量子威胁不是「末日」，它是一场大过滤。

撰文：Luke，火星财经

科技圈和加密圈，本周有两条看似无关、实则紧密相连的新闻，引起了广泛关注：

• 谷歌宣称： 其最新的「Willow」量子芯片实现了「可验证的量子优势」，在特定算法上比顶级超算快了 13,000 倍。
• 政界动态： 据《华尔街日报》报道，特朗普政府正商谈直接「入股」一家量子计算公司，意图将这项技术「国家化」。

一个技术突破，一个政治动作，共同指向了一个让加密世界感到背脊发凉的问题：那个悬在比特币头上的「达摩克利斯之剑」——量子威胁，是不是又近了一步？

为何「控制力」比「速度」更关键？

每次有量子新闻，圈内总会有人（比如 Mysten Labs 的创始人）出来「维稳」，说构成实质性威胁「至少还需 10 年」。这种观点基于一个简单的「线性外推」——这个词的意思是，假设技术会像汽车一样匀速前进。

但这种判断，可能看错了谷歌的「王牌」。

这次公告中，真正值得警惕的，不是那个 13,000 倍的速度，而是一个词组的转变：从「量子霸权」（Quantum Supremacy）到「可验证的量子优势」（Verifiable Quantum Advantage）。

如果说 2019 年的「霸权」是一场秀肌肉的算力展示，那么今天的「可验证优势」则是一场关于控制力的精准宣示。

谷歌成功模拟了「量子混沌」——这是一种物理学中极其复杂、混乱到连经典超算都无法模拟的系统状态。这证明谷歌驾驭噪声的能力正在飞跃。

要看懂这一点，我们先要弄清两个概念：

什么是「量子比特」？ 经典计算机用「比特」（0 或 1）来计算。而量子计算机用「量子比特」，它是一种可以同时处于 0 和 1 的叠加状态的微观粒子。这种特性使其具备了超越经典计算机的潜力。

什么是「噪声」？ 「量子比特」极其脆弱。来自外界的任何微小干扰（如温度、振动），都会导致它「出错」或「遗忘」信息，这就是「噪声」。「噪声」是量子计算的最大敌人。

因此，谷歌的成就意味着，人类在「控制噪声」这个核心难题上取得了突破。而这，恰恰是构建那台最终能破解密码的、具备纠错能力的量子计算机的唯一路径。

所以，这不再是狼来了的遥远呼喊。这是一声已经打响的发令枪，它宣告了一场波及全球的「密码学大迁徙」已经正式开跑。

真正的「核武器」：Shor 算法与 HNDL 的历史包袱

这场迁徙的紧迫性，源于量子威胁的独特本质。它到底是什么？

它主要来自两个算法。第一种是 Grover 算法，一个「超级搜索引擎」，能加速破解哈希算法（如 SHA-256）。但这并非致命一击，它带来的算力提升仍在可控范围内。

真正的「核武器」，是 Shor 算法。

Shor 算法的唯一目的，就是破解当今互联网的加密基础。对加密货币来说，它能做一件极其危险的事：通过你的「公钥」反推出你的「私钥」。

这是什么概念？我们必须先解释两个最基础的术语：

公钥 (Public Key)： 就像你的银行账号或家庭住址。你可以把它给任何人，让别人给你转账或寄信。

私钥 (Private Key)： 就像你的银行卡密码或房门钥匙。它是你动用资产的唯一凭证，你绝对不能告诉任何人。

目前所有的加密货币，都基于一个铁律：公钥无法反推出私钥。而 Shor 算法，就是那把能打破铁律的「万能钥匙」。

那么，造出这把「万能钥匙」有多难？

这必须区分「物理量子比特」和「逻辑量子比特」：

物理量子比特 (Physical Qubits)： 谷歌此次发布的「Willow」芯片，就拥有 105 个物理量子比特。你可以把它们想象成 105 个技艺生疏、容易弹错音的「乐手」。他们非常脆弱，极易受到「噪声」干扰。

逻辑量子比特 (Logical Qubits)： 这是 Shor 算法真正需要的，是近乎完美的「乐手」。

如何得到「逻辑比特」？答案是「人海战术」。通过一种叫量子纠错（QEC）的技术，用成百上千个不靠谱的「乐手」（物理比特），组成一个「乐队」，互相纠错，来模拟出一个完美的「乐手」（逻辑比特）。

