本文来自微信公众号: 集智俱乐部 ,作者:李文韬,原文标题:《arXiv:谷歌量子AI团队最新研究——椭圆曲线密码学的量子危机与防御》
具备密码学能力的量子计算机(Cryptographically Relevant Quantum Computers,CRQCs)一旦出现,将对当前数字安全体系产生深远影响。谷歌量子AI团队联合多家机构发布的最新白皮书,系统评估了量子计算对区块链生态的潜在冲击,并重新估算了破解现代加密货币核心密码体系——256位椭圆曲线离散对数问题(ECDLP)——所需的量子资源。研究显示,相关攻击所需资源规模较此前普遍认知大幅下降,意味着量子威胁可能比预期更早进入现实讨论范围。
除资源估算外,研究还提出了一个新的分析框架:从量子硬件运行速度的差异出发,区分快时钟与慢时钟架构,并据此重新评估不同类型区块链资产所面临的风险。论文进一步将讨论从密码学层面扩展至系统治理层面,分析了智能合约、权益证明、数据可用性机制以及长期休眠资产在量子时代可能面临的挑战。
基于上述分析,研究者认为,仅依靠密码学升级并不足以应对未来风险。区块链社区需要尽快启动向后量子密码学(Post-Quantum Cryptography,PQC)的迁移,同时在技术治理、资产处置和公共政策等层面建立配套机制,为量子时代的数字基础设施做好准备。
量子威胁逼近:
区块链安全的“阿喀琉斯之踵”
随着量子计算技术的突飞猛进,密码学相关量子计算机的到来不再是遥不可及的科幻场景,而是数字安全领域必须面对的系统性危机。传统的公共密钥密码体系,如RSA算法以及在现代区块链中广泛应用的椭圆曲线密码学(Elliptic Curve Cryptography,ECC),其安全基石正面临前所未有的解体风险。其中,基于Shor算法的指数级量子加速能力,可以直接将求解椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem,ECDLP)的计算复杂度降至多项式级别。
在所有受威胁的数字基础设施中,去中心化加密货币资产首当其冲。这主要源于两个核心因素:首先,为了追求高带宽和高效的传输,绝大多数区块链系统采用了秘钥长度极短的椭圆曲线算法(例如secp256k1曲线下的256位秘钥),这使得破解这些秘钥所需的量子计算机规模相比于攻破2048位RSA算法要小得多;其次,传统金融体系在遭遇欺诈或黑客攻击时往往存在中心化的多重安全机制(如冲账、冻结),而区块链网络由于其固有的“代码即法律”与去中心化设计,通常不提供任何欺诈交易逆转途径。这意味着,一旦量子攻击者伪造了单一数字签名,便可在瞬息之间完成不可逆的资金转移。然而,当前量子计算与区块链技术交叉领域的系统性研究依然匮乏,主流讨论往往依赖过时的量子硬件演进时间表或粗糙的算法模型。
谷歌量子AI(Google Quantum AI)团队联合斯坦福大学(Stanford University)、加州大学伯克利分校(UC Berkeley)以及以太坊基金会(Ethereum Foundation),共同发表了最新的技术白皮书。该研究不仅更新了攻破区块链核心加密算法的逻辑资源估算,更首次从底层物理芯片的“时钟速度”维度解构了不同量子架构对区块链产生的差异化威胁,并为加密货币体系提供了从技术迁移到公共政策的系统性全面防御框架。
无需公开的公信力:
零知识证明下的量子资源精细估计
传统上,量子资源估计的学术规范要求研究团队完全公开算法创新细节、逻辑电路图以及纠错优化方案。然而,随着量子攻防技术逐步逼近临界点,公开过于详尽的密码分析蓝图存在极大的安全风险,容易沦为恶意行为体或敌对国家的数字武器。为了在“技术透明度”与“防止技术滥用”之间取得审慎平衡,谷歌团队开创性地采用了网络安全领域的“负责任披露”(Responsible Disclosure)范式——他们选择不公开底层具体的量子优化电路,而是利用密码学领域的零知识证明(zero-knowledge proofs,ZK proofs)技术向公众提供无信任约束的科学证明。
