量子計算對區塊鏈的真正威脅：為何格弗爾算法並非你所想的頭條新聞

圍繞量子計算與區塊鏈的敘事已變得極度扭曲。儘管主要科技公司競相開發量子能力，媒體也警告即將到來的密碼學崩潰，事實遠比這些說法更為細膩——在某些方面，甚至更不緊迫。Grover演算法，常被引用為對區塊鏈安全的量子威脅，實際上只是一個次要的擔憂，與當前加密面臨的真正漏洞相比微不足道。理解哪些威脅是立即的，哪些還需數十年，可能會重塑開發者對安全投資的優先順序。

就區塊鏈而言，量子威脅可分為兩類：立即需要行動的加密漏洞，以及允許較為審慎規劃的簽名偽造風險。將這兩者混淆，造成了不必要的恐慌與反效果的遷移壓力。本文將拆解哪些是真實的、哪些被誇大，以及2026年加密團隊應該真正著手的事項。

沒有人想聽的量子時間表：CRQC仍然遙遠

儘管新聞頭條如此，一個具有密碼學相關能力的量子電腦(CRQC)——能運行Shor演算法大規模破解RSA或橢圓曲線密碼學的——仍然距離十年以上。這並非悲觀，而是基於目前的技術限制。

當前的量子系統，不論是使用陷阱離子、超導量子比特，或中性原子方法，都遠未達到所需的規模。紙面上超過1000個物理量子比特，但這個數字具有誤導性。重要的是量子比特的連接性、閘的保真度與錯誤更正深度。要用Shor演算法破解RSA-2048或secp256k1，可能需要數十萬到數百萬個物理量子比特，我們距離這個目標還很遙遠。

工程差距巨大。系統最近才接近量子錯誤更正“開始有效”的物理錯誤率，但要持續實現錯誤更正，甚至只對少數邏輯量子比特有效——更不用說數千個用於密碼分析的邏輯比特——仍未達成。每個可信的估計都顯示，我們在量子比特數量與保真度方面都需進一步提升數個數量級。

然而，企業的新聞稿卻經常宣稱即將取得突破。這些聲稱混淆了不同的概念：

“量子優勢”演示：這些展示在特定人工任務上取得的量子加速，專為現有硬體設計，並非針對真實世界的問題。速度提升是真實的，但對於破解密碼系統的進展幾乎毫無幫助。

邏輯量子比特的聲稱：公司有時會宣稱“邏輯量子比特”，但這個詞已被嚴重稀釋。有些聲稱涉及距離-2錯誤更正碼，只能“偵測”錯誤，不能“修正”。真正用於密碼分析的容錯邏輯量子比特，需數百到數千個物理量子比特——而非兩個。

路線圖混淆：許多量子路線圖宣稱“到X年擁有數千個邏輯量子比特”，但僅涉及Clifford閘(，這些閘可以被經典電腦高效模擬)。運行Shor演算法則需要非Clifford的T閘，這在容錯實現上要困難得多。

甚至像Scott Aaronson這樣的樂觀研究者也已澄清：當他暗示一台能運行Shor演算法的容錯量子電腦可能在下一次美國總統選舉前出現時，他明確指出這並不代表“密碼學上相關”的實現。用量子電腦破解15的因數分解——近年反覆“成就”的事——在經典標準下是微不足道的。

底線：預計在2030年代出現密碼學相關的量子威脅，最早也要到2040年代或更久。五到十年，根據公開資料，並沒有充分證據支持。美國政府設定的2035年遷移期限，對於如此規模的轉型來說是合理的——但這反映的是政策上的謹慎，而非技術上CRQC何時會出現的現實。

HNDL攻擊：為何它們重要(以及為何區塊鏈大多能避開)

Harvest-Now-Decrypt-Later (HNDL)攻擊代表最具正當性的近期量子威脅。這種攻擊很簡單：對手今天就記錄加密通信，知道數十年後量子電腦出現時，可以逆向解密所有內容。對於國家級行為者，存檔加密政府通信，這是真實的威脅。

但關鍵的區別是：HNDL攻擊只對加密有效，對數位簽名無效。

加密隱藏秘密。今天加密的政府機密備忘錄，即使被捕獲密文，也仍然是秘密，直到量子電腦出現破解加密為止。這也是為何對於需要長期保密的應用，部署後量子加密是真正迫切的。

相較之下，數位簽名並不隱藏秘密，不能“收集後解密”。簽名證明你授權了某個訊息，但不隱藏資訊以供未來提取。比特幣與以太坊交易用簽名來授權轉帳——而非用加密來隱藏資料。公開帳本已經是公開的。這裡的量子威脅是簽名偽造(，即“導出私鑰”)，而非事後解密。

