一场横跨 30 多条链的 USDC 换锁工程，Circle 准备怎么做？

整理&撰文：KarenZ，Foresight News

如果有一天量子计算机足够强，区块链首先需要面对的，可能是两类更底层的安全假设：签名还能不能证明「我是我」，以及今天被加密的数据未来会不会被解开。

Circle 最新发布的这篇后量子安全路线图论文《Circle’s Post-Quantum Security Roadmap》讨论的正是这个问题。它的核心判断很直接：今天区块链广泛依赖的椭圆曲线密码学，包括 ECDSA、Ed25519、BLS，一旦遇到足够强的量子计算机，就会失效。更麻烦的是，在 EVM 链上，账户首次广播交易时通常会暴露公钥；在比特币等链上，已花费过、复用过或以特定脚本形式暴露公钥的地址，也会进入类似风险区间。

论文作者阵容也显示，这不是一篇普通的科普文章。作者包括 Circle 首席软件工程师 Mira Belenkiy、Circle 研究工程师 Duc V. Le、Circle 首席经济学家 Gordon Liao、Circle 产品安全首席安全工程师 Vipin Singh Sehrawat、研究工程师 Dragos Rotaru，以及 Axelar 网络最初开发方 Interop Labs 联合创始人、现属 Circle 的 Sergey Gorbunov 等多位 Circle 工程师；同时，斯坦福大学应用密码学领域的代表性学者 Dan Boneh 也参与署名。

这篇论文最重要的地方，不在于「量子计算会不会毁掉加密货币」这种恐吓式叙事，而在于它把问题拆成了一个现实的工程迁移问题。Circle 认为，后量子迁移不是一次升级按钮，而是一场跨钱包、智能合约、托管、云服务、验证者、监管规则的「长期搬家」。

论文列出了区块链面对量子攻击的几类风险。

第一类是账户伪造。只要地址公钥已经暴露，未来量子攻击者就可能恢复私钥，直接伪造交易。论文援引 Project Eleven 的 Bitcoin RisQ Metrics 称，已有数百万个有余额地址暴露在量子风险下，其中估计包括约 1400 万个比特币地址。

第二类是「先收集、后解密」风险：攻击者今天先把加密数据存下来，等未来量子计算成熟后再解密。

第三类是共识层风险，验证者签名密钥如果被恢复，可能带来双签、审查、甚至历史重写。第四类是网络层风险，P2P 通信、RPC over TLS 等依赖传统密钥交换的部分也需要升级。

Circle 的三阶段迁移路线图

Circle 给出的路线图不是简单地把一个签名算法换成另一个算法，而是分成「现在准备、混合过渡、最终切换」三步走。每一步对应的风险优先级不同：隐私数据要最先保护，账户和智能合约要逐步迁移，共识和基础设施则要等生态、硬件和标准更成熟后完成切换。

攻击类型及 Arc 路线图中的应对阶段，来源：Circle 后量子安全路线图论文

第一阶段是「现在准备阶段」。这一阶段的目标不是立刻废掉 ECDSA，而是先给开发者和用户留出迁移通道。Arc 会在主网上支持 SLH-DSA-SHA2-128s 后量子签名验证，让智能账户可以在链上验证后量子签名。通俗地说，Arc 先给智能合约装上一个能识别新锁的门禁系统，但原生交易签名短期内仍保留 ECDSA，因为后量子签名体积更大、验证更慢，会影响吞吐和用户体验。

与此同时，Arc 会支持用 X-Wing HPKE 加密交易 memo，并通过隐私执行环境保护交易内容、合约状态和执行痕迹。Circle 把这部分放在前面，是因为「今天被记录、未来被解密」的隐私风险不可逆，签名可以日后升级，但已经泄露的数据不能重新变回私密。

在账户层，Circle 还提出了几种过渡工具。比如通过 EIP-4337 账户抽象，让智能账户验证后量子签名；通过 hash-and-rotate 方案，只在链上保存公钥哈希，尽量缩短公钥明文暴露窗口；通过后量子公钥注册表，让用户提前把地址和后量子公钥绑定起来。这些设计的共同目标，是让用户不必等到底层协议完全改造完成，也能先把账户迁移准备做起来。

