后量子安全与以太坊 2026 年路线图

Tomasz Stańczak 在 ETHBoulder 上发表的全面演讲，涵盖了以太坊基金会 2025 年的进展、后量子安全研究的现状，以及在以太坊共识层和执行层实现抗量子密码学的具体实施路线图。

本讲稿是 ETHBoulder 发布的原始视频讲稿 (opens in a new tab)的无障碍副本。为提高可读性，已进行了轻微编辑。

以太坊基金会的进展与文化转变 (0:12)

你们中的一些人来这里可能是想听听以太坊基金会的愿景和方向。之前有人告诉我，我要讲的是后量子货币，所以我为此做了准备，但我也很快为另一个主题准备了幻灯片。所以也许我们会快速过一遍这两个主题——我想我有 20 到 25 分钟的时间。

这是对 2025 年的总结——自从我去年 3 月左右加入以来，我们在基金会所做的工作。公关团队在改善社交媒体、沟通和讲故事方面做得非常出色——不仅谈论非常技术性的内容、关于企业和机构的重要事项，而且最终找到了一种新的声音，向新一代讲述令人兴奋的事情。这吸引了大量新鲜人才加入以太坊基金会和以太坊生态系统，并在总体上营造出一种很酷的氛围。如果 Boulder 也能让大家觉得以太坊基金会再次变得很酷，那就太棒了。

以太坊的机构层面在 2025 年非常重要。我们知道这对机构来说将是非常关键的一年。然后，我们对那些说以太坊不关心创始人、创始人去了其他生态系统的言论做出了一些回应。因此，我们重组了 EcoDev，并在创始人和应用程序上投入了大量精力。James Smith 带来了大量的人才、结构和领导力。我们改变了资助策略——让本地活动更难直接从基金会获得资金，但在扩大影响力方面投入了更多精力，通过新的沟通策略和社交媒体来推广活动。

一件非常重大且重要的事情是重组以太坊基金会的协议集群——将研究人员和工程师更紧密地联系起来。有人告诉我们，在过去，研究人员和工程师必须在活动中组织特别的晚宴才能互相交流。现在他们在同一个团队中混合工作，专注于特定的轨道——特别是 Scale 1、Scale 2 和 Improve UX Interop。这就是研究人员和工程师共同努力实现目标的地方。

万亿美元安全倡议是一项巨大的努力——审查生态系统中安全方面的最大痛点。然后我们发布了两次分叉。来自生态系统的重大反馈是我们没有按时发布，有时我们需要一年半的时间才能交付一个分叉。所以我们证明了我们一年可以交付两次分叉，也许今年我们会重复这一做法——也许会更像是每九个月一次，但它正朝着好的方向发展。隐私集群的变更仍在构建中。我们谈到了在世界各地庆祝以太坊 10 周年。去中心化 AI 团队成立了。我们与外部团队一起启动了实体中心——在大多数情况下，他们要么根本没有获得资金，要么几乎没有获得以太坊基金会的资金。我们大力推动本地团队能够通过本地赞助商（通常是风投或充满活力的社区）实现自给自足。此外，zkVM 确实是一个大热门话题。

2026 年策略与优先级 (4:30)

我们在 6 月宣布了协议变更。在 5 月，我们宣布了万亿美元安全倡议。这是最近刚刚推出的仪表板——更多的是 2026 年该项工作的结果。金库策略于 6 月宣布。我想我们会在一两周内看到更多成果——我们将宣布去中心化金融 (DeFi) 协调团队。我们终于为该团队进行了一些重要的招聘。我对那些将在基金会支持 DeFi 的人感到非常兴奋。我也刚刚得知，我们正在排队等待验证者将它们推送到主网，因此以太坊基金会将维护一些验证者来质押自己的 ETH。这是金库策略的两个部分。AI 团队最近宣布了非常及时的 ERC-8004 登陆主网，以支持代理 AI。

伦敦、旧金山、拉各斯、迪拜、罗马、香港——这些都是中心。对于 2026 年，我希望看到的是——我应该提一下，你们大多数人可能知道我将卸任基金会的 COA——但这主要是我们为 2026 年制定的策略。我认为团队一致同意这是我们的方向。这也是为什么我感到非常安心和自信，团队知道该往哪里走，我们有执行的领导者，他们绝对可以做得非常好，而不需要任何额外的催促或推动。

