Direkt zum Hauptinhalt

Solanas 3-jähriger Quanten-Vorsprung: Warum Yakovenko Ethereum-L2-Nutzern riet, alle Hoffnung aufzugeben

· 13 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Am 2. Mai 2026 tat Anatoly Yakovenko etwas, das die meisten Blockchain-Mitbegründer vermeiden: Er sagte einer ganzen Gruppe von Nutzern, dass ihr Netzwerk nicht mehr zu retten sei. „Alle Hoffnung aufgeben“, schrieb der Mitbegründer von Solana Labs. Dies sei der einzige ehrliche Rat für jeden, der Vermögenswerte auf einem Ethereum Layer 2 hält und sich Sorgen um Quantencomputer macht. Der Tweet erschien in derselben Stunde, in der Anza und Firedancer – die beiden Clients, die den Großteil des Validator-Stakes von Solana sichern – produktionsreife Test-Builds veröffentlichten, die Falcon-512-Signaturen verifizierten, das gitterbasierte Verfahren, das das NIST als Post-Quanten-Standard ausgewählt hat.

Diese Synchronität war kein Zufall. Es war die lauteste Cross-Chain-Marketing-Offensive seit Vitaliks Plasma-Präsentation im Jahr 2017 und definierte die Quanten-Bereitschaft von einer Engineering-Checkliste für die 2030er Jahre in einen Wettbewerbsvorteil für 2026 um. Während Ethereums „Strawmap“ sieben Hard Forks in einem Sechs-Monats-Rhythmus vorsieht und die Post-Quanten-Infrastruktur erst um 2029 fertigstellen will, verfügt Solana bereits über eine funktionierende Falcon-512-Verifizierung in zwei unabhängigen Client-Implementierungen. Die Lücke beträgt etwa drei Jahre – und drei Jahre sind genug Zeit, um ein institutionelles Narrativ zu gewinnen.

Was am 2. Mai tatsächlich veröffentlicht wurde

Zwei Dinge wurden am selben Tag Realität, und die Kombination ist bedeutender als jedes Teil für sich allein.

Erstens: Anza und Firedancer – die beiden wichtigsten Teams für Solana-Validator-Clients – kamen unabhängig voneinander zu dem Schluss, dass Falcon-512 das richtige Post-Quanten-Signaturverfahren ist, und übermittelten erste Verifizierungs-Suites an ihre jeweiligen GitHub-Repositories. Die Commit-Historie von Anza zeigt, dass die Arbeit an Falcon bereits seit mindestens dem 27. Januar 2026 im Gange war. Das bedeutet, dass dies keine voreilige Reaktion auf Nachrichtenzyklen war, sondern eine monatelange technische Anstrengung, die zwei Teams parallel betrieben und dann zusammenführten.

Zweitens: SIMD-0416 – das Solana Improvement Document, das den Migrationspfad für native quantensichere Wallets und die Signaturverifizierung von Smart Contracts definiert – rückte zeitgleich mit der Client-Arbeit in den Fokus der öffentlichen Diskussion. Zusammen bilden sie den Upgrade-Pfad von „Falcon-512-Verifizierung existiert in der Binärdatei“ zu „Solana-Mainnet-Accounts können Falcon-512 nativ nutzen“. Die Solana Foundation hat erklärt, dass die Migration, sobald sie aktiviert ist, die Netzwerkperformance nicht nennenswert beeinträchtigen wird – eine entscheidende Behauptung, da das Versprechen von Solana mit dem Durchsatz steht oder fällt.

Falcon-512 ist die richtige Wahl für ein High-Throughput-L1. Unter den standardisierten Post-Quanten-Signaturalgorithmen des NIST erzeugt Falcon die kleinsten Signaturen, was genau das ist, was eine Chain benötigt, die auf Tausende von Transaktionen pro Sekunde abzielt. CRYSTALS-Dilithium, die gängigere Alternative, hat größere Signaturen und hätte die Bandbreitenkosten in den Validator-Gossip- und RPC-Ebenen von Solana aufgebläht.

Das L2-Vererbungsproblem, über das niemand sprechen möchte

Yakovenkos Formulierung „alle Hoffnung aufgeben“ klingt rhetorisch, bis man den kryptografischen Aufrufgraphen zurückverfolgt. Jedes Ethereum Layer 2 – Arbitrum, Optimism, Base, zkSync, Linea und der Rest – siedelt auf dem Ethereum L1 ab. Jede L1-Settlement-Transaktion wird mit ECDSA über die secp256k1-Kurve signiert, dem gleichen Primitiv, das auch Bitcoin verwendet. Bridge-Custody-Contracts, Betrugsbeweis-Signaturen (fraud-proof), Validity-Proof-Poster, Sequencer-Batch-Submitter – sie alle verlassen sich letztlich auf secp256k1 ECDSA an der L1-Grenze.

