He estado investigando más sobre mecanismos de actualización post-cuántica, especialmente aquellos que no requieren un cambio de dirección. Las cadenas EdDSA que siguen el RFC-8032 (estilo Ed25519) tienen una ventaja incorporada. Tu clave de firma no es un escalar aleatorio crudo, se deriva de manera determinista de una semilla corta mediante hashing. Eso significa que puedes probar que conoces la semilla (en una prueba ZK a prueba de cuántica) y vincular una nueva clave post-cuántica a la misma dirección. No hay movimientos de fondos ni nuevos datos de curva en la cadena. Incluso las cuentas inactivas pueden actualizarse si existe la semilla. Esto cubre cadenas como Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum no tienen esa invariante por defecto porque muchas claves ECDSA provienen de "simplemente elegir un escalar aleatorio". Pero hay un camino posible para grandes cohortes que utilizan BIP-39 → BIP-32 con caminos bien definidos. Puedes probar esa derivación exacta y vincular una clave post-cuántica sin mover fondos. Pero, es específico de la billetera y puede ser complejo: - El PBKDF2-HMAC-SHA512 de BIP-39 (2048 rondas) es costoso en ZK - BIP-32 añade HMAC-SHA512 y matemáticas secp256k1 dentro del circuito Aún así, para caminos comunes (por ejemplo, Ethereum m/44’/60’/0’/0/x), puede ser factible. Generalmente hay dos patrones de implementación: 1. Prueba única + mapeo: publica una prueba una vez y registra dirección → clave post-cuántica. A partir de entonces, firmas post-cuánticas para esa dirección. 2. Prueba por transacción: cada transacción lleva una única prueba que vincula la semilla a la dirección y autoriza el mensaje. Sin estado, pero cada verificador debe comprobar la prueba. Esto puede descartar muchas cadenas dado el costo de rendimiento de verificar la prueba por tx. Por qué esto funciona: el algoritmo de Shor rompe los logs discretos (por lo que los sistemas de clave pública como ECDSA/EdDSA fallan una vez que se expone la clave pública). El algoritmo de Grover solo proporciona una aceleración cuadrática para las preimágenes de hash. Así que si tu clave privada se deriva de una semilla a través de un hash fuerte (por ejemplo, SHA-512), la semilla permanece oculta incluso si una máquina futura recupera la clave de hoy. Esa es la razón por la que el diseño "semilla primero" en EdDSA ayuda. Además, no necesitas un hard fork para comenzar. Antes del Día Q, también puedes vincular identidades sin ZK mediante la firma cruzada de la dirección heredada y la clave post-cuántica en ambas direcciones y anclándola en el tiempo. Eso es lo que construimos con yellowpages. En la publicación desgloso la mecánica, lo que puedes ahorrar hoy en cadenas EdDSA, lo que puedes ahorrar de manera realista en ECDSA, las compensaciones de pruebas únicas frente a pruebas por tx, y los límites que deberías considerar (manejo de semillas, protección contra repetición, costo de prueba). Escrito completo a continuación.