大家好,我是 Marco López(马拉加大学/NICS 实验室 + 去中心化安全)。
我们刚刚有一篇论文被接受,该论文探讨了在未来与密码学相关的量子计算机 (CRQC)对secp256k1/ECDSA的威胁下,以太坊 EOA 的迁移策略。
我们有意将本文的范围限定在执行层(EOA授权、交易/签名流程等)。我们不涉及共识层的PQ迁移(验证者签名、BLS/KZGETC)。
简要背景:我们正在基于之前出色的伦理研究工作开展工作。
在发帖之前,我们浏览了几个精彩的讨论帖,这些帖子探讨了 PQ 事务签名和实际工程中的权衡取舍。非常感谢这些讨论的发起者,特别是 asanso 和 seresistvanandras:
asanso(第一部分): “所以你想要后量子以太坊交易签名”
asanso(第二部分): “Falcon 作为以太坊交易签名:优点、缺点和棘手之处”
asanso(第三部分): “通往后量子以太坊交易的道路是由账户抽象(AA)铺就的”
seresistvanandras: “poqeth:以太坊上高效的后量子签名验证”(+ 基准测试 + 反对者模式)
我们的论文旨在对迁移路径进行简单的初步调查,但更侧重于兼容性破坏和过渡期间出现的攻击面。
我在这里发帖的原因(向社区发出呼吁)
这项工作是初步的(也是有意简化的)版本。我们试图梳理人们讨论的、旨在增强 EOA 在 CRQC 威胁下韧性的主要迁移路径,并着重指出在实践中可能出现问题的地方。
本文旨在收集社区意见,并围绕该问题的执行层面整合各方力量:
我们是否遗漏了相关的缓解措施/迁移方案?
还有哪些兼容性问题(链上和链下)需要引起重视?
我们低估了哪些对抗行为/最大允许值/运营风险?
我们应该引用或借鉴哪些先前的论文/代码库/讨论串?
还有哪些人正在积极参与这项工作?在哪些方面可以开展合作?
如果您从事钱包、AA、基础设施、协议研究、审计或 L2 生态系统方面的工作,您的见解将非常有价值。
本文涵盖的内容(路线调查及权衡取舍)
我们梳理了目前讨论的 EOA 向后量子安全迁移的主要方法,并试图明确权衡取舍,尤其是在该方法与当今的基础设施和合同模式相交的地方。
原生 PQ 签名(协议/EVM 路径):用 PQ 方案替换 ECDSA。
概念上很简单,但验证成本和签名/密钥长度因方案而异,会影响交易大小、gas 消耗/性能,有时还会影响地址推导。此外,协议层面的部署速度也较慢。
基于哈希的说明(极简主义视角) :我们花了一些时间讨论基于哈希的签名,因为以太坊的核心原语已经高度依赖哈希函数。使用基于哈希的签名可以显得“密码学上极简”(不像格/同源ETC那样引入全新的难度假设)。此外,许多基于哈希的构造可以在链上使用非常小的“公钥” (通常只是一个哈希值/根承诺),这与poqeth中强调的“在以太坊的背景下,大型公钥是不可取的”这一主题相符。当然,权衡取舍体现在其他方面(签名大小、状态性、用户体验/内存池摩擦),而这正是我们希望获得更多社区意见的地方。
这里需要指出一个细微差别:基于状态哈希的签名(例如XMSS/LMS )在一般系统中可能比较麻烦,因为它们需要状态管理,但区块链可以实现链上状态管理(类似于索引/随机数)。其他生态系统中已有先例(例如,使用 XMSS 的 QRL )。
ERC-4337 账户抽象:现在即可使用;验证在账户合约内部进行,因此钱包可以要求 PQ 签名来授权操作,并减少用户直接遭受基于 ECDSA 的量子攻击的风险。
问题在于(asanso 系列文章中也有讨论),打包者仍然会发布一个 ECDSA 签名的交易,因此端到端流程并非完全不受 PQ 的影响。此外,它还引入了额外的环节(类似内存池的基础设施、费用、操作复杂性)。
原生 AA 提案(RIP-7560 / EIP-7701 方向):一个清晰的加密敏捷性终局:账户由附加的验证逻辑(PQ 验证、多重签名、通行密钥ETC)定义,从而在账户模型级别消除固定的 ECDSA 假设。
需要对协议进行深度修改;时间表和最终设计方案尚不确定。
EIP-7702 委托:一种实用的机制,无需迁移到新的账户模型,即可将新的验证逻辑附加到现有的 EOA/地址。这使得在保留地址和现有关系的同时,可以尝试使用 PQ 感知验证和账户策略。
关键限制:只要协议仍然接受 EOA 的 ECDSA 密钥,它就仍然是“根权威机构”(在 CRQC 设置中,这种残余权威机构尤其成问题)。
