メインコンテンツまでスキップ

Solana の耐量子パラドックス:署名サイズ 40 倍増と速度 90% 低下により最速チェーンのアイデンティティが脅かされる時

· 約 20 分
Dora Noda
Dora Noda
Software Engineer

Solana が他のどの Layer 1 よりも強く打ち出しているものが 1 つあります。それは「速度」です。400 ミリ秒のスロットタイム、65,000 TPS というマーケティング上のベンチマーク、そして署名は小さく検証は安価であるという 1 つの前提に基づいて設計された並列実行モデル。2026 年 4 月、その前提は量子コンピュータと衝突しました。

Project Eleven と Solana Foundation が最初のエンドツーエンドの耐量子署名テストを完了したとき、その結果は警告と危機の間に位置するものでした。耐量子署名は、Solana が現在使用している Ed25519 署名の 20 倍から 40 倍大きく なりました。スループットは 約 90% 低下 しました。Ethereum を追い越すことでブランドを築いてきたチェーンが、テスト環境下では、この 5 年間嘲笑してきたネットワークよりも遅くなってしまったのです。

これは通常のパフォーマンス低下ではありません。Solana がずっと前に行った設計上の決定に対する「ツケ」が回ってきたのであり、エコシステム全体は、その支払期限が来たときにどのようなチェーンでありたいかを決断しなければなりません。

ツケの支払い:なぜ耐量子署名が Solana に大打撃を与えるのか

すべての Layer 1 は、楕円曲線暗号を使用してトランザクションに署名します。Bitcoin と Ethereum は ECDSA に依存しています。Solana は Ed25519 を使用しています。どちらも高速で、64 バイト程度のコンパクトな署名を生成し、同じ数学的な困難性(楕円曲線離散対数問題)に基づいています。十分に大きな量子コンピュータで実行されるショアのアルゴリズムは、この問題を多項式時間で解決します。そのマシンが登場すれば、ECDSA や Ed25519 で保護されたすべてのカウントは数分で解読可能になります。

NIST が標準化した耐量子代替案(Dilithium や Falcon などの格子ベースの方式、SLH-DSA などのハッシュベースの方式)は、ショアのアルゴリズムに対して数学的に堅牢です。しかし、それらは帯域幅には優しくありません。Dilithium の署名は 2.4 KB に達することがあります。SLH-DSA はパラメータの選択によって 7 ~ 49 KB に及ぶこともあります。NIST 標準の格子方式で最もコンパクトな Falcon でさえ、署名サイズは約 666 バイトです。これは Ed25519 の約 10 倍であり、それが マシな 選択肢なのです。

Bitcoin にとって、この肥大化は煩わしいものです。しかし Solana にとって、それは死活問題です。Solana のスループットモデルは、コンパクトなペイロードを前提としたサイズの Turbine ツリーを通じてリーダーがシュレッド(shreds)をゴシップするという、400 ミリ秒のスロットに可能な限り多くのトランザクションを詰め込むことに依存しています。トランザクションあたりの署名を 20 ~ 40 倍に増やすと、帯域幅、メモリプール伝播(またはその Gulf Stream 相当)、バリデータ検証、台帳ストレージといった下流のパイプライン全体に同じ倍率の負荷がかかります。テストにおける 90% のスループット低下はソフトウェアのバグではありません。既存のサイズに合わせて設計されたパイプに 40 倍のバイトを流し込もうとしたときに起こる現象なのです。

非対称な脆弱性:なぜ Solana には Bitcoin ほど時間がないのか

ほとんどのブロックチェーンの量子分析は、すべてのチェーンを一括りにします。しかし、そうすべきではありません。Solana には Bitcoin にはない構造的な問題があります。

Bitcoin では、ウォレットアドレスは公開鍵のハッシュです。アドレスから送金しない限り、公開鍵は SHA-256 の壁の後ろに隠されており、量子攻撃者は攻撃対象を持ちません。公開鍵がオンチェーンで公開されるのは、トランザクションを送信する瞬間だけです。トランザクションのブロードキャストからマイニングされるまでの数秒から数分という窓が脆弱性の表面であり、それは非常に小さいものです。

Solana は異なります。Solana のアカウントアドレスは公開鍵 そのもの です。ハッシュ化はされていません。Ed25519 の公開鍵がそのままアドレスであり、アカウントに資金が供給された瞬間からオンチェーンで確認できます。Solana を攻撃する暗号学的に有意な量子コンピュータは、ユーザーが取引するのを待つ必要はありません。資金のあるすべてのアカウントに対して、いつでも、並列に、無期限に攻撃を仕掛けることができます。