企业以太坊的认证和凭证——我们希望机构能够真正确定在世界各地与谁合作。后量子安全——非常重大的公告，很快我们将详细讨论。OAF 成为集成和发布最快的互操作性标准。孟买 DevCon——非常高兴印度终于迎来了所有的思想领袖和游客，与成千上万的人分享以太坊的乐趣。统一的五年路线图，将精简以太坊（Lean Ethereum）合并到核心开发流程中——这应该会在下周宣布。代理以太坊（Agentic Ethereum）倡议——我们看到了 Austin 和沟通团队在使用 ERC-8004 谈论以太坊上的代理方面所做的出色工作。以太坊与 Base 主网成功吸引了在以太坊上构建代理的初步关注，以及许多新的创始人和构建者。

ETHBoulder、ETHDenver——我们在这里付出了一些努力，派遣了更多以太坊基金会的人来展示并与大家讨论。纽约市在机构层面欢迎以太坊——独立于基金会，EVE Global 在纽约举办大型会议，计划有 6,000 到 8,000 人参加。全球政策支持团队于去年成立，以便我们能够支持世界各地的政策制定者和监管机构。DeFi 协调团队将于下周启动。平台团队致力于将以太坊作为二层网络（L2）构建的最佳平台——两周前，有 70 多人、20 多个 L2 齐聚一堂，讨论策略、路线图和技术。EFCC 即将举行发行圆桌讨论，希望我们也能通过孟买 DevCon 深入探讨以太坊上的文化和艺术。

为什么后量子现在很重要 (8:30)

这是我的团队告诉我应该谈论的话题，这有点有趣，因为我觉得自己在这方面并不是最强的——我理解这个概念，我理解为什么它对我们极其重要，我也试图解释原因。但在技术上，我觉得我并不完全清楚我们在 EIP 层面在做什么，或者团队是如何交付的。这并不意味着我没有准备——我今天花了八个小时为你们准备这些，并阅读了团队发给我的所有材料。但如果有些技术细节我解释得不够好，或者我分享的信息可能是几个月前的，请大家见谅。

那么，为什么后量子现在如此重要？也许不是因为时间线太糟糕。时间线可能表明也许是 2030 年，也许是 2035 年——有些人会说是 2040 年，届时我们将拥有真正对以太坊上的密码学构成风险的计算机。但大家都在谈论后量子安全的一个重要方面是，金融界关注以太坊的人已经产生了一些焦虑，他们在想：这项技术能用很多年吗？当你依赖区块链并希望在公共主网上部署系统多年时，你不希望在五到十年后出现任何类型的灾难性风险，而没有人告诉你他们已经控制了一切。

我们现在的大部分努力是为了展示我们在后量子安全的规划、研究、调度和构建路线图方面投入了多少工作。比特币特别担心后量子威胁。最大的担忧是总共有大约 600 万个 BTC 面临风险——一些来自 Taproot 账户，大约 190 万个 BTC 来自中本聪账户和其他遗留账户。然后还有在签名交易时可能被拦截的动态账户，但这威胁较小，因为你必须拥有能够非常快速地破解密码学的量子计算机。即使量子计算机需要数周时间才能破解这些地址，比特币中的大多数地址也面临风险。这在人们中间造成了很大的不确定性，他们会想——如果它来得更早怎么办，尤其是在现在 AI 加速的情况下？围绕量子的许多新公告发布得非常快，而且我们对量子计算机的了解程度也存在不确定性，因为许多此类技术可能是由政府在隐秘模式下开发的。

市场焦虑与机构反应 (12:00)

巨大的不确定性。有些人声称投资者并没有因为量子计算机而抛售 BTC，但我们看到大型银行和投资基金的公告称，这正是他们的客户说“抛售 BTC”——或以太坊的原因。一些问题是“现在收集，以后解密”——即利用量子计算机，你将能够查看现有的加密流量，将其存储起来以备将来使用，然后对其进行解密。当你考虑对区块链的威胁时——如果你使用它来保护隐私、进行加密，并且你希望拥有前向安全性——这就是一个问题。特别是对于像门罗币（Monero）这样依赖隐私的链，实际上在未来你将能够解密该链的整个过去，包括所有的状态和转换。

