與 Justin Drake 探討以太坊在 Q-Day 前的量子計畫
專訪以太坊基金會研究員 Justin Drake,涵蓋以太坊的後量子路線圖、精簡以太坊(Lean Ethereum)路線圖,以及關於生存風險的坦誠討論。
Date published: 2025年7月15日
專訪以太坊基金會研究員 Justin Drake,涵蓋以太坊的後量子路線圖、精簡以太坊(Lean Ethereum)願景、形式化驗證的突破,以及關於 AI 生存風險的坦誠討論。
本逐字稿是 Bankless 發布的原始影片逐字稿 (opens in a new tab)的無障礙副本。為提升閱讀體驗,已進行了輕微的編輯。
簡介與量子威脅 (0:00)
Justin Drake: 過去幾個月裡,我的一個有趣的心態轉變是,我不再將後量子(post-quantum)視為我們必須克服的障礙,而是更傾向於將其視為一個機會。這是以太坊脫穎而出的機會,成為全球第一個具備後量子安全的金融系統,這不僅是相對於比特幣等競爭對手而言,也是相對於法定貨幣和傳統金融(TradFi)而言。我認為這將傳遞出一個非常強烈的訊息,並成為吸引全世界遷移到以太坊的一個非常自然的安全性賣點。
Ryan Sean Adams: Bankless Nation 的聽眾們,我們再次邀請到了 Justin Drake。我們將討論與加密貨幣、比特幣以及以太坊相關的量子運算。Justin,歡迎回到我們的播客節目。
Justin Drake: 大家好。謝謝你們再次邀請我。
David Hoffman: 量子技術已經成為我們產業中一個巨大的潛在威脅。我們一直都知道這一點。它在很大程度上仍停留在理論階段。但在過去六個月左右的時間裡,量子技術已經確實從理論轉變為對我們產業產生實質影響的事物。單從比特幣的價格來看,因為基金經理人——甚至貝萊德(BlackRock)也發表了關於量子技術對比特幣安全性及其價值的威脅的文章。因此,我們聽聞有人正在降低其投資組合中比特幣的權重。也許這也壓抑了產業中所有其他資產的價格。
不僅僅是討論價格,就我們的理解,量子技術確實會影響區塊鏈運作的方式。因此,這似乎是我們整個產業的一個根本性問題。這是我們產業必須克服的障礙——當加密貨幣和區塊鏈最初被創造出來時,我們整個產業並沒有具備實現後量子安全的條件。那麼,也許我們先從背景脈絡開始,這裡的時間表是什麼?這個障礙何時會到來?我聽說這被稱為 Q-Day。Q-Day 是什麼時候?我們還有多少時間來克服這個量子障礙?
Justin Drake: 是的。我想稍微回顧一下並強調你剛才說的話,那就是在過去 6 到 12 個月裡,我們取得了重大突破。其中之一是糾錯(error correction)的概念。我們能夠從所謂的物理量子位元(非常嘈雜且容易出錯),轉變為完美的邏輯量子位元。目前我們基本上可以製造出一個邏輯量子位元,但這仍然是一個非常重要的從零到一的時刻,現在的重點是如何將其擴展到多個邏輯量子位元。另一個重大突破是在演算法方面。以前我們認為需要數百萬,實際上是數千萬個物理量子位元才能破解我們所鍾愛的密碼學。但去年有一篇論文實現了 10 倍的改進,將其降至 100 萬個物理量子位元。而今年我們又有了另一個 10 倍的改進,將其降至 10 萬個量子位元。
因此,目標正變得越來越近,在某種意義上,你看到了這種雙重指數增長,它們最終將會交會。另一件發生的事情是在投資方面——許多量子新創公司已經籌集了數十億美元。我相信去年的規模大約是 50 億美元,這是史無前例的。以前我們談論的都是數億美元。我認為所有這些事情的結合確實激發了公眾的熱情,並引發了這種敘事,這確實可能影響了比特幣和以太幣的價格。
現在展望未來,我個人認為的 Q-Day 是在 2032 年。從某種意義上說,這是一個稍微樂觀的看法,因為它可能會晚一點到來,但我們需要為最壞的情況做好準備。所以我會說,Q-Day 發生在 2032 年的機率至少有 1%,而且很有可能是兩位數的百分比。各方專家會告訴你,時間大約在 2031 年到 2038 年之間。我在業界的一位朋友 Steve Bryley,他是全球最大的量子糾錯公司之一的創辦人兼執行長,剛好也和我一樣位於劍橋——他個人預測的 Q-Day 是 2032 年,而且他堅持這個日期已經有 15 年了
Q-Day 是何時?我們該如何準備? (5:08)
而且它一直保持不變。
Ryan Sean Adams: 哇,這連續性真令人印象深刻。
Justin Drake: 基本上,你只需要推算指數增長,就會得出這個結果。因此,我們在以太坊上努力的目標,是確保在 2032 年之前將一切準備就緒。而我預期以太坊完全實現後量子安全的完成日期是 2029 年。
David Hoffman: 一年前,我們邀請了你和這個領域的教父級人物 Scott Aaronson 一起上節目。我們問了一些關於 Q-Day 的問題。將 Q-Day 定義為量子電腦能夠破解像 ECDSA 這樣的簽章方案的那一天,是個好定義嗎?這就是 Q-Day 的真正含義嗎?
Justin Drake: 沒錯。所以我們有一個新名詞叫做 CRQC——密碼學相關量子電腦 (cryptographically relevant quantum computer)。如果你稍微瞇著眼睛看,中間的 Q 會變成 O,就像鱷魚「croc」一樣。這就是它對我們產生關聯的時候。量子電腦可能會有其他應用,使其在化學或物理學上發揮作用,但那會是稍後的事了。
David Hoffman: 我記得他當時的態度有些保留。那是一年前,也就是 2025 年 1 月,他說在 10 年內我們應該會擁有實用的容錯量子電腦,但他非常謹慎地表示,這並不意味著我們就能破解 ECDSA。他不願給出確切的日期,因為他說這是一個極度困難的工程問題。我注意到他在過去一年裡的語氣改變了,而且他實際上已經加入了一些組織和基金會,以協助加密貨幣應對量子技術。這是因為你強調的三個原因嗎——演算法的突破、讓我們能夠擴展邏輯量子位元的容錯技術,以及投入其中的數十億創投資金?他的看法改變了嗎?
Justin Drake: 我不能代表他發言,但我們應該注意的一點是,Scott 主要是一位理論學家。很長一段時間裡,他都在研究理論,而不是量子電腦的日常實務,我認為這部分解釋了為什麼他當時態度如此保留。現在越來越多的情況是,有真實的公司、真實的企業家在建造這些東西,而他擁有圈內人的視角。他基本上正在吸收所有這些資訊。他最近提到的一件事是,美國政府開始干預相關想法的發表。因此,我們有些公司和學者可能會提出對 Shor 演算法的改進,但這些改進並沒有完全公開,這可能是出於國家安全的考量。
物理量子位元、邏輯量子位元與破解 ECDSA (10:11)
David Hoffman: 哇。好的。聽起來各國政府也開始介入這個領域了。我們其實不確定幕後正在進行的所有工作——目前我們只知道具備商業可行性的部分。關於邏輯量子位元,你說我們現在有一個邏輯量子位元。有物理量子位元和邏輯量子位元,而需要擴展的是邏輯量子位元。為了破解 ECDSA,我們實際上需要多少個邏輯量子位元?這是我正在關注的一個指標,但這個數字正確嗎?我聽說有人說需要 1,000 個,或者可能是 1,500 個。這是我們應該關注的數字嗎?
Justin Drake: 是的,所以有多個相關的指標。包括物理量子位元的總數、邏輯量子位元的總數,以及執行演算法所需的總步驟數。這會產生實質的影響,因為這將決定破解一把金鑰需要一分鐘、一天、一週、一個月還是一年。
David Hoffman: 那麼這些指標的擴展比例是多少——物理、邏輯,以及執行演算法的時間?
