a16z 研究表示比特幣量子「末日」恐懼被誇大

一份新的a16z加密貨幣研究報告指出，關於量子計算機會立即摧毀比特幣的末日敘事與現實嚴重不符，區塊鏈面臨的真正風險在於漫長、混亂的遷移過程，而非突然的"Q日"崩潰。這篇文章已經在X平台上引發了投資者的強烈反駁，他們認為威脅比a16z所暗示的更近、更難應對。

比特幣不會被量子計算摧毀：a16z

在題為"量子計算與區塊鏈：將緊迫性與實際威脅相匹配"的文章中，a16z研究合夥人兼喬治城大學計算機科學教授Justin Thaler一開始就定下基調，寫道"密碼學相關量子計算機的時間表經常被誇大——導致呼籲緊急、全面過渡到後量子密碼學。"他認為這種炒作扭曲了成本效益分析，並分散了團隊對更迫切風險（如實施漏洞）的注意力。

Thaler將"密碼學相關量子計算機"(CRQC)定義為一種完全糾錯的機器，能夠以足夠規模運行Shor算法，可在大約一個月的運行時間內破解RSA-2048或橢圓曲線方案（如secp256k1）。在他的評估中，2020年代出現CRQC"極不可能"，公開的里程碑也不能證明這樣的系統在2030年前可能出現。

他強調，在離子阱、超導和中性原子平台中，沒有設備接近密碼分析所需的數十萬到數百萬物理量子比特，以及所需的錯誤率和電路深度。

相反，a16z的文章在加密和簽名之間劃出了明確界限。Thaler認為，對於必須保密數十年的數據，現收後解(HNDL)攻擊已經使後量子加密變得緊迫，這就是為什麼大型提供商正在TLS和消息傳遞中推出混合後量子密鑰建立。

但他堅持認為，包括保護比特幣和以太坊在內的簽名面臨不同的計算：它們不保護可以被追溯解密的隱藏數據，一旦CRQC存在，攻擊者只能向前偽造簽名。

基於此，該論文聲稱"大多數非隱私鏈"在協議層面不會暴露於HNDL式量子風險，因為它們的賬本已經是公開的；相關攻擊是偽造簽名以竊取資金，而非解密鏈上數據。

比特幣特有的難題

Thaler仍然指出比特幣由於治理緩慢、吞吐量有限以及大量公開密鑰已在鏈上的潛在廢棄幣而面臨"特殊難題"，但他將嚴重攻擊的時間窗口框定為至少十年，而非幾年。

"比特幣變化緩慢。如果社區無法就適當的解決方案達成一致，任何有爭議的問題都可能觸發破壞性的硬分叉，"Thaler寫道，並補充說"另一個擔憂是比特幣向後量子簽名的轉變不能是被動遷移：擁有者必須主動遷移他們的幣。"

此外，Thaler指出"比特幣特有的最後一個問題"是其低交易吞吐量。"即使遷移計劃最終確定，以比特幣目前的交易速率，將所有量子易受攻擊的資金遷移到後量子安全地址將需要數月時間，"Thaler說。

他同樣對在基礎層匆忙採用後量子簽名方案持懷疑態度。基於哈希的簽名保守但極其龐大，通常有幾千字節，而基於格的方案如NIST的ML-DSA和Falcon雖然緊湊但複雜，並且在實際實施中已經產生了多個側通道和故障注入漏洞。Thaler警告說，如果區塊鏈在標題壓力下過早跳入不成熟的後量子原語，就有可能削弱其安全性。

最強烈的反駁來自Castle Island Ventures聯合創始人Nic Carter和Project 11 CEO Alex Pruden。Carter在X上總結了他的觀點，稱a16z的工作"嚴重低估了威脅的性質，高估了我們準備的時間"，並引導關注者閱讀Pruden的長篇帖子。

Pruden首先強調對Thaler和a16z團隊的尊重，但補充說，"我不同意量子計算對區塊鏈不是緊急問題的論點。威脅比他所描述的更近，進展更快，修復更難，也比大多數人意識到的更困難。"

他認為最近的技術成果，而非營銷，應該成為討論的基礎。引用現在支持超過6,000個物理量子比特的中性原子系統，Pruden指出"我們現在有一個非退火系統，在中性原子架構中擁有超過6000個物理量子比特"，直接反駁了只有不可擴展的退火架構才能達到這種規模的任何暗示。他指出，像加州理工學院的6,100量子比特光鑷陣列這樣的工作表明，大型、相干、室溫中性原子平台已經成為現實。

關於錯誤糾正，Pruden寫道"表面碼錯誤糾正去年已經實驗性地被證明，使其從研究問題轉變為工程問題"，並指出色碼和LDPC碼的快速進展。

他強調了谷歌更新的"追蹤量子因子分解成本"估計，顯示一台擁有約一百萬個嘈雜物理量子比特、運行大約一周的量子計算機原則上可以破解RSA-2048——比谷歌自己2019年估計的兩千萬量子比特減少了二十倍。"運行Shor算法的CRQC資源估計在六個月內下降了兩個數量級，"他指出，並總結道，"說這種進步軌跡可能在2030年前帶來量子計算機並非誇大其詞。"

當Thaler強調HNDL是加密問題時，Pruden將區塊鏈重新定義為獨特吸引人的量子目標。他強調"數字簽名中使用的公鑰與加密消息一樣容易被收集"，但在區塊鏈中，這些密鑰直接與可見價值相關聯。他指出"這些公鑰是分佈式的，並直接與價值相關聯（僅中本聰的BTC就價值1500億美元）"，一旦量子對手可以偽造簽名，"如果你能偽造簽名，無論原始UTXO/帳戶是何時創建的，你都可以竊取資產。"

對Pruden來說，這種經濟現實意味著"經濟激勵簡單明確地指向區塊鏈作為第一個密碼學相關的量子用例"，即使其他部門也面臨HNDL風險。他補充說"區塊鏈的遷移將比中心化系統慢得多。銀行可以升級其技術棧。區塊鏈必須達成全球共識，承受PQ簽名的性能權衡，並協調數百萬用戶遷移他們的密鑰。"

引用以太坊從工作量證明到權益證明的多年轉變，他寫道，"最接近的例子是ETH 1.0到2.0的過渡，花了數年時間，而且即使那樣複雜，PQ遷移更加困難。任何認為這只是替換幾行簽名代碼的人顯然從未發布、部署或維護過生產區塊鏈。"

Pruden同意Thaler的觀點，認為恐慌是危險的，但翻轉了結論："我同意匆忙是危險的。但這正是為什麼工作必須現在開始。最可能的失敗模式是行業等待太久，然後一個重大QC里程碑觸發恐慌。"他最後說他不同意"量子計算進展緩慢"、"區塊鏈比暴露於HNDL風險的系統更不脆弱"或"行業在需要採取行動前還有數年寬限期"的觀點，認為"這三個假設都與現實不符。"

截稿時，比特幣價格為91,616美元。