圈内公认的估算数据是：破解比特币的签名，大约需要 2,300 个「逻辑比特」。

而这对应着惊人的「物理比特」数量：在 24 小时内破解，需要约 1300 万个「物理比特」（乐手）。

这巨大的鸿沟，是「10 年论」的底气来源。

但是，这种计算忽略了一个更隐蔽、更紧迫的威胁模式：「先采集，后解密」（Harvest Now, Decrypt Later, HNDL）。

HNDL 的逻辑极其简单：一个有足够存储能力的攻击者，从今天开始，就可以完整地下载并存储整个比特币（以及其他链）的公开账本。他们不需要立即破解，他们只需要等待。

等到那台「1300 万比特」的机器在未来某天问世，再用它来解密这些早已储存在硬盘里的「历史数据」。

比特币的早期协议设计（如 P2PKH，一种早期的地址格式），在这种攻击面前尤为脆弱。其机制规定，一个地址的「公钥」（你的「家庭住址」），只有在该地址第一次发送交易时，才会被广播到全网，并被永久记录在不可篡改的账本上。

这意味着，任何一个曾经花过钱的比特币地址，其「公钥」都已永久暴露。

据估算，至少有 25% 的 BTC 存放在这种公钥已暴露的地址中。对于以太坊（它采用账户模型，即你的公钥始终是公开的），这个比例甚至可能超过 65%。

最关键的是，HNDL 是一个历史包袱。即使比特币未来通过硬分叉成功升级到抗量子算法，也无法追溯性地保护这些已经被记录在历史区块中的、已暴露的公钥。

这个「幽灵」已经潜伏在系统中，它瞄准的不是未来，而是「过去」。

昂贵的「新大陆」：PQC 迁移的真实成本

面对这个清晰而现实的威胁，全球的密码学界并未坐以待毙。一场防御性的「大迁徙」早已启程，目标是航向一块全新的「安全大陆」——后量子密码（PQC）。

这场迁徙的「地图」由 NIST（美国国家标准与技术研究院，美国政府的科技标准制定机构）绘制。NIST 发起了一场全球公开竞赛，遴选能够抵御量子计算机攻击的新一代加密标准。首批「胜出者」已经确定：

1. ML-KEM (Kyber): 用于公钥加密和密钥交换。
2. ML-DSA (Dilithium): 用于数字签名（将替代比特币的签名算法）。
3. SLH-DSA (SPHINCS+): 作为备用标准，它基于格密码学（一种被认为对普通和量子计算机都很难的新型数学难题）之外的哈希算法，以分散风险。

但「新大陆」的地图虽已绘就，航行成本却可能高到无法承受。

我们之前过多地讨论了「治理」和「共识」的挑战，但现实是，PQC 算法本身（尤其是基于哈希的 SPHINCS+）在性能上是极其昂贵的。

根据最新的以太坊测试网数据（如 Poqeth 2025 研究）：

• Gas 成本： 当前 ECDSA 签名验证约 21,000 Gas。而 SPHINCS+ 的验证成本高达 1,200,000 - 2,500,000 Gas——暴涨了 100 倍以上。在一个区块 Gas Limit 仅有 30M 的网络中，一个签名就占用了近 10% 的容量，这是完全无法规模化的。
• 签名大小： ECDSA 签名约 ~70 字节。而 SPHINCS+ 的签名大小飙升至 ~41,000 字节（约 41KB）——暴涨了近 600 倍。

正如圈内尖锐指出的：「在一个区块里，gas 是远远不够的，跑不动啊，更别说那老古董比特币网络了。」

这个「跑不动」的现实，使得「升级」二字变得无比沉重。这不再是一个简单的「软 / 硬分叉」的治理选择题，而是一个根本性的技术可行性问题。

不同的区块链，正在准备各自不同的「航船」：

• 比特币的「无畏舰」： 社区正在讨论一个极其激进的「硬分叉」提案。硬分叉是一种强制性的、不向后兼容的网络升级，就像整个交通系统一夜之间从「靠右行驶」变为「靠左行驶」。该提案甚至可能「冻结」未迁移的旧地址资金。这种「壮士断腕」式的策略面临巨大的共识阻力。
• 以太坊的「探索舰队」： V 神（Vitalik Buterin）的路线图则灵活得多。他建议将 **L2s（二层网络，如 Arbitrum 或 Optimism，用于为以太坊提速降费）作为 PQC 的「试验场」，并利用 AA（账户抽象，一种让以太坊钱包更智能、更灵活的新功能）** 逐步渗透，最终「由外向内」完成替换。
• Solana 与 BNB Chain： 作为高性能公链的代表，它们目前更多处于研究和探索阶段，尚未像以太坊那样提出清晰的官方路线图。性能开销是它们迁移 PQC 的最大顾虑。