具体而言,研究人员利用先进的SP1零知识虚拟机(zkVM),生成了一个Groth16零知识简明非交互式知识论证(zkSNARK)证明。该证明向全网确证:团队确实拥有一个可以在绝大多数输入情况下完美运行secp256k1曲线点加法(Elliptic Curve Point Addition)的经典可逆电路。由于点加法是Shor算法中最核心的计算瓶颈,验证了此子程序的资源消耗,便在数学上确证了整体Shor算法成本的真实性。
基于该零知识证明,谷歌团队公布了最新的资源估算数据。通过精心设计的可逆逻辑电路,攻破256位椭圆曲线(secp256k1)仅需:
低量子比特方案:1200个逻辑量子比特(logical qubits)与9000万个Toffoli门。
低门数方案:1450个逻辑量子比特与7000万个Toffoli门。
在物理实现层面,如果假设采用物理错误率(physical error rate)为10^-3且具有平面四度连接性(planar degree-four connectivity)的超导量子处理器(类似于谷歌已在实验中验证的Sycamore芯片的放大版本),并运行经典的表面码(surface code)纠错架构,整个计算过程仅需不到50万个物理量子比特。这一数值相比此前学术界通用的估算(如近千万个物理量子比特)降低了近20倍。这一大幅度的资源缩减反映了量子算法与纠错方案的持续进步,也说明量子威胁正在以超出此前预期的速度逼近区块链的物理防线。
“快时钟”与“慢时钟”:
量子芯片物理架构的分化威胁
在探讨具体区块链的漏洞时,谷歌团队引入了一个极为关键的硬件分类视角:“快时钟”(fast-clock)架构与“慢时钟”(slow-clock)架构。这一硬件特征的物理差异,直接决定了早期量子计算机能够发动的攻击类型。
快时钟架构以超导量子比特(superconducting qubits)、硅自旋量子比特(silicon spin qubits)以及光子量子(photonic qubits)为代表,其特点是逻辑门操作极快,纠错周期极短(通常在微秒级别)。在10微秒的控制系统反应时间下,执行7000万到9000万个Toffoli门仅需18到23分钟。如果利用算法中的“预计算”技术(即提前运行不依赖特定公钥的通用Shor算法状态,使其处于“就绪”状态),在目标公钥暴露的瞬间,仅需9到12分钟即可当场破解出对应的私钥。
与之形成鲜明对比的是中性原子(neutral atoms)和离子阱(ion traps)等慢时钟架构。尽管这些平台在物理比特的相干时间和连接度上表现优异,但其基础门操作速度比快时钟架构慢两到三个数量级(纠错周期在毫秒级别)。因此,慢时钟量子计算机执行同样的破解程序可能需要数小时乃至数天之久。
基于这种物理分化,研究团队将量子攻击划分为以下三种机制:
在支出时攻击(On-Spend Attacks):专门针对在传输通道中处于未确认状态(mempool)的交易。当用户广播一笔交易时,其公钥必然在网络中公开,量子攻击者必须在交易被矿工打包并最终确认之前(Solana约400毫秒,以太坊约12秒,比特币平均约10分钟)计算出私钥,并广播一笔更高手续费的欺诈交易将其抢跑拦截。这要求攻击者必须持有“快时钟”密码学相关量子计算机。
静态资产攻击(At-Rest Attacks):专门针对长期暴露在区块链账本上的静态公钥(例如长期未变动的历史钱包或多次重复使用的地址)。攻击者拥有数天甚至数月的时间在后台从容破解。这种攻击对“慢时钟”量子计算机而言同样可行。
在设置时攻击(On-Setup Attacks):这是一种极其隐蔽的攻击方式。它针对加密协议初始化阶段生成的固定公共参数(例如各种零知识证明trusted setup仪式中产生的powers-of-tau字符串,即所谓的“有毒废料”)。攻击者只需利用量子计算机进行一次性离线计算,便可推导出通用后门,随后只需使用普通商用个人电脑即可无限次伪造证明。