這個區別被嚴重誤解。甚至像聯邦儲備局這樣的可信來源，也曾錯誤宣稱比特幣面臨HNDL攻擊——這是根本性錯誤，會誇大簽名遷移的緊迫性。比特幣確實面臨量子風險(如下文討論)，但不是來自收集後解密的情境。

隱私鏈是例外。 Monero、Zcash等鏈會加密交易細節或隱藏收款人與金額。一旦量子電腦破解橢圓曲線密碼學，這些保密性就會被逆向破壞。特別是對Monero來說，公開帳本可以用來重建整個支出圖。這些鏈若要保護歷史隱私，確實需要提前轉向後量子方案。

網路基礎設施已經內化了這個區別。Chrome、Cloudflare、Apple的iMessage與Signal都在部署結合經典與後量子算法的混合加密方案——用於長期保密資料的HNDL防護。這是合理的。相較之下，數位簽名的轉換較慢，因為威脅模型根本不同。

Grover演算法與工作量證明：披著羊皮的次要擔憂

Grover演算法值得特別關注，因為它常被引用為對區塊鏈共識的量子威脅。這個威脅被誇大了。

工作量證明依賴哈希函數，而Grover演算法確實可以將其加速約2倍——實務上是2倍速度提升。這與Shor演算法對公開金鑰密碼的指數級加速相比，微不足道。具有Grover速度的量子礦工，或許能比經典礦工稍快解出區塊，形成優勢，但：

1. 並非指數性破解(不像Shor對RSA)
2. 不會根本破壞經濟安全(更大規模的量子礦工會有優勢，但今天也有更大的經典礦工)
3. 實現成本極高，要達到有意義的競爭規模幾乎不可能

在任何有意義的規模上實作Grover演算法的實務開銷，使得量子電腦在比特幣PoW上取得微弱加速的可能性極低。這個威脅與基於簽名的攻擊本質上不同——它不是生存威脅，而是競爭性轉變。這也是為何Grover演算法在嚴肅的區塊鏈量子安全討論中很少出現：因為風險不在此。

比特幣的真正量子問題不是技術——而是治理

比特幣的量子脆弱性，較少是來自量子電腦本身，而是比特幣自身基礎設施的限制。比特幣不能被動遷移其易受攻擊的幣；用戶必須主動將資金轉移到量子安全地址。這造成一個複雜的協調問題，沒有技術上的解決方案。

早期比特幣交易使用pay-to-public-key (P2PK)輸出，將公鑰直接放在鏈上。再加上地址重用與Taproot錢包(（也暴露密鑰）)，這留下了大量潛在的量子脆弱比特幣——估計價值數百萬比特幣、數百億美元，可能被遺棄，因為持有人不再活躍。

當量子電腦出現時，攻擊不會同步進行。相反，攻擊者會選擇性地針對高價值、暴露的地址。避免地址重用、遠離Taproot的用戶，則有額外保護：他們的公鑰在花費前仍隱藏在哈希之後，形成一場實時的賽跑——合法花費與量子攻擊者之間的較量。但真正過時、密鑰暴露的幣，則毫無保護。

治理的挑戰遠大於技術問題。比特幣變化緩慢。實施協調遷移策略、取得社群共識，以及處理數十億美元交易，需經過多年規劃。有人提出“標記並燒毀”方案，未遷移的易受攻擊幣將成為社群所有。也有人質疑，若量子攻擊者能突破錢包而無合法密鑰，是否會面臨法律責任。

這些都不是量子計算的技術問題，而是社會、法律與後勤問題，必須現在解決，儘管量子電腦仍需數十年才能成熟。比特幣的規劃與實施窗口，遠比量子技術的威脅時間表來得更快收窄。

後量子簽名：強大但尚未成熟

如果真的需要部署後量子簽名，為何不趕快？因為現有的後量子簽名方案尚不成熟、複雜，且帶來的實作風險遠大於遠期的量子威脅。

NIST近期已標準化五大類後量子方案：基於哈希、編碼、格子、多變量二次、多軸方案。這種碎片化反映出一個真實的安全困境：結構化數學問題能提供較佳性能，但也帶來更多攻擊面。保守的非結構化方案(哈希簽名)較安全，但性能較差。格子方案是NIST的首選，但有嚴重的折衷。

性能成本巨大：

• 哈希簽名 (NIST標準)：每個簽名7-8 KB(，比現有的ECDSA（64字節）大約多100倍
• 格子ML-DSA )NIST選擇(：每個簽名2.4-4.6 KB——比ECDSA大40-70倍
• Falcon：稍微小一些，666字節到1.3 KB)，但包含“我實作過最複雜的密碼算法”——Thomas Pornin的說法