Justin Drake: 粗略來說,今天獲得一個邏輯量子位元所需的物理量子位元數量大約是幾百個——就當作是一千個吧。未來應該會發生的情況是,物理量子位元的品質(即所謂的保真度)會提高,而且我們也應該會開發出更好的糾刪碼,從而改善這個比例。因此,未來我們可能每 100 個物理量子位元就能產生一個邏輯量子位元,甚至可能只需要 10 個。
當你觀察破解離散對數和 ECDSA 的演算法時,粗略來說,它大約是曲線位元數的一個小倍數。我們使用的是名為 secp256k1 的曲線。其中的 256 代表 256 位元。所以你把這個數字乘以 5 或 6,大約就能得出你需要的邏輯量子位元數量——我們就當作是 1,500 個吧。因為今天我們只有一個邏輯量子位元,從某種意義上說,我們還有三個數量級的差距,也就是需要三個 10 倍的成長才能達到目標。但同樣地,我們將在錯誤更正方面取得進展以降低該比例,並在演算法方面取得進展以減少所需的邏輯量子位元數量。
現在談談執行時間,這相當有趣,因為量子電腦有兩種風格——快時脈和慢時脈。快時脈的運作速度非常快,幾乎達到了光速。你有超導量子電腦和光子量子電腦——顧名思義,光子使用的是光子、光,這解釋了為什麼它這麼快。然後你有慢時脈——離子阱和中性原子。這些名稱其實並不重要,但粗略來說,它們的運作速度要慢上一千倍。每種架構和模式都有其優缺點。因此,在初期我們很可能會看到慢時脈模式勝出,也就是說它們將成為第一個破解金鑰的技術,但這會花費很長的時間——可能需要一週或一個月。所以從某種意義上說,Q-Day 並不是完全非黑即白的;會有一個過渡期,在那個時期密碼學算是被破解了,但只針對最頂級的高價值地址。
David Hoffman: 有意思。但 Q-Day 也可能在幕後發生,而我們根本不知道實際進展到了什麼程度。
Justin Drake: 是的。如果真的是某個國家率先掌握了這些量子電腦,除非加密貨幣在世界上扮演著重大的系統性角色,否則他們多半會利用這種能力以隱蔽的方式進行攻擊——例如,監視他們的對手。所以這對我們有利。但如果你面對的是一個純粹受金錢驅使的理性實體,他們確實可能會將目標對準比特幣或以太坊。
量子資料中心與 Q-Day 攻擊情境 (15:10)
David Hoffman: 關於量子位元的最後一個問題。現在正在建設量子運算資料中心嗎?我們為 AI 建設了大規模的資料中心。量子電腦是否也開始發生類似的情況?
Justin Drake: 是的。我讀了 Continuum 的這份新聞稿。他們正在建造一台基於光子學的量子電腦,而且非常低調。他們籌集了大量資金——數十億美元,部分來自澳洲政府——他們有點想一步到位地打造量子電腦。其他許多公司正在做的是建立小型的概念驗證,然後逐步擴大規模,但他們希望從第一天起就建構完整的系統。因此,他們正在建造這個龐大的資料中心。我認為這是因為其模式——光子學不需要像超導等其他模式那樣極低的溫度。所以你可以使用一個看起來更傳統的資料中心,並把你的量子電腦放在那裡。
Ryan Sean Adams: 你剛才談到 Q-Day 其實並非非黑即白。區塊鏈 (blockchain) 有許多與量子相關的不同層面,每個層面對量子的敏感度都不同。但我想採取一個立場,即 Q-Day 實際上是一個急遽的特定事件——也就是實際攻擊發生並導致某些東西崩潰的時候。也許這對不同的區塊鏈來說有所不同,因為不同區塊鏈的風險概況並不一致。但我們可以假設比特幣 (Bitcoin) 什麼都不做,來談談比特幣的 Q-Day。如果我們假設比特幣不進行調整,那麼在特定的一天比特幣會受到攻擊。那會是什麼樣子?那天會發生什麼事?量子電腦攻擊比特幣最容易得手的目標是什麼?
Justin Drake: 基本上,你需要考慮攻擊的動機。對攻擊者來說,理性的舉動是去尋找最大的地址 (address),實際上甚至在此之前,去尋找具有完美隱私的地址,或是具有合理推諉空間的地址。讓我逐一說明。第一個目標很可能是 Zcash,因為如果你攻擊 Zcash,你可以鑄造 (mint) 任意數量的 ZEC,而且沒有人會知道。所以 Q-Day 不會被公開。
David Hoffman: 等等,先釐清一下——Zcash 現在還不具備後量子安全性嗎?即使它使用了 ZK-SNARKs 這些技術?
Justin Drake: 是的,它使用的 SNARK 是基於容易被量子電腦破解的曲線。
David Hoffman: 好的。那麼另一組潛在的受害者可能是已經過世且遺失代幣的人。如果有人偷了他們的代幣,沒有人會抱怨——這存在一定程度的合理推諉空間。
Ryan Sean Adams: 但我們會注意到這一點,我的意思是,如果我們開始看到來自這些人的代幣——
Justin Drake: 是也不是,因為我們今天已經看到了這種情況。大約每個季度都會有一些 13 年沒動過的殭屍地址復活,而沒有人知道真正的原因。
Ryan Sean Adams: 對吧?這就像一個 13 年的比特幣錢包 (wallet),自從很久以前挖出 50 顆比特幣後就再也沒有過交易 (transaction),然後它在 13 年來進行了第一筆交易。無論那個人是否還活著只是喚醒了一個休眠的錢包,還是這是一次量子運算攻擊——一個只看比特幣區塊鏈的普通觀察者是看不出差別的。
Justin Drake: 完全正確。是的。然後你可能會去攻擊最大的目標,這可能是一些沒有建立正確基礎設施來保護自己的交易所。事實證明,對於量子電腦(至少是第一批),有一種非常簡單的緩解方法——不要重複使用你的地址。當你重複使用地址時,你就重複使用了公鑰 (public key),這意味著攻擊者有時間破解相應的私鑰 (private key),然後在你第二次使用該地址時竊取你的資金。因此,最佳實踐應該是,如果你將任何資金保存在長期的冷儲存中,它應該是一個乾淨的地址,其相應的公鑰從未被洩露過。為了讓這一點非常清楚:量子電腦允許你做的是
易受攻擊的比特幣地址與中本聰的代幣 (20:08)
要做的就是從公鑰反推回私鑰。因此,這確實危及了財產的基礎。
Ryan Sean Adams: 所以長期休眠的代幣,無論在哪個區塊鏈上,只要其公鑰已經暴露——這並非所有休眠代幣,但佔了很大比例——都處於風險之中。這些就是中本聰的代幣。中本聰將他的代幣放在一個大家都知道的錢包裡。這就是為什麼我們稱它們為中本聰的代幣,因為我們知道它們在哪裡。有多少比例的比特幣容易受到這種攻擊?
Justin Drake: 是的,有一家名為 Project 11 的公司建立了一個名為「Qisk List」的網頁——用 Q 代替 C 拼寫——他們有一個儀表板,可以讓你即時查看易受攻擊的地址。我相信這個比例大約是 35%。
David Hoffman: 35% 的比特幣。
Justin Drake: 是的。所以是數百萬枚比特幣——大約六、七百萬枚。沒錯,那價值數千億美元。你說得對,這確實包括中本聰持有的約 100 萬枚 BTC。現在,中本聰的 BTC 有一個有趣的特點,那就是它們都是以 50 枚比特幣為單位的,因為那是當時的區塊獎勵,而且他每次挖礦都會使用一個新的地址。這就是當時預設軟體的程式設計方式。如果破解一個公鑰需要,比如說,一天甚至 10 分鐘,你會看到中本聰的代幣被抽乾的速度與當時挖出的速度大致相同——大約每 10 分鐘一次。
這將是一個隨時間推移而延長的過程。一個有趣的結果是,如果你是一條小魚,而且你地址裡的比特幣遠少於 50 枚,那麼你就沒事。你某種程度上被前面的中本聰保護了。
David Hoffman: 對吧?
Justin Drake: 是的。完全正確。
Ryan Sean Adams: 在逃離殭屍的比喻中,你只需要不是跑得最慢的那個人。在這種情況下,我們只需要不擁有最大且量子不安全的錢包,因為他們只會針對較大的錢包。
Justin Drake: 完全正確。
David Hoffman: 所以 Q-Day 發生在 Justin Drake 描述的情境中——也許 Zcash 是第一個受到某種形式攻擊的,然後你可能會在鏈上看到一些不太引人注目的地址,因為攻擊者不想引起注意。一些比特幣上的地址,但隨後攻擊者會加強攻勢,尋找越來越大的寶藏來源。現在,根據我對 Nick Carter 文章的理解,在遺失代幣的情境中有一部分比特幣供應量——可能是個人已經過世、遺失了他們的私鑰,或者是中本聰本人。我想 Nick 估計的最低門檻是 170 萬枚比特幣,這將佔已挖出供應量的 8.6%。這低於容易受到攻擊的 35%。試圖在殭屍攻擊中保持領先一步的人會轉移到不易受攻擊的地址。但如果代幣遺失了,如果無法存取私鑰,你就無法移動它們。然後其他估計說,容易受到攻擊的比特幣可能高達 15%。你看到的數字是多少?
