Quantus 首席执行官 Christopher Smith 关于无人愿意面对的量子威胁

量子计算在加密领域常被谈论为一种遥远的风险，是行业“某天”需要担心的问题。但对于Quantus的CEO Christopher Smith来说，这种心态已经变得危险地过时了。他认为，加密世界最大的错误是将量子威胁视为一个狭隘的钱包安全问题，而实际上风险远远超出被盗密钥的范畴。

在这次采访中，Smith分析了他为何认为真正的危险是系统性的，涉及比特币对稳定币、桥接、隐私工具甚至投资者信心的长期暴露。他还解释了为什么区块链在量子时代的升级可能比传统金融或中心化网络系统要困难得多。他的观点直截了当：行业面临的不仅是技术问题，更是协调问题，时间可能比大多数人想象的更快用尽。

Q1. 关于量子威胁的讨论大多集中在钱包安全和私钥被盗。你认为更广泛的加密行业还误解了哪些关于量子计算带来的系统性风险？

这实际上是一个你必须跑得比熊还快的局面，不仅仅是比你的朋友们快。即使你能让你的钱包量子安全，那也不代表价格是量子安全的。如果你不重复使用比特币地址，你在一定程度上是量子安全的，但如果中国政府拿到中本聪的币，市场就会崩溃。

Q2. 你的报告指出“风险时间线”现在比行业的应对机制发展得更快。近期哪些量子计算的进展让你确信这不再是一个遥远的理论问题？

真正的起点是2024年底谷歌的Willow芯片。之前，很多人合理地认为量子计算可能根本不可能实现，因为还未发现的原理。Willow证明了量子误差校正是可能的。

之后，量子计算从“也许可能，如果奇迹发生”变成了“只要有足够的工程资源，肯定可以”。

今年又出现了两份重要报告，一份来自谷歌，一份来自Oratomic，它们大幅缩减了破解比特币密钥所需的资源估算。谷歌的论文是软件改进，Oratomic的是硬件，所以问题正从两个方面被攻克。

试图预测这些技术的人需要理解技术发展本质上是非线性和随机的。如果等到有人能破解128位密钥，可能已经太晚，无法迁移数百万地址。

Q3. 谷歌、BlackRock和花旗集团等主要机构的报告都以不同方式提及了量子风险。你认为这些报告在区块链基础设施方面遗漏了哪些重要内容？

我觉得现在机构开始谈论这个问题很好。唯一的抱怨是他们声称风险还要几年才会到来，但他们其实并不完全知道。特别是，量子计算与网络安全乃至国家安全的相关性意味着公众可能无法完全了解最新技术的状态。我们所知道的可能是，美国政府已经拥有量子计算机，并在警告大家升级，因为他们认为中国很快就会拥有。

Q4. 你描述加密比传统互联网系统更脆弱，因为公钥在链上永远暴露。为什么区块链在“修补”量子威胁方面比传统金融或网页基础设施更难？

Signal Messenger、iMessage和CloudFlare都已经是后量子系统了。它们的用户无需做任何事情，因为这些系统或多或少是中心化的。银行系统也大致如此，它们有许多遗留层，带来困难，但根本上，有CEO可以说“我们这样做”，工程师就会实现，然后一键切换，所有用户在一天内升级。用户不管理自己的密钥。

而在区块链中情况不同。“不是你的密钥，就不是你的币”。即使开发者决定更新密码学，用户也必须采取他们可能不理解的行动。如果密钥丢失或用户去世，用户甚至可能无法操作。

所以，技术层面并不是区块链的瓶颈，关键在于社会层面的协调和迁移。

Q5. 报告提出了“伟大量子过滤器”的概念，即资本可能从易受攻击的链迁移到量子安全的链。你会观察到哪些迹象表明这种转变已经开始？

当谷歌宣布他们的量子芯片“Willow”时，加密市场反应过度，像往常一样，但正确地识别出比特币是脆弱的，而像QRL这样的链则不是。你可以看到，QRL的价格当天飙升，而比特币则下跌。

一些投资者，比如Charles Edwards，认为比特币近期表现不佳部分原因是机构和大户在定价量子威胁。

所以，值得关注的是：每当关于量子进展的新报告发布，哪些币种上涨，哪些币种下跌？

Q6. 报告中一个令人惊讶的发现是，从ECDSA到ML-DSA-87签名的交易大小大幅增加。你认为可扩展性，而非密码学本身，可能成为后量子时代最大障碍吗？

在计算机科学中有一句老话，“过早优化是万恶之源”。工程师有时会陷入细节，忽视大局。没有比数字签名不安全更大的区块链失败模式了。你不如回到用银行、传金条或其他方式。

所以，安全是最重要的。性能其次。“正确、快速、美观。按这个顺序”。如果以天真方式实现后量子，区块链的性能会受到影响。这也是我们提出“QTPS”——量子每秒交易数的原因。人们通常根据最大TPS排名区块链，但Solana做过后量子试点，TPS下降了90%，性能损失是真实的。另一方面，如果没有用户，较高的QTPS也毫无意义。