这一架构层面的重要发现指出:如果快时钟超导量子计算机率先迈过物理纠错门槛,那么“在支出时”攻击与“静态资产”攻击将几乎在同一时间成为现实,从而使整个区块链的公共内存池面临即时抢跑攻击的直接威胁。
比特币的量子风暴:
脚本多变性与工作量证明的“免疫力”
由于比特币(Bitcoin)不采用账户模型,而是基于未花费交易输出(UTXO)机制运行,其风险状态呈现出高度的结构复杂性。比特币资金的安全强度完全取决于其锁定的“脚本类型”(locking scripts):
易受静态攻击的脚本(P2PK,P2TR):早期的“中本聪时代”地址普遍采用Pay-to-Public-Key(P2PK)脚本,直接将明文公钥记录在区块链上。目前有超过170万枚比特币(约占总供应量的9%)被锁定在此类脚本中(包括中本聪本人早期挖掘的100万枚代币)。此外,2021年激活的Taproot升级引入了Pay-to-Taproot(P2TR)脚本,虽然提升了多签隐私与可组合性,但其在“密钥路径支出”(key path spend)中直接暴露了经过微调的公钥。这意味着这170万枚历史遗留比特币以及所有采用Taproot的新资金,在面对哪怕最慢的量子计算机时,都会沦为无法防御的静态靶子(at-rest vulnerable)。
静态免疫但支出时易损的脚本(P2PKH,P2WPKH):行业标准的Pay-to-Public-Key-Hash(P2PKH,以1开头)以及SegWit升级后的Pay-to-Witness-Public-Key-Hash(P2WPKH,以bc1q开头)脚本,将公钥隐藏在双重哈希算法(SHA-256和RIPEMD-160)之后。由于量子计算机无法高效逆转哈希函数,这些资金在静止状态下是绝对安全的。然而,当用户尝试花费这些比特币时,必须在解锁脚本(unlocking script)中提供明文公钥和数字签名。此时,公钥会被同步广播至公开内存池(public mempool),从而将自己置于“在支出时”抢跑攻击的险境中。
值得特别澄清的是,网络舆论常年担忧量子计算通过Grover算法实现算力暴增,从而颠覆比特币的工作量证明(Proof-of-Work,PoW)共识机制。谷歌团队在白皮书中明确指出,这一担忧纯属科技妄想。
首先,Grover算法带来的二次多项式级别(quadratic)量子加速优势,在被庞大的物理纠错开销(QEC overheads)稀释后,其实际运算速度微乎其微。即使在最不切实际的“超高速量子纠错物理芯片”(单次哈希执行仅1微秒)假设下,一台顶级量子矿机的哈希率也仅为0.25 TH/s,相比主流的商用ASIC矿机(如蚂蚁矿机S19 Pro的110 TH/s)慢了整整两个数量级。在现实物理约束下,这一差距会进一步放大10个数量级以上。其次,Grover算法在物理上极其难以进行跨地理分布的分布式并行化计算(parallelization)。因此,经典ASIC矿机强大的规模并行化优势将持续领先量子计算。
以太坊的多维危机:
从智能合约特权到共识层的系统性隐患
相比于功能单一的比特币,以太坊(Ethereum)作为一台“全球分布式计算机”,其庞大的去中心化金融(DeFi)生态和资产可组合性,使其量子攻击面(attack surface)呈现出多维嵌套的特征。白皮书详细梳理了以太坊特有的五重系统性量子漏洞:
账户漏洞(Account Vulnerability):与比特币不同,以太坊运行在持续性的账户模型之上。为了在DeFi协议中保持身份、信誉和抵押品仓位,用户几乎不可能频繁更换Externally Owned Accounts(EOA)账户。一旦某个EOA账户发起过哪怕一次交易,其对应的ECDSA公钥就将永久暴露在全网账本中。谷歌团队通过大数据分析指出,截至2026年初,仅以太坊前1000个高净值账户中,就有大量已暴露公钥的地址,累计锁定了超过2050万枚以太坊(ETH)。在快时钟量子计算机面前,攻击者仅需不到9天时间便可将其全部洗劫一空。
