量子计算威胁逼近：Shor算法优化如何冲击以太坊账户与共识安全

虽然量子计算目前仍带有较强的炒作色彩，但随着 Shor 算法效率的提升，以太坊账户安全、共识机制及 Layer 2 的证明系统确实面临长期风险。在向 NIST 后量子标准迁移时，应防范潜在的密码学后门。

首先，深呼吸。目前一切还好。但我们有必要厘清一篇新论文所带来的潜在影响与时间线。

（文末有关键摘要）

背景

来自谷歌、伯克利、斯坦福和以太坊基金会的研究人员发表了一篇关于实质性量子算法优化及其对加密货币影响的论文。

一个必须认清的背景是，量子计算领域在很大程度上充斥着炒作。它通过炒作和投机来获取关注，并因此获得持续的资金。

这并不是说论文提出的不是实质性优化——它确实是——但我们在阅读有关量子密码分析的内容时，应当始终意识到这一大背景。我们有时间进行分类处理和迭代。同时，考虑到涉及美国国家安全局 (NSA) 和美国国家标准与技术研究院 (NIST) 的历史，对于 NIST 推荐的晶格密码学，我们首先应持怀疑态度。

论文的核心议题

该论文主要针对比特币（推测是出于对 SECP256R1/P256 曲线的怀疑）以及包括以太坊在内的许多其他链所使用的 SECP256K1 (K256) 曲线。本次分析将重点关注以太坊网络，因为门罗币使用不同的曲线，而比特币在这一特定背景下既不提供隐私也不提供可编程性。

论文并未明确将门罗币使用的 ed25519 曲线作为攻击目标，但提到攻破它的难度可能并不比 K256 曲线高出一个数量级。

在量子搜索算法下，寻找哈希摘要（如 SHA256 或 KECCAK256）的原像确实会有一些加速，但这种改进不是指数级的。它并不会对这些哈希算法构成合理威胁，而且这篇论文也没有改进攻击它们的算法。

时间线：我们还有多少时间？

NIST 通常负责处理美国政府的密码学标准和安全公告。2024 年 11 月发布的 NIST 内部报告 8547 明确指出：使用 RSA 和椭圆曲线离散对数问题的密钥交换和签名协议将在 2030 年前被弃用，并于 2035 年前被禁止使用。这背后的根本原因是 Shor 算法能够针对离散对数问题提供指数级的加速。

这篇新论文证明了一种优化方案，可以大幅减少实际攻击 K256 曲线所需的逻辑量子比特和 Toffoli 门数量（这两者都是运行 Shor 算法的主要瓶颈）。这促使人们考虑尽早而非推迟弃用这些算法，尽管论文本身没有给出具体的新日期。

虽然论文没有对 BN254 或 BLS12-381 等其他椭圆曲线进行具体建模，但提到攻击它们的难度不应显著高于 K256。这使得基于这些曲线的双线性配对可能更容易受到攻击，并可能允许恢复多项式承诺系统（如 zk-SNARK 设置中使用的 KZG）的“有毒废料”。

以太坊面临的具体风险

论文明确了以太坊可能面临的五类漏洞：

• 账户
• 管理
• 代码
• 共识
• 数据可用性

账户和管理漏洞

由于以太坊的账户地址是 K256 公钥的截断哈希值，因此从未发送过交易或发布过任何签名的账户不会暴露其公钥。这意味着它们目前暂时安全。

然而，一旦某个账户发布了签名（例如通过一笔交易或一个 permit 签名），其公钥就可以被恢复，从而使该账户面临被攻击的风险。

“管理”漏洞本质上是将上述账户漏洞应用到了特权地址上。M-of-N 多重签名账户需要其中 M 个账户同时被攻破才有效，但除此之外毫无防备。这意味着可配置的合约可能被操纵，可升级的代理智能合约可能被替换为用于窃取代币的恶意合约。

代码漏洞

此漏洞指那些依赖于使用非抗量子密码原语的预编译合约的智能合约。目前，这些易受攻击的预编译合约包括：

• K256 ECDSA 签名验证
• P256 ECDSA 签名验证
• KZG 多项式承诺证明验证
• BN254 曲线上的点运算和双线性配对
• BLS12-381 曲线上的点运算和双线性配对

P256 ECDSA 预编译合约将账户安全问题扩展到了使用 P256 曲线的智能账户，例如由 iOS 和 Android 安全隔离区进行身份验证的账户。

BN254 和 BLS 曲线被广泛用于隐私协议和 Layer 2 Rollups 的 zk-SNARKs 中。从这些系统的设置中恢复“有毒废料”，将允许攻击者在任何依赖该承诺的系统上伪造证明。

共识漏洞

以太坊在其共识机制中使用 BLS12-381 曲线进行签名聚合。其影响因网络中受损验证者比例的不同而异：

• 攻破单个验证者：可以强制对其权益进行罚没。
• 攻破超过 1/3 的验证者：可以阻止网络达成最终性。
• 攻破超过 1/2 的验证者：可以影响分叉选择规则，并强制进行深度链重组。
• 攻破超过 2/3 的验证者：将是灾难性的，需要进行链外网络恢复。

数据可用性漏洞

以太坊的 Blob 交易系统使用了带有 KZG 承诺证明的数据可用性采样。如果 KZG 设置中的有毒废料被恢复，攻击者就可以创建伪造的数据可用性证明，从而给依赖 Blob 存储进行状态转换的 Layer 2 带来严重问题。

后量子迁移的难题

直接的解决方案是迁移到基于晶格或哈希的抗量子密码系统。NIST 已经制定了相关标准：

• (FIPS 203) 基于模块晶格的密钥封装机制
• (FIPS 204) 基于模块晶格的数字签名
• (FIPS 205) 无状态基于哈希的数字签名

然而，由于 NSA 的历史介入，NIST 标准一直备受质疑。历史案例包括 EFF 对 DES 的破解、NSA 在 Dual EC DRBG 随机数生成器中植入的后门，以及 NIST 在后量子密码学遴选过程中涉及 NSA 的透明度不足问题。

像 D.J. Bernstein 这样的知名密码学专家也强调，基于晶格的密码学存在巨大的攻击面，并且这些实现方案本身仍在针对新的攻击向量不断演变。

关键要点

我们还有几年的时间窗口。行动方针应该是快速但谨慎地进行调整。理想情况下，应该采用模块化的身份验证系统，以便未来能进行更快的密码学迭代。

我们必须认识到，密码学本质上是暂时的；它的作用是为数据在被解密前变得毫无操作价值争取时间。我们还需要警惕，像 NSA 这样的机构可能会尝试在新的后量子密码套件中注入后门。

一句话总结：量子计算对以太坊的威胁是真实且长期的，但非迫在眉睫。当前最紧迫的任务并非 panic，而是开始有策略地规划向抗量子密码学的迁移，同时对新标准保持必要的审视。

• 原文链接：https://x.com/jtriley2p/status/2039803660721672465

对于这类前沿且复杂的安全议题，持续的关注和深入的社区讨论至关重要。欢迎在 云栈社区 与其他开发者继续交流区块链安全与密码学的最新动态。