Quantus Network 白皮书 v0.3.2

法律免责声明

本白皮书仅供信息参考之用，不构成出售要约、购买要约的招揽，亦不构成对任何证券、投资或金融产品的推荐。读者在做出任何投资决策前，应自行进行尽职调查，并咨询合格专业人士。Quantus Network 不对本文信息的准确性或完整性做出任何陈述或保证。

术语表

• CRQC (Cryptographically Relevant Quantum Computer) 对密码学具有实际影响的量子计算机（或“密码学相关量子计算机”） 指一台容错、规模足够大的量子计算机，能够在合理时间内（如数月内）运行Shor算法破解当前公钥密码（如ECC或RSA）。不同于当前噪声中间规模量子（NISQ）设备，后者尚无法实现密码学级攻击。
• Quantum-resistant / Post-quantum 抗量子 / 后量子 指能抵抗量子计算机攻击的密码学方案（包括NIST标准化的算法）。
• ML-DSA (Module-Lattice-based Digital Signature Algorithm, 前身为CRYSTALS-Dilithium) 模块格数字签名算法（ML-DSA）
• ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism, 前身为CRYSTALS-Kyber) 模块格密钥封装机制（ML-KEM）
• Non-hardened key derivation 非硬化密钥派生 在HD钱包中，指不使用硬化路径的密钥派生方式（依赖代数运算，在格密码学中实现更具挑战）。
• Wormhole Addresses 虫洞地址（或建议备选：跃迁地址 / 聚合地址 / 零知识隧道地址） Quantus特有的ZK聚合地址系统，利用Plonky2证明实现高效后量子交易聚合。
• Check-phrases 校验短语（或人类可读校验短语） 人类可读的地址校验和，基于BIP-39词表生成，用于防范地址错误或投毒攻击。

1. 引言

量子威胁

传统区块链正面临来自 CRQCs 的存在性威胁。区块链的密码学基础依赖于离散对数问题（DLP）的难度，而量子算法（特别是Shor算法）能够以指数级速度更快地求解 DLP。这种漏洞可能使量子攻击者从公钥推导出私钥，从而伪造交易并解密敏感金融数据。

这将导致灾难性的系统性失败。如果不主动进行抗量子升级，万亿美元规模的加密经济将面临由此类攻击导致的突发性贬值风险。

独特价值主张

Quantus Network 以拉丁语”多少”（how much）命名，旨在实现可扩展的、量子安全的、私密货币。Quantus 并非通用智能合约平台。它专注于在少数几件事上做得比其他链更好，就像一家菜品不多但每道菜都做到极致的餐厅，Quantus 提供：

• 所有交易均使用后量子签名

• 用于保护点对点连接的后量子签名和加密（ML-DSA 和 ML-KEM）

• 可扩展的后量子零知识证明

• 高安全性账户，用于防止盗窃并从错误中恢复

• 人类可读的校验短语，便于地址验证

专注于可扩展、量子安全、私密货币的决定，源于 CRQCs 对行业的威胁以及比特币在应对这些挑战上的不足。

2. 区块链面临的量子威胁

量子计算基础

量子计算机利用叠加和纠缠等原理，能够执行传统计算机难以处理的计算。与经典比特（仅为 0 或 1）不同，量子比特（qubits）可同时处于多种状态，从而针对某些问题实现指数级并行。这项能力对区块链金融的密码系统构成存在性风险，因为专为量子硬件开发的算法（如 Shor 算法）破坏了大多数公钥密码的安全假设。

Shor算法由 Peter Shor 于 1994 年提出，为量子计算机上分解大整数和解决离散对数问题（DLP）提供了多项式时间的方法。本质上，它利用量子傅里叶变换（QFT）找到函数周期，从而高效逆转 RSA 或椭圆曲线密码学（ECC）等方案的单向陷门函数。对于区块链金融，这意味着拥有足够强大 CRQC（估计约 2,000 个逻辑量子比特 [6][7][8][9]）的攻击者，可以在多项式时间 O(n³) 内从公钥推导出私钥。这种极端加速将使脆弱的系统在一夜之间实效。[1]

