ECDSA 為什麼對量子電腦那麼脆弱?
ECDSA 的安全性來自「橢圓曲線離散對數問題」的計算困難度:你能從私鑰算出公鑰,但反過來從公鑰推回私鑰,在傳統電腦上需要的時間遠超宇宙壽命。Shor 算法的出現改變了這個前提——它在量子電腦上能有效率地解這類離散對數問題。理論上,一旦有足夠大、足夠穩定的量子電腦,任何帳戶的公鑰一旦曝光在鏈上,私鑰就可能被推導出來,你的幣等同於被盜走。這也是為什麼「用過一次的地址」(公鑰已上鏈)比「只有哈希值公開」的地址更危險。
SPHINCS- 方案的核心突破是什麼,7 美分從哪裡來?
最關鍵的一步是用 EVM 原生的 Keccak256 取代 SPHINCS+ 標準中的 SHAKE256。這讓後量子簽名的驗證可以直接跑在以太坊鏈上,不需要新增任何底層支援,也不需要網路升級。根據論文的參數測試,最佳化的 SPHINCS- 變體(SLH-DSA-Keccak-128-24)鏈上驗證成本約為 94,000 gas;另一個針對筆電端簽名者最佳化的版本(C13)驗證成本約 127,000 gas。按當前氣費估算,後者折合約 0.07 美元。當然這個數字會隨 ETH 價格和網路擁堵程度浮動,但數量級上已非常接近「幾乎免費」。
現在的量子電腦離真正能破解以太坊帳戶還有多遠?
距離仍然非常遠,但縮短速度在加快。4 月的 15 位元突破,離以太坊使用的 256 位元相差 2 的 241 次方倍的計算量,以目前任何已知的量子硬體,完全不可能達到。Google 估計要完整破解需要不足 50 萬個物理量子位元,樂觀研究認為可能低至 1 萬個中性原子量子位元。當前最好的量子電腦大概只有數千到數萬量子位元,且錯誤率和穩定性都遠遠不夠。主流估計是最快 2030 年代初才可能出現真正的威脅。但正因為遷移耗時,「應對的最好時機永遠是現在」成為業界共識。更值得注意的是,理論所需資源的估算在幾個月內就大幅下修,這正是 Consigny 把 SPHINCS- 稱為「橋接方案」而非長期答案的原因。
比特幣有類似的計畫嗎,加密貨幣社群整體怎麼看這個威脅?
比特幣社群有 BIP-360 提案,旨在引入後量子地址格式,但討論進度更慢、爭議更多——部分原因是比特幣在文化上對協議修改極為保守。比特幣開發者 Adam Back 曾提出,後量子遷移有可能意外揭露中本聰的比特幣儲備(因為那些早期地址的公鑰格式不同,且可能已暴露)。此外,Tron、StarkWare、Ripple 等多個區塊鏈項目也有各自的後量子遷移計畫。以太坊相較更靈活:有升級路線圖(如賬戶抽象)可以輔助後量子遷移,而 SPHINCS- 這類方案可在等待正式協議層解決方案前先行部署。整體來說,業界已從「量子威脅是遙遠的假設」轉移到「開始認真規劃遷移時間軸」的階段,七美分這個數字,在這個脈絡下說明的不只是成本,更是緊迫性的轉變。
加密社群最近被一條數字震了一下:七美分。這是 Ethereum Foundation 研究員 Nicolas Consigny 提出的概念——在不改動以太坊底層協議、不等待硬分叉的前提下,讓一個帳戶升級成抗量子攻擊的狀態,花費大約 0.07 美元。這個提案來自他在 2026 年 6 月 12 日發表於 ethresear.ch 的技術論文,背後連結的是一個正在加速逼近的威脅:量子電腦遲早會破解 ECDSA,也就是目前保護以太坊(和比特幣)帳戶的橢圓曲線數位簽名算法。
以太坊上每一個錢包、每一筆交易,都靠 ECDSA 來證明「我是這個帳戶的主人」。這個算法的安全性建立在「從公鑰推算私鑰幾乎不可能」的數學前提上——在傳統電腦上,這確實辦不到。但對量子電腦來說,Shor 算法理論上可以有效率地解決這個問題,讓 ECDSA 瞬間失效。2026 年 4 月,獨立研究員 Giancarlo Lelli 在可公開取用的量子硬體上,成功破解了一組 15 位元的橢圓曲線金鑰,贏得 Project Eleven 的 1 枚比特幣獎金——這是史上最大規模的公開量子攻擊示範。
15 位元和以太坊使用的 256 位元之間的距離,在數學上等同於 2 的 241 次方倍的難度差距,現在的量子電腦遠遠還無法企及;但趨勢令人警覺:從 2025 年 9 月的 6 位元,到 2026 年 4 月的 15 位元,半年之內成長了 512 倍。根據 Google 在 2026 年 4 月發布的白皮書,完整破解 256 位元攻擊所需的量子位元數,可能低於 50 萬個物理量子位元。另有研究顯示,中性原子架構下所需量子位元數甚至可能低至 1 萬個。
Consigny 是以太坊基金會 Kohaku 專案的負責人,他在論文裡提出了一套名為「SPHINCS-」的方案(唸作 Sphincs Minus)。它是從 NIST 已正式標準化的後量子簽名算法 SPHINCS+(現稱 SLH-DSA)改良而來,關鍵在於把算法裡的雜湊函數換成 EVM 原生支援的 Keccak256,讓驗證工作可以直接在以太坊鏈上執行,不需要新增預編譯合約、不需要協議修改、不需要等硬分叉。論文提到,以最佳化的參數組合,鏈上驗證成本約為 94,000 至 127,000 gas,按當前 gas 費換算約等於 0.07 美元。他稱這個方案是通往未來更完整後量子簽名系統「leanSPHINCS」的橋梁,後者還要結合 ZK 聚合來進一步降低成本。
根據鏈上分析公司 Glassnode 的數據,約有 192 萬枚比特幣(接近總供應量的 10%)被認定為「結構性不安全」,另有 412 萬枚(約 20.6%)屬於「操作性不安全」——這些地址的公鑰已暴露在鏈上,一旦具備足夠能力的量子電腦出現,就面臨被攻擊的風險。以太坊同樣面臨類似暴露。目前,以太坊和比特幣的帳戶安全都建立在相同的橢圓曲線密碼學上。
就現階段而言,SPHINCS- 仍是一份研究提案,離實際部署還有距離,且它屬於非標準化方案(以 Keccak 取代 SHAKE256 脫離了 FIPS 合規)。但它標誌著一件重要的事:以太坊社群已在認真考量如何讓現有帳戶在等待正式協議升級的過程中,以極低成本自行加一道保護。Consigny 在論文中也受到了 Vitalik Buterin、Justin Drake 等人的感謝,顯示這份研究並非孤立成果,而是以太坊後量子路線圖的一部分。
量子威脅什麼時候真的變得緊迫、目前仍有爭議:悲觀派估計可能在 2030 年代初就需要面對,保守派認為安全期還有 10 年以上。不管哪個版本是對的,0.07 美元的帳戶保護,讓這件事的成本障礙幾乎消失了。
本文僅供資訊參考,不構成任何投資或財務建議。所引數字為報導時點的估計,量子運算發展快速,請自行追蹤最新研究動態。