部系統或第三方服務。一旦其中任何一個子地址的公鑰被暴露(例如該地址曾發起過交易),攻擊者就可以:
- 用 CRQC 破解那個子地址的私鑰
- 結合公開的 extended public key,反推出 parent extended private key
- 推導出該交易所在該 derivation path 下的所有私鑰
- 搬空所有相關地址的資金
這不是理論推演——這是 HD 錢包規範(BIP-32)中明確記載的數學關係。在沒有量子電腦的世界裡,這個風險可以忽略(因為從公鑰推私鑰是不可行的)。但在 CRQC 的世界裡,normal derivation 變成了一個致命的 single point of failure。
順手澄清一個老迷思:量子電腦不會順便把 PoW 挖礦也一起打爆
這是一個常見的誤解,值得專門澄清:量子電腦對 Bitcoin 的 Proof-of-Work 挖礦沒有實際威脅。原因很簡單。Bitcoin 挖礦本質上是在暴力搜索一個 SHA-256 hash 的 preimage。理論上,Grover’s algorithm 可以提供二次方加速(quadratic speedup)。但實際上:
- Grover’s algorithm 的二次方加速,在考慮量子糾錯的 overhead 後,幾乎完全被抵消掉了。
- Grover’s algorithm 基本上不能有效平行化——你不能簡單地用 N 台量子電腦來取得 N 倍加速。但經典的 ASIC 礦機可以。
- 在最樂觀的假設下(CRQC 可以在一個 error correction cycle 內算一次 SHA-256),量子礦機的 hashrate 也只有普通 ASIC 礦機的百萬分之一量級。
所以 hash function、PoW 共識機制、Bitcoin 的最長鏈規則——這些都不是量子電腦能動搖的。量子威脅完全集中在數位簽章(ECDLP)這一層。
我的看法
我自己的結論其實很簡單:
2029 當成 PQC migration deadline,不激進,反而算合理。
原因不是我相信 2029 就會有 CRQC 橫空出世,而是因為大型系統的遷移,從來都不是威脅來了才開始跑。你得先研究、先標準化、先做實作、先審計、先測試、先吵架、先協調、先上線,再花時間把舊習慣和舊資產慢慢搬走。這個過程本來就會吃掉很多年。
如果根據全球風險機構(Global Risk Insitute)量子威脅時間軸:把真正對公鑰密碼造成實質衝擊的窗口大致放在 2035 左右,那往前抓 5–6 年 當 migration deadline,我認為非常合理。因為 deadline 不是預言 CRQC 何時降臨,而是反映:你最晚什麼時候必須開始把事情做完。
即使我自己仍然不認為真正能穩定執行 fast-clock、分鐘級 on-spend 攻擊的 CRQC,會在 2035 前大規模落地。畢竟coherence、connectivity、error rate、製程、控制電子學、架構擴展,沒有一個是好啃的。這仍然是條極難的工程路線。
但這不代表可以繼續拖。因為另一個同樣真實的現實是:PQC 很醜,很重,也很貴。
它不是那種「把函式庫升級一下就好」的問題。signature size 變大、key size 變大、交易格式要改、fee market 要重算、wallet UX 要改、硬體簽章器要改、L2 proof system 要重做,整個 crypto stack 幾乎都要被重新盤一遍。這件事真正麻煩的地方,從來不只是密碼學,而是工程、治理、相容性、以及人類社會本身的慣性。
所以我看完這篇 paper 最強烈的感受不是「Google 說 9 分鐘破解 Bitcoin」。
而是:
量子威脅已經開始有了工程尺度;而 crypto 世界距離大規模搬家,還遠得很。
最後再提醒一次,這篇論文作者裡面不只有 Google Quantum AI,還有 Ethereum Foundation 的大神 Justin Drake。這不是某個圈外學者對 blockchain 指指點點,而是懂量子的人和懂鏈的人,正在一起對整個產業打預防針。
Be First to Comment