管理员控制特权漏洞(Admin Vulnerability):这是以太坊生态中最突出的系统性弱点。在以太坊上运行的大量智能合约(如法币托管型稳定币USDT/USDC、各类跨链桥、去中心化预言机Oracle等)通常保留了极高的管理员特权,如暂停合约、单方面铸造/销毁代币、升级智能合约逻辑代码或提取应急备用资金。这些管理员控制账户往往由多签(multisig)密钥治理,且其公钥长期处于公开状态。谷歌团队对前500个以太坊智能合约进行代码特征扫描发现,至少有70个涉及核心DeFi协议的管理合约完全暴露于该风险下,锁定了近250万枚原生ETH,以及超过2000亿美元的法币稳定币与代币化真实世界资产(RWA)。一旦这些多签管理员密钥被量子计算机攻破,黑客便可伪造签名任意增发无限量的空头稳定币,冲击链上资产与法币之间的刚性兑付锚定,引发大规模DeFi清算连锁反应。
合约运行环境代码漏洞(Code Vulnerability):由于以太坊虚拟机(EVM)运行需要消耗“Gas费用”,这导致开发者无法直接在EVM字节码中实现高成本的密码学算法。为此,以太坊在系统底层固化了若干高性能的“预编译合约”(precompiled contracts)。然而,截至目前,以太坊底层没有任何支持后性能量子密码算法的预编译合约。所有活跃的Layer 2扩容网络(如各种基于Optimistic或ZK-SNARK架构的Rollups)以及链上应用,不得不继续使用极易受量子攻击的传统配对曲线(如alt_bn128)。这使得高达1500万枚ETH的Layer 2锁定资产全部暴露在代码层的密码脆弱性之下。
验证者共识层漏洞(Consensus Vulnerability):以太坊在2022年转向了权益证明(Proof-of-Stake,PoS)共识机制。为了压缩海量验证者(Validator)每秒产生的几十万个签名,以太坊共识层选用了BLS12-381曲线下的BLS签名聚合方案。这意味着,以太坊整个共识层的信任链条同样建立在易受量子破译的椭圆曲线密码学之上。当前在信标链(Beacon Chain)中质押的3700万枚ETH共识资产全部暴露于此。一旦攻击者破译了超过1/3的验证者私钥,即可单方面导致网络无法达成最终一致性(liveness failure);若攻破超过2/3的验证者,攻击者将彻底接管整条区块链的历史账本,能够随意篡改过往交易,导致以太坊彻底丧失作为全球清算结算层的中立性。
数据可用性采样漏洞(Data Availability Vulnerability):为了提升扩容吞吐量,以太坊引入了PeerDAS数据可用性采样机制。这一机制深度依赖基于BLS12-381曲线的KZG多项式承诺方案。这种方案不仅面临直接的密码破译风险,更极易遭受“在设置时”(on-setup)攻击。因为KZG承诺依赖于一次性trusted setup仪式产生的结构化参考字符串(Structured Reference String,SRS),其残留的“有毒废料”在数学上就是一个离线离散对数。量子攻击者仅需一次性破解该SRS参数,便可在无需量子计算机配合的情况下,使用普通经典电脑无限次地伪造虚假的数据可用性采样证明,从而彻底阻断和瘫痪所有的Layer 2扩容网络。
“数字打捞”与“坏侧链”:
应对休眠资产沉没的政策创新
在探讨区块链如何向后量子密码学(PQC)过渡时,一个最棘手且往往被工程技术人员忽视的难题是——休眠资产(Dormant Digital Assets)的处置。
无论是比特币中因私钥丢失、持有人过世而永久尘封的170万枚P2PK早期比特币(包括中本聪的资产),还是以太坊中大量无人维护的早期合约,这些资产都无法像活跃钱包那样,通过用户主动发起签名交易来将资金迁移至新的后量子安全地址。如果区块链网络决定强行将这些未迁移资金“烧毁”(Burn),虽然彻底根除了量子攻击者窃取资金、冲击市场本位的风险,但却违背了加密货币的核心价值观,极易引发社区剧烈的哲学分歧与物理硬分叉(Hard Fork)。
