与 Justin Drake 探讨以太坊在 Q-Day 之前的量子计划
对以太坊基金会研究员 Justin Drake 的采访,涵盖了以太坊的后量子路线图、精简以太坊(Lean Ethereum)路线图,以及关于生存风险的坦诚讨论。
Date published: 2025年7月15日
对以太坊基金会研究员 Justin Drake 的采访,涵盖了以太坊的后量子路线图、精简以太坊(Lean Ethereum)愿景、形式化验证的突破,以及关于人工智能生存风险的坦诚讨论。
本文字稿是 Bankless 发布的原始视频文字稿 (opens in a new tab)的无障碍副本。为提高可读性,已进行轻微编辑。
简介与量子威胁 (0:00)
Justin Drake: 过去几个月里,我的一个有趣的思维转变是,我不再把后量子时代看作是我们必须克服的障碍,而是更多地把它看作一个机遇。这是以太坊脱颖而出的一个机遇,成为首个具备后量子安全的全球金融系统,不仅是相对于比特币等竞争对手而言,也是相对于法定货币和传统金融(TradFi)而言。我认为这将传递出一个非常强烈的信号,并成为吸引全世界向以太坊迁移的一个非常自然的安全性卖点。
Ryan Sean Adams: Bankless Nation 的听众们,我们再次请到了 Justin Drake。我们将讨论与加密货币、比特币以及以太坊相关的量子计算。Justin,欢迎再次来到我们的播客。
Justin Drake: 大家好。感谢再次邀请我。
David Hoffman: 所以量子计算已经成为我们行业面临的一个巨大的潜在威胁。我们一直都知道这一点。它在很大程度上还停留在理论层面。在过去六个月左右的时间里,量子计算已经坚定地从理论走向了对我们行业产生实质性影响的事物。仅从比特币价格开始,因为基金经理——甚至贝莱德(BlackRock)也发表了关于量子计算对比特币安全性及其价值构成威胁的文章。因此,我们传闻看到人们在降低其投资组合中比特币的权重。也许这也压制了行业内所有其他资产的价格。
不仅仅是谈论价格,就我们的理解而言,量子计算确实会影响区块链的运作方式。因此,这似乎是我们整个行业面临的一个根本性问题。这是我们行业必须跨越的一个障碍——当加密货币和区块链最初被创造出来时,我们作为一个行业并没有具备进入后量子时代的条件。所以,也许为了提供一些背景信息,这里的时间表是怎样的?这个障碍什么时候会到来?我听说这被称为 Q-Day(量子日)。Q-Day 是什么时候?我们还有多少时间来跨越这个量子障碍?
Justin Drake: 是的。我想稍微退一步,强调一下你刚才所说的,那就是在过去 6 到 12 个月里,我们取得了重大突破。其中之一就是纠错的概念。我们能够从所谓的物理量子比特(非常嘈杂且容易出错)转变为完美的逻辑量子比特。目前我们基本上可以制造出一个逻辑量子比特,但这仍然是一个非常重要的从零到一的时刻,现在的问题是如何将其扩展到多个逻辑量子比特。另一个重大突破是在算法方面。以前我们认为需要数百万,实际上是数千万个物理量子比特才能破解我们钟爱的密码学。但去年有一篇论文实现了 10 倍的改进,将其降至 100 万个物理量子比特。而今年我们又有了 10 倍的改进,将其降至 10 万个量子比特。
因此,目标越来越近,在某种意义上,你面临着这种双重指数级的增长,它们最终会产生交集。然后发生的另一件事是在投资方面——许多量子初创公司已经筹集了数十亿美元。我相信去年的规模大约是 50 亿美元,这是史无前例的。以前我们谈论的都是数亿美元。我认为所有这些事情的顶峰确实激发了公众的热情,并导致了这种叙事,这确实可能影响了比特币和以太币的价格。
现在展望未来,我个人的 Q-Day 是在 2032 年。这在某种意义上是一种稍微乐观的看法,因为它们可能会晚一点到来,但我们需要为最坏的情况做好准备。所以我认为 Q-Day 在 2032 年的可能性至少有 1%,更有可能是两位数的百分比。各位专家会告诉你大约在 2031 年到 2038 年之间。我在业内的一位朋友 Steve Bryley,他是世界上最大的量子纠错公司之一的创始人兼首席执行官,碰巧和我一样在剑桥——他个人的 Q-Day 是 2032 年,但他坚持这个日期已经有 15 年了
Q-Day 是什么时候,我们该如何准备? (5:08)
而且它一直保持不变。
Ryan Sean Adams: 哇,这种连续性令人印象深刻。
Justin Drake: 基本上,你只需要推算指数增长,就能得出这个结论。因此,我们在以太坊上努力实现的目标是,确保在 2032 年之前将一切准备就绪。而我为以太坊实现完全后量子安全设定的完成日期是 2029 年。
David Hoffman: 一年前,我们邀请了你和 Scott Aaronson 一起做客节目,他是这个领域的教父级人物。我们问了一些关于 Q-Day 的问题。将 Q-Day 定义为量子计算机能够破解像 ECDSA 这样的签名方案的那一天,这是一个好的定义吗?这真的是 Q-Day 的含义吗?
Justin Drake: 没错。所以我们有了一个新术语叫 CRQC——密码学相关量子计算机(cryptographically relevant quantum computer)。如果你眯着眼睛看,中间的 Q 就会变成 O,就像鳄鱼的英文缩写“croc”一样。那就是它对我们产生实质影响的时候。量子计算机可能还会有其他应用,比如在化学或物理学中发挥作用,但那会晚一些到来。
David Hoffman: 我记得他当时说话还有些保留。那是一年前,即 2025 年 1 月,他说在 10 年内我们应该能拥有实用的容错量子计算机,但他非常谨慎地表示,这并不意味着我们就能破解 ECDSA。他不愿给出一个确切的日期,因为他说这是一个极其困难的工程问题。我注意到在过去的一年里,他的语气发生了变化,而且他实际上已经加入了一些组织和基金会,以帮助加密货币应对量子计算。这是因为你强调的三个原因吗——算法的突破、允许我们扩展逻辑量子比特的容错技术,以及投入其中的数十亿风险投资?他的观点改变了吗?
Justin Drake: 我不能代表他发言,但我们应该注意的一点是,Scott 主要是一位理论家。很长一段时间以来,他都在研究理论,而不是量子计算机的日常实际操作,我认为这也是他如此谨慎保留的部分原因。现在越来越多的情况是,有真正的公司、真正的企业家在构建这些东西,而他拥有内部视角。他基本上在吸收所有这些信息。他最近提到的一件事是,美国政府开始干预相关理念的发表。因此,我们有一些公司和学者可能会提出对 Shor 算法的改进,但出于潜在的国家安全原因,这些改进并没有被完全公开。
物理量子比特、逻辑量子比特与破解 ECDSA (10:11)
David Hoffman: 哇。好的。听起来政府也参与其中了。我们其实并不清楚幕后正在进行的所有工作——目前我们只了解那些具有商业可行性的工作。关于逻辑量子比特,你说我们现在有一个逻辑量子比特。有物理量子比特和逻辑量子比特,而需要扩展的是逻辑量子比特。为了破解 ECDSA,我们到底需要多少个逻辑量子比特?这是我正在关注的一个指标,但这个数字准确吗?我听人说需要 1000 个,或者可能是 1500 个。这是我们应该关注的数字吗?
Justin Drake: 是的,所以有多个相关的指标。包括物理量子比特的总数、逻辑量子比特的总数,以及运行算法所需的总步数。这会产生实际影响,因为它将决定破解一个密钥是需要一分钟、一天、一周、一个月还是一年。
David Hoffman: 那么这些指标的扩展比例分别是多少——物理的、逻辑的,以及运行算法的时间?
