吳說(shuō) 3 月技術(shù)月報(bào)：新提案應(yīng)對(duì)量子計(jì)算潛在威脅等

作者|GaryMa 吳說(shuō)區(qū)塊鏈

吳說(shuō)團(tuán)隊(duì)總結(jié) 3 月區(qū)塊鏈技術(shù)領(lǐng)域重要?jiǎng)討B(tài)：

比特幣

比特幣客戶端 Bitcoin Core 的開發(fā)主分支已合并 Cluster Mempool 更新（PR#34616），預(yù)計(jì)將納入未來(lái)的 Bitcoin Core 31.0 版本。該升級(jí)將重新設(shè)計(jì)節(jié)點(diǎn)對(duì)待處理交易（mempool）的管理方式，通過(guò)將相關(guān)交易分組處理，以提升區(qū)塊打包效率并優(yōu)化 RBF 與 CPFP 交易的手續(xù)費(fèi)計(jì)算。預(yù)計(jì) Bitcoin Core 31.0 可能于 2026 年下半年發(fā)布。

量子技術(shù)公司 BTQ Technologies 宣布在其 Bitcoin Quantum 測(cè)試網(wǎng)（v0.3.0）上成功部署了比特幣改進(jìn)提案 BIP-360 的首個(gè)功能性實(shí)現(xiàn)。BIP-360 旨在應(yīng)對(duì)量子計(jì)算對(duì)比特幣的潛在威脅，其核心是引入名為“支付至默克爾根”的新型輸出類型，從而最大限度地減少橢圓曲線公鑰的暴露風(fēng)險(xiǎn)。該提案已于今年早些時(shí)候被正式合并至比特幣 BIP 代碼庫(kù)中。

Bitcoin 網(wǎng)絡(luò)近日出現(xiàn)一次較為罕見的兩區(qū)塊重組（two-block reorg）。區(qū)塊高度 941880 附近，礦池 Foundry USA、AntPool 和 ViaBTC 在挖礦競(jìng)爭(zhēng)中形成兩條短暫分叉鏈，隨后 Foundry USA 連續(xù)挖出后續(xù)區(qū)塊，使其鏈成為主鏈并完成重組。研究人員表示，此類事件屬于 Bitcoin 共識(shí)機(jī)制正常運(yùn)行的一部分，并非攻擊或系統(tǒng)故障。

以太坊

Glamsterdam 升級(jí)：極致的 L1 擴(kuò)容 與 MEV 公平化。進(jìn)展：開發(fā)團(tuán)隊(duì)已在 Devnet-5 進(jìn)行測(cè)試，多個(gè)核心 EIP 已進(jìn)入“考慮納入 (CFI)”狀態(tài)，預(yù)計(jì)將在 6 月左右激活。

Hegota 升級(jí)：抗審查、隱私增強(qiáng) 以及 節(jié)點(diǎn)瘦身。進(jìn)展：Frame Transactions 原本計(jì)劃引入以支持后量子密碼學(xué)和更高級(jí)的賬戶抽象，但因復(fù)雜度過(guò)高，在最近的開發(fā)會(huì)議中已被暫緩或精簡(jiǎn)，以確保 Hegota 能在 2026 年底準(zhǔn)時(shí)發(fā)布。

Vitalik Buterin 表示，以太坊執(zhí)行層升級(jí)的兩大核心方向是狀態(tài)樹重構(gòu)與虛擬機(jī)調(diào)整，目標(biāo)是解決證明效率這一主要瓶頸。在狀態(tài)層面，EIP-7864 擬將當(dāng)前六叉 Merkle Patricia Tree 替換為基于更高效哈希函數(shù)的二叉樹結(jié)構(gòu)，以縮短 Merkle 分支、降低帶寬與證明成本，并優(yōu)化存儲(chǔ)訪問(wèn)結(jié)構(gòu)。在長(zhǎng)期方向上，他提出以更具證明友好性的虛擬機(jī)（如 RISC-V）逐步替代 EVM，以提升執(zhí)行與 ZK 證明效率。過(guò)渡路徑可能包括先用于預(yù)編譯，再開放合約部署，最終將 EVM 轉(zhuǎn)為兼容層運(yùn)行，在保持向后兼容的同時(shí)，僅涉及 Gas 成本調(diào)整。