Grover算法由 Lov Grover 于 1996 年提出，为非结构化搜索问题提供二次加速，将在无序数据库中查找特定项的时间从 O(n) 降至 O(√n)次 操作。它通过量子干涉迭代放大目标状态的幅度。虽然对非对称密码学的破坏性不如Shor算法，但Grover算法影响对称原语如哈希函数和 AES 加密，实际上将安全水平减半（例如，256 位密钥在量子攻击下相当于 128 位）。尽管有影响，此攻击可通过简单地将安全位数加倍来缓解，而无需更改密码学方案。此外，由于Grover算法的二次加速需要高量子比特和门要求，需要数十亿次顺序操作，并行化能力有限，使得即使在未来硬件上也难以实现真实世界逆转。[2]

量子计算对区块链金融的危险可归类为四个领域：

**• 伪造数字签名：**Shor算法直接威胁大多数区块链使用的基于 ECC 的签名（例如比特币的 secp256k1 曲线），使攻击者能够冒充用户并授权欺诈交易。这种能力将代表区块链最基本功能的严重失效。

**• 在零知识系统中伪造虚假证明：**许多零知识证明（如隐私金融中的 zk-SNARKs）依赖椭圆曲线配对的离散对数难度用于承诺；Shor算法可能创建看似有效的无效证明，从而允许攻击者铸造新币或伪造 Layer-2（L2）状态。

**• 解密秘密信息：**量子攻击可能暴露隐私协议（如 Zcash 或 Monero）中由易受攻击公钥方案保护的加密数据。它还可能解密金融协议中的 P2P 通信，暴露敏感财富细节并使针对性盗窃成为可能。

**• 逆转哈希函数：**Grover算法可加速对 SHA-256 等哈希的原像攻击（用于工作量证明和地址生成），但这是最不严重的威胁。许多后量子密码方案采用基于哈希的构造，因为足够大的摘要被视为足够安全。

后量子密码学的扩展挑战

虽然后量子密码学（PQC）提供对抗量子威胁的必要保护，但由于这些算法的固有设计，它引入了重大的扩展障碍。与依赖紧凑数学结构的椭圆曲线方案不同，PQC 原语需要更大的参数来维持对经典和量子攻击者的安全性。这导致公钥、私钥和签名大幅增大，通常达到数量级。以下表格展示了 128 位后量子安全水平的 ML-DSA 与经典对应方案（如 256 位 ECDSA）的典型大小比较 [10]：

| 算法 | 公钥大小（字节） | 私钥大小（字节） | 签名大小（字节） | | ML-DSA-87 (Dilithium) | 2,592 | 4,896 | 4,627 | | ECDSA (256-bit) | 32 | 32 | 65 |

如表所示，ML-DSA 签名可能比 ECDSA 等效方案大 70 倍以上，公钥大 80 倍以上。其他 PQC 系列加剧了这一问题：基于哈希的方案如 SPHINCS+ 可能产生高达 41 KB 的签名，即使是大小优化的格变体如 FALCON 也显著超过经典方案的大小数倍。

在区块链环境中，这些膨胀的大小会积累成系统性扩展问题。更大的签名会使单个交易膨胀，导致区块更快填满、验证时间更长，从而降低每秒交易数（TPS）。这还会增加 点对点（P2P） 通信压力，提高带宽需求和传播延迟，可能加剧在工作量证明等共识机制中的网络分叉或孤块风险。存储需求也会受影响，导致节点运营成本上升和参与门槛提高，特别是对于资源受限用户或验证者。

这些扩展挑战未来所有区块链都必须面对。例如，如果不增加最大区块大小，比特币的 TPS 将远低于 1。

3. 迁移危机

协调问题

比特币的保守文化抵制协议变更。任何后量子密码学（PQC）升级都需要就迁移时间表、潜在币没收以及区块大小增加等争议性问题达成共识。即使社区达成一致，每个用户也必须将自己的币迁移到新的量子安全地址。迁移需要每个加密货币持有者采取行动，其中许多人已失去钱包访问权限或仍未意识到这一威胁。

