Saltar para o conteúdo principal

O Paradoxo Pós-Quântico da Solana: Quando Assinaturas 40x Maiores e uma Perda de Velocidade de 90% Ameaçam a Identidade da Rede Mais Rápida

· 16 min de leitura
Dora Noda
Dora Noda
Software Engineer

A Solana vende uma coisa com mais afinco do que qualquer outra Layer 1: velocidade. Tempos de slot de 400 milissegundos, um benchmark de marketing de 65.000 TPS e um modelo de execução paralela projetado em torno de uma premissa — que as assinaturas são pequenas e a verificação é barata. Em abril de 2026, essa premissa encontrou um computador quântico.

Quando o Projeto Eleven e a Solana Foundation terminaram seus primeiros testes de assinatura resistentes a computação quântica de ponta a ponta, os resultados ficaram entre um aviso e uma crise. As assinaturas pós-quânticas revelaram-se 20 a 40 vezes maiores do que as assinaturas Ed25519 que a Solana utiliza hoje. O rendimento (throughput) caiu em cerca de 90%. A rede que construiu sua marca superando o Ethereum subitamente pareceu, em condições de teste, mais lenta do que a rede que passou cinco anos zombando.

Esta não é uma regressão de desempenho normal. É a conta arquitetônica chegando para uma decisão de design que a Solana tomou há muito tempo — e todo o ecossistema agora precisa decidir que tipo de rede deseja ser quando a conta vencer.

A Conta: Por Que as Assinaturas Seguras Contra Computação Quântica Atingem a Solana Tão Fortemente

Cada Layer 1 assina transações com criptografia de curva elíptica. O Bitcoin e o Ethereum dependem do ECDSA. A Solana utiliza o Ed25519. Ambos são rápidos, ambos produzem assinaturas compactas de cerca de 64 bytes e ambos dependem da mesma premissa de dificuldade matemática — o problema do logaritmo discreto de curva elíptica. O algoritmo de Shor, executado em um computador quântico suficientemente grande, resolve esse problema em tempo polinomial. Quando essa máquina chegar, cada conta protegida por ECDSA ou Ed25519 tornar-se-á passível de abertura em minutos.

As alternativas pós-quânticas que o NIST padronizou — esquemas baseados em redes (lattices) como Dilithium e Falcon, e esquemas baseados em hash como SLH-DSA — são matematicamente robustos contra o algoritmo de Shor. Eles não são, no entanto, amigáveis à largura de banda. Uma assinatura Dilithium pode chegar a 2,4 KB. O SLH-DSA pode se estender de 7 a 49 KB, dependendo da escolha dos parâmetros. O Falcon, o esquema de rede padronizado pelo NIST mais compacto, ainda produz assinaturas de cerca de 666 bytes — cerca de 10 vezes o tamanho do Ed25519, e essa é a melhor opção.

Para o Bitcoin, esse inchaço é irritante. Para a Solana, é existencial. O modelo de rendimento da Solana depende de compactar o máximo de transações possível em um slot de 400 milissegundos, com líderes propagando (gossiping) shreds através de uma árvore Turbine que é dimensionada assumindo payloads compactos. Ao inflar a assinatura por transação em 20-40x, todo o pipeline a jusante — largura de banda, propagação no mempool (ou seu equivalente Gulf Stream), verificação de validadores, armazenamento de ledger — paga o mesmo multiplicador. A queda de 90% no rendimento nos testes não é um bug de software. É o que acontece quando você empurra 40x mais bytes através de um tubo dimensionado para o que já estava lá.

A Vulnerabilidade Assimétrica: Por Que a Solana Tem Menos Tempo Que o Bitcoin

A maioria das análises quânticas de blockchain agrupa todas as redes. Elas não deveriam ser agrupadas. A Solana tem um problema estrutural que o Bitcoin não possui.

No Bitcoin, o endereço da sua carteira é um hash da sua chave pública. Enquanto você nunca gastar a partir de um endereço, sua chave pública permanece oculta atrás de uma parede de SHA-256, e um invasor quântico não tem nada para atacar. Somente no momento do gasto a chave pública é revelada on-chain. Essa janela — os segundos ou minutos entre a transmissão de uma transação e sua mineração — é a superfície de vulnerabilidade, e ela é pequena.

