Circle後量子路線圖：如何為「量子破門」提前換鎖？

作者：KarenZ，Foresight News

如果有一天量子計算機足夠強，區塊鏈首先需要面對的，可能是兩類更底層的安全假設：簽名還能不能證明「我是我」，以及今天被加密的數據未來會不會被解開。

Circle 最新發布的這篇後量子安全路線圖論文《Circle’s Post-Quantum Security Roadmap》討論的正是這個問題。它的核心判斷很直接：今天區塊鏈廣泛依賴的橢圓曲線密碼學，包括 ECDSA、Ed25519、BLS，一旦遇到足夠強的量子計算機，就會失效。更麻煩的是，在 EVM 鏈上，帳戶首次廣播交易時通常會暴露公鑰；在比特幣等鏈上，已花費過、重複使用過或以特定腳本形式暴露公鑰的地址，也會進入類似風險區間。

論文作者陣容也顯示，這不是一篇普通的科普文章。作者包括 Circle 首席軟體工程師 Mira Belenkiy、Circle 研究工程師 Duc V. Le、Circle 首席經濟學家 Gordon Liao、Circle 產品安全首席安全工程師 Vipin Singh Sehrawat、研究工程師 Dragos Rotaru，以及 Axelar 網路最初開發方 Interop Labs 聯合創始人、現屬 Circle 的 Sergey Gorbunov 等多位 Circle 工程師；同時，斯坦福大學應用密碼學領域的代表性學者 Dan Boneh 也參與署名。

這篇論文最重要的地方，不在於「量子計算會不會毀掉加密貨幣」這種恐嚇式敘事，而在於它把問題拆成了一個現實的工程遷移問題。Circle 認為，後量子遷移不是一次升級按鈕，而是一場跨錢包、智能合約、托管、雲服務、驗證者、監管規則的「長期搬家」。

論文列出了區塊鏈面對量子攻擊的幾類風險。

第一類是帳戶偽造。只要地址公鑰已經暴露，未來量子攻擊者就可能恢復私鑰，直接偽造交易。論文援引 Project Eleven 的 Bitcoin RisQ Metrics 稱，已有數百萬個有餘額地址暴露在量子風險下，其中估計包括約 1400 萬個比特幣地址。

第二類是「先收集、後解密」風險：攻擊者今天先把加密數據存下來，等未來量子計算成熟後再解密。

第三類是共識層風險，驗證者簽名密鑰如果被恢復，可能帶來雙簽、審查、甚至歷史重寫。第四類是網路層風險，P2P 通訊、RPC over TLS 等依賴傳統密鑰交換的部分也需要升級。

Circle 的三階段遷移路線圖

Circle 給出的路線圖不是簡單地把一個簽名算法換成另一個算法，而是分成「現在準備、混合過渡、最終切換」三步走。每一步對應的風險優先級不同：隱私數據要最先保護，帳戶和智能合約要逐步遷移，共識和基礎設施則要等生態、硬體和標準更成熟後完成切換。

攻擊類型及 Arc 路線圖中的應對階段，來源：Circle 後量子安全路線圖論文

第一階段是「現在準備階段」。這一階段的目標不是立刻廢掉 ECDSA，而是先給開發者和用戶留出遷移通道。Arc 會在主網上支持 SLH-DSA-SHA2-128s 後量子簽名驗證，讓智能帳戶可以在鏈上驗證後量子簽名。通俗地說，Arc 先給智能合約裝上一個能識別新鎖的門禁系統，但原生交易簽名短期內仍保留 ECDSA，因為後量子簽名體積更大、驗證更慢，會影響吞吐和用戶體驗。

同時，Arc 會支持用 X-Wing HPKE 加密交易備忘錄，並通過隱私執行環境保護交易內容、合約狀態和執行痕跡。Circle 把這部分放在前面，是因為「今天被記錄、未來被解密」的隱私風險不可逆，簽名可以日後升級，但已經洩露的數據不能重新變回私密。

在帳戶層，Circle 還提出了幾種過渡工具。比如通過 EIP-4337 帳戶抽象，讓智能帳戶驗證後量子簽名；通過 hash-and-rotate 方案，只在鏈上保存公鑰哈希，盡量縮短公鑰明文暴露窗口；通過後量子公鑰註冊表，讓用戶提前把地址和後量子公鑰綁定起來。這些設計的共同目標，是讓用戶不必等到底層協議完全改造完成，也能先把帳戶遷移準備做起來。