这些问题存在于每个公链中，但由于领导力缺失和技术固化，使得其对于比特币而言尤其具有挑战性。

丢失币问题

据估计，价值 2500 亿至 5000 亿美元的比特币因丢失密钥、持有人去世或遗忘钱包而永久无法访问。[3] 这些币无法迁移，并成为创建 CRQC 的公开赏金。量子攻击者将从暴露的未迁移公钥中推导出私钥，并很可能将数十亿美元的 BTC 抛售到市场上。

技术上，唯一阻止此情况的方法是设定硬性截止日期以某种方式冻结未迁移币，但这在政治上不可能。比特币社区将不得不没收未采取行动用户的资金，包括已故持有者的遗产以及未关注此事的长期投资者。如果没有这样的截止日期，未迁移币将被窃取并出售，导致市场崩盘并摧毁对加密网络的信心。

迁移时间表问题

即使成功迁移，也会面临扩展壁垒。后量子签名比当前比特币签名大 20-80 倍。如果不进行根本性架构变更，比特币的吞吐量将崩溃至其已有限容量的几分之一。

假设比特币解决了政治和技术挑战，迁移本身也将耗时数月或数年。每个持有者至少需提交一笔交易将资金转移至量子安全地址。许多人会先发送测试交易。随着膨胀的 PQC 签名阻塞吞吐量，网络将面临数月或数年的积压，而量子易受攻击的币仍暴露在外。

这些复合挑战使得在现有链上改造量子安全性极其困难。Quantus Network 通过从第一天起将量子安全性构建到链中来规避此问题。

4. Quantus Network 架构

基础

Quantus Network 基于 Substrate 构建，这是一个由 Parity Technologies（Ethereum 和 Polkadot 背后的团队）开发的区块链 SDK。Substrate 具有高度模块化特性，便于替换组件，从而让我们能够专注于 Quantus 的独特之处。

Quantus 对 Substrate 的升级包括：

• 添加对后量子签名方案的支持

• 将 P2P 网络安全升级为后量子级别

• 添加用户可控的交易可逆转功能

• 通过将所有数据类型对齐到域元素边界，使数据库对零知识证明友好

后量子密码原语

Quantus Network 采用 NIST 标准化的后量子密码学（PQC），以确保交易和网络通信免受量子威胁的影响。交易完整性的核心是 ML-DSA（基于模格的数字签名算法，前身为 CRYSTALS-Dilithium），这是一种基于格的签名方案，因其在安全性、效率和易实现性之间的平衡而被选中。ML-DSA 利用模格上的带错误学习（LWE）和短整数解（SIS）等问题的难度，对经典和量子攻击（包括Shor算法）都提供了强大的抵抗力。[4]

对于交易签名，Quantus 集成 ML-DSA-87 参数集，该参数集提供最高安全级别（NIST 安全级别 5，相当于 256 位经典安全和 128 位量子安全），以防范格问题中潜在的密码分析突破。这一选择优先考虑谨慎，因为格密码学相对较新，与经典方案相比经受过实战检验较少。更大的参数有助于降低格密码分析潜在进展的风险，而较小密钥尺寸仍将是更易受攻击的目标。

备选方案

选择ML-DSA 而非 FN-DSA（Falcon）等替代方案的原因包括：

• FN-DSA 实现复杂度更高（例如需要浮点运算，这对区块链不友好）

• 其规范中缺乏确定性密钥生成

• 在开发时标准尚未最终确定

基于哈希的选项如 SLH-DSA 未被选用，是因为其签名尺寸更大（超过 17 KB）。Substrate 内置了密码敏捷性（crypto-agility），因此在未来可以根据需要轻松添加这些备选方案。

虽然 ML-DSA-87 导致密钥和签名较大，但在 Quantus 的早期网络中这些大小是可管理的，因为存储尚未成为瓶颈，并且通过零知识证明实现的虫洞地址（ Wormhole Addresses） 等优化将解决扩展性问题。

有关实现的技术细节，请参阅 QIP-0006。

Libp2p

Quantus Network 使用 ML-DSA 进行身份验证和 ML-KEM（基于模格的密钥封装机制，前身为 CRYSTALS-Kyber）进行加密，来保护点对点（P2P）节点通信。这一集成将PQC扩展到 libp2p 网络栈，修改核心组件以实现抗量子性：使用 ML-DSA-87 签名作为节点身份验证，并使用 ML-KEM-768 进行传输安全（通过在 Noise 握手协议中添加额外的 KEM 消息来实现抗量子的共享密钥）。[5]

