大多数区块链不受 HNDL（Harvest Now, Decrypt Later，先截获，后解密） 攻击影响：

如今像比特币和以太坊这样的大多数非隐私链，使用非后量子密码学主要是为了交易授权——也就是说，它们使用的是数字签名，而不是加密——没有机密数据可被未来解密。

因此，HNDL 不会制造“立即迁移”压力。

然而，一些机构（例如美国联邦储备）仍错误地声称比特币易受 HNDL 攻击，导致外界误判“必须立即过渡到后量子密码学”。

当然，这并不意味着比特币可以慢慢来——

它的问题在于：协议变更需要极其庞大的社会协调成本，这才是它的时间压力来源。

今日的例外是隐私链。这些链往往会加密收款方与金额等信息。一旦量子计算机未来能够破解椭圆曲线密码学（ECC），这些加密数据就可能被 HNDL 攻击。

对于隐私链而言，攻击的严重程度取决于链的设计。例如，在 Monero 中，由于其使用基于曲线的环签名与 key image（用于防止双花的可链接标签），攻击者仅凭公开账本就能在未来重新推断出大部分历史资金流向。但在其他隐私链中，破坏程度会较为有限——可参考 Zcash 加密工程师 Sean Bowe 的详细讨论。

如果用户需要确保自己的隐私交易不会在未来被量子计算机曝光，那么隐私链应尽快转向后量子原语（或混合方案），或者采用完全避免将可解密秘密放上链的架构。

比特币的特别难题：治理缓慢+被遗弃的老币

对比特币来说，有两个现实因素使得切换到后量子数字签名更具紧迫性，但这两者都与量子技术本身无关：

第一，治理进程极慢。

比特币协议每一次变更都需要广泛共识，一旦出现争议，可能触发有害的硬分叉。

第二，迁移无法“被动进行”。

要切换到后量子签名，持币者必须主动迁移自己的资产。这意味着遗失私钥的旧币无法受保护。部分分析认为，被动暴露且疑似被遗弃的比特币数量可能达到数百万枚，以当前（2025 年 12 月）价格计，价值数千亿美元。

不过，量子攻击不会呈现“突然、毁灭性”的一夜崩盘，而会是选择性、渐进式攻击。量子计算机无法一次攻击所有地址——Shor 算法需要逐个针对公钥。因此，在早期阶段，攻击成本极高、速度缓慢，攻击者会优先挑高价值钱包下手。

此外，那些避免地址重用且不使用 Taproot 地址（Taproot 会直接在链上暴露公钥）的用户，即使不修改协议，也相对安全：他们的公钥在花费前一直隐藏在哈希值之后。真正的风险发生在用户发起交易、首次公开公钥的那一刻，此时会出现：真实用户广播交易 vs. 量子攻击者抢先推导私钥并花费的实时竞争。

因此，真正脆弱的币是那些公钥已被公开的旧 UTXO：早期的 P2PK 输出、复用地址、Taproot 资产等。

对于那些已经被遗弃的脆弱代币，并无现成良方，可行的处理方式包括：

社区约定设立一个“Flag Day”，在此日期之后，，未迁移的币全部视为已焚毁。

放任这些币被未来的量子攻击者夺走。

第二种方案可能造成严重法律与安全问题。未来任何人声称“用量子电脑帮真正的主人取回资产”都可能触犯盗窃与电脑犯罪法规。

更麻烦的是，“遗弃”只是基于链上静态表象的推测，并没有任何链上证据能证明某资产真的无主。因此，一旦允许“合法量子取回”，反而可能更容易让真正恶意者利用。

此外，比特币还有一个独特难题：交易吞吐量极低。即使协议敲定，想迁移所有量子脆弱资产，也需要数月甚至更长时间。

正因如此，比特币必须现在就开始规划后量子迁移——不是因为 CRQC 会在 2030 年前到来，而是因为协作治理、技术迁移与资产清点将耗费多年。

量子威胁对比特币确实存在，但真正的压力来自比特币自身的结构：早期交易大量采用 P2PK，导致非常大比例的 BTC 公钥直接暴露在链上；加上价值高度集中、网络吞吐有限、治理刚性大，这些因素让比特币在所有区块链中处境最为特殊。

