Saltar para o conteúdo principal

A Cunha Quântica de 3 Anos da Solana: Por Que Yakovenko Disse aos Usuários da Ethereum L2 para Abandonarem Toda a Esperança

· 15 min de leitura
Dora Noda
Dora Noda
Software Engineer

Em 2 de maio de 2026, Anatoly Yakovenko fez algo que a maioria dos cofundadores de blockchain evita: ele disse a um grupo inteiro de usuários que sua rede não tinha mais salvação. "Abandonem toda a esperança", escreveu o cofundador da Solana Labs, era o único conselho honesto para qualquer pessoa que detivesse ativos em uma Layer 2 da Ethereum e se preocupasse com computadores quânticos. O tweet foi publicado na mesma hora em que a Anza e a Firedancer — os dois clientes que garantem a maior parte do stake de validadores da Solana — publicaram builds de teste robustas para produção verificando assinaturas Falcon-512, o esquema baseado em redes (lattice-based) que o NIST selecionou como padrão pós-quântico.

Essa sincronicidade não foi um acidente. Foi a salva de marketing cross-chain mais barulhenta desde o deck Plasma de Vitalik em 2017, e reformulou a prontidão quântica de um checklist de engenharia da década de 2030 para um diferencial competitivo em 2026. Enquanto o "Strawmap" da Ethereum planeja sete hard forks em uma cadência de seis meses, finalizando a infraestrutura pós-quântica por volta de 2029, a Solana agora possui verificação Falcon-512 funcional em duas implementações de clientes independentes. A lacuna é de aproximadamente três anos — e três anos é tempo suficiente para conquistar uma narrativa institucional.

O Que Realmente Foi Lançado em 2 de Maio

Duas coisas tornaram-se realidade no mesmo dia, e a combinação importa mais do que qualquer uma das partes isoladamente.

Primeiro, Anza e Firedancer — as duas principais equipes de clientes validadores da Solana — chegaram independentemente ao Falcon-512 como o esquema de assinatura pós-quântico correto e enviaram as suítes de verificação iniciais para seus respectivos repositórios no GitHub. O histórico de commits da Anza mostra o trabalho no Falcon em andamento desde pelo menos 27 de janeiro de 2026, o que significa que esta não foi uma resposta apressada aos ciclos de notícias, mas um esforço de engenharia de vários meses que as duas equipes executaram em paralelo e depois convergiram.

Segundo, o SIMD-0416 — o Documento de Melhoria da Solana (Solana Improvement Document) que define o caminho de migração para carteiras nativas seguras contra computação quântica e verificação de assinatura de contratos inteligentes — entrou na conversa pública juntamente com o trabalho do cliente. Juntos, eles formam o caminho de atualização de "a verificação Falcon-512 existe no binário" para "as contas da mainnet da Solana podem usar nativamente o Falcon-512". A Solana Foundation afirmou que a migração, uma vez ativada, não afetará significativamente o desempenho da rede — uma afirmação crítica porque o argumento de venda da Solana vive ou morre com base no throughput.

O Falcon-512 é a escolha certa para uma L1 de alto throughput. Entre os algoritmos de assinatura pós-quântica padronizados pelo NIST, o Falcon produz as menores assinaturas, que é exatamente o que uma chain que visa milhares de transações por segundo precisa. O CRYSTALS-Dilithium, a alternativa mais comum, possui assinaturas maiores e teria inflado os custos de largura de banda em todos os níveis de gossip de validadores e RPC da Solana.

O Problema de Herança da L2 que Ninguém Quer Discutir

O enquadramento de "abandonem toda a esperança" de Yakovenko soa retórico até que se trace o gráfico de chamadas criptográficas. Cada Layer 2 da Ethereum — Arbitrum, Optimism, Base, zkSync, Linea, e as demais — faz a liquidação (settlement) na L1 da Ethereum. Cada transação de liquidação na L1 é assinada usando ECDSA sobre a curva secp256k1, a mesma primitiva que o Bitcoin usa. Contratos de custódia de bridge, assinaturas de fraud-proof, postadores de validity-proof, submetedores de lotes do sequencer — todos eles dependem, em última instância, do ECDSA secp256k1 no limite da L1.