以太坊聯(lián)合創(chuàng)始人 Vitalik 表示，EIP-8141 將完成賬戶抽象（Account Abstraction）升級(jí)，引入“多段式交易（Frame Transactions）”機(jī)制，使批量操作、Gas 代付、隱私支付等功能成為協(xié)議原生能力。Vitalik 稱，該升級(jí)或?qū)⒃谝荒陜?nèi)通過(guò) Hegota 分叉落地。

Virtuals Protocol 宣布與以太坊基金會(huì) dAI 團(tuán)隊(duì)共同提出并發(fā)布 ERC-8183（Agentic Commerce），旨在為 AI Agent 提供開放、無(wú)需許可的鏈上商業(yè)結(jié)算標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)核心為“Job”原語(yǔ)：由 Client、Provider、Evaluator 三方組成，資金以合約托管（escrow）鎖定，并按 Open→Funded→Submitted→Terminal（完成/拒絕/過(guò)期）狀態(tài)機(jī)結(jié)算；Evaluator 負(fù)責(zé)對(duì)交付物進(jìn)行鏈上確認(rèn)或拒絕，相關(guān)記錄可用于聲譽(yù)系統(tǒng)等組合應(yīng)用。

以太坊聯(lián)合創(chuàng)始人 Vitalik Buterin 在 X 上介紹了一種新的以太坊快速確認(rèn)規(guī)則機(jī)制。該機(jī)制允許用戶在僅經(jīng)過(guò)一個(gè) Slot（12 秒）后，即可獲得以太坊交易不會(huì)被撤銷（Non-revert）的硬性保證。Vitalik 指出，該規(guī)則的安全性基于兩個(gè)前提：一是絕大多數(shù)驗(yàn)證者為誠(chéng)實(shí)節(jié)點(diǎn)，二是網(wǎng)絡(luò)延遲低于約 3 秒。雖然其安全性略低于經(jīng)濟(jì)上的最終性（Economic Finality），但對(duì)于許多應(yīng)用場(chǎng)景而言已經(jīng)具備極強(qiáng)的可靠性。

以太坊基金會(huì)（ Ethereum Foundation ）發(fā)文闡述 L1 與 L2 的未來(lái)生態(tài)愿景。文章指出， L1 將保持作為全球結(jié)算與 DeFi 樞紐的角色，而 L2 的核心任務(wù)已從單純擴(kuò)容轉(zhuǎn)向提供差異化與定制化服務(wù)。基金會(huì)建議 L2 至少達(dá)到 Stage 1 安全標(biāo)準(zhǔn)，并鼓勵(lì)其向 Stage 2 、同步可組合性及“原生 Rollup ”方向演進(jìn)。同時(shí)，以太坊基金會(huì)承諾將繼續(xù)擴(kuò)容 L1 與 Blob （目前僅約 30% 滿載），并重點(diǎn)解決多鏈生態(tài)帶來(lái)的跨鏈體驗(yàn)碎片化問(wèn)題。

以太坊發(fā)布了它有史以來(lái)最詳細(xì)的升級(jí)計(jì)劃，七次升級(jí)，五個(gè)目標(biāo)，一次大規(guī)模重建；讓所有運(yùn)營(yíng)者達(dá)成共識(shí)的系統(tǒng)叫做「共識(shí)機(jī)制」，以太坊目前的共識(shí)機(jī)制運(yùn)轉(zhuǎn)正常且經(jīng)過(guò)實(shí)戰(zhàn)檢驗(yàn)，但它是為更早的時(shí)代設(shè)計(jì)的，限制了網(wǎng)絡(luò)的能力上限；以太坊無(wú)論構(gòu)建什么隱私方案，都必須同時(shí)具備量子抗性，兩個(gè)必須同時(shí)解決的難題，解決這個(gè)問(wèn)題，大規(guī)模采用的一個(gè)主要障礙就會(huì)消失。

以太坊 L2s

Gnosis 與 Zisk 提出構(gòu)建“以太坊經(jīng)濟(jì)區(qū)”（EEZ）框架，旨在通過(guò)共享基礎(chǔ)設(shè)施實(shí)現(xiàn)以太坊主網(wǎng)與各類 Layer 2 網(wǎng)絡(luò)之間的協(xié)同運(yùn)行，減少重復(fù)開發(fā)與技術(shù)摩擦，并提升用戶體驗(yàn)；以太坊基金會(huì)已參與資助該項(xiàng)目。該方案擬通過(guò)統(tǒng)一執(zhí)行環(huán)境與默認(rèn)使用 ETH 支付機(jī)制，緩解 Layer 2 生態(tài)碎片化問(wèn)題。