Project Eleven の分析は具体的な数値を提示しました。量子シナリオにおいて Solana ネットワークの 100% が脆弱 です。これに対し、Bitcoin や Ethereum では、すでに送金を行って鍵を公開してしまった一部のアドレスのみが公開されています。これは小さな違いではありません。移行の緊急性を桁違いに高めるものです。Bitcoin は「コインを動かさなければ安全だ」とも言えますが、Solana はそうは言えません。

脅威はどこまで現実的なのか? 2026 年 4 月の Q-Day 賞

これらすべてに対する標準的な反論は、実際の暗号を破ることができる量子コンピュータはまだ 10 ~ 15 年先の話であり、今パニックになる必要はないというものです。しかし、2026 年 4 月の 2 つのニュースが、その反論を困難にしました。

第一に、独立した研究者が、公開されている量子ハードウェアを使用して 15 ビットの楕円曲線鍵 を破り、Project Eleven の 1 BTC の Q-Day 賞を獲得しました。これは EC 暗号に対するこれまでで最大の公開量子攻撃です。15 ビットは 256 ビットではなく、その差は膨大です。しかし、このデモンストレーションは、時間貸しのハードウェア上で理論から実行へと移行したという点で重要です。

第二に、Ethereum Foundation の研究者 Justin Drake 氏とスタンフォード大学の Dan Boneh 氏が共同執筆した Google Quantum AI の論文が、実際の暗号鍵を破るために必要な量子ビットの推定値を大幅に削減しました。以前のコンセンサスは 2,000 万物理量子ビット前後でしたが、新しい分析では 50 万物理量子ビット未満 とされました。ある設計では、約 26,000 量子ビットのシステムがあれば「数日」で Bitcoin の暗号を破れる可能性が示唆されています。また、別の Google 主導の論文では、公開された公開鍵から秘密鍵を導き出す量子マシンを約 9 分 でモデル化しています。

これらはまだ将来のシステムです。IBM の現在の最大チップは 1,121 量子ビットの Condor です。1,121 のノイズの多い量子ビットから 26,000 のフォールトトレラント(耐故障性)な量子ビットへの道は、現実のエンジニアリング作業であり、簡単なことではありません。しかし、タイムラインは圧縮されており、それを圧縮しているのはマシンを構築しているのと同じ研究者たちです。「今保存して、後で解読する(store-now-decrypt-later)」というリスク(ハードウェアが成熟したときに攻撃するために、今日のオンチェーンの公開鍵を取得しておくこと)は、暗号資産のカストディを管理する機関にとって、もはや仮定の話ではありません。

Falcon:両方の Solana クライアントが独立して選択した妥協案

量子耐性への移行が不可避であり、Dilithium クラスの署名の肥大化が許容できない場合、Solana には現実的な答えが 1 つあります。それは、NIST 承認済みの最小のポスト量子スキームを選択し、それを中心に設計することです。その答えが Falcon です。

2026 年 4 月 27 日の Solana Foundation のロードマップが興味深いのは、選択そのものではなく、Anza と Jump の Firedancer が独立して Falcon に到達したことです。2 つの主要な Solana クライアントは、この決定を共同で行ったわけではありません。彼らは、署名サイズ、検証コスト、暗号ライブラリの成熟度、ハードウェアアクセラレーションの可能性など、同じトレードオフの空間を評価し、収束しました。この収束は、2 つのチームが多くの点で意見を異にする断片化されたクライアントエコシステムにおいて、強力なシグナルとなります。

Falcon は NTRU に基づく格子ベースのスキームです。NIST はこれを FIPS 206(FN-DSA という名称)の一部として標準化しました。署名サイズは 666 バイトで、Ed25519 の約 10 倍です。これは痛手ではありますが、Dilithium の 2.4 KB や SLH-DSA の数キロバイトというプロファイルとは桁が違います。検証は高速です。そして Firedancer は、最適化された Falcon 実装により、パイプライン内の現在の楕円曲線代替案よりも 2 〜 3 倍高速に動作できる可能性があると報告しました。これは、当初の 90% のスループット低下が最悪のケースの上限であり、最終的な目的地ではないことを示唆しています。

