a16z加密研究团队发布的新论文指出,关于量子计算会瞬间摧毁比特币的末日叙事严重偏离现实,区块链面临的真正风险在于漫长而混乱的迁移过程,而非突然的“Q日”崩溃。该文章已在X平台引发投资人的激烈反驳,他们认为威胁比a16z所述的更迫在眉睫且更难应对。
a16z:量子计算不会摧毁比特币
在《量子计算与区块链:让紧迫性与真实威胁相匹配》一文中,a16z研究合伙人、乔治城大学计算机科学教授贾斯汀·泰勒开篇定调,写道“实现密码学相关量子计算的时间表经常被高估——这导致人们呼吁紧急全面转向后量子密码学”。他认为这种炒作扭曲了成本效益分析,并使团队忽视了实施漏洞等更紧迫的风险。
泰勒将“密码学相关量子计算机”(CRQC)定义为完全纠错、能运行肖尔算法,且规模上可在一个月内破解RSA-2048或secp256k1等椭圆曲线方案的机器。他评估认为,2020年代出现CRQC“极不可能”,公开的技术进展不足以证明此类系统在2030年前可能实现。
他强调,无论是离子阱、超导还是中性原子平台,目前都没有设备能接近密码分析所需的数十万到数百万物理量子比特规模,且满足误差率和电路深度要求。
a16z的文章对加密和签名机制进行了明确区分。泰勒认为,对于需要数十年保密的数��,“现在收割未来解密”(HNDL)攻击已使后量子加密变得紧迫,因此大型供应商正在TLS和消息传输中推出混合后量子密钥协商方案。
但他坚称,包括保护比特币和以太坊的签名机制面临不同的计算逻辑:它们不保护可被回溯解密的隐藏数据,且一旦CRQC存在,攻击者只能伪造未来的签名。
基于此,论文声称“大多数非隐私链”在协议层面不受HNDL式量子风险影响,因为它们的账本本就公开;相关攻击是通过伪造签名窃取资金,而非解密链上数据。
比特币的特殊难题
泰勒仍指出比特币存在“特殊难题”,包括缓慢的治理机制、有限的吞吐量,以及大量暴露且可能被遗弃的币种(其公钥已存在于链上),但他将严重攻击的时间窗口设定为至少十年而非几年。
“比特币变化缓慢。如果社区无法就合适解决方案达成共识,任何争议性问题都可能引发有害的硬分叉,”泰勒写道,并补充道“另一个担忧是比特币向后量子签名的转换不能是被动迁移:所有者必须主动迁移其币种”。
此外,泰勒指出“比特币最后一个特定问题”是其低交易吞吐量。“即使迁移计划最终确定,以比特币当前交易速率,将所有易受量子攻击的资金迁移到后量子安全地址仍需数月时间,”他表示。
他对在基础层仓促采用后量子签名方案同样持怀疑态度。基于哈希的签名方案保守但体积极大(通常达数千字节),而基于格的方案(如NIST的ML-DSA和Falcon)虽紧凑但复杂,且在实际应用中已出现多个侧信道和故障注入漏洞。泰勒警告称,若在舆论压力下过早采用不成熟的后量子原语,区块链可能会削弱其安全性。
行业对风险存在分歧
最强烈的反驳来自Castle Island Ventures联合创始人尼克·卡特和Project 11首席执行官亚历克斯·普鲁登。卡特在X平台总结其观点,称a16z的研究“严重低估了威胁本质,高估了我们的准备时间”,并引导关注者阅读普鲁登的长篇推文。
普鲁登开篇强调对泰勒和a16z团队的尊重,但补充道:“我不同意量子计算对区块链并非紧迫问题的论点。威胁更近、进展更快、修复更难,远超他的框架设定和大多数人的认知。”
他主张应以近期技术成果而非市场宣传锚定讨论。 citing 提及支持超6000物理量子比特的中性原子系统,普鲁登指出“我们现在拥有非退火架构的中性原子系统,其物理量子比特超过6000个”,直接反驳了只有不可扩展的退火架构才能达到此规模的说法。他提到加州理工学院6100量子比特的光镊阵列等成果,表明大型、相干、室温中性原子平台已成为现实。
关于纠错问题,普鲁登写道“表面码纠错去年已通过实验验证,使其从研究问题转变为工程问题”,并指出色彩码和LDPC码的快速进展。
他重点提及谷歌更新的《量子分解成本追踪》估算:配备约百万噪声物理量子比特的量子计算机运行约一周,原则上可破解RSA-2048——较谷歌2019年两千万量子比特的估算缩减了二十倍。
“运行肖尔算法的CRQC资源估算在六个月内下降了两个数量级,”他指出,并结论道:”称这一进展轨迹可能在2030年前交付量子计算机并非夸大其词”。
泰勒将HNDL视为加密问题,而普鲁登则将区块链重新定义为独特的量子攻击目标。他强调“数字签名中使用的公钥与加密消息一样易于收割”,但在区块链中这些密钥直接与可见价值挂钩。他指出“这些公钥是分布式的,且直接关联价值(仅中本聪的BTC就价值1500亿美元)”,一旦量子对手能伪造签名,“只要能伪造签名,无论原始UTXO/账户何时创建,都能窃取资产”。
对普鲁登而言,这种经济现实意味着“经济激励清晰表明区块链将成为首个密码学相关的量子应用场景”,即使其他领域也面临HNDL风险。他补充道“区块链的迁移速度将远慢于中心化系统。银行可升级其系统栈,而区块链必须达成全球共识、承受后量子签名的性能权衡,并协调数百万用户迁移密钥”。
他以以太坊从工作量证明到权益证明的多年过渡为例写道:“最接近的是ETH 1.0到2.0的转换,耗时数年,但即便如此复杂,后量子迁移难度更大。任何认为这只需替换几行签名代码的人,都从未部署或维护过生产级区块链。”
普鲁登同意恐慌是危险的,但得出相反结论:“我同意仓促行事是危险的。但这正是必须立即开展工作的原因。最可能的失败模式是行业等待过久,随后重大量子计算里程碑引发恐慌。”他最后表示不同意“量子计算进展缓慢”、“区块链比面临HNDL风险的系统更不易受攻击”或“行业尚有数年空闲时间才需采取行动”的观点,并主张“这三个假设均与现实不符”。
截至发稿,比特币报91,616美元。