Justin Drake: 粗略地说,今天获得一个逻辑量子比特所需的物理量子比特数量是几百个——姑且算作一千个吧。未来应该发生的是,物理量子比特的质量(即所谓的保真度)应该会提高,而且我们还应该提出更好的纠删码来改善这个比例。因此,未来我们可能每获得一个逻辑量子比特只需要 100 个物理量子比特,或者可能只需 10 个。
当你观察破解离散对数和 ECDSA 的算法时,粗略地说,它是曲线中位数的一个小倍数。我们使用的是名为 secp256k1 的曲线。256 代表 256 位。所以你把这个数字乘以 5 或 6,就能大致得出你需要的逻辑量子比特数量——我们姑且称之为 1500 个。因为今天我们只有一个逻辑量子比特,从某种意义上说,我们还差三个数量级,也就是需要三个 10 倍的增长才能达到目标。但同样,我们将在纠错方面取得进展以降低该比例,并在算法方面取得进展以减少所需的逻辑量子比特数量。
现在谈谈运行时间,这很有趣,因为量子计算机有两种类型——快时钟和慢时钟。快时钟运行得非常快,有点像光速。有超导量子计算机和光子量子计算机——顾名思义,光子使用的是光子、光,这就解释了为什么它这么快。然后是慢时钟——捕获离子和中性原子。名字其实并不重要,但粗略地说,它们的运行速度要慢一千倍。每种架构和模式都有其自身的优缺点。因此,在初期,我们很可能会看到慢时钟模式胜出,也就是说它们将是第一个破解密钥的,但这将花费它们很长时间——可能需要一周或一个月。所以从某种意义上说,Q-Day 并不是非黑即白的;会有一段时期,它算是被破解了,但只针对那些最顶级的、高价值的地址。
David Hoffman: 有意思。但 Q-Day 也可能在幕后发生,而我们却不知道实际进展到了什么程度。
Justin Drake: 是的。如果确实是某个民族国家首先获得了这些量子计算机的使用权,除非加密货币在世界上扮演着重大的系统性角色,否则他们更有可能利用自己的力量以隐蔽的方式进行攻击——例如,监视他们的对手。所以这对我们有利。但如果你面对的是一个完全受金钱驱使的纯理性实体,他们确实可能会把目标对准比特币或以太坊。
量子数据中心与 Q-Day 攻击场景 (15:10)
David Hoffman: 关于量子比特的最后一个问题。现在正在建设量子计算数据中心吗?我们看到人工智能领域正在大规模建设数据中心。量子计算机是否也开始出现类似的情况?
Justin Drake: 是的。我当时正在读 Continuum 的这篇新闻稿。他们正在制造一台基于光子学的量子计算机,而且非常低调。他们筹集了大量资金——数十亿美元,部分来自澳大利亚政府——他们有点想一步到位地造出量子计算机。其他许多公司正在做的是先构建小型概念验证,然后再逐步扩大规模,但他们希望从第一天起就构建出完整的系统。因此,他们正在建设这个庞大的数据中心。我认为这是因为其形态——光子学不需要像超导等其他形态那样极低的温度。所以你可以使用一个看起来更传统的数据中心,并把你的量子计算机放在那里。
Ryan Sean Adams: 你刚才谈到 Q-Day 并不是非黑即白的。关于区块链,有许多与量子相关的不同方面,每个方面对量子的敏感度都不同。但我想提出一个观点,即 Q-Day 实际上是一个具体的突发事件——也就是实际攻击发生并导致某些东西崩溃的时候。也许不同的区块链情况有所不同,因为不同区块链的风险状况并不一致。但我们可以假设比特币不采取任何措施,来谈谈比特币的 Q-Day。如果我们假设比特币不进行调整,那么在特定的一天比特币就会受到攻击。那会是什么样子?那一天会发生什么?对于量子计算机来说,攻击比特币最容易得手的目标是什么?
Justin Drake: 基本上,你需要看看攻击的动机。对于攻击者来说,理性的举动是去寻找最大的地址,实际上甚至在此之前,去寻找那些具有完美隐私的地址,或者具有合理推诿空间的地址。让我逐一说明。第一个目标很可能是 Zcash,因为如果你攻击 Zcash,你可以铸造任意数量的 ZEC,而且没人会知道。所以 Q-Day 不会被公开。
David Hoffman: 等等,我确认一下——Zcash 现在还不具备抗量子安全性吗?尽管它使用了 ZK-SNARKs 以及所有这些技术?
Justin Drake: 是的,它使用的 SNARKs 是基于容易被量子计算机破解的曲线。
David Hoffman: 好的。那么另一类潜在的受害者可能是那些已经去世并丢失了代币的人。如果有人偷了他们的代币,没人会抱怨——这存在一定程度的合理推诿空间。
Ryan Sean Adams: 但我们会注意到的,我的意思是,如果我们开始看到人们的代币——
Justin Drake: 既是也不是,因为我们今天已经看到了这种情况。大约每个季度都会有一些 13 年没动过的僵尸地址复活,没人知道真正的原因。
Ryan Sean Adams: 对吧?就像一个 13 年的比特币钱包,自从很久以前挖出 50 个比特币后就再也没有过交易,然后它在 13 年后进行了第一笔交易。无论那个人是否还活着只是唤醒了一个休眠的钱包,还是这是一次量子计算攻击——一个只看比特币区块链的普通观察者是看不出区别的。
Justin Drake: 完全正确。是的。然后你可能会去攻击最大的目标,那可能是一些没有建立正确基础设施来保护自己的交易所。事实证明,有一种非常简单的缓解量子计算机攻击的方法,至少对于最早期的量子计算机来说是这样——不要重复使用你的地址。当你重复使用地址时,你就重复使用了公钥,这意味着攻击者有时间破解相应的私钥,然后在你第二次使用该地址时窃取你的资金。因此,最佳实践应该是,如果你在长期冷钱包中持有任何资金,它应该是一个从未泄露过相应公钥的干净地址。为了把这一点说得非常清楚:量子计算机允许你做的是
易受攻击的比特币地址与中本聪的币 (20:08)
要做的就是从公钥反推回私钥。因此,这确实危及了财产的基础。
Ryan Sean Adams: 所以长期休眠的币,无论在哪个区块链上,只要其公钥已经暴露——虽然不是所有休眠的币,但占很大比例——都处于危险之中。这些就是中本聪的币。中本聪把他的币放在一个大家都知道的钱包里。这就是为什么我们称它们为中本聪的币,因为我们知道它们在哪里。有多大比例的比特币容易受到这种攻击?
Justin Drake: 是的,有一家名为 Project 11 的公司做了一个叫“Qisk List”的网页——用 Q 代替了 C——他们在这个仪表板上实时展示了易受攻击的地址。我认为这个比例大约在 35% 左右。
David Hoffman: 35% 的比特币。
Justin Drake: 是的。也就是数百万枚比特币——大概六七百万枚。是的,那可是数千亿美元。你说得对,这确实包括中本聪持有的约 100 万枚 BTC。现在,中本聪的 BTC 有一个有趣的特点,那就是它们都是以 50 枚比特币为增量的,因为那是当时的区块奖励,而且他每次挖矿都会使用一个新地址。这就是当时默认软件的编程方式。如果破解一个公钥需要,比如说,一天甚至 10 分钟,你会看到中本聪的币被抽干的速度与当时挖出来的速度大致相同——大约每 10 分钟一次。
这将是一个随时间推移而延伸的过程。一个有趣的结果是,如果你是一条小鱼,你的地址里远少于 50 枚比特币,那么你很安全。你某种程度上被前面的中本聪保护了。
David Hoffman: 对吧?
Justin Drake: 是的。完全正确。
Ryan Sean Adams: 在躲避僵尸的类比中,你只需要不成为跑得最慢的那个人就行了。在这种情况下,我们需要确保自己没有最大的、量子不安全的钱包,因为他们只会盯着更大的钱包。
Justin Drake: 完全正确。
David Hoffman: 所以 Q-Day 发生在 Justin Drake 设想的场景中——也许 Zcash 是第一个受到某种形式攻击的,然后你可能会在链上看到一些不太引人注意的地址被攻击,因为攻击者不想引起注意。比特币上的一些地址也会被攻击,但随后攻击者会加大力度,寻找越来越大的宝库。现在,根据我对 Nick Carter 文章的理解,有一部分比特币供应处于丢失状态——要么是个人已经去世,丢失了他们的私钥,要么就是中本聪本人。我认为 Nick 估计的最低门槛是 170 万枚比特币,这将占已挖出供应量的 8.6%。这低于容易受到攻击的 35%。试图在僵尸攻击中保持领先一步的人会转移到不易受攻击的地址。但如果币丢失了,如果无法访问私钥,你就无法移动它们。还有其他估计说,容易受到攻击的比特币可能高达 15%。你看到的数字是多少?