Justin Drake: 是的,所以我腦海中的粗略數字與這些一致。大約是 200 萬枚比特幣,我們說 10% 吧。我們有來自中本聰的 100 萬枚,然後大約還有另外 100 萬枚已經很長時間沒有移動過了。我們需要扣除其中一部分,因為一些殭屍地址是合法的並且會復活,但我們也應該增加它,因為可能有一些最近花費過的地址將會遺失。所以 5 到 15% 是正確的範圍。我會打賭大約在 10–12%,這是非常龐大的——絕對高達數千億美元。
比特幣的銷毀與打撈之爭 (25:24)
我們可以從賽局理論的角度來思考這個問題。選項 A 是嘗試銷毀這些代幣。好處是你可以避免數千億美元的拋售壓力。如果從短期角度來分析,這是理性的舉動。但比特幣的核心理念在於強大的財產權,因此如果從長遠來看,你應該不會想銷毀這些代幣。很難預測社群會選擇哪條路。最終的決定權可能掌握在大戶手中——例如 Michael Saylor 和 MicroStrategy。因為這些大戶將會收到兩個版本的比特幣副本——一個包含銷毀,另一個沒有——他們可以選擇拋售自己不喜歡的那個版本。我們知道 Saylor 傾向於銷毀,所以他有可能憑一己之力操縱市場,並得到他想要的結果。
Ryan Sean Adams: 我們能把你的意思說得更清楚一點嗎?誰有兩個選項?假設在 Q-Day(量子日)之後——如果你相信 Q-Day 會到來,我們大約有 10% 的比特幣供應量可能會受到擁有最強量子電腦的人的攻擊。他們可以花費數天、數週甚至數月的時間,逐一攻破這些地址並獲取比特幣。這 10% 的比特幣可能會被某人拿走。你的意思是,比特幣社群在社交層面、硬分叉層面上,對於如何處理這 10% 的比特幣有選擇權。這些選項有兩個。
他們要麼銷毀或凍結這些代幣——實際上就是宣布這些是死地址,我們知道它們已經死了,我們不希望它們易受量子攻擊,所以我們將進行硬分叉,並規定這些代幣永遠不能被轉移。也就是 2100 萬枚減去被凍結的 10%。這是一個選項。
另一個選項是,他們直接把這 10% 留給任何能製造出量子電腦的人去申領。就像打撈沉船一樣——誰造出潛水艇去拿到黃金,誰就可以申領它。但這些都是被迫的選項。無論發生什麼,如果 Q-Day 真的到來,比特幣社群都必須在兩者之間做出選擇。要麼介入,進行銷毀和凍結;要麼將其留給任何有能力開發量子電腦並去申領獎勵的地緣政治商業力量。我們是這個意思嗎?
Justin Drake: 是的,說得非常好。但有一個小小的修正:這不一定非得在 Q-Day 當天或之後發生。它可以提前發生。在任何時候,比特幣社群或其中的一部分人都可以提案進行分叉。在分叉區塊高度,將會出現兩個版本的比特幣資產——就像 Bitcoin Cash 分叉一樣。最終這將由市場決定。交易所會上架這兩個版本的資產,然後由市場決定哪一個才是真正的比特幣。而且很有可能,僅僅因為短期的流動性動態,那個銷毀代幣的版本(可能在 Q-Day 之前)將會成為最終的贏家。
Michael Saylor 情境與謝林點 (30:29)
Ryan Sean Adams: 沒錯。假設我是 Michael Saylor,我擁有 2–3% 的比特幣供應量,尤其是流動性供應量。我會拿到兩份副本。我們正在分叉比特幣區塊鏈,就像 2017 年的比特幣分叉大戰一樣。我想要保值,所以我賣掉所有容易受到量子攻擊的比特幣,並保留在銷毀了易受量子攻擊代幣的版本上的所有比特幣。未受影響的區塊鏈價格會下跌。而銷毀版本的價格會保持在高位,因為沒有人在賣——Saylor 不賣,BlackRock 也不賣。所以你的意思是,解決了量子問題的比特幣價格會更高,並透過市場力量成為正統的比特幣。
Justin Drake: 是的。Michael 甚至可能決定用賣掉脆弱版本所得的收益來購買銷毀版本,將他的持倉從 5% 增加到 5.5%。
David Hoffman: 對吧?但這不就意味著需要某種程度由上而下的協調,來決定哪些錢包要被凍結嗎?顯然我們可以標記中本聰 (Satoshi) 的代幣並將其凍結,但接著我們還得凍結更多。有些錢包我們可以相當確定——那個人已經過世了。但我們其實不知道該在哪裡劃清界線,決定哪些錢包可以被凍結,而哪些實際上是由只是處於休眠狀態的人類所擁有。有一條明確的界線嗎?
Justin Drake: 嗯,有一個概念叫做謝林點 (Schelling point)——在缺乏中央協調者的情況下,你要如何達成共識?對於比特幣來說,謝林點可能是發生減半的那個區塊。你可能會選擇第一次減半、第二次減半或第三次減半。這似乎具有相當可信的中立性——任何自第二次減半以來沒有移動過的代幣都會被視為已銷毀。
David Hoffman: 所以我們只要挑一個日期然後說,嘿,如果你在這個日期之前把你的比特幣留在一個量子不安全的錢包裡,我們就會在我們即將分叉的這個次要區塊鏈上銷毀你的代幣。
Justin Drake: 是的,這裡有相對廣闊的設計空間,而且有些人已經嘗試發揮創意。例如,有些人試圖一次解決兩個問題——量子問題和安全預算問題——他們的提案是,我們把這 200 萬枚代幣拿來,與其將它們銷毀,不如將它們加入發行量中。這就把安全預算的問題往後推延了。
David Hoffman: 我敢說,就比特幣的協調而言,這會變得更加野心勃勃。我不知道你是否想讓比特幣的協調能力超載。
Justin Drake: 是的。如果我要打賭的話,我會押注在非常簡單的銷毀上,比方說,在第二次減半之後。
David Hoffman: 好的。
Ryan Sean Adams: 但這非常困難,因為就像你之前提到的,Justin,這確實打破了不可腐敗的敘事,也就是財產權的敘事。任何關於凍結或銷毀的決定,都在某種程度上打破了比特幣的純粹本質。因此,Nick Carter 在他的文章中探討了另一個不同的故事——不是銷毀和凍結的情境,而是打撈 (salvage) 情境。在他的情境中,一家私人量子實驗室提前破解了 ECDSA。他們剛好位於美國。美國政府迅速秘密地將其收歸國有。他們開始獲取比特幣,與財政部協調,與大型 ETF 供應商、BlackRock 以及世界上的 Michael Saylor 們協調。最後,美國在國庫中擁有了 10% 的比特幣供應量。他展示了虛構的價格圖表——當人們意識到比特幣網路正遭受量子攻擊時,價格暴跌了 73%。但隨後當消息曝光,顯示美國政府擁有了這些比特幣,並且他們正在利用海事打撈法來合法沒收它時,市場反彈了,因為美國擁有了這個比特幣戰略儲備庫。這就是他的另一個情境。你覺得這合理嗎?因為至少在那個情境下,你沒有破壞任何財產權。
對於一個擁有如此巨額獎金的數兆美元網路來說,發生這種事確實令人難以置信。這是史無前例的。但這也可能發生,或許這對比特幣來說是個更好的結果。
助記詞證明與後量子簽章大小問題 (35:06)
Justin Drake: 是的。所以我有幾個想法。首先,有一種相當複雜的方法可以證明比特幣的所有權,而無需透過私鑰。這被稱為助記詞證明。衍生比特幣地址的方法分為三個步驟:第一步,產生你的助記詞;第二步,對助記詞進行一些操作(包括雜湊運算)以衍生出你的私鑰;然後從私鑰衍生出公鑰,這就是上傳到鏈上的地址。不幸的是,現在私鑰已不再是能證明所有權的東西。但由於雜湊運算的步驟,如果你知道你的助記詞,那仍然是所有權的證明。因此,可能會發生的一件事——從技術上講,這也是最穩妥的推進方式——就是凍結比特幣,但允許任何人透過助記詞證明來恢復他們的比特幣。
不幸的是,助記詞證明相當複雜。它需要一個 SNARK(一種零知識證明),因此這會使比特幣變得非常複雜。但我的預測是,比特幣將會引入 SNARK 來解決後量子簽章的大小問題。眾所周知,比特幣非常不願意增加其區塊大小。不幸的是,後量子簽章大約比 ECDSA 大 10 倍。給你具體的數字:ECDSA 是 64 個位元組,這是一個極小的簽章。最小的 NIST 標準化後量子簽章是 Falcon,它是 666 個位元組——大了 10 倍以上。如果你天真地將 ECDSA 替換為具備後量子安全性的東西,而不增加區塊大小,你的吞吐量將下降約 10 倍。你在比特幣上的 TPS 將從 3 降至 0.3,在我看來這是行不通的。