第二阶段是「混合过渡环节」。这一阶段最现实，也最复杂。USDC 智能合约会在一段时间内同时支持传统签名和后量子签名，等生态准备好后，再通过预留机制关闭经典签名。Circle 还计划把冷存储资金迁移到多签智能合约，以便同时兼容不同链、不同后量子签名算法的迁移节奏。由于 USDC 智能合约部署在 30 多条链上，它面对的不是单链升级问题，而是多链生态各自选择算法、各自设定时间表带来的碎片化问题。

论文特别强调 ecrecover 的难题。大量 EVM 合约用 ecrecover 验证 ECDSA 签名，但这些合约很多已经不可升级。如果简单禁用 ecrecover，会破坏大量存量应用；如果继续让它运行，又会留下量子伪造风险。Circle 提出一种有前景的可能方案，即通过硬分叉在协议层修改 ecrecover 的行为，让它在保持旧 ABI 的同时支持后量子签名。这个方案的现实意义很大，因为它不是只服务新合约，而是在试图给已经部署、难以修改的老合约留一条迁移路径。

过渡阶段还包括更底层的基础设施更新。Circle 需要盘点内部密码学栈，评估云服务商、HSM、KMS、TEE、libp2p、TLS 等依赖是否具备后量子准备能力，并按正确顺序轮换密钥。论文特别提醒，如果密钥 A 保护密钥 B，密钥 B 又保护密钥 C，那么必须先轮换 A，再轮换 B，最后轮换 C。顺序错了，即便换上了后量子算法，也可能让过去被截获的加密材料在未来暴露。

第三阶段是「最终切换」。当生态、监管、硬件钱包、云服务商和区块链基础设施都准备好后，Circle 才会执行真正的硬切换。届时，Arc 和 USDC 智能合约可能拒绝 ECDSA 签名，验证者签名也会迁移到后量子方案；如果某些承载 USDC 的链长期无法达到足够的后量子安全要求，Circle 甚至可能考虑暂停部分合约功能或撤回支持，以避免用户资产暴露在量子伪造风险中。

旧账户怎么办，才是最难的问题

但最终切换也会带来最棘手的问题：未迁移账户中的资产怎么办？Circle 的态度是，冻结不安全账户是为了防止盗窃，不应自动等同于没收资产。换句话说，「停止旧签名控制权」和「否认资产持有人的经济权益」必须分开处理。因此，论文把账户恢复放在很重要的位置，包括迁移到 Arc、通过助记词和零知识证明恢复、通过 TEE 证明恢复，以及在有限情况下通过链下法律文件、托管方证明、交易所证明或遗产文件恢复。

这就引出论文里很重要的政策问题：账户恢复。量子时代到来后，传统签名本身不再能证明所有权，KYC 也未必能证明一个匿名地址属于谁。Circle 认为，监管机构需要提前明确：迁移截止前应如何通知用户，什么证据足以证明资产归属，冻结资产多久后算无人认领，遗产、制裁、反洗钱、法院命令等规则如何适用。论文判断，行业可能还有 5 到 10 年窗口来制定这些规则。

这篇论文还有一个冷静判断：过快迁移也可能带来更大风险。比如企业现在用 HSM 保护私钥，如果为了赶上后量子签名，仓促把密钥导出到普通 CPU 上签名，反而更容易被传统黑客攻击偷走。Circle 的态度是，后量子迁移要早准备，但不能为了「看起来安全」而降低当前安全性。

通俗地说，Circle 不是在说「量子计算机明天就会攻破区块链」，而是在说：金融基础设施不能等到门锁被证明失效后才开始换锁。尤其是 USDC 这种跨 30 多条链运行的稳定币，真正的难点不只是选一个新算法，而是让钱包、合约、托管、验证者、云服务商、监管和用户一起完成迁移。

量子攻击尚未真正落地，但迁移成本已经摆在眼前。