开始前先做个小预告：
· 12月13日下午14:00-16:00 在杭州良渚大屋顶会有一场《数字世界生存指南》线下读书分享会，我们的好朋友雨白老师会来现场支持，Will老师也会在线上和大家见面~
· 元旦后（暂定1月9-11日）在新加坡跳海和大家线下见个面~

本期节目我们来深入探讨一下加密领域的最大威胁——量子计算。从以太坊创始人Vitalik Buterin在开发者大会上发出的紧急警告：能威胁现代密码学的量子电脑，有20% 几率在2030年前出现。所以以太坊抗量子升级必须提前到2028年完成。
年初《文理》科技八大预测（第66期，今年1月7号），不是说还早着吗？至少10几年，怎么突然提前了？本期就来和大家系统剖析一下量子计算破解加密算法的底层逻辑：量子计算真的是威胁吗？对谁是威胁？
最后再延伸讨论一下预测市场（主要是Polymarket）的操纵风险——Coinbase CEO在财报会议上引发的大无语争议事件。
 
时间戳：
[00:01:30 ] 新书发布与活动预告：杭州、新加坡
[00:07:20 ] 比特币暴跌因为量子计算2030年实现破解加密？
[00:11:10 ] 量子计算破解加密的两条路径
[00:17:38 ] 比特币vs以太坊：谁更危险？
[00:24:30 ] 比特币的正确使用方式："狡兔三窟"
[00:31:49 ] 以太坊的抗量子升级方案，有用吗？来得及吗？
[00:42:28 ] 硬分叉：最后的“耍赖”保底手段
[00:45:41 ] 量子计算对现实世界还有其他威胁吗？比如你的银行密码？操纵金融市场？核武器密码？基因破解？
[00:54:55 ] Coinbase CEO“操纵”polymarket？预测市场的操纵悖论
[01:00:30 ] 市场行为还是监管漏洞？

剪辑：小碗
 
文字稿：
01
量子计算引发的加密货币恐慌
2024年末，加密货币市场经历了一场剧烈震荡。比特币从10月初创下的12.6万美元历史高点，在短短两个月内暴跌至8.6万美元，蒸发了4万美元的市值。这场跌幅的导火索，并非传统的宏观经济因素或监管压力,而是来自一个看似遥远的科技领域——量子计算。
在以太坊开发者大会DevConnect上,创始人Vitalik Buterin发出了一个令人震惊的警告。他引用预测市场Metaculus的数据指出,威胁现代密码学的量子计算机有20%的概率在2030年之前出现。基于这一预测,他宣称以太坊的抗量子升级必须在2028年之前完成。这个时间表的紧迫性远超市场预期——距离现在仅剩两年多时间。
这一警告之所以引发如此强烈的市场反应,是因为它触及了加密货币领域最根本的安全基石。从比特币诞生之日起,密码学就是保护私钥安全、确保资产不被盗取的唯一屏障。而量子计算的突破,可能意味着这道屏障的坍塌。
回顾年初的科技八大预测节目,量子计算的威胁就已被提及,但当时的普遍判断是这个威胁至少在十几年后才会成为现实。然而短短一年内,行业氛围发生了180度转变。Google的量子芯片Willow和最新的量子算法突破,让这个原本遥远的威胁变得迫在眉睫。市场的恐慌情绪瞬间蔓延,投资者纷纷抛售比特币,试图规避潜在风险。
然而,当我们深入理解量子计算破解加密算法的原理后,会发现一个令人意外的真相:这场恐慌可能打错了对象。