为了破解这一技术僵局,谷歌团队提出了一套综合治理框架:
政策解:数字打捞权(Digital Salvage):在法律与公共政策层面,白皮书指出,政府无法单方面依靠行政命令强行命令矿工进行“交易审查”(Censorship)来冻结休眠资金,因为这会导致矿工和节点算力向海外不受管辖的区域流失,甚至直接造成链的分裂。更可行的立法路径是借鉴国际海事法中的“沉船打捞”与“无主物占有”(Escheatment)原则,将利用量子计算机进行休眠私钥破译和资金回收定义为一种受监管的特许打捞活动(类似于寻找深海沉船宝藏)。通过制定《统一无主财产法》(RUUPA)的量子数字修订版,政府可以将打捞上来的无主数字资产合法地纳入正式的、可征税的宏观经济运行体系中,防止这些数百亿美元规模的数字财富在暗网中转化为跨国犯罪集团、黑客组织或敌对地缘政治实体的隐秘政治资金。
跨学科的共识:
向后量子时代(PQC)迁徙的全景
椭圆曲线的量子防线正在快速收缩,但应对方案也在逐步成型。在技术层面,向后量子密码学(Post-Quantum Cryptography,PQC)的艰难迁徙已经是区块链行业的唯一出路。
目前,基于格密码(Lattice-based)与基于哈希(Hash-based)的签名算法已被美国国家标准与技术研究院(NIST)正式标准化。在加密货币界,部分先驱网络已从诞生之初就全面部署了PQC,例如基于XMSS和CRYSTALS-Dilithium的量子抗性账本(QRL)、使用Winternitz一次性签名的Mochimo,以及深度采用格密码的隐私链Abelian。即使是主流公链,也在积极开展实验:Algorand已于2025年成功执行了全球首笔基于Falcon签名算法的后量子抗性交易;Solana部署了实验性的Winternitz金库;XRP Ledger(瑞波账本)也在其AlphaNet测试网上上线了ML-DSA后量子签名,用以保护数千万美元的国债型代币(TBILL)免受潜在量子威胁。
然而,后量子算法并非没有代价。其高昂的计算和存储开销(例如Falcon签名大小为1280字节,而经典ECDSA仅为70字节)会直接导致区块链吞吐量下降、Gas成本飙升以及节点运行中心化风险。如何通过Layer 2签名聚合、递归证明(Recursive Proofs)以及后量子zk-STARKs技术平抑这部分物理开销,是计算机科学家面临的下一个重大挑战。
谷歌量子AI团队的这篇白皮书,在量子计算与去中心化金融这两个长期缺乏深度交互的领域之间搭建了桥梁。量子威胁不仅是空想或者口号,它对共识安全性、DeFi管理员权力、数据采样后门以及宏观政策设计提出了具体的技术要求。唯有依靠计算机科学、法学、公共政策学、博弈论以及整个区块链去中心化社区的跨学科深度对齐与紧密协作,数字经济才能在即将到来的量子时代洪流中保持稳健,构建可靠的去信任化基础设施。
补记:零知识证明的“攻防战”
谷歌量子AI团队的这篇白皮书不仅因为其大幅降低了破解椭圆曲线密码所需的量子资源估算而受到关注,更因为它开创了一种极为特殊的研究发布方式。出于“负责任披露”的考虑,研究团队并未公开核心量子电路,而是首次利用零知识证明向学术界证明:自己确实掌握了一套能够达到论文所述性能指标的量子攻击方案。这种做法试图在学术透明与安全保密之间寻找平衡——既避免公开潜在的攻击路径,又能够让外界验证研究结果的真实性。
然而,围绕这一策略的争论很快展开。首先,网络安全公司Trail of Bits发现其零知识证明系统存在软件工程层面的漏洞,证明“隐藏方案”的可信性并不像想象中那样牢不可破;随后,法国学者AndréSchrottenloher则完全绕过零知识证明本身,通过独立推导和优化公开文献中的已有思路,成功重构出被谷歌刻意隐藏的量子电路,甚至在部分指标上进一步超越原方案。于是,这场原本关于量子计算资源估算的研究,逐渐演变成了一场围绕科学开放、技术保密与知识传播边界的真实攻防战。
1.什么是零知识证明?