Das bedeutet, dass die eigene Kryptografie eines L2 hinfällig ist, wenn das zugrunde liegende L1 die Angriffsfläche darstellt. Man kann das exotischste ZK-Rollup auf Ethereum aufbauen, mit einer internen Kryptografie, die ein beliebiges Signaturverfahren verwendet, und ein Quanten-Angreifer gewinnt dennoch, indem er die L1-Settlement-Ebene ins Visier nimmt. Die Auszahlungs- und Settlement-Garantien des L2 werden vom L1 geerbt – und Vererbung fließt nur in eine Richtung.

Yakovenkos Darstellung war technisch nicht neu. Ethereum-Forscher verstehen diese Abhängigkeit seit Jahren. Neu war die Bereitschaft, sie am selben Tag öffentlich als Waffe einzusetzen, an dem ein konkurrierendes L1 eine funktionierende Post-Quanten-Verifizierung demonstrierte.

Die Strawmap, Glamsterdam und die Ziellinie 2029

Ethereum hat einen Plan. Die im Februar 2026 veröffentlichte „Strawmap“ der Foundation sieht etwa sieben Hard Forks in einem Sechs-Monats-Rhythmus vor, die sich von 2026 bis 2029 erstrecken, mit dem expliziten Ziel, die Post-Quanten-Infrastruktur bis zum Ende des Jahrzehnts fertigzustellen. Glamsterdam, geplant für die erste Hälfte des Jahres 2026, ist der Auftakt. Hegotá folgt in der zweiten Jahreshälfte 2026. EIP-8141 – derzeit für Hegotá vorgesehen – würde es einzelnen Accounts ermöglichen, ihr eigenes Signaturverifizierungsverfahren zu wählen, sodass Benutzer auf quantensichere Signaturen umsteigen können, ohne auf eine einzige netzwerkweite Migration warten zu müssen.

Dies ist eine kohärente Strategie. Sie ist jedoch langsam.

Die Migration ist für Ethereum strukturell schwieriger als für Solana aus einem Grund, der nichts mit der technischen Qualität zu tun hat, sondern alles mit der Angriffsfläche. Ethereum muss L1-Protokolländerungen, Validator-Infrastruktur (BLS-Signaturen, KZG-Commitments), Account-Abstraction-Tools (EIP-7702 und Konsorten) und Dutzende von L2-Rollups koordinieren, die jeweils ihre eigenen Sequencer-, Batcher- und Bridge-Contracts haben. Die sieben Hard Forks der Strawmap spiegeln diese Auffächerung wider. Solana hat Anza, Firedancer und einen SIMD-Prozess – eine viel kleinere politische Fläche, über die Neuerungen eingeführt werden können.

Ende März 2026 veröffentlichte Google Quantum AI ein Papier, das die Kosten für das Knacken der 256-Bit-Elliptic-Curve-Kryptografie um das etwa 20-fache nach unten korrigierte – auf etwa 1.200 logische Qubits, was auf Hardware erreichbar ist, die weniger als 500.000 physische Qubits erfordert. Dieses einzige Papier veränderte die Dringlichkeitsberechnung. Das Arbeitspapier der Federal Reserve vom September 2025 hatte bereits „Harvest Now, Decrypt Later“ (jetzt ernten, später entschlüsseln) als das tatsächliche Bedrohungsmodell markiert: Ein Angreifer greift heute die öffentliche Chain ab und wartet.

Harvest Now, Decrypt Later: Warum die Uhr bereits tickt

Die „Harvest Now, Decrypt Later“-Bedrohung macht diese Debatte eher zu einer dringlichen als zu einer rein akademischen Angelegenheit. Öffentliche ECDSA-Schlüssel werden jedes Mal offengelegt, wenn eine Transaktion übertragen wird. Einmal geleakt, können sie von einem zukünftigen Quantenangreifer dauerhaft extrahiert werden — denn Blockchain-Daten werden bauartbedingt niemals gelöscht. Im Gegensatz zu verschlüsselten TLS-Sitzungen, die ein Angreifer aktiv abfangen und speichern muss, ist das gesamte öffentliche Ethereum-Ledger frei herunterladbar, archiviert und replizierbar.

Die Implikation ist unangenehm: Jede Ethereum-L2-Transaktion seit den Mainnet-Starts von Arbitrum und Optimism im Jahr 2021 befindet sich bereits im Erfassungsdatensatz (Harvest Set). Das Gleiche gilt für jede Bitcoin-Transaktion mit einer wiederverwendeten Adresse. Die einzige Schadensbegrenzung, die rückwirkend funktioniert, besteht darin, Gelder an eine Adresse zu senden, deren öffentlicher Schlüssel noch nie übertragen wurde — was die meisten Nutzer weder können noch wollen. Eine vorausschauende Absicherung erfordert ein funktionierendes Post-Quanten-Signaturschema auf der Chain, die die Gelder hält.