Justin Drake: 是的,我脑海中的粗略数字与这些一致。大约是 200 万枚比特币,可以说是 10%。我们有中本聪的 100 万枚,然后大约还有 100 万枚很长时间没有移动过。我们需要从中扣除一部分,因为一些休眠地址是合法的并且会被重新激活,但我们也应该增加一部分,因为可能有一些最近花费过的地址将会丢失。所以 5% 到 15% 是正确的范围。我打赌大约在 10–12%,这是一个非常庞大的数字——绝对高达数千亿美元。
比特币的销毁与打捞之争 (25:24)
人们可以从博弈论的角度来思考这个问题。选项 A 是尝试销毁这些代币。这样做的好处是,你不会面临数千亿美元的抛售压力。如果从短期来看,这是理性的举措。但比特币的核心理念是强大的财产权,因此如果从长远来看,你不应该希望销毁这些代币。很难预测社区会选择哪条路。最终的决定权可能掌握在大型持有者手中——例如 Michael Saylor 和 MicroStrategy。因为这些大型持有者将获得两个版本的比特币副本——一个是销毁代币的版本,另一个是不销毁的版本——他们可以选择抛售自己不喜欢的那个版本。我们知道 Saylor 支持销毁,因此他有可能凭借一己之力操纵市场,从而得到他想要的结果。
Ryan Sean Adams: 能不能明确一下你的意思?谁面临这两个选项?假设在 Q-Day(量子日)之后——如果你相信 Q-Day 会到来,我们会有大约 10% 的比特币供应量可能受到拥有最强量子计算机的人的攻击。他们可以在几天、几周甚至几个月的时间里,逐个攻破这些地址并获取其中的比特币。这 10% 的比特币可能会被某人拿走。你的意思是,比特币社区在社会层、硬分叉层面上,对于如何处理这 10% 的比特币有不同的选择。这些选择有两个。
要么他们可以销毁或冻结这些代币——实际上就是宣布这些是死地址,我们知道它们已经失效,我们不希望它们受到量子攻击的威胁,所以我们将进行硬分叉,并规定这些代币永远不能被转移。总量就是 2100 万减去被冻结的 10%。这是一个选项。
另一个选项是,他们干脆把这 10% 留给任何能造出量子计算机的人去申领。这就像打捞沉船一样——谁造出潜水艇去捞金子,谁就能申领它。但这些都是被迫的选择。无论发生什么,如果 Q-Day 真的到来,比特币社区必须在两者中选择其一。要么干预,进行销毁和冻结;要么顺其自然,留给任何有能力开发量子计算机的地缘政治商业力量去申领这份奖品。我们是这个意思吗?
Justin Drake: 是的,说得非常好。但有一点小小的纠正:这不一定非要在 Q-Day 当天或之后发生。它可以提前发生。在任何时候,比特币社区或其中的一部分人都可以提议进行分叉。在分叉区块号处,将会出现两个版本的比特币资产——就像比特币现金(Bitcoin Cash)分叉一样。最终这将由市场决定。交易所将上架这两个版本的资产,由市场来决定哪一个才是真正的比特币。而且有可能仅仅因为短期的流动性动态,那个销毁代币的版本(可能在 Q-Day 之前)将会成为最终的赢家。
迈克尔·塞勒(Michael Saylor)情景与谢林点(Schelling points) (30:29)
Ryan Sean Adams: 对。假设我是迈克尔·塞勒,我拥有比特币供应量的 2–3%,尤其是流动性供应。我拿到了两份副本。我们正在对区块链进行分叉,就像 2017 年的比特币分叉大战一样。我想保住我的资产价值,所以我卖掉所有易受量子攻击的比特币,并保留在销毁了易受量子攻击代币的版本上的所有比特币。未受影响的区块链价格下跌。销毁版本的价格保持高位,因为没有人抛售——塞勒不卖,贝莱德(BlackRock)也不卖。所以你的意思是,解决了量子问题的比特币价格会更高,并在市场力量的推动下成为正统的比特币。
Justin Drake: 是的。迈克尔甚至可能决定用出售易受攻击版本所得的收益来购买销毁版本,从而将他的份额从 5% 增加到 5.5%。
David Hoffman: 对吧?但这难道不意味着在冻结哪些钱包的问题上,需要某种程度的自上而下的协调吗?显然,我们可以标记中本聪的代币并将其冻结,但随后我们还得冻结更多。有些钱包我们可以相当确定——那个人已经去世了。但我们其实不知道该在哪里划定界限,确定哪些钱包可以被冻结,哪些实际上是由只是处于休眠状态的人类拥有的。有一条清晰的界限吗?
Justin Drake: 嗯,有一个概念叫做谢林点——在没有中心化协调者的情况下,你如何达成共识?对于比特币来说,谢林点可能是发生减半的那个区块。你可能会选择第一次减半、第二次减半或第三次减半。这似乎具有相当的可信中立性——任何自第二次减半以来没有移动过的代币都被视为已销毁。
David Hoffman: 所以我们只需选定一个日期,然后说,嘿,如果你在这个日期之前把你的比特币留在量子不安全的钱包里,我们就会在我们即将分叉的这条次级区块链上销毁你的代币。
Justin Drake: 是的,这里有相对广阔的设计空间,有些人试图发挥创意。例如,有些人试图一举解决两个问题——量子问题和安全预算问题——他们的提案是,我们把这 200 万枚代币拿出来,不把它们销毁,而是加入到发行中。这就把安全预算的问题往后推了。
David Hoffman: 我敢打赌,在比特币协调方面,这会变得更加激进。我不知道你是否想让比特币的协调能力超载。
Justin Drake: 是的。如果让我打赌,我只会押注在非常简单的销毁上,比方说,在第二次减半之后。
David Hoffman: 好的。
Ryan Sean Adams: 但这太困难了,因为正如你之前所说,Justin,这确实打破了坚不可摧的叙事,即产权叙事。任何关于冻结或销毁的决定都在某种程度上打破了比特币的纯粹本质。因此,尼克·卡特(Nick Carter)在他的文章中讲述了另一个故事——不是销毁和冻结的情景,而是打捞情景。在他的设想中,一家私人量子实验室提前破解了 ECDSA。他们碰巧位于美国。美国政府迅速秘密地将他们国有化。他们开始获取比特币,与财政部协调,与大型 ETF 供应商、贝莱德、世界上的迈克尔·塞勒们协调。最终,美国财政部获得了 10% 的比特币供应量。他展示了虚构的价格图表——当人们意识到比特币网络正受到量子攻击时,价格暴跌了 73%。但随后,当消息透露美国政府掌握了它,并且他们正在利用海事救助法合法没收它时,市场反弹了,因为美国拥有了这个比特币战略储备金库。这就是他的另一种设想。你觉得这合理吗?因为至少在这种情景下,你没有破坏任何产权。
对于一个拥有如此巨额赏金的数万亿美元网络来说,发生这种事确实令人难以置信。这是史无前例的。但这也有可能发生,也许对比特币来说,这是一个更好的结果。
助记词证明与后量子签名大小问题 (35:06)
Justin Drake: 是的。我有一些想法。首先,有一种相当复杂的方法可以在不使用私钥的情况下证明比特币的所有权。这被称为助记词证明。派生比特币地址的方法分为三个步骤:第一步,生成你的助记词;第二步,对助记词进行一些操作(包括哈希处理)以派生出你的私钥;然后从私钥派生出公钥,也就是上链的地址。不幸的是,现在私钥已经不再是能够证明所有权的东西了。但由于哈希处理这一步,如果你知道你的助记词,那仍然是所有权的证明。因此,可能会发生的一件事——从技术上讲也是最稳妥的推进方式——是冻结比特币,但允许任何人通过助记词证明来恢复他们的比特币。
不幸的是,助记词证明非常复杂。它需要 SNARK(一种零知识证明),因此会使比特币变得极其复杂。但我的预测是,比特币将引入 SNARK 来解决后量子签名的大小问题。众所周知,比特币非常不愿意增加其区块大小。不幸的是,后量子签名大约比 ECDSA 大 10 倍。给你一些具体的数字:ECDSA 是 64 字节,一个极小的签名。NIST 标准化中最小的后量子签名是 Falcon,它是 666 字节——大了 10 倍以上。如果你在不增加区块大小的情况下,简单粗暴地将 ECDSA 替换为具有后量子安全性的签名,你的吞吐量将下降约 10 倍。比特币上的 TPS 将从 3 降至 0.3,在我看来这是行不通的。
