loading...
根据以太坊基金会Kohaku项目负责人Nicolas Consigny于2026年6月14日发布的提案,对以太坊账户进行量子防护的成本可低至每个账户0.07美元。该方案将美国国家标准与技术研究院(NIST)批准的后量子签名标准SPHINCS+改编为更精简的变体SPHINCS-(读作“SPHINCS minus”),使其在以太坊上原生运行,且无需硬分叉或任何协议层改动。
硬分叉是指区块链网络实施重大规则变更,要求所有用户、钱包和交易所同时升级。这一过程缓慢、协调成本高,且容易引发政治争议。而SPHINCS-方案完全避免了这些问题。
如今以太坊账户依赖名为ECDSA(椭圆曲线数字签名算法)的机制。你可以将其视为一把数字锁,用来证明你拥有钱包且授权了交易。每次发送ETH或与智能合约交互时,ECDSA负责确认指令来自你而非他人。
这把锁对当前计算机极为坚固。但量子计算机的工作原理不同。一台足够强大的量子计算机可以从你的公钥(链上人人可见的地址)反向推导出本应保密的私钥。一旦私钥泄露,他人便可控制你的资金。实现这一攻击的技术称为Shor算法——一种量子计算机能运行而普通计算机无法执行的数学捷径。
SPHINCS-提案直接针对这一问题。它不需要整个以太坊网络升级,而是允许单个用户通过智能合约立即为自身账户添加抗量子防护,无需全网投票或协调。
以下是成本数字真实可信的理由:一个用Solidity(以太坊编程语言)构建的SPHINCS-工作版本,可以在链上使用约15万Gas验证一个量子安全签名。Gas是以太坊衡量交易计算工作量的费用单位。按当前Gas价格计算,15万Gas的费用约为每次验证0.07美元。该系统使用以太坊内置的KECCAK256哈希函数(以太坊内部已在使用),而非外部标准。这意味着无需对以太坊核心代码进行任何特殊修改。验证器背后的数学逻辑已通过Lean 4与Verity工具进行形式化验证——这是一种证明代码数学正确性的软件工具,类似于在上线前让审计员逐行检查逻辑。原始的SPHINCS+标准(现根据NIST的FIPS 205正式命名为SLH-DSA)设计为每个密钥可处理多达2^64次签名。这是一个天文数字:约1800亿亿次。区块链钱包根本用不到这么多。根据论文引用的Dune Analytics数据,即使在合并之后,最活跃的以太坊用户每年也仅发起约431笔交易。SPHINCS-正是针对这一现实范围设计的,将签名预算上限设置在2^14(16,384)到2^20(约100万)之间——对任何钱包都绰绰有余,因此链上验证成本也大幅降低。
后量子密码学旨在构建量子计算机无法破解的安全系统。当今大多数加密技术(包括保护以太坊钱包的技术)都依赖于普通计算机难以解决、但量子计算机可通过Shor等算法破解的数学难题。基于哈希的签名(如SPHINCS+)则采用不同策略:它们不依赖数学难题,而是依赖哈希函数。哈希函数是一条单行道:你可以轻松地将数据输入并得到输出,但无法逆向还原原始数据。目前已知的量子算法都无法逆转强哈希函数,因此基于哈希的签名被认为能提供长期可靠的量子抗性。
SPHINCS+通过堆叠三个组件来构建安全性:
哈希链——想象一排上锁的盒子,每个盒子只能用前一个盒子里的钥匙打开。揭示正确的钥匙可以证明你从链的起点开始,而不暴露其他信息。默克尔树——一种结构,可将数千个独立密钥打包成一个简短的指纹。你可以证明任意一个密钥属于该包,而无需透露其他密钥。FORS(随机子集森林)——一种签名方法,允许单个密钥在需要更换前处理有限次数的签名。可将其视为只能开门固定次数的钥匙。
这三个组件被堆叠成论文所称的“超树”,本质上是一棵由更小树组成的树。当你签署交易时,系统会根据消息的哈希值选择树中的特定分支。验证签名的人则沿着该分支向上回溯,每一步都用哈希计算进行验证。每次计算都会消耗以太坊的Gas,因此SPHINCS-的整个工程目标就是减少验证者需要执行的步骤数。
经过大量测试后,Consigny的团队找到了既能保持低廉验证成本又具备稳固安全性的参数设置。简而言之:
使用16字节的哈希输出(称为n=16)可在保持签名体积较小的同时提供128位安全性——这是强密码学的公认最低标准。只堆叠两层树(d=2)而非标准的七层,意味着验证者在链上的工作量大大减少。将链长度设置为8步(w=8),意味着每次单独验证既短又快,尽管总次数更多。团队发现,在模拟以太坊实际计算收费方式时,“短而多”优于“长而少”。两种压缩技巧(称为WOTS+C和FORS+C)将额外工作转移到创建签名的一方——即你设备上的钱包——从而减少链上验证者的负担。签名者在前期做更多计算,网络则在后期做更少计算。
