量子時代的時間線辯論：為何 Nick Szabo 和 Vitalik Buterin 在加密貨幣的密碼學何時失去作用上意見不合

在2026年初於布宜諾斯艾利斯舉行的Devconnect會議上，以太坊聯合創始人Vitalik Buterin發出了一個嚴峻的訊息：保障比特幣和以太坊的橢圓曲線是脆弱的，行業或許只有2到4年的時間來做準備。然而並非所有人都認同他的緊迫感。密碼學家兼智能合約先驅Nick Szabo提供了一個對比的觀點——這個觀點根植於對時間線和風險的不同理解。他們的分歧揭示了一個更深層的真相：量子威脅是真實存在的，但行業應如何應對，仍在頂尖專家之間存在真正的爭議。

20%的情境：警報背後的數字

Buterin並非空穴來風地發出警告。在2025年底，他引用Metaculus平台的預測，估計在2030年前出現能破解現有密碼學的量子電腦的概率約為20%。中位數預測則更接近2040年——這仍在許多區塊鏈用戶的規劃範圍內，但明顯不那麼緊迫。

促使Buterin語調升高的原因，是一些研究指出：在2028年美國總統選舉之前，對256位橢圓曲線進行量子攻擊可能變得可行。在Devconnect上，他用一句令人難忘的話來總結：「橢圓曲線將會死去。」他的意圖不是恐慌，而是動員。「量子電腦今天不會破解加密貨幣，」Buterin澄清道。「但行業必須在量子攻擊變得實用之前，開始採用後量子密碼學。」

他的訊息是：不要等到威脅逼近才行動——要現在就開始準備，因為將去中心化網路遷移需要數年的時間。

為何ECDSA會變得量子脆弱

以太坊和比特幣都依賴ECDSA（橢圓曲線數字簽名算法），使用secp256k1曲線。其安全模型很簡潔：私鑰是一個大型隨機數，公鑰是由該數生成的曲線上的點，而地址則是該公鑰的哈希。

傳統上，反向推導——從公鑰到私鑰——是計算上不可行的。一個256位的密鑰，幾乎不可能靠暴力破解。這個不對稱性是區塊鏈安全的基石。

然而，量子計算能打破這個不對稱性。Shor在1994年提出的算法證明：一個足夠強大的量子電腦可以在多項式時間內解決離散對數問題。這將使ECDSA、RSA、Diffie-Hellman等方案在秒內被破解。

Buterin強調一個關鍵細節：如果你從未花費過某個地址，鏈上只會顯示你的公鑰的哈希——這仍然具有量子抗性。但一旦你發送交易，你的公鑰就會暴露。未來的量子攻擊者若擁有足夠的量子比特，可以利用這個暴露的公鑰來恢復你的私鑰。這個漏洞具有不對稱性：新地址較安全，但已建立的帳戶則面臨風險。

Google的Willow：催化劑

Buterin的緊迫感在2024年12月因Google推出Willow而加強。Willow是一款105量子比特的超導量子處理器。它在不到五分鐘內完成了一個計算，而這個計算若用當今的經典超級電腦，可能需要約10^25年——也就是10萬億億億年。

更重要的是：Willow展示了“低於閾值”的量子錯誤更正技術，加入更多量子比特反而降低錯誤率，而非增加。這是研究人員追求了近30年的突破，標誌著容錯量子計算正從理論走向實用。

但Google量子AI主管Hartmut Neven提醒：“Willow晶片目前無法破解現代密碼學。”他估計破解RSA-2048需要數百萬個物理量子比特，仍距離實現至少還有10年。學術界的共識也大致如此：破解256位橢圓曲線在一小時內，可能需要數千萬到數億個物理量子比特，遠超目前能力範圍。然而，IBM和Google都已公布了2029-2030年前實現容錯量子電腦的路線圖，使得這個理論威脅的時間窗口變得令人不安地接近。

後量子解決方案：已經標準化

好消息是：行業不必從零開始發明解答。2024年，**NIST（國家標準與技術研究院）**完成了其首批三個後量子密碼標準：

• ML-KEM（密鑰封裝）
• ML-DSA 和 SLH-DSA（簽名）

這些基於格子數學或哈希函數的算法，旨在抵抗Shor算法的攻擊。NIST與白宮合作的報告估計，將美國聯邦系統遷移到後量子密碼的成本在2025到2035年間約為71億美元，數額巨大但可控。

