量子计算带来的第一个现实安全风险不是「未来攻击」，而是 Harvest Now, Decrypt Later（HNDL）攻击，即攻击者现在先存储加密通信，等待未来拥有量子计算能力后再解密。这意味着高度机密通信（特别是国家级别通信）即便今天无法破解，未来依然可能暴露。因此，对具有 10-50 年以上保密需求的系统而言，新型抗量子加密需要现在开始部署。然而，这一威胁并不适用于数字签名体系。数字签名没有「可被回溯解密的隐私内容」，也不存在「过去验证会被量子计算推翻」的问题。即便未来量子计算能够伪造签名，那也只能影响未来的交易和授权，而不会让过去签名失效或泄露隐藏信息。基于此逻辑，区块链上最常用的签名机制（ECDSA、EdDSA）虽未来需要升级，但不急于立即迁移。此外，zkSNARKs 的安全模型与加密更不同。即使今天使用的 zkSNARKs 基于椭圆曲线，其 零知识属性本身对量子攻击仍保持安全，因为证明中并不包含可被量子算法恢复的私人数据。因此，zkSNARKs 也不存在存档等待解密的风险。换言之，隐私链更急，公链并不急，签名比加密晚升级，SNARK 比签名更不急 —— 这是量子威胁在区块链世界的真实优先级排序。 尽管区块链整体无需立即切换到抗量子签名，但比特币是例外。原因并非量子威胁迫近，而是治理缓慢、交易结构历史遗留复杂、活跃迁移依赖用户行为。首先，比特币 protocol 改动速度极慢，任何涉及共识或安全逻辑变更都可能引发争议、分裂甚至硬分叉。其次，比特币的升级无法自动迁移全部资产，因为签名密钥由用户持有，协议无法强制升级。这意味着已失效、丢失或无人管理的钱包（估计高达数百万枚 BTC）将永久暴露在未来量子攻击下。更棘手的是，比特币早期使用 P2PK（直接公开公钥的地址结构），其公钥已在链上可见，而量子计算可利用 Shor 算法对可见公钥直接反求私钥。这与现代地址模式（哈希隐藏公钥）不同，后者只有在发出交易时才暴露公钥，可与攻击者在时间窗口内竞速。因此，比特币的迁移不是简单的技术问题，而是牵涉 法律风险（遗失 vs 拥有证明）、社会协作、实施时间与费用的长期工程。即便量子威胁遥远，但比特币需要现在开始制定不可逆的迁移路线图。 尽管量子威胁确实存在，但仓促全面升级反而带来更大的现实风险。现阶段许多抗量子算法存在显著性能成本、实现复杂性、甚至被经典算法直接攻破的历史案例（如 Rainbow、SIKE）。例如，现有主流后量子签名如 ML-DSA、Falcon 都比当前签名大数十倍甚至上百倍，且实现容易遭受侧信道攻击、浮点漏洞或参数错误导致密钥泄漏。 因此，区块链不应盲目迁移，而应采用 分阶段、多轨制、可替换架构的策略：对长期机密通信部署 混合加密（post-quantum + classical）；在无需频繁签名的场景（固件、系统更新）提前使用 哈希签名体系；公链层保持规划与研究，与互联网 PKI 一致采取谨慎节奏；采用账户抽象或模块化设计，使未来签名体系可升级而不破坏链上身份与资产历史。【原文为英文】\n原文链接