A Solana funciona de forma diferente. Os endereços de conta da Solana são as chaves públicas. Não há hash. A chave pública Ed25519 é o endereço, visível on-chain desde o momento em que a conta é financiada. Um computador quântico criptograficamente relevante atacando a Solana não precisa esperar que os usuários transacionem. Ele pode atacar qualquer conta financiada a qualquer momento, em paralelo, indefinidamente.

A análise do Projeto Eleven quantificou isso: 100% da rede Solana está vulnerável em um cenário quântico, em comparação com um subconjunto exposto menor de endereços Bitcoin e Ethereum onde os usuários já gastaram e revelaram suas chaves. Esta não é uma ressalva pequena. Ela altera a urgência da migração em ordens de magnitude. O Bitcoin pode plausivelmente dizer "se você não mover suas moedas, você permanece seguro". A Solana não pode.

Quão Real É a Ameaça? O Prêmio Q-Day de Abril de 2026

A objeção padrão a tudo isso é que computadores quânticos capazes de quebrar criptografia real ainda estão a 10-15 anos de distância, então por que entrar em pânico agora. Duas notícias de abril de 2026 tornaram essa objeção mais difícil de defender.

Primeiro, um pesquisador independente reivindicou o Prêmio Q-Day de um bitcoin do Projeto Eleven ao usar hardware quântico acessível ao público para quebrar uma chave de curva elíptica de 15 bits — o maior ataque quântico público à criptografia EC até o momento. Quinze bits não são 256 bits, e a lacuna é enorme. Mas a demonstração importa porque cruzou um limite do teórico para o executável, em hardware que é alugado por hora.

Segundo, um artigo do Google Quantum AI coautorado pelo pesquisador da Ethereum Foundation, Justin Drake, e Dan Boneh, de Stanford, reduziu drasticamente a estimativa de qubits para quebrar chaves de criptomoedas reais. O consenso anterior girava em torno de 20 milhões de qubits físicos. A nova análise: menos de 500.000 qubits físicos, com um design sugerindo que um sistema em torno de 26.000 qubits poderia quebrar a criptografia do Bitcoin "em poucos dias". Um artigo separado liderado pelo Google modelou uma máquina quântica derivando uma chave privada de uma chave pública exposta em aproximadamente nove minutos.

Estes ainda são sistemas futuros. O maior chip atual da IBM é o Condor, com 1.121 qubits. O caminho de 1.121 qubits ruidosos para 26.000 qubits tolerantes a falhas é um trabalho de engenharia real, não uma tarde de terça-feira. Mas o cronograma encurtou, e as pessoas que estão realizando esse encurtamento são os mesmos pesquisadores que constroem as máquinas. O risco de "armazene agora, decifre depois" — capturar chaves públicas on-chain hoje para atacar quando o hardware amadurecer — não é mais uma hipótese para instituições que gerenciam a custódia de cripto.

Falcon: O Compromisso que Ambos os Clientes Solana Escolheram de Forma Independente

Se a migração segura contra computação quântica é inevitável e o inchaço de assinaturas da classe Dilithium é insuportável, a Solana tem uma resposta realista: escolher o menor esquema pós-quântico aprovado pelo NIST e projetar em torno dele. Essa resposta é o Falcon.

O que torna o roteiro da Solana Foundation de 27 de abril de 2026 interessante não é a escolha em si — é o fato de que a Anza e o Firedancer da Jump chegaram ao Falcon de forma independente. Os dois principais clientes da Solana não coordenaram a decisão. Eles avaliaram o mesmo espaço de compensações — tamanho da assinatura, custo de verificação, maturidade da biblioteca criptográfica, potencial de aceleração de hardware — e convergiram. Essa convergência é um sinal forte em um ecossistema de clientes fragmentado, onde as duas equipes discordam em muitos pontos.

O Falcon é um esquema baseado em redes ( lattice-based ) construído sobre o NTRU. O NIST o padronizou como parte do FIPS 206 ( sob o nome FN-DSA ). Com assinaturas de 666 bytes, ele é aproximadamente 10 vezes maior que o Ed25519 — doloroso, mas em uma ordem de magnitude diferente dos 2,4 KB do Dilithium ou do perfil de vários kilobytes do SLH-DSA. A verificação é rápida. E o Firedancer relatou que uma implementação otimizada do Falcon poderia rodar 2 a 3 vezes mais rápido do que as alternativas atuais de curva elíptica em seu pipeline, sugerindo que o colapso original de 90 % no rendimento ( throughput ) pode ter sido um teto de pior caso, não o destino final.

