以太坊基金会（Ethereum Foundation，下称“EF”）正在加速推进后量子安全改造。EF密码学研究员Antonio Sanso表示，以太坊有望在量子攻击真正成为现实威胁之前完成量子抗性升级。

Sanso在接受采访时称，EF及更广泛的以太坊社区已在相关研究上投入“数月甚至数年”的工作。他表示，研究阶段“基本完成”，当前正逐步进入执行阶段，并对在预期时间内完成改造“非常有信心”。

EF已将后量子（Post-Quantum，PQ）安全列为最高战略优先事项之一。1月24日，EF宣布成立专门的后量子团队，由Thomas Coratger负责领导。自2月4日起，Sanso主持新的双周全核心开发者会议，专门聚焦后量子安全议题。

多层级同步升级，整体进度约20%

Sanso指出，以太坊的后量子改造并非单点升级，而是覆盖执行层、共识层和数据可用性层在内的多个“宏观领域”，均需进行迁移和调整。他形容这是“一项庞大的工程”。

在被问及整体进度时，Sanso表示，不同层面的推进速度并不一致，因此难以给出统一指标，但“粗略估计大约完成了20%”。

目前，多客户端后量子开发网络已经上线，后量子路线图预计将于近期公布。EF研究员Justin Drake此前提出的目标，是在“未来几年内”实现零资金损失、零停机时间的平滑过渡。

Sanso称，使以太坊具备量子抗性是“Lean Ethereum”整体改造的一部分。该计划旨在利用零知识（ZK）技术，使以太坊在保持去中心化的同时，提升性能并增强对量子攻击的防护能力。

与比特币路径对比

以太坊在后量子安全上的积极推进，与比特币社区的态度形成对照。报道指出，从Adam Back到Michael Saylor等比特币领域代表人物，普遍淡化近期进行大规模改造的必要性，认为可实际威胁现有密码学的量子计算机可能仍需多年甚至数十年才会出现。

在2023年于布宜诺斯艾利斯举行的DevConnect大会上，以太坊联合创始人Vitalik Buterin提到，量子计算机能够破解主流密码学的“中位预测时间”为2040年，但仍有约20%的概率会在2030年前出现。

从资产暴露情况看，目前估计约有600万枚比特币（BTC）存放在已暴露公钥的旧地址中，被认为处于潜在量子攻击风险之下；相较之下，以太坊绝大多数资产以及所有Solana资产被认为在当前设计下均易受量子攻击。

Sanso表示，从技术层面看，比特币的迁移路径相对简单，但在“人为层面”可能更难达成共识；而以太坊在治理上更易推动变更，但在技术上需要迁移的内容更多。他指出，以太坊在执行层、共识层和数据可用性层都需要调整，其中执行层相对简单，后两者更为复杂。

时间窗口与临时防护措施

对于量子计算机何时会构成实际威胁，Sanso个人判断时间窗口大致在2030年代中期。他预计，“Lean Ethereum”整体改造的完成时间大致在2028年至2032年之间。

在此之前，用户仍可通过现有方式降低风险。例如，将以太币（ETH）转入从未使用过的新地址，可在一定程度上提升安全性，因为这类地址的公钥尚未在链上暴露，而量子攻击通常依赖利用Shor算法从公钥反推出私钥。

Sanso表示，未来计划通过结合账户抽象与后量子签名的智能钱包来保护用户资产。他提到，团队考虑采用基于格或基于哈希的后量子算法，并与账户抽象机制集成。

签名体积与成本挑战

后量子签名方案在链上应用面临体积和成本问题。2023年11月的DevConnect大会上，Zknox曾展示一款支持以太坊现有基础设施的后量子Dilithium签名硬件钱包。

然而，即便是相对“轻量”的Falcon签名，其体积也约为当前椭圆曲线数字签名算法（ECDSA）的10倍。Sanso指出，在Solidity中直接实现格基方案的gas成本“极高”，因此已有以太坊改进提案（EIP）建议通过预编译方式处理相关运算，以提升速度并降低成本。

对于如何在链上容纳体积约为现有签名10倍的后量子签名，Sanso表示，可能需要多种技术组合，其中包括利用ZK-STARKs对签名进行压缩。

紧急量子应对方案与EIP路径

Buterin在2024年3月提出了一套应对量子攻击的紧急预案。该方案设想通过一次硬分叉，引入一种机制，允许ETH持有者在证明其地址所有权后，将资产迁移至具备等值余额的后量子安全地址。

Sanso表示，该预案已有实质进展，团队正在研究利用零知识证明，让ETH持有者在不暴露敏感信息的前提下安全证明其地址种子。他称，这一工作“正在积极推进”，并希望能在EthCC戛纳或印度Devcon上展示相关成果。

根据已提出的EIP，这一系统也可能被纳入计划中的后量子签名切换流程。相关设想包括：允许用户通过证明地址所有权，主动关闭账户中依赖ECDSA、易受量子攻击的部分。

Sanso介绍，有一项EIP提议允许用户自行启用设置，关闭其外部拥有账户（EOA）上的椭圆曲线签名功能。在该模式下，用户可保留原有地址，但资产转出将仅能通过账户抽象与种子证明的组合方式完成。

他表示，这类提案“可能会在未来的分叉中讨论”，并认为这是“正确的方向”。不过，最终选择纳入哪些EIP将是一个“漫长过程”，需由社区作出决定。

据Sanso透露，首个全核心开发者后量子“分组会议”定于2026年2月4日举行。Drake此前表示，这一双周会议将“聚焦用户安全”，涵盖专用预编译、账户抽象，以及长期的交易签名聚合与leanVM等议题。