然而，对于签名和零知识证明（ZK proofs），重要的是过去的一切实际上都是安全的。我们只是面临这样的风险：在未来，当量子计算机足够先进时，你可能会生成虚假签名或破解签名，并在零知识空间中为虚假陈述生成证明。但在量子计算机出现之前的一切——你可以说这在过去已经被证明过，并且没有风险。这就是为什么在像以太坊这样的区块链上，我们并不那么担心过去的签名。只是当量子计算机出现时，你必须要么做好准备并将所有账户过渡到后量子安全，要么有应急解决方案。

我们看到 Coinbase 宣布成立一个顾问委员会——包括来自以太坊基金会的 Justin Drake 和其他几位杰出人士。越来越多的机构试图宣布他们正在做准备。以太坊基金会正试图对此大声疾呼，以安抚大家，并表示是的，以太坊在未来许多年内都是可靠安全的。

Nick Carter 提到，开发人员对后量子安全的看法与市场的看法之间存在差异。市场从风险的角度思考；开发人员通常考虑时间线——“当它出现时，我们可以快速更新”。他们没有考虑提前两三年做好准备，因为否则市场上就会出现这种焦虑。金融市场是一方面，但另一方面是决定在机构中基于该技术进行构建的焦虑，在机构中你必须提前两到五年进行战略规划。

这是 Jeff 的公告——从亚洲投资组合中移除了 10% 的 BTC 配置，理由是量子技术构成了生存威胁。这是彭博社文章中提到的第一个主要机构投资组合的例子。花旗银行宣布了量子威胁和万亿美元的安全竞赛——不仅是区块链，他们谈论的是银行和金融机构中使用的密码学，但他们也提到了与比特币相关的风险。25% 的比特币可能面临量子暴露，并且有很大可能在 2034 年之前被破解。

NIST 标准与 Vitalik 的离场测试 (16:00)

这是 NIST 宣布的后量子安全密码学标准——应该使用的签名。他们说，到 2030 年，人们应该做好准备。系统应该弃用传统的签名算法，到 2035 年，这些算法应该被完全禁止。这并不意味着到那时我们肯定会拥有构成威胁的后量子计算机，但期望是到那时每个人都准备好了——机构、政府机构、美国的持牌运营商。

Vitalik 将后量子安全作为以太坊离场测试（walkaway test）的一个非常重要的要求——除非以太坊是量子安全的，否则我们不能让以太坊僵化，因为实际上一切都会崩溃。在接下来的几年里，一项非常重要的交付任务是使整个以太坊堆栈实现量子安全——包括所有方面：签名、数据可用性、执行层上的签名以及共识层上的签名。

后量子签名方案 (17:30)

以太坊基金会研究论坛上有一系列博客文章，讨论了提议的交易签名方案以及如何从以太坊上的账户抽象方面处理后量子安全。首先，Falcon 是一种基于格的签名方案——NIST 提议作为标准的方案之一。它的优点是具有非常明确的最坏情况运行时间，这在 EVM 环境中很重要，因为你不想基于绝对最坏的情况来计算 Gas 成本。在以太坊中，当你考虑扩展时，我们总是关注最坏情况，而不是平均情况。考虑平均性能固然很好，但这并不重要，因为一旦你这样做，攻击者就会用专门设计用来触发最坏情况的交易淹没网络。因此，了解最坏情况是什么很重要。

缺点是 Falcon 签名和许多后量子签名被认为是非常困难的数学和密码学。正因为如此，我们没有多年建立起来的被认为非常安全的库带来的舒适感。如果你实现这些，你将面临侧信道攻击的风险——你不仅需要正确实现密码学，还必须以一种确保执行时间和对硬件的影响不受你所采用的实际数字、操作或路径影响的方式来实现它。你必须确保你的库始终采用相同的路径并使用相同的 CPU 负载——否则你可以通过侧信道观察它并提取信息。许多密码学家说，一件事是正确实现它；另一件事是防止任何可能使库暴露于侧信道攻击的优化。

聚合也存在问题——有基于 Falcon 签名的聚合解决方案，但它们会进一步降低效率。真正建议的是基于哈希的多重签名解决方案。以太坊在共识层上选择了 XMSS。以太坊研究现在正在提出围绕 XMSS 的解决方案——这主要是为精简以太坊（Lean Ethereum）路线图所做的工作。我们正在将精简以太坊集成到核心开发协议路线图提案中，这意味着我们将向所有核心开发者（All Core Devs）提出后量子安全路线图以供审查。我们已经有了实现，并且一直在跟踪执行速度的目标和指标。