我們正在為以太坊構建的是這種奇妙的後量子簽章聚合技術,這樣即使原始簽章很大,你也不必將它們放在鏈上——你只需放入這個聚合證明。我敢打賭,比特幣將會採用以太坊開發的解決方案,因為根本沒有其他技術上穩妥的推進方式。
Ryan Sean Adams: 我明白了。這就是為什麼你不看好挽救方案的原因——因為你認為他們會採用這種方法,如果他們這樣做,這就為他們提供了一種更具可信中立性來凍結資產的方法。如果你能證明所有權,你就可以存取舊版的比特幣。
Justin Drake: 是的。不過遺憾的是,如果你是一個財產權極大主義者,這並不能讓人完全滿意。
Ryan Sean Adams: 沒錯。
Justin Drake: 原因是有一小部分被凍結的地址沒有已知的助記詞。助記詞標準是在創世區塊誕生幾年後才出現的。因此,所有早期的地址——例如所有的中本聰地址——都不會有對應的助記詞。而且有些錢包(例如基於 MPC 的錢包)也沒有對應的助記詞。所以這不是一個完美的解決方案,但它能解決 80% 的問題。
David Hoffman: 太混亂了。不管你怎麼看,這都太混亂了。
Justin Drake: 是的。我想強調的另一件事是,很多人認為當你竊取比特幣時,BTC 的價格會崩盤,你偷來的資產將變得一文不值。
但實際上有一種對沖比特幣價格的方法,這非常簡單——你只需做空 BTC。假設你確信自己已經破解了一個持有 100,000 枚 BTC 的錢包私鑰。你做空 100,000 枚 BTC。這就鎖定了你的利潤。然後無論比特幣的價格怎麼變,你都已經鎖定了利潤,這可能是數百億美元。
比特幣的社交層挑戰與以太坊的優勢 (40:07)
David Hoffman: 現在,我確實想指出,Justin,你的思考方式很特別,而你的思考方式正是你身處以太坊的原因。如果你是比特幣支持者(Bitcoiner),你的想法會截然不同。比特幣支持者的思維方式非常獨特、非常鮮明——有點像是財產權極大化主義者。我認為如果 Justin 負責管理比特幣,他的做法會與大多數比特幣支持者的普遍做法大相徑庭。我這裡沒有具體要問的問題,只是想強調這一點。
Ryan Sean Adams: 沒錯。比特幣支持者的做法可能不是你會做的。Nick Carter 的指控基本上是,許多比特幣核心開發者正在把頭埋在沙子裡,並聲稱量子日(Q-Day)不是真的,或者在未來 20 到 30 年內都不會成真。
Justin Drake: 澄清一下,我對銷毀(burn)會勝出的預測,是我認為最有可能發生的情況。這不是我會採取的做法——實際上我不會去動比特幣,而是會擁抱財產權。我沒有這種較短的時間偏好,而且我認為許多比特幣支持者會同意我的觀點。但遺憾的是,Michael Saylor 的影響力實在太大了,從某種意義上說,比特幣在社交層面上已經變得中心化,而這伴隨著巨大的權力與責任。
Ryan Sean Adams: 我其實同意你的看法。我也會這麼做。我會讓尋寶遊戲發生,讓打撈行動發生。我什麼都不會動。這正是比特幣的核心所在,就順其自然吧。不過,讓我問你同樣的問題。不僅僅是部分比特幣供應量在後量子時代是不安全的——以太坊也有這個問題,只是受影響的供應量比例不同。你能描繪一下同樣的問題嗎?假設我們進入了後量子日(post-Q-Day)的情境。有人正在大肆搜刮中本聰(Satoshi)的比特幣。這時以太坊會發生什麼事?有多少比例的供應量會受到威脅?假設以太坊還沒有解決量子問題。
Justin Drake: 以太坊的一個優勢是,沒有那 5% 被認為已經遺失、由中本聰一人控制的供應量。另一個優勢是,以太坊的歷史較短,而且從第一天起就有價格。因此,從一開始人們就有理由好好保管自己的以太幣,而在比特幣的早期,它就像是大富翁遊戲裡的假鈔,人們對私鑰的安全管理習慣並不好。所以,Nick Carter 提到的那 170 萬枚 BTC 很有可能真的已經永遠遺失了。
當我在 Ultrasound 專案時,我們試圖做的一件事是計算已知遺失的代幣數量,以便將其與銷毀量一起添加到儀表板上。但這個數量實在微乎其微,所以我們甚至懶得去算。
David Hoffman: 那 Parity 駭客事件呢?那不是佔了很大一部分嗎?
Justin Drake: 是的,很好的觀點。那是清單上的第一名。但它剛好是一個被鎖死的智能合約,並不會受到量子電腦的威脅。
David Hoffman: 所以——
Ryan Sean Adams: 它其實只是卡住了。這不是有沒有私鑰的問題。它就是實實在在地卡死了。
Justin Drake: 它被鎖死了。是的。完全正確。然後還有一些個人的案例研究——如果你真的去 Reddit 的討論區深挖,你會找到一些東西——但從整體來看,總數不到 0.1%。這就是已知遺失的供應量。但現實情況是,隨著量子日(Q-Day)的臨近,會發現有更多的代幣遺失。如果讓我猜測的話,大概是個位數的低段——可能是 2%、3%、4%、5%。
David Hoffman: 所以你認為最多有 2–5% 的以太坊供應量是既遺失又存放在可被量子破解的地址中。
Justin Drake: 完全正確。是的。如果我要做一個具體的預測,我會說大約是 2%,這大約比比特幣少了一個數量級。而這種數量上的差異會帶來本質上的後果:在以太坊的情況下,我會強烈主張什麼都不做,並真正尊重財產權,因為說到底,2% 並不是什麼大問題。但在比特幣的情況下,15% 就是一個巨大的問題了。
以太坊的三層後量子升級 (45:05)
David Hoffman: 所以以太坊也必須做出同樣的選擇。假設是 3% — 究竟是要進行凍結並銷毀,還是就讓它變成一場尋寶遊戲。你的期望是我們選擇尋寶遊戲的方案,這意味著某些量子攻擊者將會捲走那 1–3% 的以太幣。如果從宏觀角度來看,我們基本上正在朝著讓以太幣成為比 BTC 更好的貨幣的方向前進。它將是不干預的、尊重財產權的、具備量子安全的,而且不會有在幾次減半後將困擾比特幣的安全預算問題。所以我認為這對該資產來說是個巨大的機會。
Ryan Sean Adams: 好的。我們已經討論過軟性的社會問題。我們還必須面對許多技術挑戰。我想提出節目好友 Hasu Kareshi 的這篇推文。他引用了 Vitalik 關於以太坊量子路線圖的貼文並說道:「以太坊要實現後量子化,其路線圖比比特幣更艱難——事實上,由於後量子證明的大小,在你能處理 EOA 和私鑰之前,還有許多相依性問題需要解決。」所以他的看法是,以太坊面臨的挑戰比比特幣艱難得多。你怎麼看?
Justin Drake: 有兩個問題需要解決:技術問題和社會問題。在技術方面,Hasu 說得對,以太坊基本上有三個問題需要解決——分別在不同的層級。在共識層,我們有 BLS。在資料層,我們有 KZG。而在執行層,我們有 ECDSA。這些密碼學元件每一個都很脆弱。這是比特幣問題的超集,因為比特幣只有 ECDSA 的問題。所以在某種意義上,我們需要升級的東西多了三倍。
但如果從宏觀角度來看,我認為更大的問題——可能佔了 80%——是社會問題。我們已經討論過是否要銷毀的問題。但還有一個更根本的問題:我們是否承認這甚至是一個問題?在比特幣的世界裡,存在著一種免疫反應,基本上會排斥任何可能對價格不利的論述。你會看到像 Adam Back 這樣的人說,量子電腦至少還有幾十年的時間才會出現。所以第零步是某種程度上接受這是一個問題。而比特幣可能會稍微晚了一步,這將帶來比技術層面大得多的後果。
David Hoffman: 所以你認為整體而言,比特幣將面臨更困難的問題,因為他們的社會層面就是不承認這個現實,而且較不願意參與討論?