Falcon には当然ながらコストも存在します。署名は検証よりも高コストです。独立したベンチマークによると、一部のポスト量子スキームは Ed25519 よりも署名コストが約 5 倍高くなります。Falcon の署名にはガウスサンプリングが含まれますが、これは定数時間で実装するのが非常に難しいことで知られており、歴史的にサイドチャネル攻撃のリスクとなってきました。Falcon を取り巻く暗号ライブラリのエコシステムは、ECC のものよりもまだ若いです。これらはどれも致命的な障害ではありませんが、すべてが解決すべき課題です。

Solana が回避できない移行の問題

Solana Foundation が公開したロードマップは段階的であり、日付については意図的に曖昧にされています。脅威の研究を継続し、Falcon と代替案を評価し、必要に応じて新しいウォレットにポスト量子署名を導入し、その後に既存のウォレットを移行するという流れです。各ステップには、財団がまだ公に話す準備ができていない問題が含まれています。

新しいウォレットは簡単な部分です。 Solana は新しいアカウントタイプを導入し、それを機能フラグで制限し、ユーザーがオプトインできるようにすることができます。プロトコルは、移行期間中、Ed25519 と Falcon の両方の署名を受け入れることができます。

既存のウォレットの移行こそが、チェーンが失敗する場所です。 Solana には何千万もの資金が入ったアカウントがあります。その一つひとつが、将来の量子コンピュータを持つ攻撃者が標的にできる公開鍵です。移行には、すべてのユーザーが古い鍵の所有権を証明し、アカウントを新しいポスト量子鍵に関連付けるトランザクションを作成する必要があります。シードフレーズを紛失したユーザー、放棄されたウォレット、あるいは死亡したユーザーは移行できません。その時、プロトコルはビットコインが直面しているのと全く同じジレンマに直面します。それは 2026 年 3 月の BIP-360 に関する「凍結か盗難か」という議論で明確になったもので、未移行のアカウントを凍結するか(論争の的)、あるいは最初の実用的な量子コンピュータを構築した者への量子フリーランチとして放置するか(これも論争の的)という選択です。

経済的な影響範囲は膨大です。 SOL の流通供給量は約 5 億 4000 万トークンです。そのかなりの割合が、何年も動かされていないアドレスに存在します。マーケットプレイス、DAO、トレジャリー、休眠中のクジラウォレットなど、そのすべてが最終的に、まだ存在するかどうかわからない鍵保持者によるオンチェーンのアクションを必要とします。移行は技術的な機能ではありません。それは、明確な期限も、明確な権限も、期限を逃したアカウントに対する明確な救済策もない、数年にわたる調整の問題なのです。

Solana のアプローチと Bitcoin および Ethereum の比較

3 大チェーンは、非常に異なる出発点から量子耐性へと収束しつつあります。

Bitcoin (BIP-360 / P2QRH): Pay-to-Quantum-Resistant-Hash は、Falcon と Dilithium 署名を使用する新しいアドレスタイプを作成します。これは P2TR と同様の構造ですが、量子に対して脆弱な鍵パスはありません。BTQ Technologies は、2026 年 3 月に Bitcoin Quantum Testnet v0.3.0 に BIP-360 をデプロイしました。ビットコインの課題は保守性です。新しいアドレスタイプを追加するソフトフォークを有効にするためのコンセンサスを得るのは時間がかかり、移行の議論(サトシ時代のコインに対する凍結か盗難か)は政治的に加熱しています。しかし、ビットコインのハッシュ化された公開鍵構造は、Solana にはない猶予時間を稼いでくれます。

Ethereum (EIP-7701 + EIP-8141): プロトコル全体での暗号の切り替えではなく、Ethereum はネイティブのアカウント抽象化を活用しています。EIP-7701 はスマートアカウントの検証ロジックを可能にし、EIP-8141 は抽象化レイヤーを通じてアカウントがポスト量子安全な認証スキームにローテーションできるようにします。トレードオフとして、Ethereum は特定の切り替え日(フラグデー)のないスムーズな移行パスを得られますが、セキュリティは統一されたプロトコルの保証ではなく、スマートアカウントの実装に依存します。Ethereum はハードフォークなしで、アカウントごとに段階的に移行できます。

Solana (Falcon + 段階的な展開): この 2 つの中間に位置します。プロトコルはネイティブで新しい署名スキームをサポートする必要があります(Ethereum の抽象化アプローチよりも侵襲的です)が、アカウントごとの移行はビットコインのアドレスタイプ切り替えよりも Ethereum の段階的モデルに似ています。パフォーマンスの制約は、他の主要チェーンがこれほどの強度で直面していない、Solana 独自のプレッシャーです。

