Google：抗量子迁移刻不容缓，破解加密货币成本大降

Google 的量子 AI 团队于 3 月 31 日发布白皮书，指出未来的量子计算机可能只需少于 1,200 个逻辑量子比特和 9,000 万个托弗利门（Toffoli Gate），就能破解目前保护大多数区块链和加密货币安全的 ECDLP-256 椭圆曲线密码协议；所需的实体量子比特数量较此前估算减少约 20 倍。

为什么 ECDLP-256 比以前更脆弱：量子资源估算的突破

（来源：Google）

ECDLP-256（256 位椭圆曲线离散对数问题）是大多数区块链、加密货币以及众多传统数字安全系统的核心密码基础。Google 最新白皮书基于 Shor 算法实现了两个量子电路，其资源估算结果令人警惕：

电路 A：少于 1,200 个逻辑量子比特 + 9,000 万个托弗利门

电路 B：少于 1,450 个逻辑量子比特 + 7,000 万个托弗利门

在符合 Google 旗舰量子处理器硬件标准的假设下，这些电路可能在几分钟内以少于 50 万个实体量子比特执行完成；其需要的量子比特数量较过去估算减少约 20 倍。

大规模密码学相关量子计算机（CRQC）一旦达到这一门槛，就能破解目前广泛使用的公钥密码技术，直接威胁现有加密资产的安全性。Google 指出，随着量子运算技术加速发展，CRQC 的实现已不是遥远的未来。

加密货币社群的四大抗量子紧迫行动

立即启动后量子密码（PQC）迁移评估：识别系统对 ECDLP-256 的依赖程度，制定迁移路线图

避免暴露或重复使用钱包地址：椭圆曲线密码在量子攻击下存在漏洞，重复使用地址会提高攻击者的信息可见度

关注被遗弃地址的政策选项：长期不活跃地址在量子威胁下可能构成系统性风险，需提前制定政策框架

同步 2029 年迁移时间表：Google 与 Coinbase、以太坊基金会等机构已设置明确合作期限，行业需同步规划

负责任披露的新框架：零知识证明如何保障公众安全

在不为恶意行为者提供攻击指南的前提下披露安全漏洞，是 Google 此次白皮书面临的核心挑战。Google 指出，加密货币的情况尤为复杂——其价值不仅来自系统安全性，也来自公众信任，而 FUD（恐惧、不确定性和怀疑）技术同样可以对系统构成攻击。

Google 的解决方案是采用“零知识证明”（Zero-Knowledge Proof）构造：第三方可在不获取底层量子电路攻击细节的情况下，独立验证 Google 的资源估算结论。该方法与美国政府合作开发，目前已向 SIFMA 和 ISLA 等机构分享，并呼吁其他量子计算研究团队采用同样的负责任披露框架。

常见问题

什么是 ECDLP-256，为何它对加密货币安全至关重要？

ECDLP-256 是大多数区块链和加密货币系统的核心密码基础，用于保护钱包私钥、数字签名和交易验证。目前传统计算机无法在合理时间内破解它，但未来足够强大的量子计算机可能在数分钟内完成，直接威胁现有加密资产的安全性。

后量子密码（PQC）如何抵御量子攻击？

PQC 是基于被认为能够抵抗量子计算机破解的数学问题设计的密码算法，例如基于格的密码学（Lattice-based Cryptography）等。相比依赖 ECDLP-256 的椭圆曲线密码，PQC 算法在量子计算机面前不会失效，但其迁移需要行业范围内的协调努力和充足的实施时间。

为何 Google 将 2029 年设为抗量子迁移期限？

Google 根据量子硬件的发展速度和密码系统迁移所需时间进行综合评估，认为 2029 年是兼顾紧迫性与可行性的目标节点——既考虑到 CRQC 可能在十年内达到威胁级别，也给行业留有充足时间制定和实施 PQC 迁移方案。Google 已与 Coinbase、以太坊基金会等机构形成合作共识。