我们正在为以太坊构建的是这种奇妙的后量子签名聚合技术,这样即使原始签名很大,你也不必将它们放在链上——你只需将这个聚合证明放在链上。我敢打赌,比特币将会采用以太坊开发的解决方案,因为在技术上没有其他稳妥的推进方式了。
Ryan Sean Adams: 我明白了。这就是为什么你不看好打捞(salvage)方案的原因——因为你认为他们会采用这种方法,如果他们这样做,就为他们提供了一种更可信、更中立地冻结资产的方法。如果你能证明所有权,你就可以访问旧的传统比特币。
Justin Drake: 是的。不过遗憾的是,如果你是一个产权至上主义者,这并不能让人完全满意。
Ryan Sean Adams: 确实。
Justin Drake: 原因是,在被冻结的地址中,有一部分是没有已知助记词的。助记词标准是在创世区块诞生几年后才出现的。因此,所有早期的地址——例如所有的中本聪地址——都不会有相应的助记词。而且有些钱包,例如基于 MPC 的钱包,也没有相应的助记词。所以这不是一个完美的解决方案,但它能解决 80% 的问题。
David Hoffman: 太混乱了。不管你怎么看,这都太混乱了。
Justin Drake: 是的。我想强调的另一件事是,很多人认为当你窃取比特币时,BTC 的价格会暴跌,你偷来的资产将变得一文不值。
但实际上有一种对冲比特币价格的方法,非常简单——你只需做空 BTC。假设你确信自己已经破解了一个持有 10 万枚 BTC 的钱包的私钥。你做空 10 万枚 BTC。这就锁定了你的利润。然后无论比特币的价格如何变化,你都已经锁定了利润,这可能是数百亿美元。
比特币的社会层挑战与以太坊的优势 (40:07)
David Hoffman: 现在,我确实想指出,Justin,你的思维方式很特别,而你的思维方式正是你选择以太坊的原因。如果你是一个比特币支持者(Bitcoiner),你的想法会有所不同。比特币支持者的思维方式非常独特、非常鲜明——有点像财产权至上主义者。我认为,如果 Justin 负责比特币,他的做法会与大多数比特币支持者的普遍做法截然不同。我这里并没有一个具体的问题,只是想强调这一点。
Ryan Sean Adams: 哦,是的。比特币支持者的做法可能不是你会去做的。Nick Carter 的指控基本上是,许多比特币核心开发者正在把头埋在沙子里,声称量子日(Q-Day)不是真的,或者在未来 20 到 30 年内都不会成为现实。
Justin Drake: 需要澄清的是,我关于销毁(burn)会胜出的预测,是我认为最有可能发生的情况。这并不是我会采取的做法——实际上,我不会去干涉比特币,而是会拥抱财产权。我没有这种短视的时间偏好,而且我认为许多比特币支持者也会同意我的观点。但遗憾的是,Michael Saylor 的影响力太大了,从某种意义上说,比特币在社会层面上已经变得中心化了,而这伴随着巨大的权力和巨大的责任。
Ryan Sean Adams: 我其实同意你的看法。我也会这么做。我会让寻宝游戏发生,让打捞行动发生。我什么都不会碰。这是比特币的核心所在,就顺其自然吧。不过,让我问你同样的问题。不仅仅是部分比特币供应在后量子时代是不安全的——以太坊也有这个问题,只是受影响的供应比例不同。你能描述一下同样的问题吗?假设我们进入了后量子日(post-Q-Day)的场景。有人正在大肆搜刮中本聪的比特币。此时以太坊上会发生什么?有多大比例的供应会受到威胁?假设以太坊还没有解决量子问题。
Justin Drake: 以太坊的一个优势是,没有 5% 的供应量由中本聪一个人控制且被认为已经丢失。另一个优势是,以太坊的历史较短,而且从第一天起就有价格。因此,从一开始人们就有理由保管好自己的以太币,而在比特币的早期,它就像是大富翁游戏里的假钞,人们对私钥的安全卫生习惯并不好。所以,Nick Carter 提到的 170 万枚 BTC 实际上真正丢失的可能性要大得多。
当我在 Ultrasound 项目时,我们试图做的一件事是计算已知丢失的代币数量,以便将其与销毁量一起添加到仪表板上。但这个数量微乎其微,我们甚至都懒得去算。
David Hoffman: 那 Parity 黑客事件呢?那不是很大一部分吗?
Justin Drake: 是的,很好的观点。那是列表中的第一项。但它碰巧是一个被锁死(bricked)的智能合约,不容易受到量子计算机的攻击。
David Hoffman: 所以——
Ryan Sean Adams: 它实际上只是卡住了。这与没有私钥无关。它就是字面意义上的卡住了。
Justin Drake: 它被锁死了。是的。完全正确。然后还有一些个人的案例研究——如果你真的去 Reddit 的讨论中挖掘,你会发现一些东西——但从宏观来看,总计不到 0.1%。这就是已知丢失的供应量。但现实情况是,随着量子日(Q-Day)的临近,一些代币会被发现已经丢失。如果让我猜的话,这个比例在较小的个位数——可能是 2%、3%、4%、5%。
David Hoffman: 所以你认为最多有 2–5% 的以太坊供应量既丢失了,又处于可被量子破解的地址中。
Justin Drake: 完全正确。是的。如果让我做一个具体的预测,我会说大约是 2%,这比比特币大约低了一个数量级。而这种数量上的差异会产生性质上的后果:在以太坊的情况下,我会强烈主张什么都不做,真正尊重财产权,因为归根结底,2% 并不是什么大问题。而在比特币的情况下,15% 就是一个巨大的问题了。
以太坊的三层后量子升级 (45:05)
David Hoffman: 所以以太坊也将不得不做出同样的选择。假设是 3%——是进行冻结并销毁,还是干脆让它变成一场寻宝游戏。你希望我们选择寻宝游戏这个选项,这意味着某个量子攻击者将卷走那 1% 到 3% 的以太币。如果你从宏观角度来看,我们基本上正在朝着让以太币成为比 BTC 更好的货币的方向发展。它将是不干预的、尊重产权的、量子安全的,并且不会出现将在几次减半后困扰比特币的安全预算问题。所以我认为这对该资产来说是一个巨大的机遇。
Ryan Sean Adams: 好的。我们已经讨论了软性的社会问题。我们还必须面对许多技术挑战。我想拿出本节目朋友 Hasu Kareshi 的这条推文。他引用了 Vitalik 关于以太坊量子路线图的推文并说道:“以太坊实现后量子的路线图比比特币更艰难——实际上,由于后量子证明的大小,在解决 EOA 和私钥问题之前存在许多依赖项。”所以他的观点是,以太坊面临的挑战比比特币要艰难得多。你怎么看?
Justin Drake: 有两个问题需要解决:技术问题和社会问题。在技术问题上,Hasu 说得对,以太坊基本上必须解决三个问题——分别对应不同的层。在共识层,我们有 BLS。在数据层,我们有 KZG。在执行层,我们有 ECDSA。这些密码学组件中的每一个都是脆弱的。这是比特币问题的超集,因为比特币只有 ECDSA 问题。所以在某种意义上,我们需要升级的东西是它的三倍。
但当你从宏观角度来看时,我认为更大的问题——可能占 80%——是社会问题。我们已经讨论过是否要销毁的问题。但还有一个更根本的问题:我们是否承认这甚至是一个问题?在比特币领域,存在一种免疫反应,基本上会排斥任何可能对价格不利的叙事。像 Adam Back 这样的人会说,量子计算机至少还需要几十年的时间。所以第零步是某种程度上承认存在问题。而比特币可能会稍微晚一步,这将产生比技术层面大得多的后果。
David Hoffman: 所以你认为总体而言,比特币将面临更棘手的问题,因为他们的社会层根本不承认这个现实,也不太愿意参与解决?