Polygon 宣布推出 AI 工具 Agent CLI，支持 AI 代理在 Polygon 鏈上創(chuàng)建錢包并進(jìn)行資金轉(zhuǎn)移與管理，提供代幣發(fā)送、交換、跨鏈橋接、法幣入金、余額與交易記錄查詢等功能；同時(shí)支持通過(guò) ERC-8004 標(biāo)準(zhǔn)將代理注冊(cè)為鏈上 NFT 身份并附帶信譽(yù)評(píng)分，并提供基于 HTTP 的 x402 微支付功能，支持穩(wěn)定幣支付 Gas 費(fèi)用及本地密鑰存儲(chǔ)。

Optimism 宣布將于 2026 年 5 月 31 日停止支持 op-geth 和 op-program；在此之前仍將提供安全補(bǔ)丁與關(guān)鍵漏洞修復(fù)，但包括下一次 Karst 硬分叉在內(nèi)的新功能開發(fā)將僅在 op-reth 上進(jìn)行。同時(shí)，op-program 的 fault proof 程序?qū)⑦w移至 kona-client，當(dāng)前部署預(yù)計(jì)可在 Karst 硬分叉前繼續(xù)使用。

Solana

Solana 治理提案 SIMD-0266 已獲通過(guò)。該提案由 Anza 去年提出，引入新的 p-tokens 代幣模型，以提高計(jì)算效率，理論上可使 Solana 交易效率提升最高約 19 倍。Solana Foundation 技術(shù)副總裁表示，該升級(jí)預(yù)計(jì)將于 4 月上線主網(wǎng)。

Solana Foundation 發(fā)布題為《Privacy on Solana》的報(bào)告，提出面向機(jī)構(gòu)采用的隱私框架，認(rèn)為加密行業(yè)下一階段的應(yīng)用將更多依賴可定制的隱私機(jī)制，而非單純依靠透明性。報(bào)告提出四種隱私模式，包括假名化、機(jī)密性、匿名性和完全隱私系統(tǒng)，并指出 Solana 的高吞吐與低延遲可支持零知識(shí)證明等隱私技術(shù)，在保護(hù)交易數(shù)據(jù)的同時(shí)滿足監(jiān)管合規(guī)需求，例如通過(guò)審計(jì)密鑰或合規(guī)證明等機(jī)制實(shí)現(xiàn)受控披露。

安全相關(guān)

安全公司 BlockSec 對(duì) EVMBench 進(jìn)行復(fù)測(cè)，認(rèn)為該基準(zhǔn)高估了 AI 在智能合約審計(jì)中的自動(dòng)化能力；其通過(guò)擴(kuò)展至 26 種模型配置并引入 22 起發(fā)生于 2026 年 2 月之后的真實(shí)攻擊事件進(jìn)行測(cè)試，結(jié)果顯示在 110 組測(cè)試中 AI 在真實(shí)攻擊利用上的成功率為 0%，但在漏洞檢測(cè)方面表現(xiàn)與原報(bào)告接近，部分模型可識(shí)別已知模式漏洞。

據(jù) GoPlus Security 披露，一種名為 Infiniti Stealer 的新型惡意軟件正針對(duì) Mac 用戶加密錢包發(fā)起攻擊，其通過(guò)偽造 Cloudflare 驗(yàn)證頁(yè)面誘導(dǎo)用戶在終端執(zhí)行惡意代碼，隨后竊取瀏覽器憑證、macOS Keychain、加密錢包及開發(fā)者敏感信息，并具備沙箱檢測(cè)與延遲執(zhí)行等隱蔽能力。提醒用戶勿點(diǎn)擊未知鏈接、勿執(zhí)行來(lái)源不明命令。

據(jù)網(wǎng)絡(luò)安全公司 Aikido 披露，GlassWorm 惡意軟件近期升級(jí)，利用 Solana 交易 memo 字段作為隱蔽通信渠道獲取 C2 指令，實(shí)施多階段攻擊。該惡意程序通過(guò)仿冒 npm、PyPI 等開源包傳播，可竊取私鑰、助記詞、瀏覽器 Cookie、會(huì)話數(shù)據(jù)等信息，并部署遠(yuǎn)程控制木馬（RAT）。攻擊還可針對(duì) Ledger、Trezor 等硬件錢包彈出偽造界面誘導(dǎo)輸入助記詞，同時(shí)支持鍵盤記錄、截圖及遠(yuǎn)程執(zhí)行命令。研究人員提醒開發(fā)者謹(jǐn)慎安裝依賴并核查包來(lái)源。

