闪电网络并没有“无助地崩溃”

几周前，乌迪·韦特海默 (Udi Wertheimer) 的一篇帖子成为加密媒体的头条新闻，其鲜明的主张是：闪电网络在后量子世界中“无助地崩溃”，其开发人员对此无能为力。标题传播得很快。对于已经在闪电网络上建立了真正的支付基础设施或正在评估它的企业来说，其影响是令人不安的。

它应该得到谨慎的回应。

Wertheimer 是一位受人尊敬的比特币开发者，他的潜在担忧是合理的：量子计算机如果变得足够强大，将对比特币和闪电网络所依赖的加密系统构成真正的长期挑战。这部分是正确的，比特币开发社区已经在认真研究它。但闪电网络“无助地崩溃”的说法掩盖了更多的内容，而做出基础设施决策的企业应该有更清晰的认识。

韦特海默的正确之处

闪电通道要求参与者在开通支付通道时与交易对手共享公钥。在存在密码相关量子计算机 (CRQC) 的世界中，获得这些公钥的攻击者理论上可以使用 Shor 算法导出相应的私钥，并从中窃取资金。

这是闪电网络工作原理的真实结构属性。标题遗漏了什么

这种威胁比“你的闪电网络余额可能被盗”要具体得多，也更有条件。

首先，通道本身在打开时受到哈希保护。资金交易使用 P2WSH（Pay-to-Witness-Script-Hash），这意味着只要通道保持开放，2-of-2 多重签名安排内的原始公钥就会隐藏在链上。闪电支付也是基于哈希的，通过 HTLC（哈希时间锁定合约）进行路由，HTLC 依赖于哈希原像揭示而不是暴露的公钥。被动观察区块链的量子攻击者无法看到他们所需的密钥。

现实的攻击窗口要窄得多：强制关闭。当通道关闭并且承诺交易在链上广播时，锁定脚本首次公开可见，包括 local_delayedpubkey（标准椭圆曲线公钥）。根据设计，广播该消息的节点无法立即领取资金：CSV（CheckSequenceVerify）时间锁（通常为 144 个区块（约 24 小时））必须首先到期。

在后量子场景中，观察内存池的攻击者可以看到承诺交易已确认，提取现在公开的公钥，运行 Shor 算法来导出私钥，并尝试在时间锁到期之前花费输出。强制关闭时的 HTLC 输出会创建额外的窗口，有些短至 40 个区块，大约六到七小时。

这是一个真实且特定的漏洞。但这是一场与攻击者的计时竞赛，攻击者必须在固定的窗口内积极解决现有最难的数学问题之一，以获取他们想要窃取的每个输出。它并不是同时对每个闪电钱包进行被动、无声的消耗。

量子硬件现实检验

这是很少成为头条新闻的部分：与密码学相关的量子计算机今天并不存在，而且我们现在的位置和我们需要的位置之间的差距是巨大的。

破解比特币的椭圆曲线密码学需要使用数百万个长期运行的稳定、纠错逻辑量子位来求解 256 位密钥（大约 78 位数字）上的离散对数。在实际量子硬件上使用 Shor 算法分解的最大数字是 21 (3 × 7)，这是在 2012 年借助重要的经典后处理辅助实现的。最近的记录是 90 位 RSA 数字的混合量子经典因式分解，这是令人印象深刻的进步，但仍然比破解比特币实际所需的小约 2⁸³ 倍。

谷歌的量子研究是真实的，值得关注。认真的研究人员讨论的时间表范围从 2020 年代末的乐观估计到 2030 年代或更久的更保守的预测。这些都不是“您的闪电网络余额今天面临风险”。

开发社区并没有坐以待毙

韦特海默认为闪电网络开发者“无助”的框架也与实际情况不符。仅自 12 月以来，比特币开发社区就提出了超过 5 个严肃的后量子提案：SHRINCS（324 字节基于哈希的状态签名）、SHRIMPS（跨多个设备的 2.5 KB 签名，大约比 NIST 标准小三倍）、BIP-360、Blockstream 基于哈希的签名论文，以及 Tapscript 中针对 OP_SPHINCS、OP_XMSS 和基于 STARK 操作码的提案。

正确的框架并不是闪电损坏且无法修复。与所有比特币一样，也与大多数互联网的加密基础设施一样，闪电网络需要基础层升级才能具有量子抗性，并且