P2P 层在量子安全分析中常被忽视。节点认证很重要，但攻击者在节点层面能做的最坏情况也只是冒充节点并发送无效消息，这可能导致拒绝服务（DoS）。这种攻击已经通过以下事实得到缓解：区块链模型中节点普遍不被信任，且节点可在检测到攻击时轻松更换密钥。同样，解密 P2P 通信给攻击者带来的收益有限（例如跟踪交易路径，可通过代理或 Tor 缓解），且大多数数据最终会在链上公开。

尽管如此，对 P2P 层进行量子保护可防范窃听、中间人攻击和量子解密，确保节点 gossip、区块传播和其他网络交互在可预见的未来保持机密且防篡改。

有关实现的技术细节，请参阅 QIP-0004。

扩展 PQC

为了应对后量子密码学固有的扩展性挑战，Quantus Network 引入创新的聚合后量子签名方案——Wormhole Addresses（虫洞地址）。该系统利用 Plonky2 证明系统（本质上是 STARKs）生成的零知识证明（ZKPs），将余额验证移至链下，从而允许链上仅验证单个紧凑证明而无需处理单个签名。Wormhole Addresses 可通过单一证明验证大量交易，公共输入（如 nullifier、存储根、退出地址和金额）成为主要限制因素。这将每笔交易的平均链上存储需求降至约 256 额外字节，远低于任何已知 PQC 签名方案。

该方案的量子安全性源于使用安全的哈希函数 Poseidon2 通过 FRI（快速 Reed-Solomon 交互式预言机证明）进行承诺，而不是 SNARKs 中常用的易受量子攻击的椭圆曲线配对。

此外，身份认证密匙隐藏在 Poseidon2 之后。由于安全哈希函数仅被Grover算法二次削弱而未被破解，哈希原像证明可在 ZK 上下文中作为轻量级后量子签名，类似于基于哈希的方案如 SPHINCS+。

客户端 / 证明者流程

用户通过对盐（salt）和秘密（secret）的双重哈希生成一个可证明不可花费的地址：

H(H(salt | secret))

这一构造防止假阳性（例如将单哈希公钥误认为是不可花费地址），在 Substrate（以及大多数区块链）中，地址通常是公钥的单哈希，而公钥通过代数运算从私钥派生，而非安全哈希。因此，该构造的安全性最终归结为寻找哈希原像的原像。发送到该地址的代币实际上已被“销毁”（因无对应私钥，无法花费），这些币可在不增加总供应的情况下被重新铸造。

对于每笔转账，会创建一个 TransferProof 存储对象，包含唯一全局转账计数等细节。用户钱包从最近区块头存储根生成 Merkle-Patricia-Trie（MPT）存储证明，到该 TransferProof 的叶子节点。nullifier 计算为：

H(H(salt | secret | global_transfer_count))

以防止双花，其中相关密钥从钱包种子确定性派生，确保用户可保留控制。

聚合者流程

任何一方（客户端、矿工或第三方）均可使用 Plonky2 的递归功能聚合多个证明，形成证明树，其中每个父证明验证其子证明，子证明的公共输入被聚合：

• nullifier 保持不变传递

• 退出地址去重

• 区块哈希被证明链接，然后除最新外全部丢弃

• 重复退出地址的金额求和

这种递归支持分层聚合，大幅减少链上数据。

链上 / 验证者流程

网络通过检查以下内容验证聚合证明：

• 区块哈希在链上且近期

• nullifier 唯一性（防止双花）

• 证明有效性

ZK 电路强制执行：

• 存储证明正确性

• nullifier 计算准确性

• 地址不可花费性

• 输入输出余额匹配

• 区块头链接

选择Plonky2 的原因包括：

• 已审计

• 后量子

• 无需可信设置

• 高效证明/验证

• 无缝证明聚合

• Rust 原生实现

• 与 Substrate 的 no-std 环境兼容

性能亮点包括递归证明在 170 毫秒内完成，聚合证明大小紧凑（每个 100 KB），实现巨大吞吐量提升。在最优情况下，使用 5 MB 区块且所有交易指向同一输出，Wormhole Addresses 可在单个区块（4.9 MB /每个 nullifier 32 字节）中打包约 153,000 笔交易，相比约 685 笔原始 ML-DSA 交易（5 MB / 7.3 KB 每笔）提升 223 倍。