Isso significa que a própria criptografia de uma L2 é irrelevante quando a L1 subjacente é a superfície de ataque. Você pode construir o ZK-rollup mais exótico sobre a Ethereum, com criptografia interna que usa qualquer esquema de assinatura que desejar, e um invasor quântico ainda vencerá ao visar a camada de liquidação L1. As garantias de retirada e liquidação da L2 são herdadas da L1 — e a herança flui em apenas uma direção.

O enquadramento de Yakovenko não foi tecnicamente inovador. Os pesquisadores da Ethereum entendem essa dependência há anos. O que foi novo foi a disposição de usá-la como arma publicamente no mesmo dia em que uma L1 concorrente demonstrou uma verificação pós-quântica funcional.

O Strawmap, Glamsterdam e a Linha de Chegada em 2029

A Ethereum tem um plano. O "Strawmap" da Fundação, publicado em fevereiro de 2026, estabelece cerca de sete hard forks em uma cadência de seis meses que se estende de 2026 a 2029, com o objetivo explícito de completar a infraestrutura pós-quântica até o final da década. Glamsterdam, previsto para o primeiro semestre de 2026, é o pontapé inicial. Hegotá segue no segundo semestre de 2026. O EIP-8141 — atualmente programado para o Hegotá — permitiria que contas individuais escolhessem seu próprio esquema de verificação de assinatura, permitindo que os usuários mudassem para assinaturas seguras contra computação quântica sem esperar por uma única migração em toda a rede.

Esta é uma estratégia coerente. É também lenta.

A migração é estruturalmente mais difícil para a Ethereum do que para a Solana por uma razão que nada tem a ver com a qualidade da engenharia e tudo a ver com a superfície de contato. A Ethereum precisa coordenar mudanças no protocolo L1, infraestrutura de validadores (assinaturas BLS, compromissos KZG), ferramentas de abstração de conta (EIP-7702 e similares) e dezenas de rollups L2, cada um com seu próprio sequencer, batcher e contratos de bridge. Os sete hard forks do Strawmap refletem essa dispersão. A Solana tem Anza, Firedancer e um processo SIMD — uma superfície política muito menor para realizar as entregas.

No final de março de 2026, o Google Quantum AI publicou um artigo revisando o custo de quebrar a criptografia de curva elíptica de 256 bits para baixo em aproximadamente 20 vezes — para cerca de 1.200 qubits lógicos, alcançáveis em hardware que requer menos de 500.000 qubits físicos. Esse único artigo reescreveu o cálculo de urgência. O próprio working paper do Federal Reserve de setembro de 2025 já havia sinalizado "colha agora, descriptografe depois" (harvest now, decrypt later) como o modelo de ameaça real: um invasor coleta dados da rede pública hoje e espera.

Colha agora, decifre depois: Por que o relógio já começou a correr

A ameaça de "colha agora, decifre depois" (harvest-now-decrypt-later) é o que torna este debate urgente em vez de apenas acadêmico. As chaves públicas ECDSA vazam sempre que uma transação é transmitida. Uma vez vazadas, elas se tornam permanentemente extraíveis para um futuro atacante quântico — porque os dados da blockchain, por design, nunca são excluídos. Ao contrário das sessões TLS criptografadas, que um adversário precisa interceptar e armazenar ativamente, todo o livro-razão público da Ethereum pode ser baixado livremente, arquivado e replicado.

A implicação é desconfortável: cada transação de L2 da Ethereum desde os lançamentos da mainnet da Arbitrum e Optimism em 2021 já está no conjunto de colheita. O mesmo vale para cada transação Bitcoin com um endereço reutilizado. A única mitigação que funciona retroativamente é mover fundos para um endereço cuja chave pública nunca foi transmitida — o que a maioria dos usuários não pode ou não fará. A mitigação futura requer um esquema de assinatura pós-quântico funcional na rede que detém os fundos.