需要强调的是，以上漏洞只针对比特币数字签名的密码学安全，而与比特币链本身的经济安全无关。后者基于 PoW 共识，而 PoW 并不容易被量子计算机颠覆，原因包括：

PoW 依赖于哈希，因此仅受 Grover 搜索算法的二次方量子加速影响，而不受 Shor 算法的指数级加速影响。

实施 Grover 搜索的实际开销使得任何量子计算机都不太可能在比特币的 PoW 机制上实现哪怕适度的现实世界加速。

即便出现加速，也只是大矿工比小矿工更占优势，并不会破坏比特币的经济安全模型。

后量子签名的成本与风险

要理解为什么区块链不应仓促部署后量子签名，我们需要了解性能成本以及我们对后量子安全性仍在演变的信心。

大多数后量子密码学基于以下五种方法之一：

哈希（Hashing）

编码（Codes）

晶格（Lattices）

多元二次系统（MQ）

同源（Isogenies）

为什么有五种不同的方法？任何后量子密码原语的安全性都建立在一个假设之上：即量子计算机无法有效解决特定的数学问题。该问题的“结构”越强，我们能从中构建的密码协议就越高效。

但这把双刃剑：额外的结构也为攻击算法提供了更多的攻击面。这就造成了一种根本性的张力——更强的假设能带来更好的性能，但代价是潜在的安全漏洞（即假设被证明是错误的风险增加）。

总体而言，基于哈希的算法最安全，但性能最差。例如，NIST 标准化的哈希签名最小也有 7-8 KB；而当今椭圆曲线签名仅 64 字节——体积差近百倍。

晶格方案则是当前部署重点。NIST 选定的 PQ 加密算法以及三款 PQ 签名算法中的两款都基于晶格。

例如 ML-DSA（即 Dilithium）签名为 2.4 KB～4.6 KB，是现有签名的 40～70 倍。

Falcon 更小（666 字节～1.3 KB），但其浮点实现极复杂，NIST 明确提示存在实现风险。其作者之一甚至称 Falcon 是“我实现过的最复杂的密码算法”。

晶格签名的实现安全也比椭圆曲线困难得多，涉及更多敏感中间值、重试采样、侧信道与故障防护等；而 Falcon 还涉及浮点侧信道，已有研究从实现中成功恢复私钥。

这些都是现实、眼前的风险，而非遥远的来自 CRQC 的量子威胁。

历史上，领先的候选方案如 Rainbow（MQ 签名）与 SIKE/SIDH（同态加密）都在后期被研究者用传统计算机攻破。这些失败案例说明：过早部署未成熟的后量子算法可能会适得其反。

目前互联网基础设施在签名迁移上采取谨慎态度并非偶然。尤其考虑到互联网的密码学迁移通常极其缓慢：例如 MD5、SHA-1 在被完全攻破后，仍用了多年才真正完成替换，并至今在少数场景继续存在。

区块链与互联网基础设施的独特挑战

幸运的是，被社区积极维护的区块链（如以太坊、Solana）往往能比互联网基础设施更快升级。另一方面，互联网基础设施频繁轮换密钥，使其暴露面“快速移动”；而链上资产的密钥可能“多年静止暴露”，无法享受此优势。

总体来看，区块链仍应遵从互联网在签名迁移上的谨慎策略。毕竟数字签名并不存在 HNDL 风险，而过早迁移到不成熟的方案会带来重大成本与风险。

此外，区块链对签名算法有独特需求，尤其是批量聚合签名。目前主流方案 BLS 签名非常擅长聚合，但不具备后量子安全性。研究者正在探索利用 SNARK 聚合后量子签名，这方向很有前景，但仍处于早期。

对于 SNARK 本身，当前社区认为基于哈希的 PQ-SNARK 最稳妥，但很快将迎来重大转变：未来数月乃至数年内，晶格系 SNARK 方案会成为极具吸引力的替代品，能在多个性能指标上优于哈希 SNARK，例如极大缩短证明长度，就像晶格签名比哈希签名更短一样。