Justin Drake: 是的。让我这么说吧:我愿意下重注,以太坊的所有三层都将在比特币的单层之前完成升级。
David Hoffman: 没错。所以我们的问题要大三倍。但在以太坊这边,说到底这只是一个工程问题。不仅如此,这还是以太坊正在正面应对的工程问题。虽然比特币的工程问题较小,但它面临的是一个社会问题,一个协调问题,这在根本上更难克服。
Justin Drake: 是的。完全正确。即使在技术方面,这也是我们已经研究了近十年的问题。如果把时间倒回 2018 年,我们向 StarkWare 提供了 500 万美元的资助,用于研究基于哈希的后量子 SNARK,并通过对 SNARK 友好的哈希函数奠定基础。这就是 Poseidon 哈希函数的由来。最近,在 2024 年发布了精简共识链(Lean Consensus Chain,前身为 Beam Chain)的公告。去年我们在剑桥举办了后量子研讨会。我们现在有一个由 Tom 和 Emil 组成的专门的后量子团队。而且我们有这个路线图,它
(50:00)
升级执行层:签名聚合 (50:00)
确实详细说明了实现这些升级的一些关键里程碑。
Ryan Sean Adams: 我们可以逐一讨论这些问题吗?我知道 Justin,你可以非常详细地探讨密码学——但我们希望将其保持在 David 和我能理解的水平。不过我们确实了解以太坊技术栈的不同层。也许我们可以从执行层开始,因为这是我们一直在讨论的主要内容。ECDSA 是比特币和以太坊地址背后的签名方案——在后量子世界中,它将被破解。ECDSA 的升级路径是什么?这是一个历史悠久的密码学工具——我们有可以替代它的东西吗?
Justin Drake: 是的。首先,我要强调这是一项非常艰巨的任务——我们正在从根本上改变区块链的支柱,即基础密码学,并将其替换为具有完全不同属性的新技术。如果你是一个外行,你的回答可能是:“这很简单。我们有 NIST,即美国国家标准与技术研究院。他们举办了一场后量子签名竞赛并选出了几个方案——即 Falcon、Dilithium 和 SPHINCS+。我们只需要选择其中一个或几个选项即可。”
问题在于 NIST 并没有针对区块链用例进行设计。他们是为互联网上使用的单条消息的单个签名而设计的。在区块链的背景下,你会遇到成批的交易——对于比特币来说,每个区块有数千笔交易。而且我们面临着后量子签名体积过大的问题,它们至少要大 10 倍,甚至 100 倍。在我看来,天真地将这些单独的签名打包并连接在区块中是完全行不通的。
我看到的唯一解决方案叫做签名聚合,即提取多个签名并将它们压缩成一个多重签名。验证这个主多重签名与验证所有单独的组成部分是一样的。当你审视可聚合后量子签名的设计空间时,并没有太多选择。在我看来,基本上只有一个可行的选项:利用 SNARK,特别是后量子 SNARK。基本上只有一个主要系列——基于哈希的 SNARK。
基本思路是,你提取单独的后量子签名并证明对它们全部知情,从而最终得到一个 SNARK 证明。现在,如果你打算使用基于哈希的 SNARK,你最好也使用基于哈希的叶子签名——即未聚合的原始签名。原因是这能为你带来简单性和安全性上的好处。这是你能拥有的最底线的安全假设——你只需假设你的哈希函数是安全的。在区块链世界中,哈希函数是基础。它们无处不在——用于构建区块、默克尔树、状态树,以及通过哈希进行链接的区块链。
以太坊基金会投入了大量精力,从基于哈希的签名开始,并使它们尽可能对 SNARK 友好,从而使聚合成本尽可能低。我很高兴地报告,这种方法的性能实际上对所有区块链来说都足够好了。无论你的链的吞吐量如何,你都可以在合理的硬件(例如笔记本电脑的 CPU)上运行一个聚合器,聚合所有这些交易并生成一个随区块附带的最终证明。
而这种方法具有讽刺意味的一点是,相对于我们今天所拥有的,它实际上提高了可扩展性。原因是你不再有每笔交易 64 字节的固定成本。交易具有零字节的签名数据,然后你拥有这一个主签名,它被分摊到区块中的所有交易上。
通过与比特币合作制定行业标准 (55:28)
David Hoffman: 好的。所以这对以太坊下游的许多其他智能合约区块链来说也是一次升级,特别是那些为速度而优化的区块链——
Justin Drake: 不仅仅是智能合约——还有比特币。ECDSA。
David Hoffman: 是的。没错。所以在录制这期节目之前,我以为像 Solana 这样的链会因为更庞大的签名而受到拖累,就像比特币的 TPS 降至每秒 0.3 笔交易一样。在后量子时代,由于交易变得更加庞大,Solana 也会同样变慢。但你的意思是,有了这项技术,情况就不会如此——它实际上会让各条链普遍变得更快。
Justin Drake: 是的,完全正确。就像中本聪用 ECDSA 为整个行业制定了事实上的标准一样——我们基本上甚至复制了 secp256k1 曲线,这是非常不寻常的。没人知道他为什么选择那条曲线,但它成为了事实上的标准。我认为以太坊有机会成为先行者并制定事实上的标准。
我们采取的策略是与比特币社区合作。在比特币领域,有几个人——Mikhail Komarov 和 Nick Jonas。他们都是 Blockstream 的成员,也都是基于哈希的签名专家。我们正在与他们合作,以确保我们在以太坊领域开发的任何东西也适用于比特币。如果比特币和以太坊都使用该标准,那么整个行业大概率也会使用该标准。
Ryan Sean Adams: 太棒了。所以我们有办法在不影响性能的情况下解决执行层的后量子升级问题。不过让我问另一个问题——安全性如何?这是较新的密码学,而 ECDSA 已经存在了很久并且具有林迪效应(Lindy)。我们是否应该担心存在某种隐藏的漏洞或零日漏洞,可能会彻底摧毁我们所建立的一切?
Justin Drake: 我对此有几点看法。我们极其重视安全性,总的来说,我预计我们部署的解决方案将比我们今天使用的 ECDSA 安全几个数量级。让我解释一下。ECDSA 基于椭圆曲线——一种结构复杂的数学对象。有可能某位聪明的数学家会想出一种算法,利用人类尚未发现的奇妙数学技巧来破解离散对数。这在过去发生过——我们在因式分解和离散对数方面拥有越来越好的算法。随着人工智能的出现,一种可能性是,我们拥有比人类数学家聪明 100 倍的数学家,他们发现了椭圆曲线中的隐藏结构,并能破解我们的密码学。因此,我们正在构建的密码学不仅是后量子的,也是后 AI 的。
回到我说的另一件事——它只依赖于哈希函数。任何签名方案都依赖于两件事:哈希函数,以及一个可选的额外困难性假设(可能是离散对数,或者在基于格的签名中是结构化格)。但在基于哈希的签名中,没有这种额外的困难性假设——它只有哈希函数。如果你的哈希函数是安全的,那就没问题。因此,从这个意义上说,我预计它将是对现状的一种改进。
现在我想强调两个注意事项。第一个注意事项是,我们正在处理更复杂的对象,而我们这里的解决方案是我们所说的深度端到端形式化验证。
形式化验证、Poseidon 与共识层 (1:00:33)
我们有我们的密码学对象,并且希望在数学上证明它是可靠的——即伪造签名是不可能的。我们不仅希望在数学上做到这一点,还希望在代码上做到这一点。如果你在两三年前问我这是否可行,我会说可行,但这将极其费力且昂贵。随着人工智能的出现,我们看到这种费力且昂贵的工作现在可以以 100 倍的速度和 100 倍的低成本完成。
我们开始看到处于前沿的世界级数学成果——例如,最近一项获得菲尔兹奖(相当于数学界的诺贝尔奖)的成果。该成果在五天内被人工智能进行了形式化验证。他们生成了 50 万行代码——一种机器可检查的证明,证明这确实是一个有效的定理——并在此过程中发现了人类撰写的论文中的各种拼写错误。为了避免漏洞,这正是我们想要的尽职调查。
现在我想强调另一件事:哈希函数本身。从历史上看,区块链要么建立在 SHA-256(如比特币)之上,要么建立在 Keccak(如以太坊)之上。我们对后量子以太坊的提案是引入另一种名为 Poseidon 的哈希函数,这是一种不同类型的哈希函数,因为它对 SNARK 友好。到我们推出 Poseidon 时,它应该已经非常安全了——它将经过整整 10 年的分析,将通过二层网络 (l2) 保护数十亿美元的安全,并将经过该领域所有顶尖专家的密码分析。我们还刚刚宣布了 100 万美元的奖金,试图破解 Poseidon。但 Poseidon 确实有可能被破解。
不幸的是,设计哈希函数的方式决定了你无法证明它们是安全的。你能做到的最好程度就是没有受到攻击——基本上需要一段“烘焙时间”(成熟期)。我心目中的时间量级是八年。为什么是八年?因为当中本聪选择 SHA-256 时,它已经问世八年了。巧合的是,当 Vitalik 选择 Keccak 时,它也已经问世八年了。所以我希望 Poseidon 至少有八年的历史,而当我们在以太坊上部署它时,它将达到这个时间。
Ryan Sean Adams: 好的。这就是执行层。你能快速谈谈数据层吗?KZG 需要升级为后量子技术,还有我们使用 BLS 签名的共识层。这在工作量上与替换 ECDSA 相似吗?