Justin Drake: 是的。讓我這麼說吧:我願意下重注打賭,以太坊的所有三個層級都會在比特幣的單一層級之前完成升級。
David Hoffman: 沒錯。所以我們的問題大了三倍。但在以太坊這邊,說到底這只是一個工程問題。不僅如此,這還是一個以太坊正在正面迎擊的工程問題。雖然比特幣的工程問題較小,但它是一個社會問題、一個協調問題,這在根本上更難以克服。
Justin Drake: 是的。完全正確。即使在技術方面,這也是我們已經研究了近十年的問題。如果回顧到 2018 年,我們向 StarkWare 提供了 500 萬美元的資助,用於研究基於雜湊的後量子 SNARK,並透過對 SNARK 友善的雜湊函數奠定基礎。這就是 Poseidon 雜湊函數的由來。最近,在 2024 年發布了精簡共識鏈 (Lean Consensus Chain) 的公告,它以前被稱為 Beam Chain。去年我們在劍橋舉辦了後量子工作坊。我們現在有一個由 Tom 和 Emil 組成的專門後量子團隊。而且我們有這個路線圖,它……
(50:00)
升級執行層:簽章聚合 (50:00)
確實詳細說明了實現這些升級的一些關鍵里程碑。
Ryan Sean Adams: 我們可以逐一討論這些問題嗎?我知道 Justin,你可以非常深入地探討密碼學的細節——但我們希望將其保持在 David 和我能理解的程度。不過我們確實了解以太坊技術堆疊的不同層級。也許我們可以從執行層開始,因為這一直是我們討論的主要內容。ECDSA 是比特幣和以太坊地址背後的簽章方案——這是在後量子世界中會被破解的東西。ECDSA 的升級路徑是什麼?這是一個歷史悠久的密碼學工具——我們有什麼可以替代它的嗎?
Justin Drake: 是的。首先,讓我強調這是一項非常艱鉅的任務——我們正在從根本上改變區塊鏈的支柱,即基礎密碼學,並將其替換為具有完全不同特性的新技術。現在,如果你是一個外行人,你的答案可能是:「這很簡單。我們有 NIST(美國國家標準暨技術研究院)。他們舉辦了一場後量子簽章競賽並選出了幾個方案——即 Falcon、Dilithium 和 SPHINCS+。我們只需要選擇其中一個或幾個選項即可。」
問題在於 NIST 並未針對區塊鏈的使用案例進行設計。他們是為網際網路上使用的個別訊息的個別簽章而設計的。在區塊鏈的背景下,你會有一批批的交易——以比特幣為例,每個區塊有數千筆交易。而我們面臨著後量子簽章大小的問題,它們至少大 10 倍,甚至可能大 100 倍。在我看來,天真地將這些個別簽章打包並串接在區塊中是完全行不通的。
我看到的唯一解決方案稱為簽章聚合,也就是將多個簽章壓縮成一個多重簽名。驗證這個主多重簽名就等同於驗證所有個別的組成部分。當你觀察可聚合後量子簽章的設計空間時,選項並不多。在我看來,基本上只有一個可行的選項:利用 SNARK,特別是後量子 SNARK。基本上只有一個主要系列——基於雜湊的 SNARK。
基本概念是,你取得個別的後量子簽章,並證明你知曉所有這些簽章,最終得出一個 SNARK 證明。現在,如果你打算採用基於雜湊的 SNARK,你倒不如也採用基於雜湊的葉節點簽章——即未聚合的原始簽章。原因是這能為你帶來簡單性和安全性上的好處。這是你能擁有的最低限度安全假設——你只需假設你的雜湊函數是安全的。在區塊鏈的世界裡,雜湊函數是基礎。我們到處都在使用它們——用於建立區塊、默克爾樹、狀態樹,以及透過雜湊進行串接的區塊鏈。
以太坊基金會投入了大量心力,從基於雜湊的簽章著手,並盡可能讓它們對 SNARK 友善,從而將聚合成本降到最低。我很高興地向大家報告,這種方法的效能實際上對所有區塊鏈來說都已經足夠好了。無論你的鏈吞吐量為何,你都可以在合理的硬體(例如筆記型電腦的 CPU)上執行聚合器,聚合所有這些交易並產生一個隨附於區塊的最終證明。
而這種方法諷刺的一點是,相對於我們現有的技術,它實際上提升了可擴展性。原因是你不再有每筆交易 64 位元組的固定成本。交易的簽章資料為零位元組,然後你有一個主簽章,其成本會分攤到區塊中的所有交易上。
透過與比特幣合作制定業界標準 (55:28)
David Hoffman: 好的。所以這對以太坊下游的許多其他智能合約區塊鏈來說是一次升級,特別是那些針對速度進行最佳化的區塊鏈——
Justin Drake: 不僅僅是智能合約——比特幣也是。ECDSA。
David Hoffman: 是的。沒錯。所以在這集節目開始前,我以為像 Solana 這樣的鏈會被更龐大的簽章所拖累,就像比特幣的 TPS(每秒交易量)會降到每秒 0.3 筆交易一樣。Solana 也會同樣變慢,因為在後量子世界中,交易會變得更龐大。但你是說有了這項技術,情況就不會是這樣了——它實際上會讓各個鏈變得更快。
Justin Drake: 是的,完全正確。就像中本聰(Satoshi)使用 ECDSA 為整個業界制定了事實上的標準一樣——我們基本上甚至複製了 secp256k1 曲線,這是非常不尋常的。沒有人知道他為什麼選擇那條曲線,但它成為了事實上的標準。我認為以太坊有機會成為先行者,並制定事實上的標準。
我們採取的策略是與比特幣社群合作。在比特幣領域,有幾個人——Mikhail Komarov 和 Nick Jonas。他們都是 Blockstream 的一員,也都是基於雜湊的簽章專家。我們正在與他們合作,以確保我們在以太坊領域開發的任何東西也適用於比特幣。如果比特幣和以太坊都使用該標準,那麼整個業界大概也會使用這個標準。
Ryan Sean Adams: 太棒了。所以我們有辦法在不影響效能的情況下解決執行層的後量子升級問題。不過讓我問另一個問題——安全性如何?這是較新的密碼學,而 ECDSA 已經存在了很久且具有林迪效應(Lindy)。我們是否應該擔心存在某種隱藏的錯誤或零日漏洞,可能會徹底摧毀我們所建立的一切?
Justin Drake: 我對此有幾個想法。我們非常重視安全性,整體而言,我預期我們部署的解決方案將比我們今天使用的 ECDSA 安全好幾個數量級。讓我解釋一下。ECDSA 是基於橢圓曲線——一種結構複雜的數學物件。有可能某個聰明的數學家想出一種演算法,利用人類尚未發現的奇妙數學技巧來破解離散對數。這在過去發生過——我們有越來越好的演算法來進行因式分解和計算離散對數。隨著 AI 的出現,一種可能性是我們擁有了比人類數學家聰明 100 倍的數學家,他們發現了橢圓曲線中的隱藏結構,並能破解我們的密碼學。因此,我們正在建立的密碼學不僅是後量子的,也是後 AI 的。
回到我說的另一件事——它只依賴雜湊函數。任何簽章方案都依賴兩件事:雜湊函數,以及一個可選的額外難度假設(可能是離散對數,或者在基於晶格的簽章中是結構化晶格)。但在基於雜湊的簽章中,沒有這種額外的難度假設——它就只是雜湊函數。如果你的雜湊函數是安全的,那就沒問題。因此,從這個意義上來說,我預期這將是對現狀的一種改進。
現在我想強調兩個注意事項。第一個注意事項是,我們正在處理更複雜的物件,而我們這裡的解決方案是我們所謂的深度端到端形式化驗證。
形式化驗證、Poseidon 與共識層 (1:00:33)
我們有我們的密碼學物件,並且我們想要在數學上證明它是健全的——也就是不可能偽造簽章。我們不僅希望在數學上做到這一點,也希望在程式碼上做到。如果你在兩三年前問我這是否可行,我會說可以,但這將是非常費力且昂貴的。隨著人工智慧的出現,我們看到這種費力且昂貴的工作現在可以以 100 倍的速度和 100 倍的低成本完成。
我們開始看到處於最前沿的世界級數學——例如,最近一個獲得菲爾茲獎(相當於數學界的諾貝爾獎)的研究成果。該成果在五天內就被人工智慧進行了形式化驗證。他們產生了五十萬行程式碼——這是一個機器可檢查的證明,證明這確實是一個有效的定理——並且在這個過程中發現了人類撰寫的論文中各種錯字。為了避免錯誤,這正是我們所需要的盡職調查。
現在我想強調另一件事:雜湊函數本身。從歷史上看,區塊鏈要麼建立在 SHA-256(如比特幣)之上,要麼建立在 Keccak(如以太坊)之上。我們對後量子以太坊的提案是引入另一種名為 Poseidon 的雜湊函數,這是一種不同類型的雜湊函數,因為它對 SNARK 友善。到我們推出 Poseidon 時,它應該已經非常安全了——它將經過整整 10 年的分析,將透過 L2 保護數十億美元的資產,並且將經過該領域所有頂尖專家的密碼分析。我們最近也宣布了 100 萬美元的獎金,鼓勵人們嘗試破解 Poseidon。但 Poseidon 確實有可能被破解。
不幸的是,設計雜湊函數的方式決定了你無法證明它們是安全的。你能做的最好的事情就是依賴於沒有受到攻擊的紀錄——基本上就是這段「烘焙時間」(baking time)。而我心目中的時間量級是八年。為什麼是八年?因為當中本聰(Satoshi)選擇 SHA-256 時,它已經問世八年了。巧合的是,當 Vitalik 選擇 Keccak 時,它也已經問世八年了。所以我希望 Poseidon 至少有八年的歷史,而當我們將其部署到以太坊上時,它將達到這個標準。
Ryan Sean Adams: 好的。所以那是執行層。能請你快速談談資料層嗎?KZG 需要升級為後量子技術,還有我們使用 BLS 簽章的共識層。這與替換 ECDSA 的工作量相似嗎?
