观点:最大的量子计算威胁并非比特币私钥——而是金融渠道上的“先收割,后解密”
观点:最大的量子计算威胁并非比特币私钥——而是金融渠道上的“先收割,后解密”
量子计算再次成为加密货币的头条新闻,而相关的讨论往往简化为一个恐惧:“量子计算机能否通过破解我的私钥来窃取我的比特币?”
这确实是一个令人担忧的问题——但它并不是最紧迫的问题。
2026 年 5 月 30 日,网络公司 ZeroTier 的首席执行官兼 7percent Ventures 的创始合伙人安德鲁·高尔特 (Andrew Gault) 认为,市场过分关注钱包密钥被盗,却低估了一个威胁更快的对手:现在就记录加密流量,包括银行、交易所、托管机构和市场基础设施的流量,并计划在量子能力成熟后进行解密或利用(经典的**“先收割,后解密”**策略)。您可以在这篇访谈式报道中阅读原文:比特币最大的量子风险可能不是钱包密钥。
这一区别很重要,因为加密货币已不再仅仅是“链上”的事物。到 2025 年,机构采用、受监管的托管、基于 API 的交易、跨链桥接和多方签名工作流程,使得该行业真正的攻击面越来越集中在网络层面和身份驱动上——而这正是“先收割,后解密”最危险的地方。
两类量子威胁:机密性泄露 vs. 签名泄露
为了清晰地进行推理,我们将量子风险分为两类:
1) 机密性风险(加密数据可被稍后解密)
如果攻击者现在捕获加密会话(例如 TLS 链接、VPN 隧道、专线、银行间消息、内部服务到服务流量),一旦密钥交换或公钥加密变得易受量子计算机攻击,他们可能在多年后解密内容。
这是“先收割,后解密”的核心,各国政府已明确将其作为当今的风险(请参阅美国政府在本次报告中对“先记录,后解密”的讨论:后量子密码学报告)。
2) 完整性风险(数字签名和身份验证可被稍后伪造)
破解签名方案(例如加密货币中使用的 ECDSA / Schnorr,以及许多企业身份系统)并非解密旧消息——而是在存在“加密相关”的量子计算机后,进行身份冒充和授权。
Google 的安全团队强调,需要在此类机器出现之前迁移签名和身份验证系统,并公布了激进的内部时间表(如下文):Google 的 PQC 迁移时间表。
为什么这比“钱包”更重要: 金融世界依赖签名指令、签名证明、签名结算消息以及签名的软件和身份证明。加密货币交易所和托管机构也是如此——只是使用了不同的渠道。
为什么比特币私钥会成为头条新闻(以及它真正意味着什么)
2026 年 3 月下旬,围绕谷歌量子人工智能相关研究估算的新闻报道引发了新的关注:在某些假设条件下,一台功能足够强大的未来量子系统,可能能够足够快地从已暴露的公钥推导出比特币私钥,从而影响交易生命周期。
几篇分析文章详细解释了“几分钟而非数千年”的说法,包括:“9分钟内破解”比特币到底意味着什么? 和 量子计算机如何在“9分钟内”窃取你的比特币。
用户需要注意的重要细节:
- 最令人担忧的量子场景通常是公钥到私钥的恢复(通过针对 ECC 的 Shor 型攻击),当攻击者能够访问公钥时就会发生这种情况。
- 比特币地址类型的不同之处在于公钥可见的方式和时间,像地址重复使用这样的操作模式可能会扩大暴露范围。
- 这种风险很严重——但这并不是量子压力首先会冲击的唯一地方。
市场对于“我的私钥被破解”的关注可能会模糊更直接的操作现实:
当今交易量最大、价值最高的加密活动依赖于身份验证、加密连接和签名链下指令——而这些正是对手方目前可以大规模归档的产物。
“现在收集,以后解密”的真正目标:机构之间流动的数据
静态的静态数据并非毫无风险,但爆炸性的风险在于流动的数据:
- 交易所 API 身份验证(请求签名、会话建立、令牌发行)
- 托管方到交易柜台的指令流(批准消息、签名请求、策略证明)
- 跨链桥运营商通信(证明协调、验证者通信、紧急控制)
- 机构结算和对账流量(报告、确认、异常处理)
- 身份基础设施(证书、SSO 断言、与角色关联的签名密钥)
Gault 的论点本质上是一个优先排序的声明:行业不应只问量子是否会破解钱包密钥;而应考虑如果攻击者拥有多年捕获的加密流量并能解密本应保密十年之久的部分,会发生什么。
如果你想对这种威胁模型有一个清晰的定义,请参阅:现在收集,以后解密。
影响整个金融界的冲击波:Fedwire 模型以及加密货币为何应该关注
即使你从不接触传统的银行系统,它们的量子安全态势也很重要,因为加密货币的流动性和法定货币的结算息息相关。