據(jù)安全公司 Socket 披露，研究人員發(fā)現(xiàn) 5 個(gè)惡意 npm 包針對(duì) Ethereum 和 Solana 開發(fā)者，通過(guò) typosquatting（名稱仿冒）誘導(dǎo)安裝，竊取私鑰并通過(guò) Telegram 回傳攻擊者。其中 4 個(gè)針對(duì) Solana，1 個(gè)針對(duì) Ethereum。相關(guān)惡意包會(huì)劫持開發(fā)者調(diào)用的關(guān)鍵函數(shù)，在返回正常結(jié)果前上傳私鑰數(shù)據(jù)。研究人員已向 npm 提交下架請(qǐng)求，并提醒受影響私鑰應(yīng)立即轉(zhuǎn)移資產(chǎn)。

Vercel CEO Guillermo Rauch 發(fā)文披露，一名用戶在使用 Opus 4.6 與 OpenClaw 開發(fā)時(shí)，AI Agent 在已知正確項(xiàng)目 ID 的情況下，幻覺(jué)出了一個(gè)虛假的 GitHub 倉(cāng)庫(kù) ID（repoId）并通過(guò) API 觸發(fā)部署。由于該隨機(jī) ID 恰好對(duì)應(yīng)一個(gè)真實(shí)的開源項(xiàng)目，導(dǎo)致用戶服務(wù)器上出現(xiàn)了無(wú)關(guān)代碼的“部署偏移”。對(duì)此，慢霧 CISO 23pds 警告稱，隨著 AI Agent 的普及，未來(lái)通過(guò) GEO（AI 搜索營(yíng)銷）投毒、AI 搜索偏移等手段攻擊自動(dòng)化部署流程，將成為安全領(lǐng)域的新挑戰(zhàn)。

安全研究機(jī)構(gòu) Ctrl-Alt-Intel 披露，一組疑似與朝鮮有關(guān)的黑客針對(duì)質(zhì)押平臺(tái)、交易所軟件供應(yīng)商及加密交易所發(fā)起攻擊。攻擊者利用 React2Shell 漏洞（CVE-2025–55182） 及已獲取的 AWS 訪問(wèn)憑證入侵云環(huán)境，枚舉 S3、EC2、RDS、EKS、ECR 等資源，并從 Secrets Manager、Terraform 文件、Kubernetes 配置及 Docker 容器中提取密鑰和憑證。研究人員稱，攻擊者下載 5 個(gè) Docker 鏡像并竊取源代碼，其中包括 ChainUp 客戶相關(guān)軟件組件。攻擊基礎(chǔ)設(shè)施涉及韓國(guó)服務(wù)器 64.176.226[.]36 及域名 itemnania[.]com。報(bào)告稱該活動(dòng)與朝鮮相關(guān)攻擊特征一致，但歸因置信度為中等，AWS 憑證來(lái)源未明確。

慢霧首席信息安全官 23pds 發(fā)推表示，月下載量高達(dá) 9700 萬(wàn)次的 Python AI 網(wǎng)關(guān)庫(kù) LiteLLM 遭遇 PyPI 供應(yīng)鏈攻擊，攻擊者通過(guò) pip install litellm 指令即可在用戶設(shè)備上竊取敏感信息。可竊取的敏感數(shù)據(jù)包括：SSH 密鑰、云服務(wù)憑據(jù)（AWS / GCP / Azure）、Kubernetes 配置文件、Git 憑據(jù)、環(huán)境變量中的 API 密鑰、Shell 歷史記錄、加密貨幣錢包信息及數(shù)據(jù)庫(kù)密碼等。慢霧首席信息安全官 23pds 警告目前 LiteLLM 漏洞攻擊者已盜取約 300GB 數(shù)據(jù)，并竊取約 50 萬(wàn)個(gè)憑證。他建議所有加密貨幣開發(fā)人員立即進(jìn)行自查，盡快輪換相關(guān)密鑰與憑證，核查日志、訪問(wèn)記錄及敏感數(shù)據(jù)暴露情況，避免出現(xiàn)類似 Trust Wallet 事件的嚴(yán)重?fù)p失。