Dies ist das Prisma, durch das Yakovenkos Tweet zu lesen ist. Es geht nicht darum, dass „Solana vor Ethereum quantensicher sein wird“ — das ist eine Aussage über die Zukunft. Es geht darum, dass „die bereits geleakten öffentlichen Schlüssel von Ethereum in jemandes Erfassungsstapel liegen und die L2, der Sie vertrauen, nicht die einseitige Autorität hat, das zu beheben“ — eine Aussage über die Gegenwart.

Der Konter von Optimism: Eine 10-jährige Superchain-Migration

Optimism hat diesen Druck kommen sehen. Im Januar 2026 veröffentlichte OP Labs eine Post-Quanten-Roadmap für die Superchain, die eine vollständige Einstellung der ECDSA-basierten Externally Owned Accounts (EOAs) bis Januar 2036 anstrebt — ein 10-Jahres-Horizont, der der Zustimmung durch die Governance unterliegt. Der Plan stützt sich auf EIP-7702, um EOAs in Post-Quanten-Smart-Contract-Accounts zu migrieren, ohne die Nutzer zu zwingen, Guthaben oder Adressen aufzugeben. Dabei wird unter anderem CRYSTALS-Dilithium als Kandidat für die Signaturprüfung genannt.

Es ist eine ernsthafte Roadmap. Es ist jedoch eine Roadmap, kein fertiger Code. Optimism weist explizit darauf hin, dass das spezifische Post-Quanten-Signaturschema noch nicht feststeht und dass gitterbasierte NIST-Standardisierungen möglicherweise nicht die beste langfristige Wahl sind. Sie lobbyieren auch bei der Ethereum Foundation, um Validatoren auf einen parallelen BLS-zu-PQ-Zeitplan zu verpflichten — denn ohne L1-Abstimmung ist die Arbeit auf L2-Ebene nach oben hin begrenzt.

Im Vergleich zu Anzas und Firedancers „Verifizierungssuiten, die in produktionserprobten Test-Builds laufen“, ist die Ankündigung von Optimism vom Januar ein anderes Artefakt in einer anderen erkenntnistheoretischen Kategorie. Beides ist notwendig; aber nur eines ist 2026 lieferbar.

Der Bitcoin-Kontext: BIP-360, BIP-361 und die Politik der Soft-Forks

Bitcoins Quantenmigration durchläuft einen anderen Governance-Apparat. Hunter Beasts BIP-360 (Pay-to-Quantum-Resistant-Hash) und BIP-361 (ein „Quantum Coin Freeze“-Mechanismus, der ruhende Gelder zwangsweise von quantenanfälligen Skripten weg migrieren würde) befinden sich beide in der aktiven Prüfung durch die Community. Keines von beiden ist aktiviert. Bitcoins Weg ist notwendigerweise ein Soft-Fork mit breitem Konsens von Minern und Nodes — konstruktionsbedingt langsam.

Solanas Migration erfolgt über Anza- und Firedancer-Client-Releases sowie den SIMD-Prozess. Das ist schneller, konzentriert die Governance aber auch auf einen kleineren Kreis. Ob das ein Feature oder ein Bug ist, hängt davon ab, welches Ende des Dezentralisierungs-Trade-offs man priorisiert. Für den institutionellen Käufer, der für eine Beschaffungsunterlage im Jahr 2027 einen belastbaren Anspruch auf eine „quantensichere L1“ benötigt, ist die Antwort offensichtlich: Schnelligkeit gewinnt.

Die Infrastrukturkosten, die noch niemand eingepreist hat

Post-Quanten-Signaturschemata sind größer als ECDSA. Falcon-512-Signaturen sind je nach Kodierung etwa 5 bis 10 Mal so groß wie secp256k1-Signaturen. Dilithium-Signaturen sind sogar noch größer. Dies sind keine marginalen Kosten, wenn sie über den gesamten RPC- und Bandbreiten-Stack einer Hochdurchsatz-Chain amortisiert werden.

Konkret: Ein Solana-Validator, der Votes per Gossip verbreitet, ein RPC-Anbieter, der die Signaturprüfung bei der Transaktionsübermittlung durchführt, ein Indexer, der Transaktionshistorien rekonstruiert — jede Ebene zahlt den Bandbreitenzuschlag. Bei RPC-Tarifen, die pro Anfrage oder pro Bandbreite abgerechnet werden, steigen die Kosten pro Transaktion im Gleichschritt mit der Signaturgröße. Dies ist ein Neubewertungsereignis, für das durchsatzstarke Chains planen müssen, wenn PQ-Signaturen eher zum Standard als zur Ausnahme werden.