02
量子计算的双刃剑:哈希与椭圆曲线
要理解量子计算对加密货币的真正威胁,首先需要厘清量子计算机攻击密码学的两条截然不同的路径。
第一条路径是攻击哈希函数。哈希函数是密码学的基础工具,它能将任意长度的数据转换为固定长度的随机数,且这个过程不可逆——你无法从哈希值反推出原始数据。量子计算机确实具备一定的哈希攻击能力,但这种能力相当有限。具体来说,量子计算可以将破解难度降低一半,比如将2的128次方的破解难度降至2的64次方。
这听起来似乎很可怕,但实际影响有限。如果2的64次方的难度量子计算机能在一秒内破解,那么2的128次方可能仍需要数十万年。应对方法也很简单:只需将密码长度从2的128次方扩展到2的256次方,量子计算机就又需要数百亿年才能破解了。因此,哈希函数对量子攻击具有天然的防御能力——只要不是二把刀程序员编写的哈希实现,就能通过简单扩展长度来抵御量子威胁。
第二条路径才是真正的关键:攻击椭圆曲线加密算法。这也是比特币、以太坊等加密货币采用的核心加密方式。椭圆曲线加密属于非对称加密,其原理是利用一个复杂的数学方程,通过公钥和私钥的配合生成签名。用户可以用公钥验证签名的有效性,但无法从公钥反推出私钥。
这里出现了一个关键的技术细节:量子计算机在破解椭圆曲线方面具有压倒性优势。原因在于量子计算的底层原理——利用量子干涉发现算法中的周期性。椭圆曲线方程恰好具有显著的周期性特征,这使得量子算法能够高效地从公钥反推私钥。
这也解释了为什么从中本聪创建比特币开始,量子计算就被视为加密货币的头号威胁。量子计算机并非万能的超级计算机,它能解决的问题范围其实很窄,但椭圆曲线加密偏偏就在它的能力范围之内,就像是为量子计算量身定制的攻击目标。
理解这两条路径的区别至关重要,因为它直接决定了不同加密货币面临的风险程度。而接下来的分析将揭示一个颠覆性的结论。

03
“意外”的真相:比特币比以太坊更安全
当量子计算威胁成为现实,人们的第一反应往往是:加密货币的末日来了,所有人的资产都将被洗劫一空。然而事实远比这个简化的判断复杂得多。一个反直觉的结论是:量子计算机对以太坊的威胁远大于比特币,而中本聪的100万枚比特币几乎不可能被破解。
这个结论的关键在于公钥暴露机制的差异。量子计算机破解椭圆曲线的前提是必须知道公钥——有了公钥,才能通过量子算法反推私钥。而比特币的地址并不是公钥,而是公钥经过两次哈希运算后的结果。由于哈希函数的不可逆性,即使量子计算机再强大,也无法从比特币地址反推出公钥。
只有当比特币用户用私钥签名进行交易时,公钥才会暴露在区块链上。这是因为签名验证需要公钥参与。一旦完成一次交易,这个地址的公钥就永久性地记录在链上,成为量子计算机的攻击目标。
这就引出了比特币安全性的核心原则:从未进行过任何交易的地址是安全的。中本聪的钱包地址正是如此——那100多万枚比特币从未转出过,公钥从未暴露,因此即使量子计算机能够破解椭圆曲线,也无从下手。要破解中本聪的钱包,量子计算机必须先攻破两层哈希函数,而这在可预见的未来几乎不可能实现。
相比之下,以太坊的处境就危险得多。以太坊采用账户模型,每个地址就像一个银行账户,用户会频繁使用同一个地址进行各种操作——存款、借贷、交易、参与DeFi协议等。只要进行过一次签名操作,公钥就会暴露。而且由于DeFi协议的限制,用户往往无法频繁更换地址。
这意味着以太坊上99%的活跃地址都已经暴露了公钥,成为量子计算机的潜在攻击目标。一旦具备破解能力的量子计算机出现,这些地址中的资产都将面临被盗风险。这就是Vitalik如此紧迫地推动抗量子升级的根本原因。
这个发现也解释了一个市场异象:当量子威胁的新闻传出时,恐慌性抛售的主要是比特币,但真正应该担心的其实是以太坊。市场的反应方向可能完全错了。