EIP-7702 + 密钥停用变体:讨论了闭合该循环的想法:委托之后,原始 ECDSA 密钥可以被停用(理想情况下是永久停用),从而完全通过委托逻辑进行控制路由,同时保留地址及其关联的资产/关系。
我们将这些视为更广泛的设计空间的一部分,以便在出现更灵活的验证机制后消除“根 ECDSA 权限”。
在所有路线中,我们都努力保持务实的态度: ECDSA 还剩下什么,出现了哪些新的基础设施假设,以及在转型过程中生态系统出现了哪些断裂。
兼容性/故障热点(“脏区”)
我们预计挑战最大的领域是:
在已部署的合约中基于
ecrecover身份验证(签名即身份)。许多链上授权实际上是通过
ecrecover实现的“签名即身份”。在 PQ 迁移过程中,仅仅停止在交易层使用 ECDSA 是不够的。只要ecrecover仍然是 ECDSA 的有效预编译版本,现有合约就可以继续将 ECDSA 链下签名视为权威签名。因此,任何重要的迁移都需要明确如何处理 ECDSAecrecover式的验证(以及是否对其进行限制、替换或补充新的验证路径),否则,即使 EOA 停止使用 ECDSA 进行交易,传统的链下签名仍然可能在合约中保持效力。(相关内容:正如 asanso 在 AA/Falcon 讨论帖中提到的,许多 PQ 方案不支持“密钥恢复”,例如“纯”Falcon 不支持从签名恢复公钥,因此
ecrecover式的模式无法应用。基于 Falcon 的钱包通常需要使用已存储/已注册的公钥进行验证。Falcon 论文中还讨论了一种“可恢复”模型(如 Renaud Dubois 指出的,参见 3.12 节),该模型支持密钥恢复,但签名大小大约翻了一番,这显然会对链上性能和带宽产生影响。)ERC-2612
permit+ 更广泛的链下签名流程(类型化数据、应用程序特定身份验证、元交易模式)tx.origin假设(EOA 与合约身份、脆弱的授权逻辑)L2s + 跨链漂移(身份语义、重放域、桥接假设)
MEV 在迁移窗口期间(围绕委托、撤销、“最后有效签名”时刻的排序/竞争)
我们希望社区提出的一个重要问题是:还有哪些内容应该列入此列表,以及在实践中哪些内容的危害最大?
量子紧急硬分叉作为备用方案(并行)
除了“平滑迁移”路径之外,量子紧急硬分叉的想法是韧性故事的重要组成部分。
Vitalik 在 2024 年 3 月发布的文章( “如何在量子紧急情况下进行硬分叉以挽救大多数用户的资金” )提出了一种可信的最后手段应对措施,以防实用的量子能力突然出现并开始发生大规模盗窃:回滚到盗窃发生之前的状态,禁用传统的 EOA 交易,并提供一条恢复路径,将控制权转移到量子安全的智能合约验证中。
我们提到这一点,并不是要主动推进(这样做成本高昂,而且在社会和运营方面负担沉重),而是要提醒大家应急计划很重要,同时,生态系统可以(而且可以说应该)努力寻找能够使加密货币更加渐进地变得灵活的途径,这样我们就不必被迫进入“打破玻璃”模式。
我们明确要求的是
如果您回复,提供相关讨论串/论文/代码库/团队的链接将非常有帮助。
我们是否遗漏了(执行层面的)迁移路径/缓解措施,或者应该纳入哪些重要变体?
您认为哪些兼容性问题(链上和链下)最为紧迫或最有可能对用户造成实际损害?请提供具体示例。
在迁移过程中应考虑哪些对抗行为/MEV/操作风险(抢先/竞争、恶意行为、“最后有效签名”问题、基础设施受损、一次性/有状态方案的卡住交易动态ETC)?
是否存在某些类型的合约或钱包模式,其中
ecrecover、permit或tx.origin假设使得迁移变得特别困难?您是否了解有助于量化这些模式普遍性的测量方法/数据集/工具(例如,
ecrecover扫描、野外许可证使用情况等)?目前还有哪些人在积极研究面向EOA的CRQC/加密敏捷性?如果您参与其中(或者认识参与其中的人),我们非常希望与您联系。
我们以公益项目(UMA/NICS实验室+去中心化安全)的名义开展这项工作。我们非常欢迎审阅、指正,并在合理的情况下开展合作。
闭幕式/活动
我们将于三月中旬在西班牙特内里费岛拉古纳大学举办的大会上发表论文。我们还计划于2026年5月9日在罗马举行的与欧洲加密会议同期举办的区块链加密工具研讨会( CTB-26 )上展示后续研究成果。
如果您从事这方面的工作,我们非常乐意在任一活动中与您见面。
顺便一提,CBT26 的提交截止日期是二月底,所以你还有时间。
谢谢!期待您的反馈。
