Circle发布后量子安全路线图：为区块链「量子破门」提前布局

量子计算威胁：签名与加密的双重风险

随着量子计算机的发展，区块链的安全性面临两大核心挑战：签名是否还能证明「我是我」，以及当前加密的数据未来是否会被破解。论文指出，广泛使用的椭圆曲线密码学（如ECDSA、Ed25519、BLS）在面对足够强大的量子计算机时将失效。尤其是在EVM链上，账户首次广播交易时通常会暴露公钥，而比特币等链中已花费或复用地址的公钥也会成为攻击目标。

Circle的权威团队与现实视角

这篇论文由Circle多位核心工程师及斯坦福大学应用密码学领域学者Dan Boneh共同撰写，显示了其专业性和权威性。论文并未渲染「量子计算摧毁加密货币」的恐慌，而是将问题转化为一个复杂的工程迁移问题，提出了一套长期解决方案。

区块链面临的四大量子风险

论文详细列出了区块链可能面临的量子攻击风险：

• 账户伪造：攻击者可通过恢复私钥伪造交易。据Project Eleven数据，已有数百万个有余额地址暴露在量子风险下。
• 先收集、后解密：攻击者可存储加密数据，待量子计算成熟后再解密。
• 共识层风险：验证者签名密钥被恢复可能导致双签、审查甚至历史重写。
• 网络层风险：P2P通信和TLS依赖的传统密钥交换需要升级。

Circle的三阶段迁移路线图

Circle提出的迁移方案分为三个阶段，每阶段对应不同的优先级和策略：

第一阶段：现在准备阶段

此阶段的目标是为开发者和用户提供迁移通道，而非立即废弃ECDSA。Arc将在主网上支持SLH-DSA-SHA2-128s后量子签名验证，同时通过X-Wing HPKE加密交易memo保护隐私数据。此外，Circle还提出多种过渡工具，如EIP-4337账户抽象、hash-and-rotate方案和后量子公钥注册表。

第二阶段：混合过渡环节

这一阶段最为复杂，USDC智能合约将同时支持传统签名和后量子签名，直到生态系统准备好后逐步关闭经典签名。论文特别提到ecrecover难题，并提出通过硬分叉修改其行为以支持后量子签名的方案。此外，基础设施更新也需按正确顺序轮换密钥。

第三阶段：最终切换

当生态、监管、硬件钱包等都准备好后，Circle将执行硬切换，拒绝ECDSA签名并迁移验证者签名至后量子方案。对于无法达到安全要求的链，Circle可能暂停部分功能以保护用户资产。

未迁移账户的棘手问题

最终切换阶段最困难的问题是如何处理未迁移账户中的资产。Circle认为冻结不安全账户是为了防止盗窃，但不应等同于没收资产。论文提出多种账户恢复机制，包括助记词、零知识证明、TEE证明及链下法律文件等。

政策与监管的前瞻性思考

量子时代的到来将改变传统签名的意义，KYC也无法证明匿名地址归属。Circle呼吁监管机构提前明确迁移规则，包括通知用户的方式、资产归属证据、冻结资产处理等。

冷静判断：过快迁移的风险

Circle提醒，过快迁移可能带来更大风险。例如，企业若仓促将私钥从HSM导出到普通CPU上签名，反而更容易遭受传统黑客攻击。因此，迁移应早做准备，但不能因追求「看起来安全」而降低当前安全性。