并非所有量子威胁都是相同的：Zcash与Monero在HNDL上的比较 大多数人忽视这一点： 虽然两个链都面临"现在收割，稍后解密"的风险，但Zcash的架构防止了Monero面临的整体图形崩溃。 区别在于链接： - Monero：使用从曲线点（基于DL）派生的"密钥图像"。量子计算机可以解出私钥，并追溯性地链接每一笔交易。整个历史图形被曝光。 - Zcash：使用从键控伪随机函数（哈希）派生的无效化器。这些是后量子安全的。即使有量子计算机，链上的匿名性集合仍然保持。 Zcash唯一真正的HNDL脆弱性是带内秘密分发（备忘录）。Tachyon项目明确通过完全从链上移除这些秘密来修复这一点。 但盗窃呢？ Zcash工程师正在为Orchard开发"量子可恢复性"。即使量子计算机一夜之间出现，这一机制也允许用户安全地恢复资金，而不被盗取。（即使这失败，价值平衡的旋转门也能防止假币泛滥到生态系统的其他部分）。 策略： 1. 现在修复隐私（因为这是追溯性的——今天收集的数据明天可能被破解）。 2. 稍后修复健全性（因为这不是追溯性的——盗窃只有在量子计算机实际存在时才重要）。 这个时机是故意的。目前的后量子签名庞大且不成熟。急于将它们纳入协议意味着交易膨胀、锁定低效技术，以及暴露于研究不足的密码学假设中。 Zcash不仅仅是在"生存"量子过渡——他们正在把握时机，以避免过早采用可能在几年内就会过时的尖端加密技术。 时间线仍然是十年以上，但今天的架构选择决定了谁能在过渡中生存。