量子安全钱包设计如何通过一次性密钥和账户抽象保护以太坊用户

研究人员提出了一种新的量子安全钱包架构，利用现有的以太坊工具来缓解未来的量子攻击，而无需修改共识机制或签名原语。

量子风险对以太坊钱包和ECDSA的影响

量子计算对椭圆曲线密码学的威胁正变得越来越具体，尽管目前还不存在具有实际密码学意义的量子计算机。然而，Shor算法已经展示了其高效解决离散对数问题的能力，从而可以破解ECDSA。

以太坊基金会已启动专门的后量子研究项目，并制定了更广泛的PQ路线图。此外，生态系统中的开发者也在探索可以在大规模量子硬件到来之前增强以太坊安全性的替代方案。

在以太坊上，未曾发起交易的外部拥有账户（EOA）实际上具有量子抗性，因为其公钥隐藏在哈希之后。话虽如此，一旦EOA签署交易，公钥就会在链上永久暴露，从量子抗性的角度来看，该地址实际上已被“烧毁”。

当前后量子签名努力的局限性

一些项目旨在将后量子签名方案引入EVM，Falcon和Poqeth是其中的代表。这些解决方案对于长期安全至关重要。然而，链上验证仍然成本高昂，每次Falcon验证的Gas消耗超过100万，而基于哈希的签名目前大约在20万Gas左右。

如果未来EIP-8051和EIP-8052等提案被加入到EVM中，这些成本可能会降低。此外，Gas效率并非唯一障碍：标准化、与硬件钱包的集成以及对抗经典密码攻击的实战抵抗能力，仍然是任何新ETH签名标准面临的挑战。

即使一种稳健的后量子签名在技术上已准备就绪，标准化仍需时间，完全取代ECDSA还需要协议层面的变更。与其完全废弃ECDSA，不如采用本文所述的设计，使每个ECDSA密钥仅用一次，作为一次性密钥。

通过短暂密钥对实现量子安全

核心思想利用账户抽象，将用户的持久身份与签名密钥分离。智能合约钱包保持静态链上身份，而授权签名者地址在每次交易后轮换，有效创建短暂的密钥对。

该设计不会阻止量子计算机恢复与过去交易相关的私钥，但确保任何被恢复的密钥对未来操作毫无用处，因为智能合约钱包已切换到新的签名者。

基本流程简单，符合智能合约钱包的逻辑。同时，它仅依赖现有基础设施，无需修改以太坊的底层协议规则。

交易流程与ECDSA密钥轮换

提议的方案每笔交易遵循以下四个步骤：

用户在其userOp的calldata中添加新地址。

智能合约钱包验证userOp并检查当前签名者。

如常执行userOp，例如进行代币转账。

最后，智能合约钱包将授权签名者更新为新地址。

交易完成后，即使恢复了旧私钥，也无法再次为该钱包签名任何有意义的内容。只有新地址存储在智能合约钱包中，且仅显示由哈希派生的值，保持新密钥的量子抗性，直到下一次交易。

实际操作中，可以通过使用BIP44派生路径生成新地址序列，提升用户体验。这种方法已在广泛使用的钱包中成为标准，既降低了实现复杂度，又实现了自动ECDSA密钥轮换。

在以太坊上的实际实现

该架构可以通过对基础的SimpleWallet设计进行微调实现。只需添加解析calldata中下一签名者地址的逻辑，以及更新智能合约钱包所有者的函数。

已有概念验证实现，证明即使用户操作失败，签名者轮换仍可完成。此外，这解决了一个关键问题：如果轮换仅在成功时进行，回滚交易仍会暴露当前签名者，导致钱包脆弱。

目前的实现显示，ERC20转账的Gas成本约为136k单位，比在同一链上标准转账的成本低不到10万Gas。这个开销远低于目前链上验证大部分后量子签名的成本。

成本分析与账户抽象的以太坊优势

单独实现签名者轮换逻辑的Gas成本，在基于账户抽象的钱包中甚至更低，在复杂的DeFi交互中几乎可以忽略不计。此外，用户还可以享受以太坊账户抽象带来的所有优势，如批量操作和灵活的验证规则。

由于钱包地址保持不变，而签名者不断变化，这一设计为dapp、浏览器和交易对手提供了稳定的链上身份。这也意味着安全模型发生了变化：用户必须确保其密钥生成和存储方式能安全应对持续的密钥轮换。

利用社交恢复机制进行密钥轮换

另一种实现类似行为的方法是利用许多智能合约钱包中已有的社交恢复功能。除非有特定限制，否则用户可以将自己的地址设为恢复守护人，并在每次交易后触发恢复流程。

这种方法通过恢复逻辑实现控制权的轮换，但会带来略高的Gas成本，因为本用于应急恢复的机制被用于日常操作。好处是用户可以在不部署定制链上架构的情况下，采用这种量子感知的结构。

实验表明，这种基于恢复的操作额外Gas成本约为30k，而不使用恢复的基础架构总开销约为110k Gas。此外，钱包开发者可以根据安全性和用户体验的优先级调整这些参数。

内存池暴露风险与剩余漏洞

作者承认一个关键漏洞：在交易确认前的等待期间，用户的公钥在内存池中可见，具有量子能力的攻击者理论上可以在此期间恢复私钥并抢先执行交易。

考虑到目前的量子能力，这一场景暂时不令人担忧，因为攻击者的计算时间非常有限。然而，为了最大程度地保守，可以通过私有内存池路由交易，几乎完全消除此类泄露风险。

此外，在Layer 2网络部署此架构也有助于降低风险。L2通常确认时间更短，排序机制不同，减少了公钥暴露给攻击者的窗口期。

在更广泛的后量子缓解策略中的定位

该设计应被视为以太坊后量子缓解措施的补充工具。它并不试图成为绝对最安全的量子钱包，也不能取代协议中对原生后量子签名的长期需求。

它解决了一个特定的弱点：Shor算法在执行层面可能导致的长期公钥暴露。此外，它仅依赖现有基础设施和熟悉的智能合约模式，无需等待新的EIP或签名标准的推出即可部署。

以太坊上量子安全交易的前景

该量子安全钱包方案通过每笔交易后轮换ECDSA密钥对，同时保持钱包地址的稳定，实现了执行层的量子安全。无需协议变更，额外增加的Gas成本约为100k左右，仅为当前后量子验证成本的一小部分。

它不会取代未来的后量子签名方案，这些方案对于以太坊的长期完整解决方案仍然至关重要。然而，通过消除长期公钥暴露，它提供了一种实用的、渐进的防御措施，用户和钱包开发者可以立即采用，剩余的内存池泄露风险也可通过私有内存池得到最大缓解。