注目に値する 4 つ目のアプローチは、Circle の Arc や同様の量子ネイティブ L1 です。これらは最初からポスト量子署名を採用するように設計することで、後付けの改修を完全にスキップしています。彼らは帯域幅のコストを前払いで支払い、移行の問題を抱えません。もし Solana の Falcon 移行が 2027 年から 2028 年まで長引き、その間に Arc クラスのチェーンが量子耐性を備えて出荷されれば、現在 Solana を「十分に速い」と見なしている機関投資家のパイプラインは、新しい安住の地を見つけるかもしれません。

開発者とインフラストラクチャへの影響

アプリケーション開発者にとって、直接的な実務上の影響はわずかです。Falcon への移行は標準的な Solana プロトコルのアップグレードを通じて実施され、ライブラリがその変更を抽象化するため、ほとんどの dApp はユーザーがどの署名スキームを使用しているかを意識する必要はありません。より大きな二次的影響は、トランザクション・スループット、手数料の予測可能性、およびアカウント状態のサイズに関して開発者が抱いていた前提に及びます。

もし Falcon の最適化されたパスが Firedancer の報告通り 2 〜 3 倍の改善を維持できれば、Solana はスループットが 90% 低下する代わりに、30 〜 60% の低下で移行を完了できる可能性があります。これは、現在の Solana のトランザクションあたりの低コストを前提に構築されている、無期限先物 DEX(Perpetual DEX)、オンチェーン・オーダーブック、AI エージェントの実行ループといった高頻度のユースケースにとっては依然として重要な意味を持ちます。

インフラストラクチャ・プロバイダーにとっては、より切実な問題となります。インデクサー、RPC プロバイダー、およびアーカイブ・ノード・オペレーターは、署名サイズの拡大に伴うレジャーの増大を考慮した予算編成が必要になります。アカウントの更新をストリーミングする WebSocket サブスクリプションは、イベントごとにより多くのバイトを転送することになります。Solana のバリデーター・ハードウェアを運用するすべての人は、Turbine プロパゲーションのための帯域幅の前提を再検討する必要があります。

長期的なインフラストラクチャをどのチェーン上に構築するかを評価している機関にとって、その判断はより難しくなっています。Solana の速度は競合に対する優位性(モート)ですが、耐量子への移行はそれを直接的に脅かします。ヘッジ策としては、移行パスが最も短く、アーキテクチャ上のコストが最も小さいチェーンを選択することです。これは、実際の量子ハードウェアが登場して理論が現実になるまでは、Dilithium ベースのチェーンよりも Falcon ベースのチェーンが、プロトコル全体の切り替えよりもアカウント抽象化(Account Abstraction)ベースの移行が、そして後付けの対策よりも量子ネイティブな L1 が、より魅力的に見えることを意味します。

アイデンティティの問題

暗号技術の裏側には、より静かな問いがあります。移行後の Solana の存在意義は何でしょうか?

このチェーンの市場における地位は、他のチェーンが到達できない圧倒的な速度を基盤に築かれてきました。その基準が 30% 低下すれば、Solana は依然として高速ではありますが、Aptos、Sui、Sei といった他の高パフォーマンス L1 群との差は、ローンチ以来最も縮まることになります。差別化は狭まります。「Solana は唯一無二の速さを持つ」というピッチは、「Solana は数ある高速チェーンの一つである」というものに変わります。

それは必ずしも悪いことではありません。耐量子性を備え、トランザクション数で最もアクティブなチェーンであり続ける 30% 低速な Solana は、衰退したのではなく成熟したチェーンと言えます。しかし、開発チームは 5 年間、すべてのアーキテクチャの選択をスループット向上のために行ってきたと説明してきました。ポスト量子時代は、その再定義を迫っています。速度はもはやアーキテクチャが最適化する唯一の要素ではありません。将来のハードウェアに対するセキュリティが、同等の制約条件となったのです。

Anza と Firedancer が Falcon で合意したことは、開発者エコシステムがこの現実を受け入れたことを示唆しています。今後 2 年間で、ユーザーベース、機関投資家、および投機的なナラティブが同様にそれを受け入れるかどうかが明らかになるでしょう。

BlockEden.xyz は、Solana および 27 以上の他のチェーンに対してエンタープライズ級の RPC およびインデクサー・インフラストラクチャを提供しています。耐量子移行が開発者の前提としてきたパフォーマンスを塗り替える中、次世代のために設計された基盤を 当社のインフラストラクチャ・サービス でぜひお試しください。

出典

Share on Twitter