Existem custos reais para o Falcon. Assinar é mais caro do que verificar — benchmarks independentes mostram que alguns esquemas pós-quânticos são cerca de 5 vezes mais caros para assinar do que o Ed25519. A assinatura do Falcon envolve amostragem gaussiana, que é notoriamente difícil de implementar em tempo constante, o que historicamente tem sido um risco de canal lateral ( side-channel risk ). O ecossistema de bibliotecas criptográficas em torno do Falcon é mais jovem do que o do ECC. Nenhum desses é um impedimento definitivo. Todos eles exigem trabalho.

A Questão da Migração que a Solana não Pode Evitar

O roteiro publicado pela Solana Foundation é faseado e deliberadamente vago quanto às datas: continuar pesquisando ameaças, avaliar o Falcon e alternativas, introduzir assinaturas pós-quânticas para novas carteiras quando necessário e, em seguida, migrar as carteiras existentes. Cada etapa contém um problema sobre o qual a fundação ainda não está pronta para falar publicamente.

Novas carteiras são a parte fácil. A Solana pode introduzir um novo tipo de conta, protegê-lo atrás de uma flag de recurso ( feature flag ) e permitir que os usuários optem por ele. O protocolo pode aceitar tanto assinaturas Ed25519 quanto Falcon durante um período de transição.

Migrar as carteiras existentes é onde as blockchains falham. A Solana possui dezenas de milhões de contas com fundos. Cada uma delas é uma chave pública que um invasor com um futuro computador quântico pode visar. A migração exige que cada usuário construa uma transação que prove a propriedade da chave antiga e vincule a conta a uma nova chave pós-quântica. Usuários que perderam frases semente ( seed phrases ), abandonaram carteiras ou faleceram não podem migrar. O protocolo enfrenta então exatamente o dilema do Bitcoin — articulado em março de 2026 em torno do debate "congelado vs. roubado" do BIP - 360 — entre congelar contas não migradas ( controverso ) e deixá-las como um almoço grátis quântico para quem construir a primeira máquina criptograficamente relevante ( também controverso ).

A superfície econômica é enorme. O suprimento circulante de SOL é de cerca de 540 milhões de tokens. Uma porcentagem significativa está em endereços que não são tocados há anos. Marketplaces, DAOs, tesourarias, carteiras de baleias inativas — cada uma delas eventualmente precisará de uma ação na rede ( on-chain ) por um detentor de chave que pode ou não existir mais. A migração não é um recurso técnico; é um problema de coordenação de vários anos sem um prazo óbvio, sem autoridade óbvia e sem recurso óbvio para contas que perderem o prazo.

Como a Abordagem da Solana se Compara ao Bitcoin e ao Ethereum

As três principais redes estão convergindo para a resistência quântica a partir de pontos de partida muito diferentes.

Bitcoin ( BIP-360 / P2QRH ): O Pay-to-Quantum-Resistant-Hash cria um novo tipo de endereço que usa assinaturas Falcon e Dilithium, estruturado de forma semelhante ao P2TR, mas sem o caminho de chave vulnerável ao quântico. A BTQ Technologies implantou o BIP - 360 na Testnet v0.3.0 do Bitcoin Quantum em março de 2026. O desafio do Bitcoin é o conservadorismo — obter consenso para ativar um soft fork que adiciona um novo tipo de endereço é lento, e o debate sobre a migração ( moedas da era Satoshi congeladas vs. roubadas ) é politicamente carregado. Mas a estrutura de chave pública com hash do Bitcoin ganha um tempo que a Solana não tem.

Ethereum ( EIP-7701 + EIP-8141 ): Em vez de uma mudança criptográfica em todo o protocolo, o Ethereum está aproveitando a abstração de conta nativa. O EIP - 7701 permite a lógica de validação de contas inteligentes, e o EIP - 8141 permite que as contas rotacionem para esquemas de autenticação seguros contra computação quântica por meio da camada de abstração. A compensação: o Ethereum obtém um caminho de migração mais suave, sem um dia de mudança obrigatória ( flag day ), mas a segurança depende das implementações de contas inteligentes em vez de uma garantia de protocolo uniforme. O Ethereum pode migrar por conta, gradualmente, sem a necessidade de um hard fork.

Solana ( Falcon + implantação faseada ): Situa-se entre os dois. O protocolo deve suportar nativamente um novo esquema de assinatura ( mais invasivo do que a abordagem de abstração do Ethereum ), mas a migração por conta se assemelha mais ao modelo gradual do Ethereum do que à mudança de tipo de endereço do Bitcoin. A restrição de desempenho é a pressão única que nenhuma outra grande rede enfrenta com a mesma intensidade.