Justin Drake: 让我从共识层开始,因为它的答案更简单。初步来看,它基本上就是复制粘贴。我们有一个类似的概念,即参与者进行签名,有大量的签名,它们占用空间,而我们希望压缩它们。共识层的问题在于,我们的签名数量远远多于执行层。人们没有意识到这一点,但我们有一百万个验证者——这意味着每个时段有一百万个签名,每个时隙有 32,000 个签名,每秒有数千个签名。在投票交易方面,这比 Solana 还要多。
为了解锁仅在共识层可用的特定性能优化,我们引入了有状态签名的概念——你签名的消息带有一个每次都会递增的计数器。这有没有让你想起什么?时隙编号。在以太坊的共识层,你每个时隙永远只会签名一条消息。如果你签名了两条,你就会被罚没。我们利用这个约束条件,使签名的聚合效率提高了 10 倍。
Lean VM、Lean Consensus 路线图与 2029 年时间表 (1:05:17)
这就是主要区别——执行层的无状态哈希函数与共识层的有状态签名(在共识层中,时隙编号会递增)。这种聚合技术有一个名字:Lean VM,这是一个用于基于哈希的密码学的极简 zkVM。基本上,Lean VM 将用于证明这是一个正确的默克尔根。我们目前还不能完全确定的是,这种方法是否能解锁我所说的“Tera Gas 前沿”——在一层网络 (l1) 上每秒 1 Giga Gas,即 10,000 TPS,甚至更具野心的是,利用数据可用性在二层网络 (l2) 上达到 1 Tera Gas,即每秒 1000 万笔交易。
我们谈论的是每秒 1 GB 的数据可用性,问题在于 zkVM 的性能是否足以每秒处理 1 GB 的数据。这仍有待基于未来的优化来决定。
David Hoffman: 但我们可以确定的是,以太坊将具备足够的数据可用性 (DA),为一层网络 (l1) 以及少数几个二层网络 (l2) 提供每秒 1 GB 的数据吞吐量。
Ryan Sean Adams: 所以我想听众此时可能会想,“好吧,听起来以太坊有一个升级到后量子时代的计划。他们承认量子计算机将会存在,并且会有一个‘量子日 (Q-Day)’。”现在他们想知道的是时间表和工作量。我把 Vitalik 关于后量子路线图的推文扔给了 Claude,并问它:“这需要多大的工作量?”Claude 说:“你可以把它看作是十分之九的难度。”这是以太坊将要进行的最重大的升级之一。我们将其与合并进行了比较,在合并中,我们就像在飞行中的飞机上将工作量证明 (PoW) 引擎替换为权益证明 (PoS)。现在我们要替换掉大部分核心密码学。你能为我们评估一下这个范围吗?我们能在 2032 年前准备好吗?这有多困难?看起来令人望而生畏吗?
Justin Drake: 是的。这个答案分为两部分。首先,它实际上比你描述的还要宏大。密码学的改变是如此彻底,以至于它本质上至少是对共识层的重写。如果我们要重写共识层,我们不妨好好地重写它——加入所有优秀的特性并清理掉所有的技术债务。这就是 Lean Consensus 项目,我们将包括单时隙最终性在内的多项重写与后量子升级捆绑在一起。
所以,是的,这非常有野心。我们从零开始,构建一些极其优美、简单、高效且可证明安全的东西。好消息是,从头开始在很多方面都更简单,因为你没有所有的技术债务。我们可以重写规范,使其尽可能精简和简单。这就是“精简 (lean)”一词的由来——极致的简单,整个状态转换函数基本上只有一千行 Python 代码,一个聪明的高中生就能读懂。
目前我们已经有了 Lean Consensus 的开发网。而且这些规范非常容易理解,我们已经看到大约 10 个团队实现了它们,加入了开发网,甚至在没有联系以太坊基金会的情况下就做到了这一点。准入门槛相对较低。我们身处这样一个世界:AI 的发展意味着你在很大程度上可以“凭直觉编写 (vibe-code)”你的客户端代码。这也是为什么我们有这么多客户端的一个重要原因——通常是单人团队,或者是两三人的团队。
我认为这将对可持续性以及治理产生有趣的影响。在治理方面,我们今天大致的做法是
以太坊治理与 2029 年完成日期 (1:10:41)
我们有五个共识层客户端,它们都需要实现升级才能继续推进。未来,当我们有 10 个或 15 个客户端时,我们只需要求排名前 80% 或最快的 80% 即可继续推进。这更像是一种达尔文式的竞争,使我们能够更快地推进,而无需等待最慢的客户端。
David Hoffman: 那么我们能在 2032 年准备好吗?我们什么时候能准备好?
Justin Drake: 整个路线图已经规划到了 2029 年,
David Hoffman: 这基本上与你在 DevCon 演讲中介绍 Beam Chain 时给出的路线图完全相同。当时人们很讨厌它。
Justin Drake: 是的,那是我最招人讨厌的一张幻灯片,因为它的时间跨度长达四年半。从历史上看,我一直不擅长把握时间线——总是过于乐观。但随着年龄的增长和白发的增多,我在时间线方面做得越来越好了。我认为这是一个现实、保守的时间线,但却让人们感到不满。但事实就是如此。
David Hoffman: 补充一下背景,人们感到不满的部分原因是,当时正值 Solana 势头最猛的时候,而以太坊路线图在技术上却被认为缺乏动力。这不仅仅是因为四年的时间线——还与当时的背景有关。
Justin Drake: 完全正确。所以我们现在大约还有三年的时间。我相对有信心我们能实现 2029 年的里程碑,而且我认为得益于人工智能,我们甚至有机会推进得更快。
David Hoffman: 所以到 2029 年,如果符合路线图,所有这些都将被实现——我们刚才谈论的一切。
Justin Drake: 你保证?所有的一切。
Ryan Sean Adams: 我脑海中是不是隐约记得某位资深软件开发者曾告诉我,重写代码从来行不通?为什么这在这里不适用?
Justin Drake: 一个好消息是,正如你所提到的,我们在合并中已经进行过这种大规模的重写。我们将以太坊的共识基础从工作量证明 (PoW) 彻底转变为权益证明 (PoS)。这证明了它是可行的。以太坊对雄心勃勃的项目并不陌生——我们在类似的规模上还有其他非常宏大的项目,比如丹克分片和数据可用性采样。
另一个好消息是我们别无选择。我们必须改变密码学。这是一个非常强大的强制机制,单凭这一点就已经相当于 80% 的重写了。
这使得协调和达成共识变得简单得多。
量子计算不仅仅是加密货币的问题 (1:15:06)
David Hoffman: 我想我们应该强调,不仅仅是以太坊别无选择——加密货币领域的任何人都无法回避这个问题。加密货币领域的每个人都必须进行重写。对于比特币来说,只是 ECDSA,但这本身就足够了。
Justin Drake: 是的。以太坊可能需要比其他链进行更多的重写,这与验证者的数量有关。如果你只有 100 个验证者,你可以承受共识层大 10 倍的签名成本。对于大多数权益证明 (PoS) 链来说,你不需要我们拥有的这种复杂性。但对于以太坊,我们希望有数以万计的验证者在每个时隙进行投票——每秒数千个签名——所以我们必须非常有创造力。
我同意你的一点是,所有区块链在执行层都必须发生非常大的变化。但对其他链来说,好消息是以太坊正在做所有的准备工作。我们正在构建 Lean VM,我们将对整个系统进行形式化验证,他们只需复制粘贴即可。这在很大程度上是一个容易集成的任务。
Ryan Sean Adams: Nick Carter 发推说:“最愚蠢的谬论之一就是人们认为只要比特币消亡,他们的代币就会赢——就像 Zcash 的人因为量子问题与比特币抗争一样。事实恰恰相反。如果比特币消亡,再也不会有人信任互联网货币了。所有代币都在沾比特币的光。”你对这种观点有什么反应?