04
比特币老炮的生存智慧:狡兔三窟
理解了公钥暴露的风险后,就能理解为什么比特币社区的老玩家一直遵循一个看似繁琐的原则:每个地址只使用一次。
比特币采用UTXO模型,类似于现金交易。假设你有1个BTC,想转给别人0.1个BTC,剩下的0.9个BTC该怎么办?大多数懒人用户的做法是把找零转回原地址。这种做法虽然方便,但在量子计算威胁下是不安全的——因为你已经用这个地址签过一次名,公钥已经暴露。
正确的做法是:在转账前先创建一个全新的比特币地址,然后在转账时将0.9个BTC的找零发送到这个新地址。原地址完成这笔交易后就彻底废弃,因为里面已经没有余额了。这样,即使量子计算机破解了已废弃地址的私钥,也找不到任何资产可以盗取。
这就是狡兔三窟策略在密码学领域的应用。每次交易都换一个新洞穴,让捕猎者永远无法锁定目标。虽然这种方式需要管理多个地址,对用户体验有一定影响,但它提供了对抗量子威胁的天然防护。
中本聪和早期比特币开发者从一开始就推荐这种使用方式,可能并非偶然。他们在设计比特币时就考虑到了量子计算的潜在威胁,UTXO模型本身就为一次性地址策略提供了便利。相比之下,以太坊的账户模型虽然在用户体验上更直观,但在安全性上却埋下了隐患。
这种差异也反映了两种设计哲学的根本分歧:比特币追求极致的安全性和去中心化,即使牺牲一些便利性;以太坊则更注重功能性和可用性,希望成为去中心化应用的平台。在量子时代来临之际,这种哲学差异的后果开始显现。

05
以太坊的反击:账户抽象与零知识证明
面对量子威胁,以太坊并非束手无策。虽然账户模型的设计使其天然容易暴露公钥,但以太坊社区正在开发一系列创新方案,试图在不改变用户体验的前提下解决这个问题。
核心思路是:如何在签名交易时不暴露公钥?这听起来像个悖论——签名验证本来就需要公钥参与,怎么可能不暴露?答案在于引入中间层。
一种方案是代理账户模式。用户发起交易时,不直接用自己的私钥签名,而是将资金转到一个临时的代理账户或智能合约。这个转账过程的签名不需要公开给全网,因此用户的公钥不会暴露。代理账户再代表用户完成实际的转账操作,这时虽然代理账户的公钥会暴露,但交易完成后这个账户就可以废弃了,里面不再有任何资金。
下次交易时,用户只需创建一个新的代理账户,重复这个过程。这样,用户的主账户公钥始终不会暴露,而暴露公钥的代理账户都是一次性的空账户,量子计算机即使破解了也毫无意义。
另一种更优雅的方案是利用零知识证明技术。零知识证明的核心理念是:在不透露某个信息的情况下,证明你拥有这个信息。应用到加密货币场景,就是在不暴露公钥的情况下,证明你拥有对应的私钥,并且这个私钥确实签署了这笔交易。
这些方案的共同特点是:它们与抗不抗量子完全无关。量子计算机是否能破解椭圆曲线,那是密码学家的事;以太坊要做的,是确保公钥不被暴露,让量子计算机无从下手。这是一种升维的防御策略——你的矛再锋利,我不让你看到盾就行了。
更重要的是,这些改进完全由以太坊社区自主掌控,不需要依赖密码学的重大突破。这就是为什么Vitalik有信心在2028年前完成升级——技术方案已经比较成熟,剩下的主要是工程实现问题。
智能合约在这个防御体系中扮演特殊角色。智能合约账户没有私钥,也就没有公钥,天然免疫量子攻击。通过巧妙设计智能合约的交互机制,可以在很大程度上规避公钥暴露的风险。

06
最后的保险:硬分叉的双刃剑
即使有了各种防御方案,以太坊社区还是保留了一个最后的保险措施:硬分叉回滚。这是一个充满争议但不得不准备的后备方案。
设想一个最坏的场景:以太坊计划在2025年9月完成抗量子升级,但在2025年7月,突然有人公布了一台可以破解椭圆曲线的量子计算机,并且已经成功盗取了大量以太坊账户中的资产。这时该怎么办?
硬分叉的方案是:将整个以太坊区块链回滚到6月30日,也就是量子攻击发生之前的状态。然后所有用户需要通过某种方式证明自己确实拥有原来账户的私钥,之后将资产转移到新的抗量子地址中。这个证明过程可能需要用到零知识证明等技术。
这个方案在技术上是可行的,但在实践中充满挑战。最大的问题是:7月1日到7月20日这20天内,以太坊上可能发生了数十亿美元的交易,涉及无数DeFi协议的复杂状态变化。如何处理这些交易?哪些应该保留,哪些应该作废?每个人的损失如何计算和补偿?
更重要的是,硬分叉本质上是一种耍赖行为——承认自己没有及时升级防御措施,导致系统被攻破,只能通过回滚历史来补救。这对以太坊的信誉将是巨大打击,市场会质疑:如果以太坊可以因为量子攻击而回滚,那将来遇到其他问题是不是也可以回滚?区块链的不可篡改性还有什么意义?
因此,硬分叉只能是绝对的最后手段,是在所有其他方案都失败后的无奈之举。以太坊社区的真正目标是在量子威胁成为现实之前完成升级,彻底避免陷入需要硬分叉的境地。
这也解释了Vitalik为何如此紧迫。2028年这个期限不是随便定的,而是基于对量子计算发展速度的保守估计。如果能在2028年前完成升级,就能在量子威胁真正到来之前建立起防御体系,避免最坏情况的发生。