安全说明

潜在风险包括故障电路/验证实现导致的通胀漏洞，但若重新铸造币超过零发送地址余额，则可通过经济手段检测。用户可选择通过发布第一个哈希（不透露秘钥）来证明地址为 wormhole。验证交易为无签名的，因此需通过非金融方式来缓解失败交易导致的拒绝服务攻击。代币供应计算保持不变，因为重新铸造表现为新币，但通过销毁维持最大供应保证。

有关实现的更多技术细节，请参阅 QIP-0005。

共识机制

Quantus Network 使用工作量证明（PoW）共识算法，该算法保留了比特币共识算法的理想属性，同时通过将 SHA-256 替换为 Poseidon2 来提升与 ZK 证明系统的兼容性。

重要的是，这一变更并非出于量子安全考虑。像 SHA-256 这样的密码哈希函数虽被量子算法（特别是格罗弗）削弱，但并未被破解。一些后量子签名方案正是因此使用安全哈希作为构建模块。

Poseidon2 是 Poseidon 哈希函数的改进版本。在涉及传统哈希函数（如 SHA-256）的计算中创建 SNARKs 或 STARKs 通常需要比使用Poseidon多近 100 倍的门数，而 Poseidon 完全依赖域元素上的代数函数，而非位级操作。

我们在 Poseidon2 和 Plonky2 中均使用 Goldilocks 域。Goldilocks 域的阶适合无符号 64 位整数，从而提升效率而不损害 可靠性。

5. 财富保护

管理加密货币密钥存在许多风险，其中大多数是可以避免的。

可逆转交易

Quantus Network 提供用户可配置的可逆转交易。发送者可设定一个时间窗口，在此期间可以取消发出的转账。这一功能威慑盗窃并纠正错误，同时不牺牲最终性。该系统使用有时间戳的修改版 Substrate “scheduler pallet” 。钱包会为发送者（附带取消按钮）和接收者均显示倒计时。

可逆转交易在保持链上强制执行的去中心化前提下，启用新型安全协议。

有关更多技术细节，请参阅 QIP-0009。

校验短语

Quantus Network 引入”校验短语”（check-phrases），这是一种密码学安全的、人类可读的区块链地址校验和。地址经过哈希生成来自 BIP-39 助记词列表的简短易记单词序列。校验短语可防范打字错误、篡改和地址投毒攻击。采用 50,000 次迭代的密钥派生函数，使彩虹表攻击成本高昂。对于大额交易，用户仍应逐字符验证地址。

有关更多技术细节，请参阅 QIP-0008。

高安全性账户

任何账户均可升级为”高安全性账户”，所有转出交易均强制带有可逆转期。指定的”守护者”（硬件钱包、多签或可信第三方）可在逆转期内取消可疑交易，并将资金发送至守护者而非发送者或接收者。这一可选功能一旦激活即永久生效，防止盗贼将其禁用。

守护者可链式组合：高安全性账户的守护者本身也可以是高安全性账户，拥有自己的守护者。这创建了可组合的层级结构，其中每个守护者对其保护的账户拥有更高权限。该设计为用户提供时间来检测并响应未经授权的活动，同时不损害合法转账的最终性。

有关更多技术细节，请参阅 QIP-0011。

密钥恢复

许多加密财富随持有者离世而消失。Quantus Network 提供一种简单方式来指定恢复地址，该地址可随时提取资金，但需经过固定的延迟期。在此期间，如果原持有者仍能访问密钥，可拒绝恢复。这一功能实现生存性继承：用户拥有链上遗嘱，无需法院或遗产程序。