Justin Drake: 讓我從共識層開始,因為它的答案比較簡單。初步來看,這基本上就是複製貼上。我們有一個類似的概念,參與者進行簽章,有大量的簽章,它們佔用空間,而我們想要壓縮它們。共識層的問題在於,我們的簽章數量遠多於執行層。人們沒有意識到這一點,但我們有一百萬個驗證者——這意味著每個紀元有一百萬個簽章,每個時槽有 32,000 個簽章,每秒有數千個簽章。就投票交易而言,這比 Solana 還要多。
為了實現只有在共識層才能使用的特定效能最佳化,我們引入了有狀態簽章(stateful signature)的概念——你簽署的訊息帶有一個每次都會遞增的計數器。這難道沒有讓你想到什麼嗎?時槽編號。在以太坊的共識層中,你在每個時槽只會簽署單一訊息。如果你簽署了兩個,你就會被罰沒。我們利用這個限制,讓簽章的聚合效率提高 10 倍。
Lean VM、Lean Consensus 路線圖與 2029 年時間表 (1:05:17)
這就是主要的差異——執行層的無狀態雜湊函數,對比共識層中隨著時槽編號遞增的有狀態簽章。這項聚合技術有一個名字:Lean VM,這是一個用於基於雜湊的密碼學的極簡 zkVM。基本上,Lean VM 將用於證明這是一個正確的默克爾根。我們目前還不完全確定的是,這種方法是否能解鎖我所謂的「兆級燃料邊境」——在第一層 (L1) 達到每秒 1 吉級燃料 (gigagas) 或 10,000 TPS,甚至更具野心地,利用資料可用性在第二層 (L2) 達到 1 兆級燃料 (teragas) 或每秒 1,000 萬筆交易。
我們談論的是每秒 1 GB 的資料可用性,問題在於 zkVM 的效能是否足以每秒處理 1 GB 的資料。這仍有待基於未來的最佳化來決定。
David Hoffman: 但我們確切知道的是,以太坊將具備足夠的 DA,能為第一層 (L1) 以及少數幾個第二層 (L2) 提供每秒 1 GB 的容量。
Ryan Sean Adams: 所以我想聽眾現在可能會想:「好吧,聽起來以太坊有升級到後量子的計畫。他們承認量子電腦將會存在,而且會有一個 Q-Day。」現在他們想知道的是時間表和所需投入的精力。我把 Vitalik 關於後量子路線圖的推文丟給 Claude,並問它:「這需要多大的努力?」Claude 說:「把這當作是十分之九的難度。」這是以太坊有史以來最重大的升級之一。我們將其與合併 (The Merge) 進行比較,當時我們就像在飛行中的飛機上,將工作量證明 (PoW) 引擎替換為權益證明 (PoS)。現在我們要替換掉大部分的核心密碼學。你能為我們評估一下這個範圍嗎?我們能在 2032 年前準備好嗎?這有多困難?看起來會令人望而生畏嗎?
Justin Drake: 是的。這個答案分為兩個部分。首先,它實際上比你描述的還要更有野心。對密碼學的改變是如此具侵入性,以至於它本質上至少是對共識層的重寫。如果我們打算重寫共識層,我們不妨好好地重寫它——加入所有好東西並清理所有的技術債。這就是 Lean Consensus 專案,我們將多項重寫工作(包括單時槽最終性)與後量子升級捆綁在一起。
所以,是的,這非常有野心。我們從零開始,打造出令人驚嘆的優美、簡單、高效且可證明安全的系統。好消息是,從頭開始在許多方面都比較簡單,因為你沒有所有的技術債。我們可以將規格重寫得盡可能極簡和簡單。這就是「lean(精簡)」這個術語的由來——極致的簡單,整個狀態轉換函數基本上只有一千行 Python 程式碼,一個聰明的高中生就能看懂。
目前我們已經有了 Lean Consensus 的開發網。而且這些規格非常容易理解,我們已經看到大約 10 個團隊實作了它們並加入開發網,甚至在沒有聯繫以太坊基金會的情況下就完成了。進入門檻相對較低。我們處於這樣一個世界:AI 的發展意味著你在很大程度上可以憑直覺編寫(vibe-code)你的客戶端。這也是為什麼我們有這麼多客戶端的一大原因——通常是單人團隊,或者是兩三人的團隊。
我認為這將對永續性以及治理產生有趣的影響。在治理方面,我們今天的做法粗略來說是
以太坊治理與 2029 年完成日期 (1:10:41)
我們有五個共識層客戶端,它們都需要實作升級才能繼續前進。未來,當我們有 10 或 15 個客戶端時,我們只需要求前 80% 或最快的 80% 即可繼續前進。這更像是一場達爾文式的競爭,讓我們能夠以更快的速度前進,而無需等待最慢的客戶端。
David Hoffman: 那麼我們會在 2032 年準備好嗎?我們什麼時候會準備好?
Justin Drake: 整個路線圖已經規劃到了 2029 年,
David Hoffman: 這基本上與你在 DevCon 演講中介紹 Beam Chain 時給出的路線圖完全相同。當時人們很討厭它。
Justin Drake: 是的,那是我最不受歡迎的一張投影片,因為它的時間跨度長達四年半。過去我在時間規劃上一直做得很差——過於樂觀。但隨著年齡增長和白髮變多,我在時間規劃上變得越來越好。我認為這是一個現實且保守的時間表,這讓人們感到不滿。但事實就是如此。
David Hoffman: 補充一下背景資訊,人們感到不滿的部分原因是,當時正值 Solana 勢頭的頂峰,而以太坊路線圖在技術上似乎缺乏動力。這不僅僅是因為四年的時間表——這也與當時的背景有關。
Justin Drake: 完全正確。所以我們現在大約還有三年的時間。我相對有信心我們能達成 2029 年的里程碑,而且我認為多虧了人工智慧 (AI),我們甚至有機會進展得更快。
David Hoffman: 所以到了 2029 年,如果符合路線圖,這一切都會被實作——我們剛剛談論的所有內容。
Justin Drake: 你保證?所有內容。
Ryan Sean Adams: 我腦海中是不是有某個資深軟體開發人員告訴過我,重寫程式碼從來都行不通?為什麼這在這裡不適用?
Justin Drake: 一個好消息是,正如你所提到的,我們已經在合併中完成了這種大型重寫。我們將以太坊的共識基礎從工作量證明 (PoW) 完全改為權益證明 (PoS)。這證明了它是可行的。以太坊對雄心勃勃的專案並不陌生——我們還有其他規模相似且極具野心的項目,例如丹克分片和資料可用性抽樣。
另一個好消息是我們別無選擇。我們必須改變密碼學。這是一個非常強大的強制作用力,光是這一點就已經相當於 80% 的重寫了。
這使得協調和達成共識變得簡單得多。
量子運算不只是加密貨幣的問題 (1:15:06)
David Hoffman: 我想我們應該強調,不只是以太坊別無選擇——加密貨幣領域中沒有人能置身事外。加密貨幣領域的每個人都必須進行重寫。對於比特幣來說,雖然只是 ECDSA,但這本身就已經足夠了。
Justin Drake: 是的。以太坊可能需要比其他鏈進行更多的重寫,這與驗證者的數量有關。如果你只有 100 個驗證者,你可以吸收共識層上大 10 倍的簽章成本。對於大多數的權益證明 (PoS) 鏈來說,你不需要我們擁有的那種複雜性。但對於以太坊,我們希望每個時槽都有數以萬計的驗證者進行投票——每秒數千個簽章——因此我們必須非常有創意。
我同意你的一點是,所有區塊鏈在執行層都必須有非常大的改變。但對其他鏈來說,好消息是以太坊正在做所有的功課。我們正在建立 Lean VM,我們將對整個系統進行形式化驗證,而他們只需要複製貼上即可。這在很大程度上是一項容易整合的工作。
Ryan Sean Adams: Nick Carter 發推文說:「最愚蠢的謬論之一,就是人們認為只要比特幣消亡,他們的代幣就會贏——就像 Zcash 的人因為量子問題而對抗比特幣一樣。情況恰恰相反。如果比特幣消亡,就再也不會有人信任網路貨幣了。所有的代幣都是沾比特幣的光。」你對這種觀點有什麼反應?