在區塊鏈方面，Naoris Protocol已成為一個具體的量子就緒基礎設施範例。該協議整合了NIST合規的後量子算法，並在2025年9月提交給美國證券交易委員會（SEC）作為參考模型。Naoris採用一種dPoSec（去中心化安全證明）機制，讓每個設備都成為驗證節點，實時驗證其他設備的安全狀態。這種去中心化的網格結構，加上後量子密碼技術，消除了傳統的單點故障。根據Naoris的數據，其測試網在2025年1月啟動，處理了超過1億次後量子安全交易，並實時檢測到超過6億次威脅。主網於2026年第一季度初啟動，提供一個設計在現有區塊鏈之下的“Sub-Zero層”基礎設施。

以太坊的緊急備援措施

在公開聲明之前，Buterin已經草擬了應急計劃。在他2024年的以太坊研究帖“如何在量子緊急情況下進行硬分叉以挽救大多數用戶資金”中，他列出了如果量子突破讓整個生態系措手不及時，以太坊理論上可以採取的措施：

1. 偵測並回滾鏈到大規模量子盜竊變得明顯之前的最後一個區塊
2. 凍結基於ECDSA的EOA交易，阻止進一步通過暴露公鑰的盜竊
3. 將用戶遷移到智能合約錢包，利用零知識證明證明種子所有權，轉向量子抗性智能合約錢包

這是最後的備用方案。Buterin的核心觀點是：必要的基礎設施——賬戶抽象（ERC-4337）、強大的零知識系統、標準化的後量子簽名方案——應該在任何緊急情況發生前就已經建立起來。

Nick Szabo的反駁：時間、威脅與琥珀

並非所有人都認同Buterin的時間線。Nick Szabo，這位密碼學家也是智能合約概念的先驅，認為量子風險“終究不可避免”，但看法與Buterin不同。

Szabo強調，當前的威脅多半是社會、法律與治理層面的——而非純粹技術層面。他用一個生動的比喻：一筆交易就像“被琥珀包裹的蒼蠅”。隨著時間推移，周圍積累的區塊越多，甚至強大的對手也越難將其擺脫。歷史上，較老的幣和交易因為共識的沉積和歷史的鞏固，實際上獲得了免疫力。Szabo的觀點並不否定量子風險，而是將其放在更廣泛的威脅模型中，認為區塊鏈的“時間性”提供了意想不到的保護。

Adam Back，Blockstream的CEO和比特幣先驅，也持類似看法。他認為量子威脅“還有幾十年”，建議“穩健研究，而非匆忙或破壞性的協議變更”。他的擔憂是：恐慌驅動的升級可能引入比量子威脅更危險的漏洞——這在處理價值數萬億美元的系統時，是一個真實的工程問題。

和解觀點：不同的時間視角

這些立場並不矛盾，而是反映了不同的風險評估和時間範圍。Buterin著眼於2到4年的緊迫行動時間線。Szabo和Back則以數十年為尺度，承認威脅的存在，但強調匆忙變更本身也有風險。逐漸形成的共識是：應該現在就建立並測試遷移基礎設施，即使攻擊時間線尚不明朗——因為去中心化協議的轉換需要數年的時間，不能操之過急。

他們的辯論凸顯了一個重要事實：對加密貨幣來說，量子風險並非非黑即白的問題，而是一個多維度的時間線與準備問題。

今日加密持有者的實務建議

對於活躍交易者，訊息很簡單：持續正常操作，同時密切關注協議更新。對於長期持有者，則應確保所用平台和協議正積極準備迎接後量子時代。一些降低風險的做法包括：

• 偏好可升級的錢包和托管方案，能在不更換地址的情況下切換密碼方案
• 避免地址重用，以減少鏈上暴露的公鑰數量
• 追蹤以太坊的後量子遷移時間表，並準備在工具成熟時進行轉換
• 多元化存儲方式，選擇不同後量子準備程度的平台

2030年前20%的概率意味著，80%的機率量子電腦不會在此期間威脅到加密貨幣。但在一個市值超過3萬億美元的市場中，20%的災難性安全失敗風險，仍值得認真準備——不是恐慌，而是有目的地建立基礎設施。

正如Buterin最後總結：量子風險應像工程師對待地震和洪水一樣來看待。它不太可能在今年摧毀你的房子，但長遠來看，足夠的概率讓你在設計基礎時考慮它，才是明智之舉。無論你更傾向於Buterin的緊迫感，還是Szabo的審慎態度，答案都是：現在就是準備的時候。