Uma quarta abordagem que vale a pena notar: o Arc da Circle e L1s nativas quânticas semelhantes pulam a adaptação inteiramente, projetando assinaturas pós-quânticas desde a gênese. Elas pagam o custo de largura de banda antecipadamente e nunca passam por uma migração. Se a migração do Falcon na Solana se arrastar até 2027 - 2028, enquanto redes da classe Arc forem lançadas com resistência quântica integrada, o fluxo institucional que atualmente vê a Solana como "rápida o suficiente" pode encontrar um novo lar.

O que isso significa para construtores e infraestrutura

Para desenvolvedores de aplicações, o impacto prático imediato é pequeno. A migração para o Falcon chegará por meio de atualizações de protocolo padrão da Solana, as bibliotecas abstrairão a mudança e a maioria dos dApps não precisará saber qual esquema de assinatura seus usuários empregam. O maior efeito de segunda ordem recai sobre as suposições que os desenvolvedores fizeram sobre a taxa de transferência (throughput), previsibilidade de taxas e tamanho do estado da conta.

Se o caminho otimizado do Falcon sustentar a melhoria de 2 - 3 x relatada pelo Firedancer, a Solana poderia realizar a migração com uma perda de 30 - 60 % na taxa de transferência, em vez de 90 %. Isso ainda é significativo para casos de uso de alta frequência — DEXs perpétuas, livros de ordens on-chain, loops de execução de agentes de IA — que foram construídos em torno do piso atual de custo por transação da Solana.

Para provedores de infraestrutura, a história é mais direta. Indexadores, provedores de RPC e operadores de nós de arquivamento precisarão planejar o orçamento para o crescimento do ledger, que escalará com o tamanho maior da assinatura. As assinaturas de WebSocket que transmitem atualizações de conta moverão mais bytes por evento. Qualquer pessoa que opere hardware de validador para a Solana precisará revisitar as suposições de largura de banda para a propagação via Turbine.

Para instituições que avaliam em qual rede construir uma infraestrutura de longa duração, a questão agora é mais difícil. A velocidade da Solana é uma vantagem competitiva que a migração quântica ataca diretamente. A estratégia de proteção (hedge) é escolher redes onde o caminho de migração seja mais curto e o custo arquitetural seja menor. Isso provavelmente significa que redes baseadas em Falcon parecerão melhores do que redes baseadas em Dilithium, migrações baseadas em abstração de conta parecerão melhores do que transições em todo o protocolo, e L1s nativas para quântica parecerão melhores do que adaptações — até que o hardware quântico real chegue e a teoria se torne prática.

A questão da identidade

Sob a criptografia, há uma pergunta mais silenciosa: para que serve a Solana, após a migração?

A posição de mercado da rede foi construída sobre um piso de velocidade absoluta que outras redes não conseguem igualar. Reduza esse piso em até 30 % e a Solana ainda será rápida — mas estará mais próxima da Aptos, Sui, Sei e do restante da coorte de L1s de alto desempenho do que esteve desde o seu lançamento. A diferenciação diminui. O argumento de que "a Solana é exclusivamente rápida" torna-se "a Solana é uma das várias redes rápidas".

Isso não é necessariamente ruim. Uma Solana 30 % mais lenta que seja resistente a computação quântica e continue sendo a rede mais ativa por contagem de transações é uma rede que amadureceu em vez de declinar. Mas a equipe passou cinco anos enquadrando cada escolha arquitetural como estando a serviço da taxa de transferência, e a era pós-quântica força um novo enquadramento. A velocidade não é mais a única coisa para a qual a arquitetura se otimiza. A segurança contra hardwares futuros agora é uma restrição de igual importância.

A convergência Anza - Firedancer no Falcon sugere que o ecossistema de desenvolvedores aceitou isso. Os próximos dois anos revelarão se a base de usuários, os compradores institucionais e a narrativa especulativa farão o mesmo.

BlockEden.xyz fornece infraestrutura de RPC e indexadores de nível empresarial para Solana e mais de 27 + outras redes. À medida que a migração pós-quântica reformula as premissas de desempenho sobre as quais os desenvolvedores construíram, explore nossos serviços de infraestrutura para construir sobre bases projetadas para o que vem a seguir.

Fontes

Share on Twitter