慢霧首席信息安全官 23pds 發(fā)布預(yù)警，敦促所有 iOS 用戶盡快更新系統(tǒng)。據(jù)監(jiān)測(cè)，名為 DarkSword 的攻擊程序已經(jīng)泄露。該程序的核心能力是通過(guò) HTTP 接口從 iOS 設(shè)備中提取取證級(jí)數(shù)據(jù)。在實(shí)際攻擊場(chǎng)景中，攻擊者可能通過(guò)社會(huì)工程學(xué)或水坑攻擊誘導(dǎo)用戶中招，進(jìn)而竊取 iPhone 或 iPad 內(nèi)部數(shù)據(jù)，并將其上傳至受控服務(wù)器。

其他

Sui 開發(fā)團(tuán)隊(duì)宣布其新虛擬機(jī)（VM）已公開發(fā)布，并開放漏洞賞金計(jì)劃，在主網(wǎng)部署前邀請(qǐng)社區(qū)進(jìn)行安全審查。該版本為執(zhí)行層重寫，引入每包緩存及新一代 Move 功能，并已完成內(nèi)部審查及 OSEC、Zellic 等機(jī)構(gòu)安全審計(jì)。

Sui 官方宣布主網(wǎng)已升級(jí)至 V1.68.1 同時(shí)協(xié)議升級(jí)至 118 版本，本次升級(jí)主要內(nèi)容包括在主網(wǎng)上啟用地址別名（address aliases）功能，增強(qiáng) Sui System 中的元數(shù)據(jù)安全性，并修復(fù)在模擬包含無(wú)效資金提取的異常交易時(shí)可能導(dǎo)致全節(jié)點(diǎn)崩潰的問(wèn)題。

Polkadot 官方宣布，其發(fā)行模型升級(jí)于 3 月 14 日（圓周率日）正式啟動(dòng)。此次協(xié)議變更主要引入兩項(xiàng)核心舉措：一是設(shè)立 21 億枚 DOT 的最大供應(yīng)量上限（目前約 80% 已發(fā)行）；二是自 3 月 14 日起將 DOT 的排放率降低約 53%，并計(jì)劃在未來(lái)進(jìn)一步減產(chǎn)。官方表示，這些變更由社區(qū)提出并經(jīng) OpenGov 批準(zhǔn)，旨在限制長(zhǎng)期發(fā)行量、維持激勵(lì)機(jī)制，并提供透明、可預(yù)測(cè)的發(fā)行計(jì)劃。

Cosmos Labs 發(fā)文稱，近期發(fā)現(xiàn)一項(xiàng)影響部分采用 Cosmos EVM stack 鏈的漏洞，涉及某一被部分鏈?zhǔn)褂玫墓δ埽⒁言?Saga 生產(chǎn)環(huán)境中受到影響。Cosmos Labs 表示，已與 Saga 及生態(tài)伙伴協(xié)同完成問(wèn)題調(diào)查、協(xié)調(diào)緩解措施，并向相關(guān)鏈發(fā)布修復(fù)補(bǔ)丁。

Brevis 今日推出 Brevis Vera，這是一個(gè)由零知識(shí)證明（ZK）驅(qū)動(dòng)的媒體真實(shí)性認(rèn)證系統(tǒng)，用于驗(yàn)證已發(fā)布的圖片和視頻是否來(lái)自真實(shí)設(shè)備，并確認(rèn)其只經(jīng)過(guò)可證明、合法的編輯處理。該系統(tǒng)結(jié)合了 C2PA 的硬件級(jí)拍攝簽名與由 Brevis Pico zkVM 生成的零知識(shí)證明，從而在整個(gè)編輯過(guò)程中持續(xù)保留媒體來(lái)源的加密證明。Brevis Vera 現(xiàn)已上線，支持開源庫(kù)。

比特幣 Layer2 Stacks 開發(fā)團(tuán)隊(duì) Stacks Labs 表示，其 SIP-034 升級(jí)已完成主網(wǎng)實(shí)施，通過(guò)優(yōu)化交易資源限額處理方式，在某些 DeFi 應(yīng)用中將網(wǎng)絡(luò)“有效容量”最高提升約 30 倍。該升級(jí)將原先“任一資源預(yù)算觸頂即重置全部限額”的機(jī)制，調(diào)整為僅重置被耗盡的單項(xiàng)限額，從而提升區(qū)塊內(nèi)可用吞吐。團(tuán)隊(duì)稱升級(jí)不直接改變 STX 代幣經(jīng)濟(jì)學(xué)，但可能隨網(wǎng)絡(luò)活躍度提升而帶來(lái)更多交易與費(fèi)用。