主流区块链 PQC 迁移策略对比

这张对比表清晰地揭示了，这不仅是技术路线的选择，更是对各个项目治理模式的大逃杀。

第一重加速：国家化的地缘政治竞赛

别以为这只是「码农」的事。真正给这场「大迁徙」狠狠踩下油门的，首先是国家队。

量子计算早已是大国博弈的「战略制高点」。美国 2018 年的《国家量子倡议法案》拨款 12 亿美元；中国的「十四五」规划将其列为第二大重点，据估计公共投资已超 150 亿美元。

但这都还只是「砸钱扶持」。

《华尔街日报》关于「特朗普政府商谈入股」的报道，释放了一个完全不同的信号：这已经不是「政府扶持」，这是国家化。量子计算正在从「科研项目」转变为「国家战略资产」，其性质堪比核武器或国家石油公司。美国政府要的，已经不是影响力，而是绝对的控制权。

这场「国家级」军备竞赛，是一把不折不扣的双刃剑。

一方面，「国家队」的疯狂投入在催熟这只量子幽灵，逼着它赶紧出笼，这大大压缩了我们的防御时间。

另一方面，也正是这种国家安全级的恐惧，逼着 NIST 拼了命地造 PQC 标准。

而「国家队亲自下场」带来的最大风险，就是标准碎片化。

NIST 搞的是「开源」标准，希望全球共同采用。但如果美国政府通过「股权」把持了核心技术，其他大国必然会出于国家安全考虑，转而开发自己的一套「国标」来对抗。

这就可能导致「密码学」层面的网络割裂（Splinternet）。

这对 BTC、ETH 这种依赖全球统一、无国界共识的系统是致命的。一个「国家主权」的诉求，可能会从根基上瓦解「去中心化」的全球共识。

第二重加速：泡沫化的华尔街资本

如果说「国家队」是第一个加速器，那么第二个加速器，就是华尔街。

就在「10 年论」还在流行时，资本市场早已用真金白银「all in」了。过去一年，美股的量子计算公司已经上演了惊人的涨势，比如 $RGTI (Rigetti Computing)，股价一度从 0.8 美元涨到 40 美元，涨幅高达 50 倍。

但这种狂热的背后是极高的估值泡沫。诸如 $IONQ、$QUBT 等公司，其 EV/ 销售额（企业价值 / 营收） 比率高达 400 倍甚至上万倍。要知道，这些公司目前全都处于严重亏损状态。

这对追高的股市投资者来说是巨大风险。但对整个加密世界而言，这传递了一个更危险的信号：市场（私人资本）正在和「国家队」一起，为量子竞赛疯狂「输血」。

这种「量子泡沫」无论何时破裂，它所注入的巨额资金都已实实在在地加速了这些公司的研发进程。这构成了另一重「加速器」，让「10 年论」显得更加不可靠。

穿越「大过滤」时代的生存法则

谷歌的「可验证的量子优势」不是演习，是发令枪。它宣告了人类对量子系统的控制力正在越过阈值，从「理论」迈向了「工程」。

在「国家队」和「华尔街」的双重加速下，圈内的参与者，该醒醒了：

1. 威胁已至。「幽灵」（HNDL）已经进村了，它正在「偷看」你所有暴露过的历史公钥。
2. 「新大陆」（PQC 标准）已经找到了，NIST 的地图都画好了。
3. 大迁徙是唯一活路。但真正的挑战首先是技术可行性（成本和性能），其次才是「治理」和「共识」。如果「跑不动」，治理无从谈起。

面对这一未来，不同角色的生存法则很简单：

• 对于 VC 和基金： 立即将「量子就绪性」（Quantum Readiness）纳入 **「DD」（尽职调查，即投资前的深入研究）** 的核心框架。一个项目如果对 PQC 迁移毫无规划，或对其高昂的性能成本避而不谈，应被视为重大风险点。
• 对于开发者和项目方： 马上研究 NIST 标准。新系统必须秉持 **「密码学敏捷性」（Crypto-Agility）** 原则——这是一个设计理念，意思是将加密模块设计成「可插拔」的，方便未来再次更换，而无需推倒重来。
• 对于普通持币用户： 在 PQC 钱包普及之前，养成良好的「密码学卫生」习惯。核心铁律只有一条：绝不重用地址！ 每次收款都用新地址。这个简单的习惯，能极大地降低你的公钥暴露风险，让你免于成为「历史遗留问题」。

量子威胁不是「末日」，它是一场大过滤。

它会残酷地筛掉那些治理混乱、反应迟钝、只有炒作的生态。最终能成功「上岸」的，才是那些真正有能力、有远见、有执行力的项目，也才是真正能「创建一个安全、自主的金融未来」的。