Für Entwickler bedeutet die praktische Implikation: Anfangen zu messen. Wenn Ihre Anwendung Tausende von Transaktionen pro Sekunde auf Solana überträgt, ist der Wechsel von Ed25519 (aktueller Standard, 64-Byte-Signaturen) zu Falcon-512 (ca. 666-Byte-Signaturen, je nach Komprimierung) ein konkreter Bandbreiten- und Speicherunterschied, den Sie heute berechnen können. Planen Sie entsprechend.

Was Entwickler mitnehmen sollten

Ein paar praktische Erkenntnisse.

Wenn Sie auf Solana aufbauen, sollten Sie damit rechnen, dass Upgrades im Stil von SIMD-0416 früher eintreffen, als die Ethereum-Roadmap für L1 vermuten lässt. Entwerfen Sie jede Strategie zur Account-Abstraktion oder Signatur-Aggregation von Anfang an mit Falcon-512 im Hinterkopf. Die Hersteller von Hardware-Wallets werden den Client-Teams folgen; Firmware-Updates für Falcon sind machbar, aber nicht trivial.

Wenn Sie auf einer Ethereum-L2 aufbauen, ist die ehrliche Einschätzung, dass Post-Quanten-Behauptungen auf L2-Ebene keine nennenswerte Sicherheit bieten, solange L1 seinen Teil nicht liefert. Migrationen auf Account-Ebene über EIP-7702 bieten Ihnen einen Weg, aber Bridge-Verträge und Settlement-Signaturen sind ein geerbtes Risiko, das Sie nicht kontrollieren. Planen Sie für ein Übergangsfenster von 2027 bis 2029, nicht für eines im Jahr 2026.

Wenn Sie Cross-Chain-Infrastruktur aufbauen oder ein Multi-Chain-Produkt betreiben, muss Ihr Bedrohungsmodell nun auch „geharvestete öffentliche Schlüssel von einer Chain, über die Sie gebridget haben“ enthalten. Bridges, die Vermögenswerte hinter ECDSA-signierten Multi-Sigs verwahren, sind das riskanteste Artefakt des Übergangs, unabhängig davon, auf welcher Chain sie verankert sind.

Der Marketing-Keil ist die Story

Yakovenkos Tweet war keine technische Enthüllung. Es war ein strategischer Schachzug zur Marktpositionierung, ausgeführt mit seltener zeitlicher Präzision. Die technische Behauptung – dass Ethereum L2s das kryptografische Risiko von L1 erben – ist seit Jahren in Facharbeiten und EIPs dokumentiert. Neu am 2. Mai war die Bereitschaft, diese Behauptung in eine Drei-Wort-Phrase zu komprimieren, sie öffentlich zu präsentieren und sie im selben Nachrichtenzyklus mit bereits veröffentlichter Konkurrenztechnologie zu paaren.

Drei Jahre sind ein langes Marketing-Fenster. Ob Ethereums sieben Hard Forks tatsächlich 2029 abgeschlossen sind oder sich bis 2030 verzögern, Solana hat nun für mindestens die nächsten zwölf Monate die mediale Hoheit beim Thema „quantensichere L1“. Für eine Branche, in der die institutionelle Akzeptanz mehr von Argumenten in Beschaffungs-Präsentationen als von Protokollen kryptografischer Konferenzen abhängt, ist diese Ausgangslage viel wert.

Die schwierigere Frage ist, ob Yakovenkos Framing die Ethereum Foundation dazu zwingt, die „Strawmap“ zu beschleunigen – und ob die L2-Kohorte beginnt, CRYSTALS-Dilithium-Signatur-Envelopes auszuliefern, die den L1-Rückstand kaschieren, anstatt darauf zu warten. Das interessanteste Ergebnis wäre ein Wettbewerb, der den PQ-Zeitplan aller Beteiligten um zwei oder drei Jahre vorzieht. Das am wenigsten interessante Ergebnis wäre, wenn sich jedes Ökosystem auf seine eigene Roadmap zurückzieht. Achten Sie in den nächsten sechs Monaten auf die Calls der Ethereum All Core Devs, um die Antwort zu finden.

BlockEden.xyz betreibt produktionsreife RPC-Infrastruktur für Solana, Ethereum und die wichtigsten L2s, einschließlich jener Workloads für Hochdurchsatz-Signaturverifizierung, welche die Falcon-512-Migration verändern wird. Da Post-Quanten-Signaturschemata die Bandbreite und Verifizierungskosten in jeder RPC-Ebene erhöhen, erkunden Sie unsere Solana- und Ethereum-API-Dienste, um auf einer Infrastruktur aufzubauen, die darauf ausgelegt ist, den nächsten kryptografischen Übergang zu bewältigen, ohne die Wirtschaftlichkeit Ihrer Anwendung zu gefährden.

Quellen

Share on Twitter