Justin Drake: 我不同意 Nick Carter 的看法。當我發布關於安全預算的推文時,Nick 總是很不高興。他認為談論這個對整個產業具有破壞性,儘管基本面與我所說的一致。諷刺的是,他在量子問題上所做的事,正是我在安全預算上所做的事——試圖推動討論並促成改變。
Ryan Sean Adams: 但更宏觀的觀點呢?假設我們到了 2032 年,以太坊具備量子安全性,而比特幣沒有,比特幣遭到我們所描述的某些方式攻擊——出現了這種尋寶遊戲和市場的不確定性。Nick 的意思是不要為此歡呼,因為這對加密貨幣領域的每一條鏈都是壞事。他的意思是比特幣的命運就是大家的命運。如果你想要一個價值儲存網路貨幣的迷因,比特幣必須帶頭。不存在所謂的「翻轉」情境,讓以太坊可以說:「我們的鏈具備後量子安全性,我們沒有比特幣那樣的問題。」他的意思是,至少從網路貨幣價值儲存的角度來看,這將拖垮整個加密貨幣領域。
Justin Drake: 我不同意。你可以看看歷史分析——貝殼被鹽取代,然後是銀,接著是金,而現在比特幣有可能取代黃金。黃金的失敗並不意味著下一個事物也必須失敗。我會說,作為網路貨幣,以太坊是比特幣非常自然的繼任者。比特幣的失敗並不意味著以太坊也必須失敗。我同意可能會有短期的陣痛,但我們討論的也是長期的收益。
後量子時代的機遇與安全預算考量 (1:20:27)
David Hoffman: 那麼我們最終會得到什麼?2030 年,以太坊實現了後量子安全,因為 Justin 承諾過。以太坊會變成什麼樣子?它是同類中的唯一,還是你預期其他區塊鏈也會跟進並實現後量子安全?如果這一切都實現了,你能描述一下我們在 2030 年會擁有什麼樣的系統嗎?
Justin Drake: 過去幾個月裡,我心態上一個有趣的轉變是,我不再把後量子視為需要克服的障礙。我更多地把它看作是一個機遇。這是以太坊脫穎而出的機會,成為第一個具備後量子安全的全球金融系統——不僅是相對於比特幣等競爭對手,也是相對於法定貨幣和傳統金融 (TradFi)。我認為這將傳遞出一個非常強烈的訊息,並成為吸引全世界遷移到以太坊的一個非常自然的安全賣點。
這不僅是以太坊在同儕中脫穎而出的機會,也是以太坊成為最好版本的自己的機會。這又回到了這樣一個觀點:邁向後量子時代本質上是一次重寫,這是一個從頭開始並消除技術債的巨大機遇。
一個有趣的數據點是:最初的信標鏈 (OG Beacon Chain) 於 2020 年推出,而其設計在一年之前的 2019 年就已凍結。因此,當我們在 2029 年推出精簡版信標鏈 (Lean Beacon Chain) 時,我們將升級一個已有 10 年歷史的東西。在加密貨幣領域,10 年就像是永恆。我們已經學到了很多,以至於精簡版信標鏈將與最初的信標鏈截然不同。你可以把它看作是權益證明 (PoS) 2.0。
Ryan Sean Adams: 就運算而言,我們正處於一個非常有趣的時期。在最前沿似乎有三個運算平台和典範:大家都知道的人工智慧 (AI);量子運算,它現在可能處於 AI 在 2018 年時的階段;以及以太坊和比特幣等區塊鏈為代表的加密貨幣與密碼學。我們似乎即將進入這三者的奇異點,AI 正在加速量子運算和密碼學的發展,而密碼學將成為 AI 某些中心化向量的制衡力量。你對這一切有什麼看法?
Justin Drake: 這很難預測,但正如你所說,有一個非常奇怪的巧合,2032 年似乎是整體運算達到奇異點的一年。人們一直在討論 AI 奇異點甚至可能在 2032 年之前到來。有一篇非常著名的文章提到了 AI 2027。我不認為我們會在 2027 年擁有超級智慧,但我認為到 2032 年是很有可能的。
我們已經開始看到——就在昨天,AI 領域的元老 (OG) 之一 Dario Amodei 開始讓 AI 自主地進行遞迴式自我改進,這非常可怕。這基本上就是邁向超級智慧指數級增長的起點。
比特幣的安全預算危機與 2032 年的清算 (1:25:12)
我們將 2032 年視為潛在的 Q-Day(量子日),同時在 2032 年,比特幣也將迎來我認為的最後一次減半。你可以稱之為 B-Day(比特幣日)——這一天比特幣將面臨某種清算,因為其發行量將低到無法保障網路安全。
兩年後我們將迎來一次減半,而六年後的 2032 年將迎來另一次。過去 15 到 16 年來,比特幣的安全論述一直是交易手續費將取代發行量。我建議你去看看數據——這根本沒有發生。如今的交易手續費僅佔發行量的 0.6%。所以別指望交易手續費了。
比特幣的安全性將呈指數級衰退。如今,比特幣的安全由大約 10 吉瓦(gigawatts)的電力來保障。這裡有一個令人震驚的統計數據:中國每天部署 1 吉瓦的電力,主要是太陽能。因此,中國 10 天的部署量就足以對比特幣發動 51% 攻擊。
David Hoffman: 就能源成本而言——也就是保護比特幣的這道屏障——中國每 10 天生產的能源就相當於保障比特幣安全所需的能源。
Justin Drake: 就耗電量而言,比特幣消耗了 10 吉瓦。1 吉瓦大約相當於一座核電廠,所以是 10 座核電廠。中國每天都在部署相當於一座核電廠的發電量。這是主要的瓶頸之一。另一個瓶頸是硬體——一百萬台礦機。發動攻擊大約需要花費 100 億美元,從宏觀來看,這無論是相對於比特幣的市值,還是對於國家級攻擊者來說,都只是九牛一毛。
David Hoffman: 當你這樣談論比特幣時,幾乎讓我認為你不再覺得比特幣應該是加密貨幣的先鋒。這種說法意味著比特幣在安全預算和量子計算方面存在缺陷,而以太坊將在未來引領加密貨幣。
Justin Drake: 我對量子計算仍保持樂觀——這終究是一個可以克服的技術挑戰。更大的問題在於安全預算,因為這觸及了比特幣的核心 DNA:2100 萬枚的上限和工作量證明 (PoW)。我不明白你怎麼能將工作量證明 (PoW) 和 2100 萬枚的上限結合在一起。你必須放棄其中一個。
有一種可能性是,BTC 作為資產可能會與比特幣這條鏈脫鉤,並存在於一條更安全的鏈上——例如,作為以太坊上的 ERC-20 代幣。但說出這些話——比特幣支持者可不這麼想。
David Hoffman: 不,他們確實不這麼想。
Justin Drake: 如果我換個說法,比如:「我們乾脆取消 2100 萬枚的上限,因為安全預算不足」——比特幣支持者同樣不這麼想。他們正飛速撞向一堵牆,而 2032 年就是清算之日。
現在收集,未來解密 — 加密貨幣之外的量子風險 (1:30:09)
Ryan Sean Adams:量子技術對社會其他層面有什麼影響?這不僅僅是加密貨幣的問題。區塊鏈特別容易受到影響,但社會的其他組成部分也同樣容易受到影響。在後量子、後 AI 的世界中,後量子以太坊在多大程度上能成為社會解決和預防問題的工具?