實作的複雜性帶來立即風險。ML-DSA需要謹慎處理敏感中間值與拒絕邏輯。Falcon的浮點運算難以安全實作，數個實作曾遭遇側信道攻擊，導出私鑰。

歷史提供警示。像Rainbow(基於多變量的方案)與SIKE/SIDH(基於同調的方案，曾在NIST標準化過程中被用現代電腦破解——這是科學的正常過程，但也說明過早部署不成熟方案，會帶來立即且具體的風險。

網路基礎設施的簽名遷移策略也反映出這份謹慎。從廢棄的MD5與SHA-1轉變，花了多年時間，儘管早已被證明完全破產。部署全新、複雜的後量子方案到關鍵基礎設施，也需要時間，這是合理的。

區塊鏈面臨更複雜的挑戰。以太坊等鏈可以比傳統基礎設施更快遷移，但比特幣的限制與用戶主動遷移的需求，增加了難度。此外，區塊鏈特有的簽名需求——特別是為了擴展快速聚合簽名——目前尚未成熟的後量子解決方案。BLS簽名能實現快速聚合，但尚未有量子安全的商用替代方案。

更大、更近的威脅：實作錯誤勝過量子電腦

儘管加密界討論後量子時間表，一個更迫切的威脅是：實作錯誤與側信道攻擊。

對於像zkSNARKs)這類用於隱私與擴展的複雜密碼原語，程式錯誤是巨大漏洞。zkSNARKs比簽名方案複雜數倍，基本上是在證明計算性陳述。錯誤可能徹底破壞安全。產業界將花數年時間，找出並修正微妙的實作缺陷。

後量子簽名也帶來側信道與故障注入的風險：時間攻擊、功率分析、電磁洩漏與物理故障注入，都能成功提取已部署系統的私鑰。這些攻擊已被充分理解且實用——不像量子密碼分析那樣是理論。

這形成一個殘酷的諷刺：過早部署後量子簽名，反而引入立即的實作漏洞，同時卻在防範十年後的威脅。當前的安全重點應該放在審計、模糊測試、形式驗證與多層防禦，來降低實作攻擊的風險。

2026年的七個實用建議

1. 現在就部署混合加密(如果長期保密很重要)。 結合經典的(X25519)與後量子(ML-KEM)加密。這樣既能防範HNDL，又能保持備用安全。瀏覽器、CDN與訊息應用已在實行，長期保密需求的區塊鏈也應跟進。

2. 用哈希簽名應對低頻率更新。 軟體與韌體更新容忍較大簽名大小，應立即採用混合哈希簽名方案。這提供保守的安全性，也是一個實用的“救生艇”，以防後量子方案意外較弱。

3. 區塊鏈應規劃但不要急於部署後量子簽名。 立即開始架構重設，應對較大簽名與改進聚合技術。不要過早部署不成熟的方案；讓標準成熟、實作風險浮現。

4. 比特幣需立即進行治理規劃(而非部署)。 定義遷移路徑、社群對於遺留易受攻擊資金的政策，以及合理的時間表。比特幣的治理與吞吐限制，需經過多年規劃，才能在量子威脅來臨前做好準備。

5. 隱私鏈應優先提前進行後量子轉型。 Monero、Zcash等真正面臨HNDL暴露的項目，若要保護歷史交易隱私，轉向後量子原語或架構變更，應比非隱私鏈更優先。

6. 現在就投資安全優先的密碼學，非等到量子時代。 審計zkSNARKs、修正錯誤、實作形式驗證，並防範側信道攻擊。這些威脅遠比十年後的量子電腦更迫切。

7. 投資於量子計算研究，並保持批判性資訊。 美國國家安全依賴於量子計算的領導地位。當量子相關公告來臨——而且會越來越多——應將其視為進展報告，進行評估，而非立即行動的催促。

未來之路：緊迫感與現實的平衡

量子對區塊鏈的威脅是真實的，但扭曲的時間表造成了反效果的恐慌。HNDL攻擊正當性使得長期保密資料的後量子加密部署變得迫切。簽名偽造的風險則值得認真規劃，但不應急於實作不成熟方案。

儘管Grover演算法帶來量子速度提升，但對工作量證明並無生存威脅。比特幣的挑戰來自治理與協調，而非即將到來的量子電腦。實作錯誤與側信道攻擊，遠比十年後的密碼分析帶來更大即時風險。

策略應該是細膩的：立即部署混合加密，讓後量子簽名在謹慎規劃中成熟，優先推動隱私鏈的轉型，並大量投資於近期的安全修復。這種方法能容納不確定性——如果量子突破加速，這些措施提供防禦；如果時間拉長，團隊也避免陷入次優方案。