Este é o prisma pelo qual se deve ler o tweet de Yakovenko. Não é "a Solana será segura contra ataques quânticos antes da Ethereum" — essa é uma afirmação sobre o futuro. É "as chaves públicas já vazadas da Ethereum estão na pilha de colheita de alguém e a L2 em que você confia não tem a autoridade unilateral para consertar isso" — uma afirmação sobre o presente.

A resposta da Optimism: Uma migração da Superchain de 10 anos

A Optimism viu essa pressão chegando. Em janeiro de 2026, o OP Labs publicou um roteiro pós-quântico para a Superchain que visa uma depreciação total das contas de propriedade externa (EOAs) baseadas em ECDSA até janeiro de 2036 — um horizonte de 10 anos, sujeito à aprovação da governança. O plano baseia-se no EIP-7702 para migrar EOAs para contas de contratos inteligentes pós-quânticos sem forçar os usuários a abandonar saldos ou endereços, com o CRYSTALS-Dilithium nomeado como um candidato a verificador de assinatura, entre outros.

É um roteiro sério. Também é um roteiro, não um código enviado. A Optimism observa explicitamente que o esquema de assinatura pós-quântico específico ainda não foi decidido e que as padronizações do NIST baseadas em latices podem não ser a melhor escolha a longo prazo. Eles também estão pressionando a Ethereum Foundation para comprometer os validadores a um cronograma paralelo de BLS para PQ — porque sem o alinhamento da L1, o trabalho no nível da L2 fica limitado por um teto.

Em comparação com as "suítes de verificação rodando em compilações de teste prontas para produção" da Anza e Firedancer, o anúncio de janeiro da Optimism é um artefato diferente em uma categoria epistêmica diferente. Ambos são necessários; apenas um é passível de entrega em 2026.

O contexto do Bitcoin: BIP-360, BIP-361 e a política de Soft-Fork

A migração quântica do Bitcoin passa por uma máquina de governança diferente. O BIP-360 de Hunter Beast (pay-to-quantum-resistant-hash) e o BIP-361 (um mecanismo de "congelamento de moedas quânticas" que migraria forçosamente fundos inativos para longe de scripts vulneráveis a ataques quânticos) estão ambos sob revisão ativa da comunidade. Nenhum deles está ativado. O caminho do Bitcoin é necessariamente um soft fork com amplo consenso de mineradores e nós — lento por design.

A migração da Solana passa pelos lançamentos dos clientes Anza e Firedancer, além do processo SIMD. Isso é mais rápido, mas também concentra a governança em um círculo menor. Se isso é um recurso ou um bug depende de qual extremidade da compensação de descentralização você prioriza. Para o comprador institucional que deseja uma afirmação defensável de "L1 segura contra computação quântica" em uma apresentação de compras de 2027, a resposta é óbvia: o mais rápido vence.

O custo de infraestrutura que ninguém precificou

Os esquemas de assinatura pós-quânticos são maiores que o ECDSA. As assinaturas Falcon-512 têm aproximadamente 5 a 10 vezes o tamanho em bytes das assinaturas secp256k1, dependendo da codificação. As assinaturas Dilithium são ainda maiores. Este não é um custo marginal quando amortizado em toda a pilha de RPC e largura de banda de uma rede de alta taxa de transferência.

Concretamente, um validador Solana propagando votos, um provedor de RPC servindo a verificação de assinatura no envio da transação, um indexador reconstruindo históricos de transações — cada camada paga a taxa de largura de banda. Para níveis de RPC precificados por solicitação ou por largura de banda, o custo por transação aumenta no mesmo ritmo que o tamanho da assinatura. Este é um evento de reprecificação para o qual as redes com alto rendimento precisarão se planejar, à medida que as assinaturas PQ se tornam o padrão, em vez da exceção.