Justin Drake:密碼學基本上有兩種形式。一種是即時密碼學,你即時簽署訊息,對過去的行為沒有實質影響。對大多數網際網路來說,升級到後量子應該相對簡單。但也有一些例外——例如,已經部署且完全無法升級的衛星。
然後是加密的另一個問題:如果資料在今天被加密,而你沒有使用後量子安全的加密技術,那麼這些資料在未來可能會被解密。有一整類被稱為「現在收集,未來解密」的攻擊。我認為社會上發生大規模解密是很現實的——大量的 Signal 訊息、Telegram 訊息或成堆的 Gmail 訊息同時被解密。這可能會對社會產生非常重大的影響。
以太坊作為防禦性加速主義與 AI 存在性風險 (1:30:09)
Ryan Sean Adams: Justin,當我們談論這三種運算技術時,AI 確實是最引人注目的。你提到 2032 年可能會是類似 AGI(通用人工智慧)出現的時刻。一個普遍的問題是:作為一位極具天賦的密碼學家,你並不是 AGI。令人擔憂的是,當我們進入運算奇異點時,過去的常理都不再適用。我們在 2026 年為使區塊鏈具備抗量子能力而制定的所有周密計畫——如果 AGI 找出其他方法來破解我們的抗量子密碼學怎麼辦?作為一名密碼學家,你是否擔心通用人工智慧帶來的「未知的未知」,以及它可能破解的東西?如果我們為後量子世界做好了準備,卻沒有為後 AGI 世界做好準備怎麼辦?
Justin Drake: 在密碼學方面,我對其可靠性相當有信心。原因是你可以透過數學證明你的密碼學是正確的。密碼學是數學的一個分支。你通常會設定這些難題,使得如果有人要在運算上破解它們,所消耗的能量將超過整個太陽系的能量總和。
回到我們為後量子以太坊建議的密碼學基礎——雜湊——沒有比這更強大的了。這是你能期望擁有的最弱密碼學(意即依賴最少假設)。這也是為什麼我對於將價值網際網路的基礎建立在晶格上感到謹慎的原因之一。NIST 有兩種主要的後量子簽章類型:基於雜湊和基於晶格。基於晶格的技術讓人聯想到橢圓曲線——它們都是高度結構化的物件。某個 AGI 甚至 ASI(超級人工智慧,比全人類加起來還要聰明數千倍)有可能會破解它。但是雜湊函數——我們有理由相信它們非常強大。
儘管我不太擔心密碼學,但我確實擔心更深層次的問題。如果宏觀來看,我越來越擔心人類的生存風險。越來越多的人開始理解 Eliezer 不久前在 Bankless 節目上試圖表達的觀點。
我認為,如果人類能夠倖存下來,以太坊很有可能在其中扮演了關鍵角色。我的一個比喻是,人類正以時速 100 英里的速度開著一輛車。這裡存在著一個摩洛克陷阱(Moloch trap),大國、TSMC、Nvidia、OpenAI——他們都在猛踩油門。而這輛車沒有煞車、沒有安全帶、也沒有安全氣囊。今天我們還能相對舒適地以時速 100 英里駕駛。明年我們就會達到 200 英里,然後是 300 英里。最終,我們將以不負責任的速度狂飆並墜毀。
在過去的幾個月裡,致力於以太坊的工作對我來說有了全新的意義。我以前大多忽視 AI,部分原因是我專注於區塊鏈相關事務,但也因為不久前它還只是一個玩具。但透過我的工作,特別是在形式化驗證和開發方面
在 AI 時代致力於以太坊的意義 (1:35:08)
以及寫程式,我看到了這些東西有多麼強大。在過去的幾週和幾個月裡,我對 AI 著迷,盡可能地學習。我絕不是專家,也許這只是人們打開潘朵拉盒子時會經歷的一個階段。但對我來說,現在致力於以太坊完全是為了防禦性加速主義 (defensive accelerationism)。
我沒有看到社會的其他部分在研發煞車系統——大家都在猛踩油門。好消息是,以太坊擁有許多可以提供部分解決方案的思維和工具。從第一天起,我們就假設了對抗性。從第一天起,我們就利用密碼學等技術來賦權弱者,並確保即使是任意強大的力量也無法破壞某些東西。我們正努力成為真相的來源,實現去中心化的目標,並賦予人們主權。
我認為在未來的幾個月和幾年裡,我們可能會經歷某種覺醒,社會會驚呼:「糟糕了。」而開始致力於防禦性加速主義可能會成為一種道德義務。我們可能會看到一些最聰明的大腦自然而然地來到以太坊,將其視為潛在的解決方案——這是我們應對這個問題所需的一系列解決方案的一部分。
Ryan Sean Adams: 我很高興你在思考這個問題,聽起來你在以太坊的工作賦予了你意義。我還有一個問題。顯然作為以太坊的超級粉絲,如果 AI 的命運成真,我的一個擔憂是,在某種程度上,是的,它是一種防禦性加速主義技術——去中心化的、無需許可的,將權力下放給弱小者而不是強權。但在另一個層面上,它是數位的。我們創造了一個財產權系統,而且某些 AGI 或 ASI 似乎確實有可能利用我們這個不可變的、無法關閉的世界電腦,來做人類不想要的事情。你是否在任何層面上擔心它只是利用了以太坊——「嘿,人類,謝謝你們提供的財產權系統,接下來交給我們吧」——而你實際上加速了一種反人類的技術?
Justin Drake: 我認為這是一個非常合理的觀點。歸根究底,以太坊是一個可以被人類和 AI 共同使用的工具。也許這是一種自我安慰,但如果你移除以太坊,在防禦性加速主義領域似乎沒有太多其他替代產品。幾乎全都是純粹的加速主義。所以,是的,也許以太坊會加速某些事情,但它是我們在防禦性加速方面僅存的希望之一。因此,我認為在 2029 年前交付路線圖,並盡我所能確保以太坊為人工超級智慧時代做好準備,仍然是理性的。
Ryan Sean Adams: 在我們結束之前,最後一個問題。這次對話真的非常棒。這也許是個私人問題,因為你在過去幾個月裡經歷了 AI 覺醒。我現在注意到你加上了「如果人類倖存下來」這個前提——「如果人類倖存下來,以太坊將發揮關鍵作用。」這些話對我來說很難說出口。技術加速主義意味著人類可能無法倖存,這是一個真實存在的可能性。你個人是如何面對這個問題的?
Justin Drake: 我對此相對坦然。我已經達到了一種樂於面對死亡的境界。我度過了非常幸福的一生。
關於毀滅機率的結語 (1:40:04)
Ryan Sean Adams: 什麼?
David Hoffman: 這讓我們很震驚。
Ryan Sean Adams: 這不是我預期的答案。
Justin Drake: 我認為你只需要保持希望。你需要把所謂的 P(doom)——毀滅機率——放在一邊。我現在的 P(doom) 相對較高。我認為超過 50%。但我不想大聲說出來。我不想——
Ryan Sean Adams: 你不想活在那種悲觀情緒中。
Justin Drake: 沒錯。我不想讓自己氣餒,讓我的生活變得悲慘。也許更重要的是,我不想讓其他人氣餒並讓他們失去希望。我認為我們應該利用現有的條件做到最好。未來是高度不可預測的。儘管我的 P(doom) 在過去幾週和幾個月裡大幅上升,但這是一個我隨時準備修正的強烈觀點。我希望非常聰明的人能站出來告訴我,為什麼我不應該這麼害怕,並應該更加樂觀和充滿希望。
正如我所說,我真的只思考了這件事幾週和幾個月。我只是略知皮毛。對我來說,最大的警鐘是 Opus 4.5,當時 Emil 告訴我:「從現在開始,AI 實際上正在幫助我提高生產力。」在此之前,它總體上是拖慢了他的速度。然後我們在過去幾週看到的是更令人印象深刻的結果。大約一個月前,基於雜湊的 SNARK 中的一個關鍵引理——Polyshakes-Spielman 引理——在 8 小時內完成了形式化驗證,花費了 200 美元。如果由人類來做,這將花費 100 倍的成本,並花費 100 倍的時間。
我也提到了菲爾茲獎(Fields Medal)的結果,它只花了 5 天就生成了一個 50 萬行的證明。這一切的發展方向已經很明顯了:我們將讓 AI 檢查並驗證所有已知的數學定理,並糾正所有的錯別字。對於一小部分「定理」,我們實際上會透過反例來證明它們是不正確的。程式設計在很大程度上已經被解決了,接下來我們將解決科學進步的問題。事情很快就會變得非常哲學——也許這適合留到下一集討論。
Ryan Sean Adams: 我認為這確實適合留到下一集。不過這是一個非常棒的答案。我很欣賞你的見解,以某種程度的斯多葛主義(stoicism)和能動性(agency)來面對這件事——致力於對你有意義的事情。我們希望,如果人類倖存下來,未來能和你一起做更多這樣的 Podcast。能邀請到你總是一件樂事,Justin Drake。非常感謝你。
Justin Drake: 謝謝。