a16z研究称比特币量子"末日"恐惧被夸大

一份新的a16z加密货币研究论文指出，关于量子计算机会立即摧毁比特币的末日叙事与现实严重不符，区块链面临的真正风险在于漫长而混乱的迁移过程，而非突然的"量子日"崩溃。这篇文章已经在X平台上引发了投资者的强烈反驳，他们认为威胁比a16z所暗示的更近、更难应对。

比特币不会被量子计算摧毁：a16z

在题为"量子计算与区块链：将紧迫性与实际威胁相匹配"的文章中，a16z研究合伙人兼乔治城大学计算机科学教授Justin Thaler开门见山地写道："密码学相关量子计算机的时间表经常被夸大——导致人们呼吁紧急、全面过渡到后量子密码学。"他认为这种炒作扭曲了成本效益分析，并使团队分心，无法关注更紧迫的风险，如实施漏洞。

Thaler将"密码学相关量子计算机"(CRQC)定义为一种完全纠错的机器，能够以足够规模运行Shor算法，可在大约一个月的运行时间内破解RSA-2048或椭圆曲线方案（如secp256k1）。在他的评估中，2020年代出现CRQC是"极不可能的"，公开的里程碑也不足以证明这种系统在2030年前可能出现。

他强调，在离子阱、超导和中性原子平台中，没有设备接近密码分析所需的数十万到数百万物理量子比特，以及所需的错误率和电路深度。

相反，a16z的文章在加密和签名之间划出了明确界限。Thaler认为，对于需要保密数十年的数据，现在收集-以后解密(HNDL)攻击已经使后量子加密变得紧迫，这就是为什么大型提供商正在TLS和消息传递中推出混合后量子密钥建立。

但他坚持认为，包括保护比特币和以太坊在内的签名面临不同的计算：它们不保护可以追溯解密的隐藏数据，一旦CRQC存在，攻击者只能向前伪造签名。

基于此，该论文声称"大多数非隐私链"在协议层面不会暴露于HNDL式量子风险中，因为它们的账本已经是公开的；相关攻击是伪造签名以窃取资金，而不是解密链上数据。

比特币特有的难题

Thaler仍然指出比特币由于治理缓慢、吞吐量有限以及大量暴露的、可能被遗弃的币（其公钥已经在链上）而存在"特殊难题"，但他将严重攻击的时间窗口框定为至少十年，而不是几年。

"比特币变化缓慢。如果社区无法就适当的解决方案达成一致，任何有争议的问题都可能触发破坏性的硬分叉，"Thaler写道，并补充说"另一个担忧是比特币向后量子签名的转换不能是被动迁移：所有者必须主动迁移他们的币。"

此外，Thalen指出比特币的"最后一个特定问题"是其低交易吞吐量。"即使迁移计划最终确定，以比特币当前的交易速率，将所有量子易受攻击的资金迁移到后量子安全地址也需要数月时间，"Thaler说。

他对匆忙采用基础层后量子签名方案同样持怀疑态度。基于哈希的签名保守但极其庞大，通常有几千字节，而基于格的方案如NIST的ML-DSA和Falcon虽然紧凑但复杂，并且在实际实现中已经产生了多个侧信道和故障注入漏洞。Thaler警告说，如果区块链在标题压力下过早跳入不成熟的后量子原语，可能会削弱其安全性。

最强烈的反驳来自Castle Island Ventures联合创始人Nic Carter和Project 11 CEO Alex Pruden。Carter在X上总结了他的观点，称a16z的工作"严重低估了威胁的性质，高估了我们准备的时间"，并引导关注者阅读Pruden的长篇帖子。

Pruden首先表示尊重Thaler和a16z团队，但补充道："我不同意量子计算对区块链不是紧急问题的论点。威胁比他所描述的更近，进展更快，修复更难，比大多数人意识到的更复杂。"

他认为最近的技术成果，而非营销，应该成为讨论的基础。引用现在支持超过6,000个物理量子比特的中性原子系统，Pruden指出"我们现在有一个非退火系统，在中性原子架构中拥有超过6000个物理量子比特"，直接反驳了只有不可扩展的退火架构才能达到这种规模的任何暗示。他指出，像加州理工学院的6,100量子比特光镊阵列这样的工作表明，大型、相干、室温中性原子平台已经成为现实。

关于错误纠正，Pruden写道"表面码错误纠正去年已经在实验中得到证明，使其从研究问题转变为工程问题"，并指出色码和LDPC码的快速进展。

他强调了谷歌更新的"跟踪量子因子分解成本"估计，显示一台拥有约一百万个噪声物理量子比特、运行大约一周的量子计算机原则上可以破解RSA-2048——比谷歌自己2019年估计的两千万量子比特减少了二十倍。"运行Shor算法的CRQC资源估计在六个月内下降了两个数量级，"他指出，并总结道："说这种进展轨迹可能在2030年前带来量子计算机并非夸大其词。"

当Thaler强调HNDL是一个加密问题时，Pruden将区块链重新定义为独特的吸引量子攻击的目标。他强调"数字签名中使用的公钥与加密消息一样容易被收集"，但在区块链中，这些密钥直接与可见价值相关联。他指出"这些公钥是分布式的，并直接与价值相关联（仅中本聪的BTC就价值1500亿美元）"，一旦量子对手可以伪造签名，"如果你能伪造签名，无论原始UTXO/账户是何时创建的，你都可以窃取资产。"

对Pruden来说，这一经济现实意味着"经济激励简单明确地指向区块链成为第一个密码学相关的量子用例"，即使其他行业也面临HNDL风险。他补充说"区块链迁移将比中心化系统慢得多。银行可以升级其技术栈。区块链必须达成全球共识，承受PQ签名的性能权衡，并协调数百万用户迁移他们的密钥。"

提及以太坊从工作量证明到权益证明的多年转变，他写道："最接近的例子是ETH 1.0到2.0的过渡，这花了数年时间，而且尽管那已经很复杂，PQ迁移更加困难。任何认为这只是替换几行签名代码的人显然从未发布、部署或维护过生产区块链。"

Pruden同意Thaler的观点，认为恐慌是危险的，但他翻转了结论："我同意匆忙是危险的。但这正是为什么工作必须现在开始。最可能的失败模式是行业等待太久，然后一个重大的QC里程碑触发恐慌。"他最后表示不同意"量子计算进展缓慢"、"区块链比暴露于HNDL风险的系统更不脆弱"或"行业在采取行动前还有数年宽限期"的观点，认为"这三个假设都与现实不符。"

截稿时，比特币价格为91,616美元。