目前尚不存在能够破解以太坊钱包加密技术的量子计算机。但进展速度是真实且可衡量的。
2026年4月24日,后量子初创公司Project Eleven将一枚比特币的“Q-Day奖”授予研究员Giancarlo Lelli,奖励其在公开可用的量子计算机上破解了15位椭圆曲线密钥。Project Eleven称这是迄今为止最大规模的公开演示,展示了未来可能威胁比特币、以太坊以及超过2.5万亿美元由椭圆曲线密码学保护的资产的一类攻击。比特币的真实密钥长度为256位,远大于15位,因此这并非迫在眉睫的危险。但Project Eleven的CEO Alex Pruden指出,此类攻击的资源需求持续下降,且Lelli仅使用了云端可访问的硬件,无需国家实验室或专用芯片。
更大的近期担忧是一种名为“先收割,后解密”的策略。其运作方式如下:资源充足的攻击者(例如政府机构)可以悄然复制并存储今天的加密区块链交易。他们目前无法读取这些数据。但一旦存在足够强大的量子计算机,他们就可以回过头来解密所存储的一切。对于大多数加密数据,这令人担忧。对于公开的区块链数据,风险性质有所不同:交易数据本身对所有人可见,但钱包背后的私钥并非如此。量子计算机最终可以从公开数据反向推导出私钥,在原始交易发生多年后清空旧钱包。
在比特币方面,Glassnode于2026年5月20日发布分析报告,将192万枚比特币(约占总供应量的9.6%)归类为未来量子攻击下的“结构不安全”资产。另有412万枚比特币(占总供应量的20.6%)因用户管理密钥和地址的方式而被标记为“操作不安全”。以太坊使用相同的基础密码学系统,因此面临同类风险敞口。
每个账户七美分对单个用户而言微不足道。对于一个管理数万个用户地址的DeFi协议,总账单最多不过几千美元。对于托管方、交易所以及持有数百万美元钱包的大户来说,花费零钱来做好量子准备是一个直截了当的决定。
该设计还绕过了通常拖慢以太坊升级的治理瓶颈。由于SPHINCS-在单个账户层面(而非协议层面)工作,任何钱包都可以选择将其作为可选功能添加。无需全网投票,无需等待其他利益相关方,无需硬分叉。
话虽如此,这仍是一个研究提案,而非成品。已与一家名为Fable的审计公司完成初步安全审查,但仍需进行独立正式审计,开发人员才会认为其在主流钱包中部署足够安全。
目前也尚未撰写正式的以太坊改进提案(EIP)。EIP是启动社区审查流程的官方文档,缺少它,所有工作都无法推进至生产阶段。集成到MetaMask或Ledger等广泛使用的钱包中,可能还需要在此过程开始后多花几个月时间。
Consigny明确将SPHINCS-描述为垫脚石,而非最终答案。更长期的目标是名为leanSPHINCS的变体,旨在与以太坊下一代的零知识证明系统协同工作。
零知识证明(ZK证明)是一种在不泄露底层数据的情况下证明某事为真的方法。在以太坊中,零知识证明被越来越多地用于通过单个证明一次性覆盖数千次操作,从而使交易更快、更便宜。要使签名方案能在零知识证明系统内工作,其内部数学必须与ZK电路(ZK证明的底层计算结构)兼容。SPHINCS-使用的哈希函数KECCAK256并非天然对ZK友好,这意味着将其包含在ZK证明中成本高昂。
一份名为“Frame type for PQ sig and STARK aggregation”的草案EIP描述了一种未来模型:后量子签名无需由网络上每个节点单独验证。相反,多个签名将在链下打包成一个名为STARK的紧凑证明,只有该证明在链上被验证。在此模型下,leanSPHINCS的验证成本将从15万Gas降至约3000 Gas——因为验证成本由多笔交易分担,而非每笔交易重复计算。
代价是,像SPHINCS-这样基于KECCAK的签名需要在用户设备上增加一个额外的包装步骤,然后才能打包到证明中。一个名为JARDIN的配套项目预计很快发布,专门针对硬件钱包,目标是在标准安全芯片硬件上将签名时间缩短至3秒。
SPHINCS-提案表明,以太坊的后量子账户保护是一个可以用现有工具以实际成本解决的问题。15万Gas的链上验证器、无需硬分叉以及形式化的数学正确性证明都是具体的里程碑。0.07美元的数字来自一个经过实际Gas价格测试的工作Solidity实现——而非理论估算。剩下的就是从研究到生产的路径:审计、EIP以及钱包集成。量子威胁距离临界点还有数年时间,但提前应对的成本已变得几乎无法反驳。
444
900
939
598
456
892
290
233
415