迁移挑战 (20:30)

回到以太坊后量子工作的要求——确切了解威胁是什么、可以执行哪些类型的攻击，并为账户提供非常可预测的迁移路径。这是后量子安全面临的最大问题之一。你必须获取区块链上的所有现有账户，并确保用户以某种方式执行升级到后量子签名方案的操作。如果他们不采取任何行动，账户就会面临风险。即使这些账户是死账户——因为密钥丢失而无人持有——这仍然是一个问题，因为量子攻击可能会恢复这些密钥。这可能会在技术周围产生普遍的不确定感和额外风险。

以太坊上有一些解决方案——应急方法。你假设如果有人持有密钥，他们很可能也持有原像——助记词。因此，你可以采用应急方法，让人们通过零知识证明他们持有生成公钥的助记词。然后你可以锁定这些账户，直到有人发布证明。但你仍然面临这样的风险：那些没有助记词直接生成密钥的人可能永远无法恢复他们的资金。

性能、形式化验证与实现进展 (23:00)

我们希望有一批经过形式化验证的实现，这现在正在大大加速。多亏了 AI，我们已经有了非常快速完成形式化验证的例子。我们想要分析性能变化——区块空间经济学的变化。签名验证的速度有多快，以及执行的硬件成本是多少。好消息是，通过扩展一层网络 (l1)，我们为新型签名创造了更多空间。由于后量子方案中的签名更大，基本交易可能会比今天贵 10 到 20 倍。我们通常期望整个生态系统都准备就绪——钱包、验证者、运营商——每个人都切换并准备好一起升级。一件事是进行研究和实现；另一件事是整个迁移过渡。如果第一部分可能需要两到三年，那么集成将需要另外两到三年，除非人们真的觉得有紧急情况。

关于这项工作有哪些误解？我非常喜欢指出的第一个误解是——仅仅因为在某个时候行动可能受到限制，并不意味着还没有完成大量工作。研究人员可能会决定进行简单的更改和逐步的改进，但这是对所有细节进行三四年审查以及对所有可能性和攻击有很好理解的结果。误解是我们会通过一次更改来完成这项工作——最有可能的是，随着时间的推移，这将是一系列更改和多个模块的更改。

完整路线图与开发网进展 (25:29)

这是对我们正在做的事情的快速回顾——共识层、Lean EVM、Lean Spec。我们正在研究的三件事。还有新签名的预编译。这是路线图——当它在曼谷展示时，人们说以太坊很慢，对路线图的思考也非常慢。但现在它表明我们已经为后量子做了两年的大量准备工作，这开始让人们平静下来，因为他们说，“哦，我们已经进行到一半并正在构建解决方案了。”所以那个路线图最终并没有那么糟糕——以太坊表明它正在被遵循。

我们正在跟踪精简签名的性能——这是针对基于哈希的 XMSS。我们已经看到了看起来很有希望的验证时间。对于多重签名和聚合，它有点慢，但总体而言进展非常有希望。我们对这项工作非常满意。这些是为客户端之间的互操作性而启动的开发网——多个客户端为后量子实现开发网。后量子开发网 2 目前处于活跃状态。

精简以太坊路线图网站非常详细，并且对以太坊上的所有后量子安全工作进行了很好的协调。这里有一些视频示例——去年 2 月的后量子安全链接电话会议 2，2025 年 9 月的 SubSpec，我们将继续提供许多你可以跟踪的规范。这是我提到的应急响应。这是 Justin Drake 两三周前的公告——在我们意识到全球金融市场越来越多地谈论威胁并感到非常焦虑之后，我们立即采取了行动。我们说，好吧，让我们发布吧——这真的准备得很充分，并且已经做了大量工作。所有核心开发者后量子电话会议由 Antonio Sanso 每两周主持一次。开发网正在运行，研讨会正在执行——在剑桥举行了一次会议，我们计划今年在科隆再举行一次，然后在 10 月再次在剑桥举行。形式化验证，以及大量资金——为后量子路线图赏金提供数百万美元。集成、教育和实现。这是以太坊宣布的 10 年路线图。该网站很快就会提供后量子材料。这里是所有的参考资料。非常感谢。