量子安全錢包設計如何利用短暫密鑰和帳戶抽象來保護以太坊用戶

研究人員提出了一種新的量子安全錢包架構，利用現有的以太坊工具來降低未來量子攻擊的風險，無需修改共識機制或簽名原語。

量子風險對以太坊錢包與ECDSA的影響

量子計算對橢圓曲線密碼學的威脅正變得越來越具體，儘管目前尚未出現具有實用意義的密碼學相關機器。然而，Shor的算法已經展示了它能高效解決離散對數問題，從而破解ECDSA的可能性。

以太坊基金會已啟動專門的後量子研究計畫，並擬定了更廣泛的PQ（Post-Quantum）路線圖。此外，整個生態系統的開發者也在探索替代方案，以在大型量子硬體到來之前鞏固以太坊的安全性。

在以太坊上，從未發送過交易的外部擁有帳戶（EOA）實質上具有量子抗性，因為其公鑰被隱藏在哈希值之後。然而，一旦EOA簽署交易，公鑰就會在鏈上永久暴露，該地址從量子抗性角度來看也就等於被燒毀。

現有後量子簽名努力的限制

一些項目旨在將後量子簽名方案引入EVM，其中Falcon和Poqeth是較為突出的例子。這些解決方案對於長期安全至關重要。然而，鏈上驗證仍然昂貴，每次Falcon驗證的Gas成本超過100萬，而基於哈希的簽名目前約為20萬Gas。

如果未來將EIP-8051和EIP-8052等提案加入EVM，這些成本可能會降低。此外，Gas效率並非唯一障礙：標準化、與硬體錢包的整合，以及經過實戰考驗的抗傳統密碼攻擊能力，仍是任何新ETH簽名標準面臨的挑戰。

即使一個穩健的後量子簽名技術在技術上已準備就緒，標準化仍需時間，完全取代ECDSA也需要協議層面的變更。與其徹底放棄ECDSA，不如採用本文描述的設計，使每個ECDSA密鑰都可一次性使用。

通過短暫密鑰對實現量子安全

核心概念利用帳戶抽象（account abstraction）來將用戶的持久身份與簽名密鑰分離。智能合約錢包保持一個靜態的鏈上身份，而授權簽名者地址在每次交易後輪換，有效地創建了短暫的密鑰對。

此設計並不能阻止量子計算機恢復與過去交易相關的私鑰，但它確保任何被恢復的密鑰對未來操作毫無用處，因為智能合約錢包已經切換到新的簽名者。

基本流程簡單，並自然融入智能合約錢包邏輯。此外，它僅依賴現有基礎設施，無需修改以太坊的底層協議規則。

交易流程與ECDSA密鑰輪換

提議的方案每次交易遵循以下四個明確步驟：

用戶在其userOp的calldata中附加一個新地址。

智能合約錢包驗證userOp並檢查當前簽名者。

如常執行userOp，例如進行代幣轉賬。

最後，智能合約錢包將授權簽名者更新為新地址。

交易完成後，即使恢復了舊私鑰，也無法再次用於簽署任何有意義的操作。只有新地址會存入智能合約錢包，並且只顯示由哈希推導的值，直到下一次交易前都保持量子抗性。

實務上，可以通過使用BIP44派生路徑來生成新地址序列，提升用戶體驗。這種方法已在廣泛使用的錢包中成為標準，實現低成本的自動ECDSA密鑰輪換。

在以太坊上的實作

此架構可通過對基本的SimpleWallet設計進行微小修改來實現。只需加入解析calldata中下一個簽名者地址的邏輯，以及一個更新錢包所有者的函數。

已有一個概念驗證實現，證明即使userOp回退，簽名者輪換仍可完成。此外，這解決了一個關鍵問題：如果輪換僅在成功時進行，回退交易仍會暴露當前簽名者，讓錢包面臨風險。

在現有實作中，範例交易的Gas成本約為136k，與在同一鏈上標準代幣轉賬相比，額外成本不到100k Gas。這遠低於目前鏈上驗證大多數後量子簽名的成本。

成本分析與以太坊帳戶抽象的優勢

僅簽名者輪換邏輯的Gas成本，在結合現有帳戶抽象錢包時甚至更低，且在複雜DeFi交互中幾乎可以忽略不計。此外，用戶還能享受以太坊帳戶抽象帶來的所有好處，如批量操作和靈活的驗證規則。

由於錢包地址保持不變，而簽名者在變，這一設計能為DApp、瀏覽器和交易對手提供穩定的鏈上身份。然而，這也改變了安全模型：用戶必須確保其密鑰生成與存儲方式能安全處理連續產生的新密鑰。

利用社交恢復機制進行密鑰輪換

另一種實現類似行為的方法是重用許多智能合約錢包中已有的社交恢復功能。除非有特定限制，否則用戶可以將自己的地址設為恢復守護人，並在每次交易後觸發恢復流程。

此方法通過恢復邏輯實現控制權的輪換，但會產生較高的Gas成本，因為本用於緊急恢復的機制被用於日常操作。優點是用戶可以在不部署自定義鏈上架構的情況下，採用此量子感知的結構。

實驗顯示，基於恢復的操作額外Gas約為30k，而不含恢復的基線架構總成本約為110k Gas。開發者還可以根據安全性和用戶體驗的優先級調整這些參數。

Mempool暴露風險與剩餘漏洞

作者承認一個關鍵漏洞：在交易被礦工打包前的等待期間，交易在mempool中的暴露風險。在此期間，用戶的公鑰可在mempool中被看到，理論上具有量子能力的攻擊者可以在短時間內恢復私鑰並提前執行交易。

考慮到目前的量子能力，這種情況並不立即令人擔憂，因為攻擊者的計算時間非常有限。然而，若要最大程度保守，將交易通過私有mempool傳遞幾乎可以完全消除此類泄露。

此外，在Layer 2網絡部署此架構也有助於降低風險。L2通常具有較短的確認時間和不同的排序機制，縮短了公鑰暴露的時間窗口。

在更廣泛的後量子緩解策略中的定位

此設計應被視為以太坊後量子緩解措施中的一個補充工具。它並非旨在成為最優的量子安全錢包，也不取代協議中原生後量子簽名的長期需求。

它主要解決一個特定弱點：Shor算法在執行層面上長期暴露公鑰的問題。此外，它僅依賴現有基礎設施和熟悉的智能合約模式，無需等待新的EIP或簽名標準即可部署。

以太坊上量子安全交易的展望

該量子安全錢包方案通過每筆交易後輪換ECDSA密鑰對，實現了執行層的量子安全，同時保持穩定的智能合約地址。它不需協議變更，並在基礎轉賬的基礎上增加約100k Gas，僅為目前大多數後量子驗證成本的一小部分。

它並不取代即將出現的後量子簽名方案，這些方案對於以太坊的長期完整解決方案仍然至關重要。然而，通過消除長期公鑰暴露，它提供了一個實用的、可逐步採用的防禦措施，並且私有mempool能提供最強的剩餘暴露緩解。