币圈界报道:

比特币后量子演进:ZK STARKs能否引领安全升级浪潮?

StarkWare联合创始人Eli Ben-Sasson指出,采用基于哈希的零知识证明——即ZK STARKs,是应对比特币量子威胁、同时支撑大规模应用的最优解。他进一步透露,Blockstream创始人大卫·巴克也对这一方向持认可态度。

核心安全架构需兼顾效率与可扩展性

尽管近期因提议将比特币年通胀率上调至4%引发争议,相关讨论未获广泛支持,但其在密码学领域的权威地位依然稳固。作为STARKs技术的共同发明者,他所主导的Starknet项目已规划分阶段实现量子安全的路线图。

大体积签名压缩:ZK STARKs的核心价值所在

当前美国国家标准与技术研究院(NIST)批准的后量子签名方案,其数据体积较现行的ECDSA与Schnorr签名扩大10至100倍。若直接引入,可能导致网络处理速度降至每秒不足一笔交易。而通过将区块内所有大型签名整合为单一微小的ZK STARK证明,不仅可大幅降低存储负担,甚至能使整体运行效率超越现有水平。

Ben-Sasson强调:“若禁止使用ZK STARK聚合机制,无异于回避根本挑战。真正的瓶颈在于‘是否人人都能顺畅使用比特币’。要达成这一目标,必须依赖签名聚合等高效手段,单纯扩大区块容量无法解决根本问题。”

替代路径:区块扩容的可行性与代价

PostQuantum.com作者、Applied Quantum创始人Marin Ivezic分析称,尽管SegWit已减轻大签名影响约75%,但针对NIST的ML-DSA-44方案建模显示,区块容量将从当前的2500至3000笔骤降至500至700笔。这正是区块大小之争的本质。

虽然增加区块大小被视为直接工程方案,但2017年的分裂教训仍历历在目:该做法加剧节点硬件门槛,提高运营成本,被批评为可能推动网络中心化。此外,Blockstream Research虽在推进如SHRINCS和SHRIMPS等轻量级签名方案,但其在恢复场景下的体积膨胀仍存隐患,且尚未成熟,难以独立支撑大规模部署。

ZK聚合:效率与去中心化的双赢选择

ZK证明聚合不仅提升吞吐量,更有助于维持网络去中心化。其原理在于无需披露全部信息即可验证某项声明的真实性——例如,可证明知晓保险柜密码而不泄露密码本身。

技术实现上,单个区块仅需生成一次证明(冗余备份可选),所需设备成本远低于专业矿机。据Lean Ethereum规范,证明设备成本控制在10万美元以内,可在家庭环境中运行;而验证过程几乎可在任何终端完成,包括树莓派等低功耗设备。

Ben-Sasson表示,早期比特币开发者格雷格·麦克斯韦尔与迈克·赫恩均高度评价ZK STARKs的后量子安全性及无可信设置特性。他认为,即使在意见分歧较大的情况下,比特币核心开发者卢克·达什杰尔与大卫·巴克也私下表达过对该技术的支持。“我亲耳听他们提及,他们看好并愿意探索相关应用。”尽管媒体联系巴克未获回应,但其潜在态度值得关注。

技术落地的政治现实与路径依赖

以太坊研究员贾斯汀·德雷克公开呼吁将Lean Ethereum的ZK聚合方案推广为行业标准,但其政治可行性存疑。考虑到比特币生态的保守性,最可行的技术入口或许是重新启用中本聪原代码中的OP_CAT操作码——一个曾被移除的九行指令。

Ben-Sasson认为,此举将使比特币重拾原始愿景,实现对STARK证明、签名聚合与后量子安全的全面支持。尽管此前曾有数月热度,但近期动力趋于平缓。

未来演进:共识层升级的长期挑战

更具前瞻性的提案包括专用于验证STARK的OP_STARK_VERIFY操作码,以及由BIP-360合著者伊森·海尔曼提出的BitZip方案——将比特币签名与公钥聚合成一个统一的STARK证明。

海尔曼指出,实现方式有两种:一是添加通用操作码构建类ZK Rollup系统,二是直接在共识层集成STARK验证能力。其他辅助方案如CISA也可能提供一定帮助。

治理困境拖慢技术进程

Ivezic直言,阻碍进展的并非技术能力,而是治理僵局。尽管Ben-Sasson的密码学基础坚不可摧——基于纯哈希假设、无需可信设置,数千个签名可压缩为极小证明,但比特币脚本目前无法验证STARK,且生产级验证器带来的共识复杂度极高。

“即便一个小小的OP_CAT都历经多年争论,真正意义上的共识层验证器,现实来看至少要到2030年代才可能进入讨论范畴。”

相较之下,以太坊计划于2029年完成向后量子时代的过渡,而Solana也在积极测试后量子签名。StarkNet凭借账户抽象与智能钱包架构,使其升级路径极为灵活,无需用户手动迁移,具备显著优势。因此,Ben-Sasson判断,其他链的后量子转型将面临巨大挑战。