Justin Drake: 我不同意 Nick Carter 的观点。当我在推特上谈论安全预算时,Nick 总是很生气。他认为谈论这个对整个行业具有破坏性,尽管基本面与我所说的一致。讽刺的是,他在量子问题上所做的,正是我在安全预算上所做的——试图推动讨论并促成改变。
Ryan Sean Adams: 但是,更宏观的观点呢?假设我们到了 2032 年,以太坊是量子安全的,而比特币不是,比特币以我们描述的某些方式受到攻击——正在发生这种寻宝游戏和市场不确定性。Nick 的意思是不要为此欢呼,因为这对加密货币领域的每条链都不利。他的意思是比特币一荣俱荣,一损俱损。如果你想要一个价值存储互联网货币的模因,比特币必须引领这一潮流。不存在所谓的“翻转”场景,即以太坊可以说:“我们的链是后量子安全的,我们没有比特币那样的问题。”他的意思是,至少从互联网货币价值存储的角度来看,这将拖垮整个加密货币领域。
Justin Drake: 我不同意。你可以看看历史分析——贝壳被盐取代,然后是银,接着是金,现在可能是比特币取代黄金。仅仅因为黄金失败了,并不意味着下一个事物也必须失败。我认为以太坊是比特币作为互联网货币非常自然的继任者。仅仅因为比特币失败了,并不意味着以太坊也必须失败。我同意可能会有一些短期的阵痛,但我们谈论的也是长期的收益。
后量子时代的机遇与安全预算考量 (1:20:27)
David Hoffman: 那么最终我们会得到什么?2030 年,以太坊实现了后量子安全,因为 Justin 承诺过。以太坊会变成什么样?它是同类中唯一的一个,还是你预计其他区块链也会效仿并实现后量子安全?如果这一切都实现了,你能描述一下我们在 2030 年拥有的系统吗?
Justin Drake: 过去几个月里,我的一个有趣的心态转变是,我不再把后量子时代看作是一个需要克服的障碍。我更多地把它看作是一个机遇。这是以太坊脱颖而出的机遇,成为首个实现后量子安全的全球金融系统——不仅是相对于比特币等竞争对手,也是相对于法定货币和传统金融(TradFi)。我认为这将传递出一个非常强烈的信息,并成为吸引全世界迁移到以太坊的一个非常自然的安全卖点。
这不仅是以太坊在同行中脱颖而出的机遇,也是以太坊成为最好版本的自己的机遇。这又回到了这样一个观点:向后量子时代的过渡本质上是一次重写,这是一个从零开始并消除技术债务的巨大机遇。
一个有趣的数据点是:初代信标链(OG Beacon Chain)于 2020 年推出,而其设计在一年之前的 2019 年就已冻结。因此,当我们在 2029 年发布精简版信标链(Lean Beacon Chain)时,我们将要升级的是一个有 10 年历史的东西。在加密货币领域,10 年简直就是永恒。我们已经学到了很多,精简版信标链将与初代信标链截然不同。你可以把它看作是权益证明 (PoS) 2.0。
Ryan Sean Adams: 在计算方面,我们正处于一个非常有趣的时期。前沿领域似乎有三种计算平台和范式:大家都知道的人工智能(AI);量子计算,它可能正处于 AI 在 2018 年时的阶段;以及以太坊和比特币等区块链为代表的加密货币和密码学。我们似乎正在进入这三者的奇点,AI 正在加速量子计算和密码学的发展,而密码学将成为 AI 某些中心化趋势的制衡力量。你对这一切有什么看法?
Justin Drake: 这很难预测,但正如你所说,有一个非常奇怪的巧合,2032 年似乎是整个计算领域达到奇点的一年。人们一直在讨论 AI 奇点甚至可能在 2032 年之前到来。有一篇非常著名的文章提到了“AI 2027”。我不认为我们在 2027 年就能拥有超级智能,但我认为到 2032 年是很有可能的。
我们已经开始看到——就在昨天,AI 领域的元老之一 Dario Amodei 开始让 AI 自主地进行递归自我改进,这非常可怕。这基本上就是开启迈向超级智能指数级增长的起点。
比特币的安全预算危机与2032年的清算 (1:25:12)
2032年可能是量子日(Q-Day),而且我也认为比特币将在2032年迎来最后一次减半。你可以称之为B日(B-Day)——比特币的清算日,因为届时其发行量将过低,无法保障其安全。
两年后我们将迎来一次减半,而六年后的2032年我们将迎来另一次减半。过去15到16年间,比特币的安全叙事一直是交易费将取代发行量。我建议大家看看数据——这根本没有发生。如今的交易费仅占发行量的0.6%。所以别指望交易费了。
比特币的安全性将呈指数级衰退。如今,比特币的安全性大约由10吉瓦的电力来保障。这里有一个令人震惊的数据:中国每天部署1吉瓦的电力,主要是太阳能。因此,中国10天的部署量就足以对比特币发起51%攻击。
David Hoffman: 就能源成本而言——也就是保护比特币的这层屏障——中国每10天生产的能源就相当于保障比特币安全所需的能源。
Justin Drake: 就耗电量而言,比特币消耗了10吉瓦。1吉瓦大约相当于一座核电站,所以是10座核电站。中国每天都在部署相当于一座核电站的电力。这是主要的瓶颈之一。另一个瓶颈是硬件——一百万台矿机。实施这一攻击大约需要花费100亿美元,从宏观来看,这绝对是九牛一毛,无论是相对于比特币的市值,还是对于国家级攻击者而言。
David Hoffman: 当你这样谈论比特币时,几乎让我觉得你不再认为比特币应该是加密货币的先锋了。这种说法意味着,从安全预算和量子的角度来看,比特币存在缺陷,而以太坊将在未来引领加密货币。
Justin Drake: 我对量子问题保持乐观——这最终是一个可以克服的技术挑战。更大的问题在于安全预算,因为这触及了比特币的核心DNA:2100万枚的上限和工作量证明 (PoW)。我不知道如何将工作量证明 (PoW) 和2100万枚的上限结合起来。你必须放弃其中一个。
有一种可能性是,BTC作为资产可以与比特币这条链脱钩,并存在于一条更安全的链上——例如,作为以太坊上的ERC-20代币。但说出这些话——比特币支持者可不这么想。
David Hoffman: 是的,他们不这么想。
Justin Drake: 如果我换种说法,比如“因为安全预算不足,我们干脆取消2100万枚的上限”——比特币支持者同样不这么想。他们正飞速撞向一堵墙,而2032年就是清算之日。
现在收集,以后解密——加密货币之外的量子风险 (1:30:09)
Ryan Sean Adams: 量子技术对社会其他方面有什么影响?这不仅仅是加密货币的问题。区块链特别容易受到影响,但社会的其他组成部分同样容易受到影响。在后量子、后人工智能世界中,后量子以太坊在多大程度上能成为社会解决和预防问题的工具?