2026 年 2 月,花旗集团发布了一份报告,将量子安全视为一项数万亿美元的竞赛。其中一个模型场景估计,一个顶尖的美国银行一天无法访问 Fedwire 可能会产生2.0 万亿至 3.3 万亿美元的间接经济损失(根据他们的说法,约占美国 GDP 的 10%–17%)。参阅花旗集团的主要报告:量子威胁——万亿美元安全竞赛已打响 (PDF) 以及他们对区块链的讨论:管理区块链的量子威胁。
你不需要接受任何单一模型的全部假设,就能吸取其中的教训:
- 量子风险不是“比特币的问题”。
- 这是一个“依赖于公钥密码学的系统”的问题。
- 加密货币现在已经深度嵌入该系统中——通过托管、交易所、主经纪服务和稳定币银行业务。
后量子密码学不再是假设:标准和时间表已经到来
NIST 标准化 PQC 构建模块
美国国家标准与技术研究院 (NIST) 已完成了初步的后量子标准——包括密钥建立和签名方案——为迁移奠定了实际基础:NIST 发布首批最终确定的后量子加密标准 以及更广泛的项目中心:NIST 后量子密码学项目。
谷歌公开将 2029 年定为迁移目标
谷歌的安全工程领导团队发布了一个时间表,该时间表侧重于“现在存储,以后解密”的紧迫性以及身份验证迁移目标:谷歌的密码学迁移时间表。
IETF 正在标准化对 PQ(后量子)友好的传输模式
在“流动数据”层,互联网标准界已在如何将 PQ 机制集成到广泛使用的协议中展开工作。例如,TLS 工作组发布了一份草案,专注于 TLS 1.3 的 ML-KEM 密钥协议:ML-KEM TLS 1.3 的后量子密钥协议 (IETF 草案)。
Ethereum 正在积极进行 PQ 工作的“未来防护”
Ethereum 已公开记录了其量子安全规划和研究活动,包括路线图层面的讨论:以太坊上的后量子密码学 和更广泛的中心:以太坊的未来防护。
Bitcoin 和加密服务提供商:有待解决的问题
原则上,Bitcoin 可以随着时间的推移迁移其签名原语,但这不仅是技术挑战。它还涉及协调、激励、时间表以及长尾基础设施:钱包、托管栈、签名服务和操作流程。
即使基础层升级了,如果交易所、托管商、跨链桥和机构中间件继续使用易受量子攻击的身份验证和签名系统,整个行业仍然会遭受损失。
加密团队现在应该做什么(无需恐慌)
量子就绪主要是一个工程管理问题:盘点、优先级排序、迁移规划和密码学敏捷性。这是一份实用的核对清单。
适用于交易所、托管商和经纪商
-
梳理您使用公钥加密的所有地方
- TLS 终端、内部 mTLS、SSH、VPN、API 请求签名、证书生命周期、HSM 工作流程、MPC 编排和管理控制平面。
-
优先处理“长保质期秘密”
- 任何需要保密超过几年的信息都是“先收集,后解密”的典型材料(客户 PII、交易策略、私人结算指令、合规通信)。
-
设计并实现密码学敏捷性
- 真正的故障模式是无法足够快地轮换算法,以应对标准的变化或新出现的攻击。
适用于协议和基础设施构建者(桥梁、跨链消息传递、L2/Rollups)
-
将签名视为基础设施,而非库选择
- 升级签名方案可能会影响地址格式、证明系统、硬件假设和用户体验。
-
区分“共识签名”与“操作员签名”
- 一个协议可能升级前者,但仍然在操作员管理密钥、紧急多重签名或治理签名方面存在风险。
-
尽早规划迁移路径
- 即使在最佳情况下,PQ 升级也需要时间:审计、测试网、客户端多样性、钱包支持和教育。
适用于普通用户和长期持有者
-
减少不必要的公钥暴露
- 避免地址重用和可能延长暴露窗口的操作模式。
-
加强您加密货币周围的身份验证
- 最容易发生的现实世界损失通常来自身份泄露(电子邮件、SIM 卡交换、设备被盗),而不是数学问题。量子并不会取代这些攻击——它只会放大它们对拥有有价值的、已存档流量的攻击。
-
为关键资金使用离线密钥存储
- 硬件钱包将签名密钥与联网设备隔离开来,缩小了凭证窃取和远程盗取的攻击面。它们并不能“解决量子问题”,但它们确实减少了当今最常见的攻击路径。
OneKey 的定位:实现今天的实际安全收益,并为未来的升级做好准备
一个现实的结论是:
- 后量子安全将是跨链和各服务提供商的多年转型过程。
- 在此转型期间,用户仍需要防御那些已经每天都在被利用的威胁:网络钓鱼、恶意软件、凭证泄露和被破坏的签名环境。
这正是像 OneKey 这样的硬件钱包的意义所在:它有助于将私钥与在线环境隔离,并支持更安全的交易签名工作流程——在整个生态系统完成更广泛的后量子密码学迁移期间,提供坚实的基础保障。
如果说现在有一个值得转变的心态,那就是这个:
不要只问“量子计算会打破我的钱包吗?”而是问“今天有哪些关于我的加密或签名数据正在被捕获——而且这些数据需要安全多长时间?”