Q7. Quantus认为后量子密码学创造了区块链三难困境的新版本。你能解释在量子时代，安全、隐私和可扩展性为何变得更难平衡吗？

是的，这三者之间存在关系。后量子签名和密钥占用空间更大，但隐私技术也使用密码学，而这些密码学可以是前量子或后量子。后量子隐私技术通常也有更大的证明。

隐私本身也影响扩展性。加密任何内容都会使索引变难，导致扩展性挑战，比如钱包必须下载每笔交易并尝试解密以确认相关性。这些因素本身就存在张力，但好的工程就是在权衡中取舍。你可以做任何事，但总会付出代价。

Q8. 许多区块链项目仍依赖于基于椭圆曲线的零知识系统，如Groth16或PLONK。你认为行业对一些最流行的隐私技术可能变得量子脆弱的现实准备得如何？

我认为目前关于zk不是自动后量子的认识已经比较普遍，但我觉得人们常常忽视一种特殊的失败模式，即与标准数字签名不同。量子攻击者在前量子zk系统中可以制造假证明，看起来是真的，但无法撤回真实证明或看到隐藏的输入。

比如，这也是为什么有人说Zcash在某种程度上是量子安全的。量子攻击者不能从你的隐蔽交易中获取私钥，但可以制造假交易，可能无限增发币。

Q9. 你的架构使用Wormhole地址、Plonky2和STARK风格的证明聚合，减少后量子交易的负担。从你的角度来看，为什么量子安全最终成为一种架构问题，而不仅仅是密码学的升级？

十年来的口号一直是“比特币无法扩展”，这在一定程度上是对的。区块链确实存在扩展挑战，简单地引入后量子密码学只会让问题更严重。比特币已经是TPS最低的链，大约7 TPS，如果不提高区块大小，QTPS会远低于1。

但我们不必用天真的方式做。我们拥有比比特币发明时不存在的现代技术。零知识密码学不仅提供隐私，还能压缩计算，有助于扩展。但它技术上相当有主见，作为事后加入非常困难。必须在一开始引入，才能发挥作用。

Q10. 报告指出稳定币管理密钥、桥接验证者、多签托管系统和治理合约面临风险。在量子场景下，你认为哪个领域可能成为第一个主要的失败点？

如果我戴上黑帽，想象最坏的情况，可能是这样：朝鲜不知怎么搞到能破解密钥的量子计算机。它们可能想赚钱，但更可能是想削弱美国和美元的影响力——因为美元通过稳定币实现了全球分布，没有银行。假如朝鲜想让没人再信任稳定币，他们可能破解USDC的管理密钥。一旦这样，他们可以在一笔交易中更改密钥，让别人无法控制，冻结最大账户，铸造万亿币，在去中心化交易所买入任何主要币，然后溜之大吉。这里有趣的是，稳定币不同于其他代币。对于稳定币，区块链并不是最终的所有权裁决。Circle可以联系所有交易所，发行新合约，恢复到被黑前的余额，但整个生态系统会崩溃。比如，无法回滚ETH或WBTC的余额。DeFi会崩盘，可能十年都难以恢复。

这只是一个场景，不是唯一的。另一种可能是量子引发比特币危机，促使各种行为者夺取控制权。我可以想象BlackRock试图通过制作一个后量子制裁友好的比特币分叉进行敌意收购（他们在风险披露中保留选择分叉的权利）。密码学很重要，这是一场高风险游戏，可能会出现各种阴谋。

Q11. NIST在2024年最终确定了后量子密码学标准，Signal、谷歌Chrome和苹果等公司已开始采用。你认为为什么加密行业尽管风险更大，却行动得如此缓慢？

我认为，行业在赌博中迷失了方向。过去几年，区块链的主要内容是杠杆和山寨币，基本上是内部人士与外部人的零和游戏。

大家都盯着比特币，它是最慢的。比特币有强大的免疫系统，抗拒变化，这在你已经完美时很好，但密码学一直是军备竞赛，围绕椭圆曲线“僵化”从未奏效，无论是否量子。

Q12. 如果行业等得太久，“Q日”到来时还没有完成有意义的迁移，你认为最坏的情况会是什么？

最坏的情况是大量资本离开加密，且不会回来。整个市场的总市值可能降到几百亿甚至几十亿，DeFi基本崩溃。

当然，我不希望那样。我一生都在区块链行业。这也是我们建立Quantus的原因，就像诺亚方舟应对量子洪水。

采访总结

Christopher Smith的观点是，量子风险在加密领域不是遥远的技术理论，而是行业仍低估的真实结构性威胁。在他看来，危险超越了暴露的私钥，可能重塑比特币的市场价值、稳定币、隐私工具甚至跨链基础设施。更大的问题在于，加密不能靠简单的软件补丁解决。它需要一次大规模的协调迁移，才能在量子时代从投机变成市场危机。