简单而言,零知识证明是一种密码学协议,允许证明者(Prover)在不泄露任何关于秘密本身(本文中为具体的量子电路设计)的信息的前提下,向验证者(Verifier)证实某一断言(本文中为“我们确实拥有能在特定量子资源限制下完成计算的电路”)的真实性。
目前,量子电路的性能还无法运行谷歌提出的算法。因此,谷歌利用Succinct Labs的SP1 zkVM(零知识虚拟机)运行经典模拟器来验证其量子电路。该虚拟机接受的输入是量子电路,输出的则是输入电路的资源消耗,例如所需量子门的数量、运行时间等,而输出又会与一般认为的“合理资源消耗上限”进行对比,若少于“合理的消耗上限”,则等价于输出了“成功”,否则等价于输出“失败”。
零知识证明的关键是:虚拟机的输入可以是不公开的,但其输出是公开的,并且虚拟机本身也是公开的。任何人只需将谷歌提供的量子电路输入虚拟机,就能在不接触实际电路图的情况下,从虚拟机的输出结果确证:谷歌确实掌握了高效率的量子攻击路径。
因此,在零知识证明的框架下,“在虚拟机上成功运行”是量子电路完成任务的充分条件。虚拟机起到了筛选作用,它的输入如果是某个无法完成任务的量子电路,那么它的输出也必须是“失败”。从这个命题的逆否命题我们才能推出,如果某个量子电路的输出为“成功”,那么它确实是一个具有现实意义和可行性、有潜力破解加密货币的算法。
2.Trail of Bits的软件“伪造”与zkVM的范式隐忧
2026年4月,网络安全公司Trail of Bits发表了一项研究,宣布成功“伪造”了谷歌的零知识证明。他们生成的伪造证明在谷歌未打补丁的验证器上顺利通过,但其声称的量子资源消耗却低得不合常理(例如Toffoli门数量为零)。
Trail of Bits公司在其官方博客中指出,这次“破解”并未动摇论文本身的量子物理学结论,也非零知识证明本身的数学原理失效,而是该公司利用了零知识证明的软件漏洞,骗过了该证明的验证器。
在技术层面上,生成零知识证明的计算开销极大。为了缩短证明生成时间,谷歌在编写基于Rust语言的zkVM程序时,使用了unsafe代码块,从而绕过了Rust编译器的安全检查。Trail of Bits正是利用了unsafe代码导致的内存安全与逻辑漏洞,在zkVM外部操纵了电路的序列化数据,从而欺骗了零知识证明虚拟机。
这一事件为将zkVM作为学术出版范式的尝试敲响了警钟。从技术角度看,零知识证明本意是将对“人”或“机构”的信任转移给“数学”,但zkVM的引入实际上将信任链条延伸到了极其复杂的软件工程与编译器正确性上。底层代码中一个为了性能妥协而产生的微小漏洞,就足以让整座密码学大厦在验证端失效。
3.Schrottenloher直接复现量子电路:公开出版的价值
如果说Trail of Bits的工作暴露了软件实现上的瑕疵,那么法国国家信息与自动化研究所(Inria)学者AndréSchrottenloher于2026年6月发表的预印本论文(arXiv:2606.02235),则从学术层面彻底宣告了谷歌“隐瞒电路”策略的失效。
Schrottenloher并未试图去破解零知识证明的软件,而是选择直接攻克数学本身。通过将谷歌研究员Craig Gidney先前公开的思路,进行重组与优化,Schrottenloher独立重构出了这套被谷歌隐藏的量子电路。Schrottenloher的开源设计不仅在量子比特效率上与谷歌相当,在Toffoli门数量上甚至比谷歌的设计还减少了6.5%至10%。这证明了在没有谷歌原始电路参考的情况下,同行依然能够独立达到、甚至超越其技术指标。
对此,该谷歌论文的共同作者、量子电路的主要设计者Craig Gidney在其个人技术博客Algorithmic Assertions上发表了题为《法国人拿到了量子电路》(The French have the Quantum Circuits)的文章,公开向Schrottenloher表示祝贺。Gidney在文章中反思道,利用零知识证明来隐藏学术成果的做法实际上引发了“史翠珊效应”(Streisand effect),越是刻意隐藏,越是激发了同行强烈的破解与重构欲望。他坦言,试图通过密码学手段在学术界维持技术秘密是行不通的,未来的研究应当回归到完全公开出版的传统轨道上。
这一系列围绕谷歌论文的学术交锋,不仅展示了开源社区在量子算法优化上的深厚积淀,也为前沿科技的披露机制提供了一个具有启发性的案例。它表明,在科学探索的实践中,负责任披露策略虽然看似合理,但较为脆弱,且有可能因为与学术内容无关的原因导致学术发现本身的错误;集体的开放审视,依然是推动技术安全与进步最有效的路径。