a16z 重磅報告：代碼漏洞比量子運算更致命，別被恐慌帶偏

a16z Crypto 指出量子運算威脅被誇大，2030 年前出現 CRQC（密碼學相關量子電腦）機率極低。數位簽章與 zkSNARK 不受「先收集後破解」攻擊，過早切換反而引入風險。當前威脅是代碼漏洞和治理難度，建議優先審計測試而非倉促升級。

a16z 駁斥 2030 前出現 CRQC 論述

a16z Crypto 在官方帳號發布分析文章稱，市場對「量子運算威脅加密貨幣」的時間判斷經常被誇大，具備現實破壞力的量子電腦在 2030 年前出現的機率極低。所謂「具有密碼學意義的量子電腦」是指能夠運作的容錯、糾錯量子電腦，Shor 演算法規模足以在合理時間內攻擊橢圓曲線密碼學或 RSA。

根據對公開里程碑和資源估算的合理解讀，我們距離製造出這種級別的量子電腦還遙遙無期。目前所有現有架構——囚禁離子、超導量子位元和中性原子系統——都無法接近數十萬甚至數百萬個實體量子位元的規模。限制因素不僅是量子位元的數量，還包括閘保真度、量子位元連接性以及運行深度量子演算法所需的持續糾錯電路深度。

一些系統目前實體量子位元數量已超過 1,000 個，但這個數字極具誤導性。這些系統缺乏密碼學相關計算所需的量子位元連接性和閘保真度。證明量子糾錯原理可行與實現密碼分析所需的規模之間，仍然存在巨大的鴻溝。簡而言之：除非量子位元數量和保真度都提高幾個數量級，否則具有密碼意義的量子電腦仍然遙不可及。

量子恐慌常見的三大誤導

量子優勢混淆：聲稱「量子優勢」的演示針對人為設計任務，非實際密碼破解

量子退火器誤導：聲稱數千量子位元但指退火器，非運行 Shor 演算法的閘門模型機器

邏輯量子位元濫用：某些公司宣稱「邏輯量子位元」但使用距離 2 編碼僅能偵測錯誤無法修正

HNDL 攻擊不適用於簽名與 zkSNARK

文章指出，主流數位簽章方案及 zkSNARK 等零知識系統不容易遭受「先收集、後破解」的量子攻擊模式。現在收穫，稍後解密（HNDL）攻擊指的是敵對勢力現在儲存加密流量，然後在出現具備密碼學意義的量子電腦後對其進行解密。這種攻擊對加密技術構成真實威脅，這就是為什麼加密技術今天就需要轉型——至少對於那些有 10-50 年以上保密需求的人來說是這樣。

但是，所有區塊鏈都依賴的數位簽章與加密不同：它不具備可追溯攻擊的保密性。換句話說，如果出現了與密碼學相關的量子運算，那麼從那時起偽造簽名就成為可能，但過去的簽名並不像加密訊息那樣「隱藏」秘密。只要你知道數位簽名是在 CRQC 出現之前產生的，它就不可能是偽造的。這使得向後量子數位簽章過渡的緊迫性不如向後量子加密過渡的緊迫性。

zkSNARK（零知識簡潔非互動式知識論證）是區塊鏈長期可擴展性和隱私性的關鍵，其處境與簽名類似。雖然 zkSNARK 使用橢圓曲線密碼學，但它們的零知識屬性是後量子安全的。零知識屬性確保在證明過程中不會洩露任何關於秘密證人的資訊——即使是對量子對手也不會——因此不會有任何機密資訊可供「現在收集」以便以後解密。

因此，zkSNARK 不會受到先捕獲後解密攻擊。正如今天產生的非後量子簽名是安全的一樣，任何在具有密碼學意義的量子電腦出現之前產生的 zkSNARK 證明都是可信的。只有在具有密碼學意義的量子電腦出現之後，攻擊者才能找到令人信服的虛假陳述證明。這個技術細節對理解量子威脅的真實性至關重要。

過早遷移的三大成本與風險

過早推動區塊鏈切換至抗量子方案，反而可能引入效能下降、工程不成熟及潛在安全缺陷等問題。後量子簽章的性能成本極為可觀。基於雜湊的簽名大小為 7-8 KB，而當今基於橢圓曲線的數位簽章只有 64 位元組，這大約是 100 倍大小差異。格方案略好，ML-DSA 簽章範圍從 2.4 KB 到 4.6 KB，仍比目前方案大 40 到 70 倍。

這種大小增加對區塊鏈意味著什麼？更大的簽名意味著更高的交易費用、更慢的區塊傳播和更高的節點存儲成本。對於像比特幣這樣已經面臨擴展性挑戰的區塊鏈，切換到後量子簽名可能使問題惡化數十倍。此外，後量子簽章方案比基於橢圓曲線的簽章在實現安全性方面更具挑戰性，ML-DSA 有更多安全隱患和複雜的拒絕抽樣邏輯需要側通道保護。

歷史教訓更是警示。Rainbow（一種基於 MQ 的簽章方案）和 SIKE/SIDH（一種基於同源性的加密方案）這些領先候選方案都在 NIST 標準化流程後期被用傳統電腦破解。這體現了科學的正常運作，但也表明過早的標準化和部署可能會適得其反。區塊鏈特有的挑戰也使得過早遷移變得特別危險，例如區塊鏈對簽章方案有著獨特的要求，特別是快速聚合大量簽章的能力。

a16z 七大建議：審慎應對量子威脅

a16z 進一步強調，對比尚未成形的量子運算風險，比特幣、以太坊等主流公鏈當前面臨的更現實挑戰，來自協議升級的協同難度、治理複雜性以及實現層代碼漏洞。其建議開發者在合理評估時間窗口的基礎上提前規劃抗量子路徑，而非倉促執行遷移。同時指出，在可預見的未來，程式碼缺陷、側通道攻擊和故障注入等傳統安全問題，仍比量子運算更值得優先投入資源，應專注於加強審計、模糊測試與形式化驗證。

a16z 七大核心建議摘要

立即部署混合加密：至少在長期保密至關重要的場景

使用基於哈希的簽名：在可容忍大小的低頻場景如軟體更新

區塊鏈謹慎規劃：不急於遷移但現在就應開始規劃路徑

隱私鏈優先：若效能可接受應儘早過渡

優先實施安全：審計和測試比抗量子更緊迫

資助量子研發：避免對手搶先獲得能力

理性看待公告：將進度報告視為里程碑而非行動導火線

區塊鏈開發者應效仿 Web PKI 社群的做法，採取審慎的方式部署後量子簽章。這有助於後量子簽章方案在性能和安全性方面持續完善。比特幣社群現在就開始規劃尤為重要，因為治理緩慢和大量高價值的、可能被遺棄的、易受量子攻擊的地址構成特殊挑戰。