Justin Drake: 密码学基本上有两种类型。一种是实时密码学,你可以实时签名消息,而不会对过去的操作产生实质性影响。对于互联网的大部分领域来说,升级到后量子时代应该是相对简单的。但也有一些例外——例如,已经部署的卫星实际上是无法升级的。
然后是加密方面的另一个问题:如果今天对资料进行了加密,而你没有使用后量子安全的加密技术,那么这些数据在未来可能会被解密。有一整类攻击被称为“现在收集,以后解密”。我认为社会上发生大规模解密是现实的——大量的 Signal 消息、Telegram 消息或海量的 Gmail 消息同时被解密。这可能会对社会产生非常重大的影响。
以太坊作为防御性加速主义与人工智能的生存风险 (1:30:09)
Ryan Sean Adams: Justin,当我们谈论这三种计算技术时,确实感觉最突出的是人工智能(AI)。你提到 2032 年左右可能会出现类似通用人工智能(AGI)的时刻。一个普遍的问题是:作为一名极具天赋的密码学家,你并不是 AGI。令人担忧的是,当我们进入计算奇点时,一切都将变得不可预测。我们在 2026 年为使我们的区块链具备抗量子能力而制定的所有周密计划——如果 AGI 找出其他方法来破解我们的抗量子密码学怎么办?作为一名密码学家,你是否担心通用人工智能未知的未知因素以及它可能破解的东西?如果我们为后量子世界做好了准备,但却没有为后 AGI 世界做好准备怎么办?
Justin Drake: 在密码学方面,我对它的可靠性相当有信心。原因是你可以从数学上证明你的密码学是正确的。密码学是数学的一个分支。你通常会校准这些难题,使得如果有人要在计算上破解它们,所消耗的能量将超过太阳系中存在的总能量。
回到我们为后量子以太坊建议的密码学基础——哈希——没有比这更强大的了。这是你能期望拥有的最基础的密码学。这也是我对应将价值互联网的基础建立在格(lattices)之上持谨慎态度的一个原因。NIST 有两种主要的后量子签名类型:基于哈希的和基于格的。基于格的技术很容易让人联想到椭圆曲线——高度结构化的对象。某些 AGI 甚至 ASI(人工超级智能,比全人类加起来还要聪明几千倍)破解它是有可能的。但是哈希函数——我们有理由相信它们非常强大。
尽管我不太担心密码学,但我确实担心一些更深层次的问题。如果你从宏观来看,我越来越担心人类的生存风险。越来越多的人开始理解 Eliezer 不久前在 Bankless 播客上试图表达的观点。
我认为,如果人类能够幸存下来,以太坊在其中发挥关键作用是完全有可能的。我的比喻是,人类正以 100 英里的时速驾驶一辆汽车。这里存在一个“莫洛克陷阱”(Moloch trap),大国、台积电(TSMC)、英伟达(Nvidia)、OpenAI——他们都在踩油门。而这辆车没有刹车,没有安全带,也没有安全气囊。今天,我们可以在时速 100 英里的情况下相对舒适地掌控方向盘。明年我们将达到 200 英里,然后是 300 英里。最终,我们将以极其不负责任的速度狂飙并坠毁。
在过去的几个月里,致力于以太坊的工作对我来说有了全新的意义。我以前基本上忽略了 AI,部分原因是我沉迷于区块链相关的事物,但也因为不久前它还只是个玩具。但通过我的工作,特别是在形式化验证和开发方面
在人工智能时代致力于以太坊的意义 (1:35:08)
以及编程,我看到了这些东西有多么强大。在过去的几周和几个月里,我一直痴迷于人工智能,尽可能多地学习。我绝不是专家,也许这只是人们打开潘多拉魔盒时经历的一个阶段。但对我来说,现在致力于以太坊完全是为了防御性加速主义。
我没有看到社会的其他部分在研究制动系统——全都在踩油门。好消息是,以太坊拥有许多可以提供部分解决方案的思想和工具。从第一天起,我们就假设存在对抗性。从第一天起,我们就利用密码学等技术来赋予弱者权力,并确保即使是任意强大的力量也无法破坏某些东西。我们正努力成为真相的来源,实现去中心化,赋予人们主权。
我认为在未来的几个月和几年里,我们可能会经历某种觉醒,社会会惊呼:“糟糕。”开始致力于防御性加速主义可能会成为一种道德上的当务之急。我们可能会看到一些最聪明的大脑自然而然地来到以太坊,将其视为一种潜在的解决方案——这是我们应对这一问题所需的一系列解决方案的一部分。
Ryan Sean Adams: 我很高兴你在思考这个问题,听起来你在以太坊上的工作赋予了你意义。我还有一个问题。显然我是以太坊的超级粉丝,但如果人工智能的命运成为现实,我的一个担忧是,在某种层面上,是的,它是一种防御性加速主义技术——去中心化的、无需许可的,将权力下放给弱小者而不是集中于强大者。但在另一个层面上,它是数字化的。我们创建了一个产权系统,而且似乎确实有可能,某些通用人工智能 (AGI) 或超级人工智能 (ASI) 可能会利用我们这个不可变的、无法关闭的世界计算机,去做人类不希望发生的事情。你是否在某种程度上担心它只是利用了以太坊——“嘿,人类,感谢你们提供的产权系统,接下来的事情交给我们吧”——而你实际上加速了一种反人类的技术?
Justin Drake: 我认为这是一个非常合理的观点。归根结底,以太坊是一个既可以被人类也可以被人工智能使用的工具。也许这是一种自我安慰,但如果你抛开以太坊,在防御性加速主义领域似乎没有太多其他替代产品。几乎全都是纯粹的加速主义。所以,是的,也许以太坊会加速某些事情,但它是我们在防御性加速方面仅有的希望之一。因此,我认为在 2029 年之前交付路线图,并尽我所能确保以太坊为人工超级智能时代做好准备,仍然是理性的。
Ryan Sean Adams: 在我们结束之前,最后一个问题。这次对话绝对非常精彩。也许这是一个私人问题,因为你在过去几个月里经历了人工智能的觉醒。我现在注意到你使用了“如果人类幸存下来”作为前提——“如果人类幸存下来,以太坊将发挥关键作用。”这些话对我来说很难说出口。技术加速主义意味着人类可能无法幸存,这是一种真实存在的可能性。你个人是如何应对这种想法的?
Justin Drake: 我对此相对比较佛系。我已经到了可以坦然面对死亡的境界。我度过了非常幸福的一生。
关于毁灭概率的结语 (1:40:04)
Ryan Sean Adams: 什么?
David Hoffman: 这让我们很震惊。
Ryan Sean Adams: 这可不是我期望的答案。
Justin Drake: 我觉得你只需要保持希望。你需要把所谓的 P(doom)——毁灭概率——抛在脑后。我现在认为的 P(doom) 相对较高。我觉得超过了 50%。但我不想大声说出来。我不想——
Ryan Sean Adams: 你不想生活在那样的悲观情绪中。
Justin Drake: 没错。我不想让自己气馁,让自己的生活变得悲惨。也许更重要的是,我不想让其他人气馁并失去希望。我认为我们应该利用现有的一切做到最好。未来是高度不可预测的。尽管在过去的几周和几个月里,我的 P(doom) 大幅上升,但这是一种“强观点,弱坚持”(strong opinion weakly held)。我希望非常聪明的人能站出来告诉我,为什么我不应该如此害怕,而应该更加乐观和充满希望。
正如我所说,我思考这个问题真的只有几周和几个月的时间。我只是触及了皮毛。对我来说,最大的警钟是 Opus 4.5,当时 Emil 告诉我:“从现在开始,人工智能实际上在帮助我提高生产力。”在此之前,它总体上拖慢了他的速度。然后我们在过去几周看到的是更令人印象深刻的结果。大约一个月前,基于哈希的 SNARK 中的一个关键引理——Polyshakes-Spielman 引理——在 8 小时内完成了形式化验证,花费了 200 美元。如果由人类来做,成本会高出 100 倍,时间也会长 100 倍。
我还提到了菲尔兹奖的结果,它只花了 5 天时间就生成了一个 50 万行的证明。事情的发展方向已经很明显了:我们将让人工智能检查并验证所有已知的数学定理,并纠正所有的拼写错误。对于一小部分“定理”,我们实际上会通过反例来证明它们是不正确的。编程问题在很大程度上已经解决了,接下来我们将解决科学进步的问题。事情很快就会上升到哲学高度——也许这适合在另一期节目中讨论。
Ryan Sean Adams: 我觉得那确实适合在另一期节目中讨论。不过这是一个非常棒的回答。我很欣赏你的见解,即以某种程度的坚忍和主观能动性来应对这个问题——致力于对你来说有意义的事情。我们希望,如果人类能够幸存下来,未来能和你一起做更多这样的播客。能邀请到你总是件乐事,Justin Drake。非常感谢。
Justin Drake: 谢谢。