我一直在研究更多的後量子升級機制，特別是那些不需要更改地址的機制。 遵循RFC-8032（Ed25519風格）的EdDSA鏈具有內建優勢。您的簽名金鑰不是一個原始的隨機標量，而是通過哈希從一個短種子確定性地派生出來的。這意味著您可以證明您知道種子（在一個後量子安全的零知識證明中），並將一個新的後量子金鑰綁定到同一個地址。沒有資金移動，也沒有新的曲線數據上鏈。即使是休眠帳戶也可以升級，只要種子存在。這涵蓋了像Sui、Solana、NEAR、Stellar、Aptos這樣的鏈。 比特幣/以太坊默認情況下沒有這種不變性，因為許多ECDSA金鑰來自“只需選擇一個隨機標量”。但是，對於使用BIP-39 → BIP-32並具有明確定義路徑的大型群體，存在可能的路徑。您可以證明該確切的派生，並在不移動資金的情況下綁定一個後量子金鑰。但是，這與錢包特定，可能會很複雜： - BIP-39的PBKDF2-HMAC-SHA512（2048輪）在零知識證明中成本高 - BIP-32在電路內部添加了HMAC-SHA512和secp256k1數學 儘管如此，對於常見路徑（例如，以太坊m/44’/60’/0’/0/x），這可能是可行的。 一般來說，有兩種部署模式： 1. 一次性證明 + 映射：發布一次證明並記錄地址 → 後量子金鑰。從那時起，您為該地址簽署後量子。 2. 每筆交易證明：每筆交易攜帶一個單一的證明，將種子與地址綁定並授權消息。無狀態，但每個驗證者必須檢查證明。這可能會排除許多鏈，因為每筆交易驗證證明的性能開銷。 為什麼這有效：Shor算法破壞離散對數（因此公鑰系統如ECDSA/EdDSA在公鑰暴露後失敗）。Grover算法僅為哈希前像提供了平方加速。因此，如果您的私鑰是通過強哈希（例如，SHA-512）從種子派生的，即使未來的機器恢復今天的金鑰，種子仍然保持隱藏。這就是為什麼EdDSA中的“種子優先”設計有幫助。 此外，您不需要硬分叉就可以開始。在Q日之前，您還可以通過在兩個方向上交叉簽名遺留地址和後量子金鑰並將其錨定到時間來綁定身份。這就是我們與yellowpages構建的內容。 在這篇文章中，我詳細分析了機制，您今天可以在EdDSA鏈上節省什麼，您在ECDSA上可以現實地節省什麼，一次性證明與每筆交易證明的權衡，以及您應該關注的限制（種子處理、重放保護、證明成本）。完整的寫作在下面。