HD-Lattice

分层确定性（HD）钱包是区块链的行业标准，允许用户用一个种子短语备份所有密钥，比逐个手动备份更安全便捷。将此适配到如 Dilithium 等格方案涉及两个挑战：

• HMAC-SHA512 输出无法直接形成格私钥，格私钥是从具有特定性质的环中采样的多项式。

• 非硬化密钥派生依赖椭圆曲线加法，而格中不存在（公钥在任何代数运算下均不封闭）。

Quantus Network 通过将 HMAC 输出用作熵来确定性构造私钥（而非直接作为私钥）来解决第一个问题。第二个问题相对不那么关键，格密码学能否适配以解决该问题仍是一个开放的研究问题。

有关更多技术细节，请参阅 QIP-0002。

6. 代币经济学与治理

Quantus Network 处于不断变化的环境中，我们不能假设第一次就能把一切都做对。因此，我们选择一个简单的起点，并允许治理系统随着新信息的获取而进行变更。这一设计使区块链成为一个能够随意适应环境的生命体。特别是 Substrate 的治理流程允许在各个节点运行者之间只需最少协调，即可对链进行深度变更。

区块奖励

Quantus Network 采用一种模仿比特币的简单代币经济学模型。最大供应量为 21,000,000 枚代币，每区块奖励由一个简单启发式公式决定：

block_reward = (max_supply - current_supply) / constant

这一启发式公式形成一条平滑的指数衰减曲线，因为区块奖励会增加 current_supply，从而降低下一区块计算出的区块奖励。任何来自费用或其他方式的销毁都会减少 current_supply，并实质上成为区块奖励预算的一部分。常数的选择确保在没有销毁的情况下，99% 的代币将在约 40 年内发行完毕。

投资者分配

Quantus Network 在天使投资者的帮助下建成，他们承担了极大的风险。为避免投资者锁仓造成的供应悬垂，所有投资者（公开和私募）将在第一天完全流动。这一分配将是唯一的”预挖”。所有其他代币必须通过挖矿产生。根据公开销售的成功程度，这一比例将占总供应的 20-30%。

公司分配

为补偿团队在无成功保证的情况下构建新技术所承担的风险，区块奖励的一部分将在约四年内发送给公司。这形成了公司约占总供应 10% 的事实上的归属时间表。

此后，公司部分的区块奖励将被重定向至由代币持有者治理的财库，实质上形成一个 DAO。

交易费用

标准交易收取费用并支付给矿工，提供包含交易的激励。高安全性账户的可逆转交易收取基于交易量的 1% 费用，该费用被销毁，本质上将其添加到安全预算中。通过 ZK 聚合系统的交易也收取基于交易量的 0.1% 费用，该费用在矿工和销毁之间平均分配。

无分叉升级

Quantus Network 通过 Substrate 的运行时升级机制实现了”无分叉”升级，使区块链的核心逻辑（“运行时”）在不发生可能扰乱网络或分裂社区的硬分叉的情况下演进。这一升级通过链上治理公投实现：被批准的提案触发运行时替换，在单个区块中用新的 WASM 代码 blob 替换现有代码，确保状态和操作的连续性。这一升级路径将停机时间和风险降到最低，赋能社区根据真实世界使用情况迭代优化协议。

随着社区对系统的信心逐步增强，将逐步收紧对运行时环境的变更权限，以在升级机制遭到恶意控制时降低系统的攻击暴露面。

治理系统

Quantus Network 通过 Substrate 继承了 Polkadot 的 OpenGov 治理框架。代币持有者通过信念投票（conviction voting）参与，他们同意锁定资产不同期限以放大投票权重。权重放大倍数从 1x（无锁定）到 6x（最长锁定期限）。这一设计通过将影响力与承诺挂钩，激励长期一致性。

提案被分类到多个称为”origins”的投票轨道中。每个 origin 均设有定制参数，如审批门槛（例如高影响变更需超级多数）、最低保证金以防垃圾提案、准备/执行周期，以及决策时间线以避免僵局。这一多轨道设计允许并行处理多类公投，覆盖从常规财库支出到关键运行时升级。

技术委员会（Technical Collective）是一个精选的技术专家小组，作为专门机构提出、审查或白名单化紧急技术提案，通过专属决策轨道加速处理相关决策，同时保留社区监督权。

