Q-Day 可能
比想像更近

Google 的 Shor 演算法論文把 secp256k1 破密成本大幅往下壓,還用 ZK 證明把關鍵改進藏起來。結果秘密被重新發現,挑戰賽開始滾動,後量子遷移時程突然變得更急。

SCROLL
PART 1 | Google 的量子炸彈

技術上是十倍改進,
社會學上更像第一次 ZK 審查

3 月 31 日,Google Quantum AI 團隊發表一篇關於 Shor 演算法和橢圓曲線密碼學的論文。技術重點是對現有最佳做法做出大幅改進,並用 secp256k1 示範。這條曲線正是 Bitcoin 和 Ethereum 簽章的基礎。

但文章裡最不尋常的地方,不只是速度變快,而是改進沒有完整公開。Google 用一個 ZK 證明,證明自己確實找到演算法改進,卻不洩漏細節。Google 部落格也提到,他們曾和美國政府接觸。

這形成一個很罕見的局面:學術結果被保留,但保留本身又被 ZK 證明支撐。作者稱它是「用 ZK 做學術審查」的歷史第一次。

作者身為 Google 論文共同作者,對這種審查背景有疑慮,但也明確肯定 Google 團隊的專業。這篇文章真正要談的,不是指控誰,而是這種保密如何反過來加速整個領域。

PART 2 | 秘密沒有藏太久

兩個月後,
法國研究者把核心改進重新找出來

審查常有反效果。Google 把關鍵改進藏起來,反而讓更多人想知道它是什麼。兩個月後,法國量子專家 André Schrottenloher 發表新論文,重新發現了 Google 的主要秘密改進。

更微妙的是,Craig Gidney 也在同一天的部落格裡透露,他其實已經在審查壓力下,把同一個改進放了一整年。換句話說,這不是單一團隊突然靈光乍現,而是多個量子改進路線同時逼近同一個門檻。

2 個月
秘密被重發現
Google 論文公開後,很快就有人把主要改進獨立找出來。
八點四%
挑戰賽新改進
ecdsa fail 挑戰在數小時內,就把 Google 電路又往前推進。
AI
低門檻研究
ZK verifier 變成 reward function,讓非專家也能用 AI 找微小改進。

原本用來證明 Google 結果的 verifier,現在變成 ecdsa fail 挑戰的自動篩選器。只要有人提交有效改進,系統就能檢查。這讓研究不再只靠少數專家,連非專家和青少年都能加入。

PART 3 | Neutral atoms 讓故事更嚇人

同一天,另一篇論文說,
1 萬顆實體 qubits 可能就夠

Google 論文公開同一天,一家低調新創 Oratomic 也發表自己的 Shor 論文。它把 Google 的邏輯層改進,接到 neutral atom 量子電腦的物理層改進,主張只要約 1 萬顆實體 qubits,就足以在 secp256k1 上跑 Shor。

這個數字低得驚人。作者原本對 neutral atoms 幾乎不熟,看到論文後花了數百小時補課,看影片、問專家,最後得出的結論是:這項技術是真的,而且值得任何關心 Q-Day 的人重視。

路線
Google 論文
Oratomic 論文
主要改進
降低 Shor 在 secp256k1 上的邏輯電路成本。
把邏輯改進接到 neutral atom 的物理架構。
衝擊
讓破 ECC 所需資源比過去估計少很多。
把實體 qubits 數字壓到令人不安的低量級。
空白
沒有明講 Q-Day 時程。
也沒有明講 Q-Day 時程。

最奇怪的是,兩篇論文都沒有清楚說這對 Q-Day 意味著什麼。白帽量子密碼分析的目的,理應是幫社會估計風險、做出遷移決策,但最關鍵的時間問題反而沉默。

PART 4 | 時程被壓縮

作者的判斷是:
2032 年前 Q-Day 有五成機率

作者試著補上這個沉默。他把 Q-Day 定義為量子電腦第一次破解生產環境中的密碼學。根據他掌握的公開與非公開資訊,他現在給出的估計是:2032 年前發生 Q-Day 的機率有 50%,2030 年前有 10%。

這不是說 Bitcoin 或 Ethereum 明天就會被破解。真正的問題是安全遷移需要很多年。若 2032 年有五成機率,那今天還用「2035 年再禁用量子脆弱密碼」當政策節點,就可能太晚。

美國政府內部的 2035 時程,原本來自 NSA,後來被 NIST 採納。作者認為,事後回看這個日期會像笑話,NIST 很可能被迫把它往前拉。

這裡的重點不是恐慌,而是把遷移工程排上日程。密碼學不是等到壞掉才修,因為壞掉那天通常已經沒有足夠時間。

PART 5 | Ethereum 要換掉三層密碼

不要慌張換錯東西,
但 2029 是合理遷移目標

作者提醒,不要倉促衝向還不成熟的後量子密碼學。比較好的目標,是把遷移節點放在 2029 年,約三年半後。Google、Cloudflare 和 Ethereum Foundation 也都選了這個時間作為方向。

以 Ethereum 來說,要做的不是一個小補丁。共識層的 BLS 簽章、資料層的 KZG commitments、執行層的 ECDSA 簽章,都需要被替換。

Ethereum 後量子遷移要處理三層
共識層
BLS 簽章
驗證者簽章系統要換成量子安全路線。
資料層
KZG 承諾
資料可用性相關的承諾機制需要替換。
執行層
ECDSA 簽章
錢包與交易簽章要離開 secp256k1。
工具層
leanVM
用 hash-based SNARKs 建一把可驗證的瑞士刀。

作者把 leanVM 描述成 Ethereum Foundation 內部打造的瑞士刀。它是一個極簡 zkVM,靠 hash-based SNARKs 運作,目標是端到端形式化驗證和最大安全性。

PART 6 | 還有人在懸賞找答案

兩個 100 萬美元計畫,
都在把後量子路線往前推

文章最後列了兩個懸賞。第一個是 Proximity Prize,目標是解決 coding theory 裡一個長期猜想,改善 hash-based SNARKs。第二個是 Poseidon Initiative,懸賞破解 Poseidon 這個 SNARK-friendly hash function。

🧮
Proximity Prize
若能推進相關數學猜想,就能改善 hash-based SNARKs,獎金 100 萬美元。
🔨
Poseidon Initiative
反向測試 Poseidon 雜湊函數。能打破它的人,也能拿 100 萬美元。
🧪
ecdsa fail 挑戰
用 verifier 自動檢查 Shor 改進,讓專家、非專家與 AI 研究流程一起堆疊小進步。

這也是整篇文章最實際的地方。量子風險不只需要政策時程,也需要工程、數學、工具和公開挑戰。Q-Day 如果真的可能在 2032 年前到來,準備工作已經不能只停在簡報裡。

Q-Day 的問題不是量子電腦明天就能破 Bitcoin,而是 2035 這種安全時程可能已經太慢。

真正的風險,是大家等到「確定危險」時,已經沒有足夠時間遷移。

面對 Q-Day,
你覺得 crypto 應該先做什麼?

選完之後,分享你的觀點

你的觀點

想看更深入的分析?

區塊勢會持續追蹤 Ethereum 後量子遷移、密碼學安全時程與量子運算對 crypto 基礎設施的影響。

閱讀完整文章 →