第二階段是「混合過渡環節」。這一階段最現實，也最複雜。USDC 智能合約會在一段時間內同時支持傳統簽名和後量子簽名，等生態準備好後，再通過預留機制關閉經典簽名。Circle 還計劃把冷存款資金遷移到多簽智能合約，以便同時兼容不同鏈、不同後量子簽名算法的遷移節奏。由於 USDC 智能合約部署在 30 多條鏈上，它面對的不是單鏈升級問題，而是多鏈生態各自選擇算法、各自設定時間表帶來的碎片化問題。

論文特別強調 ecrecover 的難題。大量 EVM 合約用 ecrecover 驗證 ECDSA 簽名，但這些合約很多已經不可升級。如果簡單禁用 ecrecover，會破壞大量存量應用；如果繼續讓它運行，又會留下量子偽造風險。Circle 提出一種有前景的可能方案，即通過硬分叉在協議層修改 ecrecover 的行為，讓它在保持舊 ABI 的同時支持後量子簽名。這個方案的現實意義很大，因為它不是只服務新合約，而是在試圖給已經部署、難以修改的老合約留一條遷移路徑。

過渡階段還包括更底層的基礎設施更新。Circle 需要盤點內部密碼學棧，評估雲服務商、HSM、KMS、TEE、libp2p、TLS 等依賴是否具備後量子準備能力，並按正確順序輪換密鑰。論文特別提醒，如果密鑰 A 保护密鑰 B，密鑰 B 又保护密鑰 C，那麼必須先輪換 A，再輪換 B，最後輪換 C。順序錯了，即便換上了後量子算法，也可能讓過去被截獲的加密材料在未來暴露。

第三階段是「最終切換」。當生態、監管、硬體錢包、雲服務商和區塊鏈基礎設施都準備好後，Circle 才會執行真正的硬切換。屆時，Arc 和 USDC 智能合約可能拒絕 ECDSA 簽名，驗證者簽名也會遷移到後量子方案；如果某些承載 USDC 的鏈長期無法達到足夠的後量子安全要求，Circle 甚至可能考慮暫停部分合約功能或撤回支持，以避免用戶資產暴露在量子偽造風險中。

舊帳戶怎麼辦，才是最難的問題

但最終切換也會帶來最棘手的問題：未遷移帳戶中的資產怎麼辦？Circle 的態度是，凍結不安全帳戶是為了防止盜竊，不應自動等同於沒收資產。換句話說，「停止舊簽名控制權」和「否認資產持有人的經濟權益」必須分開處理。因此，論文把帳戶恢復放在很重要的位置，包括遷移到 Arc、通過助記詞和零知識證明恢復、通過 TEE 證明恢復，以及在有限情況下通過鏈下法律文件、托管方證明、交易所證明或遺產文件恢復。

這就引出論文裡很重要的政策問題：帳戶恢復。量子時代到來後，傳統簽名本身不再能證明所有權，KYC 也未必能證明一個匿名地址屬於誰。Circle 認為，監管機構需要提前明確：遷移截止前應如何通知用戶，什麼證據足以證明資產歸屬，凍結資產多久後算無人認領，遺產、制裁、反洗錢、法院命令等規則如何適用。論文判斷，行業可能還有 5 到 10 年窗口來制定這些規則。

這篇論文還有一個冷靜判斷：過快遷移也可能帶來更大風險。比如企業現在用 HSM 保护私鑰，如果為了趕上後量子簽名，倉促把密鑰導出到普通 CPU 上簽名，反而更容易被傳統黑客攻擊偷走。Circle 的態度是，後量子遷移要早準備，但不能為了「看起來安全」而降低當前安全性。

通俗地說，Circle 不是在說「量子計算機明天就會攻破區塊鏈」，而是在說：金融基礎設施不能等到門鎖被證明失效後才開始換鎖。尤其是 USDC 這種跨 30 多條鏈運行的穩定幣，真正的難點不只是選一個新算法，而是讓錢包、合約、托管、驗證者、雲服務商、監管和用戶一起完成遷移。

量子攻擊尚未真正落地，但遷移成本已經擺在眼前。