Quantus 未做任何修改地直接采用这一系统，但初期采用极简配置以避免早期治理复杂性。初始阶段仅启用技术委员会轨道，用于具有约束力的、高权限决策事项，如协议升级或参数调整。

后续阶段，Quantus 可引入非约束性的社区投票轨道，用于评估非强制事项的反馈，例如功能提议或生态系统调研。当公司将网络治理权移交给 DAO 时，这一系统将具有约束力。

这一分阶段方法允许网络通过未来治理投票有机演进，同时避免在初期阶段给用户带来不必要的复杂性。

7. 路线图

当前路线图（截至 2026 年，可能会有变更）：

• Heisenberg Inception - 2024 年 12 月 - 完成融资，确定采用 Substrate 架构

• Resonance Alpha - 2025 年 7 月 - 公共测试网、Dilithium 签名、可逆转交易

• Schrödinger Beta - 2025 年 10 月 - 功能完成、准备审计

• Dirac Beta - 2025 年 11 月 - PoW 变更为 Poseidon2、处理审计问题

• Planck Beta - 2026 年 1 月 - 高安全性账户、多签、硬件钱包、ZK 整合

• Bell Mainnet - 2026 年第二季度 - 主网上线

• Fermi Upgrade - 2026 年第四季度 - ZK 证明聚合基础设施

8. 风险

构建 Quantus Network 伴随着固有风险。

**• 实现问题：**即使是设计完善的系统，软件逻辑缺陷也可能导致严重故障。

**• NIST 算法选择问题：**已选定的后量子标准（例如 ML-DSA、ML-KEM）在标准化后可能出现潜在缺陷或后门。在最极端情况下，此类缺陷可能使攻击者从公钥推导出私钥，从而伪造签名，这代表链的灾难性失效模式。如果此类漏洞被公开，Quantus Network 可升级到新算法进行应对；但如果缺陷被谨慎利用，它们可能永远不会被发现。

**• 量子计算时间表：**量子突破可能远晚于预期，从而推迟对后量子密码学（PQC）的需求；反之，秘密开发（例如由政府进行）可能导致突发威胁，如果区块链社区未能迅速更新，则将面临风险。

**• 其他考虑因素：**通用使用壁垒、金融/区块链领域的监管不确定性，以及加密生态系统的固有波动性。

9. 参考文献与进一步阅读

1. Shor, P. W. (1997). Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer. SIAM Journal on Computing, 26(5), 1484-1509. https://doi.org/10.1137/S0097539795293172

2. Grover, L. K. (1996). A fast quantum mechanical algorithm for database search. Proceedings of the Twenty-Eighth Annual ACM Symposium on Theory of Computing, 212-219. https://doi.org/10.1145/237814.237866

3. Chainalysis. (2024). The Chainalysis 2024 Crypto Crime Report. https://www.chainalysis.com/blog/2024-crypto-crime-report-introduction/

4. National Institute of Standards and Technology. (2024). FIPS 204: Module-Lattice-Based Digital Signature Standard (ML-DSA). U.S. Department of Commerce. https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.204.pdf

5. National Institute of Standards and Technology. (2024). FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM). U.S. Department of Commerce. https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.203.pdf

6. Häner, T., Jaques, S., Naehrig, M., Roetteler, M., & Soeken, M. (2020). Improved quantum circuits for elliptic curve discrete logarithms. arXiv preprint arXiv:2002.12480. https://arxiv.org/abs/2002.12480

7. Gidney, C., & Ekerå, M. (2021). How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits. arXiv preprint arXiv:1905.09749. https://arxiv.org/abs/1905.09749

8. Aggarwal, D., et al. (2021). Assessment of Quantum Threat To Bitcoin and Derived Cryptocurrencies. ePrint IACR. https://eprint.iacr.org/2021/967.pdf

9. Roetteler, M., Naehrig, M., Svore, K. M., & Lauter, K. (2017). Quantum resource estimates for computing elliptic curve discrete logarithms. arXiv preprint arXiv:1706.06752. https://arxiv.org/abs/1706.06752

10. Open Quantum Safe Project. (n.d.). ML-DSA | Open Quantum Safe. Retrieved January 29, 2026, from https://openquantumsafe.org/liboqs/algorithms/sig/ml-dsa.html