Para os desenvolvedores, a implicação prática é começar a medir. Se a sua aplicação transmite milhares de transações por segundo na Solana, a mudança de Ed25519 (padrão atual, assinaturas de 64 bytes) para Falcon-512 (cerca de 666 bytes por assinatura, dependendo da compressão) é um delta concreto de largura de banda e armazenamento que você pode calcular hoje. Planeje-se adequadamente.

O que os desenvolvedores devem aprender

Algumas leituras práticas.

Se você está construindo na Solana, espere que as atualizações no estilo SIMD-0416 cheguem antes do que o roteiro da Ethereum sugere para a L1, e projete qualquer estratégia de abstração de conta ou agregação de assinatura com o Falcon-512 em mente desde o início. Os fornecedores de carteiras de hardware seguirão as equipes de clientes; as atualizações de firmware para Falcon são viáveis, mas não triviais.

Se você está construindo em uma L2 da Ethereum, a leitura honesta é que as alegações de segurança pós-quântica no nível da L2 não oferecem segurança significativa até que a L1 entregue sua parte. As migrações no nível da conta via EIP-7702 oferecem um caminho, mas os contratos de ponte (bridge) e as assinaturas de liquidação são riscos herdados que você não controla. Planeje uma janela de transição para 2027–2029, não 2026.

Se você está construindo infraestrutura cross-chain ou operando um produto multi-chain, seu modelo de ameaça agora deve incluir "chaves públicas colhidas de uma rede pela qual você fez a ponte". As pontes que custodiam ativos atrás de multi-sigs assinadas por ECDSA são o artefato de maior risco da transição, independentemente de qual rede as ancora.

A Cunha de Marketing é a Narrativa

O tweet de Yakovenko não foi uma divulgação técnica. Foi uma jogada de posicionamento de mercado executada com uma precisão de tempo rara. A afirmação técnica — de que as L2s do Ethereum herdam o risco criptográfico da L1 — tem sido documentada em artigos e EIPs há anos. O que houve de novo em 2 de maio foi a disposição de condensar essa afirmação em uma frase curta, entregá-la em público e combiná-la com o lançamento de tecnologia concorrente no mesmo ciclo de notícias.

Três anos é uma janela de marketing longa. Quer os sete hard forks do Ethereum terminem de fato em 2029 ou se estendam até 2030, a Solana agora detém o protagonismo na imprensa sobre "L1 segura contra computação quântica" por pelo menos os próximos doze meses. Para uma indústria onde a adoção institucional depende mais de pontos de discussão em apresentações de propostas do que em atas de conferências de criptografia, esse protagonismo vale muito.

A questão mais difícil é se o enquadramento de Yakovenko forçará a Ethereum Foundation a acelerar o Strawmap — e se o grupo de L2s começará a implementar envelopes de assinatura CRYSTALS-Dilithium que mascarem o atraso da L1 em vez de esperar por ela. O resultado mais interessante seria uma corrida competitiva que antecipasse o cronograma de pós-quântica (PQ) de todos em dois ou três anos. O resultado menos interessante seria cada ecossistema recuando para seu próprio roadmap. Acompanhe as chamadas dos Ethereum All Core Devs nos próximos seis meses para obter a resposta.

A BlockEden.xyz opera infraestrutura RPC de nível de produção para Solana, Ethereum e as principais L2s, incluindo o tipo de cargas de trabalho de verificação de assinatura de alta taxa de transferência que a migração Falcon-512 irá remodelar. À medida que os esquemas de assinatura pós-quântica aumentam os custos de largura de banda e verificação em todos os níveis de RPC, explore nossos serviços de API de Solana e Ethereum para construir em uma infraestrutura projetada para absorver a próxima transição criptográfica sem comprometer a economia da sua aplicação.

Fontes

Share on Twitter