07
量子计算的蝴蝶效应:超越加密货币的威胁
将视野从加密货币扩展到更广阔的领域,会发现量子计算的影响远不止于此。当人们恐慌性抛售比特币时,可能忽略了一个更本质的问题:如果量子计算真的能破解现代密码学,受威胁的绝不仅仅是加密货币。
银行系统的密码、电子支付的安全、政府机构的加密通讯、军事国防系统、核设施的控制系统——现代社会的关键基础设施几乎都依赖椭圆曲线或RSA加密算法保护。量子计算机一旦具备破解能力,这些系统都将面临风险。
金融市场可能首当其冲。华尔街的投行已经在开发量子算法,试图用于预测交易走势。虽然股市走势并非纯粹的数学算法,而是包含大量随机因素和人类行为,但如果量子计算能从历史数据中发现某些周期性规律,就可能获得预测优势。
这种可能性源于傅立叶理论的一个基本原理:任何曲线都可以分解为无数条周期性波动的叠加。股票价格曲线虽然看似随机,理论上也能分解为多条周期曲线的组合。量子计算机的特长恰恰是通过量子干涉发现这些周期性特征。
设想一下:输入股票的历史价格数据,量子计算机通过分析找到其中的主导周期曲线。这条曲线可能不能精确预测股价的具体数值,但能指示股市的上涨和下跌趋势。即使只有这种趋势性预测能力,在金融市场也足以产生巨大优势。
当然,这只是一种理论推演,实际应用面临诸多挑战。股市数据没有明确的算法基础,能否被量子计算有效处理仍是未知数。但这个思考实验揭示了一个重要事实:量子计算的影响范围可能远超我们的想象。
更令人担忧的是生物医学领域。蛋白质结构、基因序列等都包含某种形式的规律性,量子计算可能在破解生命密码方面发挥作用。一旦掌握了操纵基因的能力,后果难以预料——是推动医学进步,还是被滥用于危险实验?
这里涉及一个深刻的哲学问题:生命是否可以被计算?量子力学的奠基人薛定谔在《生命是什么》一书中给出了他的答案:生命是非周期性晶体。他敏锐地意识到,如果生命具有周期性,就可能被量子算法破解和复制。因此,生命必然是非周期的,才能保持其独特性和不可预测性。
从这个角度看,薛定谔的洞见可能至今依然有效:量子计算虽强大,但可能永远无法完全掌控生命的奥秘。生命的非周期性本质,可能是自然演化设置的最后一道防线。

08
预测市场的黑色幽默:当CEO开口变成赌盘
量子威胁的话题源于一个预测市场——Metaculus。这个平台与广为人知的Polymarket有本质区别:它不涉及赌博,参与者预测正确也不会获得金钱奖励,只是为了预测本身。而且Metaculus专注于科学技术领域的预测,比如AI何时实现AGI、核聚变何时商用、量子计算何时突破等。正因如此,Vitalik才会关注并引用其预测结果。
但最近,主流预测市场Polymarket却上演了一出黑色幽默。Coinbase作为美国最大的加密货币交易所,市值超过900亿美元,其CEO Brian Armstrong的财报会议竟然成了赌盘。
在某次财报分析师会议上,Armstrong突然打断讨论,说自己刚收到团队发来的信息,告知Polymarket上有人在赌他会在这次会议上说哪些关键词。他看了一眼预测结果:说Bitcoin的概率92%,说Prediction Market的概率71%,说Web3的概率15%。
Armstrong的反应出人意料:既然你们都下注了,那我干脆就念一遍吧。于是他把那些被押注的词一个个念了出来——Bitcoin、Ethereum、Blockchain、Staking等等。话音刚落,相关合约立即结算,有人大赚,有人巨亏。
这个事件在监管机构引起轩然大波。从定义上看,Armstrong的行为完全符合市场操纵的所有特征:第一,他有能力影响价格;第二,他的行为导致了非自然的价格波动;第三,他是有意为之,明确知道自己的话会触发合约结算。
但问题在于,这种操纵的成本几乎为零——他只是张了张嘴,说了几个词。不需要动用资金,不需要建立头寸,不需要任何交割能力。相比之下,操纵传统商品期货市场需要巨额资金,需要实际的现货交割能力,需要承担巨大风险。
这暴露了预测市场的一个根本性缺陷:当标的物可以被零成本操纵时,市场还有意义吗?如果一句话就能决定两亿美元合约的输赢,这还是正常的市场行为,还是变相的赌博游戏?
更深层的问题是:预测市场何时会反向影响现实世界?假设有人在Polymarket上押注2亿美元,赌Armstrong不会说Bitcoin这个词,那会发生什么?很可能会有人愿意出5000万美元买通Armstrong,让他别说这个词,从而在合约结算中净赚1.5亿美元。
这就形成了一个悖论:预测市场的规模越大,操纵它的激励就越强;而被操纵的市场,其预测价值就越低。这个悖论的本质,是赌注规模与操纵难度之间的不匹配。

09
理性的赌徒还是失控的市场?
从理论上说,预测市场应该会自我平衡。如果某个预测很容易被操纵,理性的参与者就不会在上面下大注。赌注的规模应该与操纵的难度成正比——容易操纵的预测,赌注自然会保持在小规模;难以操纵的预测,才会吸引大额资金。
以比特币价格为例:预测比特币某天的价格是否超过9万美元,这个盘口可以做得很大,因为操纵难度极高,需要巨额资金和市场影响力。这时预测市场就类似于二元期权,可以用来对冲风险。比如你持有比特币现货,担心价格下跌,就可以在预测市场上押注价格低于9万,形成一个简单的对冲策略。
已经有华尔街交易员在使用Polymarket做这种对冲交易。这说明当标的物足够大、操纵成本足够高时,预测市场确实可以发挥类似期货市场的功能。
但问题是:市场并不总是理性的。Armstrong事件表明,即使是容易操纵的预测,也可能吸引巨额赌注。这要么说明参与者低估了操纵风险,要么说明他们本来就把这当成纯粹的赌博游戏,并不在乎预测的准确性。
从监管角度看,这确实构成了一个灰色地带。传统金融市场经过几百年演化,形成了复杂的监管框架,试图在市场自由与防范操纵之间取得平衡。而预测市场作为新生事物,很多行为模式是监管框架未曾预料的。
比如Armstrong念词这件事,在传统市场几乎不可能发生。上市公司CEO在财报会议上的发言有严格规范,不能随意披露信息,更不能明知会影响衍生品价格还故意操纵。但Polymarket不是受监管的期货交易所,Armstrong的发言对象是分析师而非赌徒,从法律上很难界定他的责任。
这种监管真空不可能长久存在。如果预测市场继续扩大,赌注规模继续增长,监管介入只是时间问题。界限可能就在于:当赌注大到足以影响现实世界的决策时,监管就必须介入了。
 

关于《文理两开花》：

《文理两开花》是文科生思维和理科生思维在科技、经济、文化、哲学、货币、数字资产、元宇宙、Web3.0中的碰撞。当下的时代精神是“混沌”，我们试图在混沌中寻找秩序。
Twitter：
@LeiSalin_XP
@Will42W

TG群（开放）：t.me
收听平台：
小宇宙：文理两开花
苹果播客｜Spotify | Google Podcast | 等泛用型平台搜索收听《文理两开花》（文理两开花已经上线苹果播客中国区，可直接搜索收听）
文字稿和延伸阅读：
微信公众号《文理两开花播客》
《文理两开花》newsletter。欢迎订阅：https://wenli.substack.com
其他平台：
即刻：文理两开花
《文理两开花》微信群：请添加坛子微信（WeChat ID: BKsufe），注明：文理两开花



留言告訴我你對這一集的想法： https://open