Постквантовый парадокс Solana: когда подписи в 40 раз больше и потеря скорости на 90% угрожают идентичности самой быстрой сети
Solana продает одну вещь активнее, чем любой другой протокол первого уровня (Layer 1): скорость. Время слота в 400 миллисекунд, маркетинговый показатель в 65 000 TPS и модель параллельного исполнения, построенная на одном предположении — что подписи малы, а их проверка обходится дешево. В апреле 2026 года это предположение столкнулось с квантовым компьютером.
Когда Project Eleven и Solana Foundation завершили свои первые комплексные испытания подписей, устойчивых к квантовым вычислениям, результаты оказались чем-то средним между предупреждением и кризисом. Постквантовые подписи оказались в 20–40 раз больше, чем подписи Ed25519, которые Solana использует сегодня. Пропускная способность упала примерно на 90%. Сеть, построившая свой бренд на том, чтобы обгонять Ethereum, внезапно в тестовых условиях стала выглядеть медленнее, чем сеть, над которой она насмехалась пять лет.
Это не обычная регрессия производительности. Это архитектурный счет, предъявленный за дизайнерское решение, принятое Solana давным-давно, и теперь всей экосистеме предстоит решить, какой сетью она хочет быть, когда придет время платить по счетам.
Счет: почему квантово-безопасные подписи так сильно бьют по Solana
Каждый Layer 1 подписывает транзакции с помощью криптографии на эллиптических кривых. Bitcoin и Ethereum опираются на ECDSA. Solana использует Ed25519. Оба метода быстры, оба создают компактные подписи размером около 64 байт и оба полагаются на одно и то же допущение о математической сложности — задачу дискретного логарифмирования в группе точек эллиптической кривой. Алгоритм Шора, запущенный на достаточно мощном квантовом компьютере, решает эту задачу за полиномиальное время. Когда такая машина появится, любой аккаунт, защищенный ECDSA или Ed25519, можно будет взломать за считанные минуты.
Постквантовые альтернативы, стандартизированные NIST — схемы на основе решеток, такие как Dilithium и Falcon, схемы на основе хешей, такие как SLH-DSA — математически устойчивы к алгоритму Шора. Однако они требовательны к пропускной способности. Подпись Dilithium может достигать 2,4 КБ. SLH-DSA может растягиваться до 7–49 КБ в зависимости от выбора параметров. Falcon, самая компактная схема на основе решеток, стандартизированная NIST, все равно создает подписи размером около 666 байт — это примерно в 10 раз больше Ed25519, и это еще лучший вариант.
Для Bitcoin такое раздувание данных неприятно. Для Solana оно экзистенциально. Модель пропускной способности Solana зависит от того, чтобы уместить как можно больше транзакций в 400-миллисекундный слот, при этом лидеры рассылают пакеты (shreds) через дерево Turbine, размер которого рассчитан на компактную полезную нагрузку. Увеличьте размер подписи в каждой транзакции в 20–40 раз, и вся цепочка операций — пропускная способность, распространение в мемпуле (или его эквиваленте Gulf Stream), проверка валидаторами, хранение в реестре — заплатит ту же цену. Падение пропускной способности на 90% в ходе тестирования — это не программная ошибка. Это то, что происходит, когда вы пытаетесь прогнать в 40 раз больше байтов через трубу, рассчитанную на то, что там уже было.
Асимметричная уязвимость: почему у Solana меньше времени, чем у Bitcoin
Большинство квантовых анализов блокчейнов сваливают все сети в одну кучу. Этого делать не стоит. У Solana есть структурная проблема, которой нет у Bitcoin.
В Bitcoin адрес вашего кошелька — это хеш вашего публичного ключа. Пока вы не совершаете трат с адреса, ваш публичный ключ остается скрытым за стеной SHA-256, и квантовому злоумышленнику нечего атаковать. Только в момент совершения транзакции публичный ключ раскрывается в сети. Это окно — секунды или минуты между трансляцией транзакции и ее попаданием в блок — и есть поверхность уязвимости, и она невелика.
Solana работает иначе. Адреса аккаунтов Solana и являются публичными ключами. Хеширования нет. Публичный ключ Ed25519 — это и �есть адрес, видимый в сети с момента пополнения счета. Криптографически значимому квантовому компьютеру, атакующему Solana, не нужно ждать, пока пользователи совершат транзакцию. Он может атаковать любой пополненный аккаунт в любое время, параллельно и неограниченно долго.
Анализ Project Eleven привел конкретную цифру: 100% сети Solana уязвимы в квантовом сценарии, по сравнению с меньшим подмножеством открытых адресов Bitcoin и Ethereum, где пользователи уже совершали транзакции и раскрыли свои ключи. Это не просто небольшое замечание. Это меняет срочность миграции на порядки. Bitcoin может резонно заявить: «если вы не перемещаете свои монеты, вы остаетесь в безопасности». Solana — нет.
Насколько реальна угроза? Приз Q-Day в апреле 2026 года
Стандартное возражение против всего этого заключается в том, что квантовые компьютеры, способные взломать реальную криптографию, появятся еще через 10–15 лет, так зачем паниковать сейчас. Две новости апреля 2026 года сделали это возражение менее убедительным.
Во-первых, независимый исследователь получил приз Q-Day от Project Eleven в размере одного биткоина, используя общедоступное квантовое оборудование для взлома 15-битного ключа на эллиптических кривых — крупнейшей на сегодняшний день публичной квантовой атаки на криптографию EC. 15 бит — это не 256 бит, и разрыв огромен. Но эта демонстрация важна, потому что она перешла порог от теории к практике на оборудовании, которое арендуется по часам.
Во-вторых, в статье Google Quantum AI, написанной в соавторстве с исследователем Ethereum Foundation Джастином Дрейком и Дэном Боне из Стэнфорда, была резко снижена оценка количества кубитов, необходимых для взлома реальных криптовалютных ключей. Предыдущий консенсус колебался в районе 20 миллионов физических кубитов. Новый анализ: менее 500 000 физических кубитов, причем один из проектов предполагает, что система из примерно 26 000 кубитов сможет взломать шифрование Bitcoin «за несколько дней». В другой статье под руководством Google моделировалась квантовая машина, вычисляющая закрытый ключ на основе открытого примерно за девять минут.
Это все еще системы будущего. Крупнейшим текущим чипом IBM является Condor с 1 121 кубитом. Путь от 1 121 зашумленного кубита до 26 000 отказоустойчивых кубитов — это серьезная инженерная работа, а не задача на пару часов. Но сроки сократились, и люди, которые их сокращают — это те же исследователи, которые строят эти машины. Риск «сохрани сейчас — дешифруй потом» (store-now-decrypt-later) — захват публичных ключей в блокчейне сегодня для атаки в будущем, когда оборудование созреет — больше не является гипотетическим для институтов, управляющих хранением криптовалют.
Falcon: компромисс, к которому оба клиента Solana пришли независимо
Если квантово-безопасная миграция неизбежна, а раздувание подписей класса Dilithium недопустимо, у Solana есть один реалистичный ответ: выбрать самую компактную постквантовую схему, одобренную NIST, и выстраивать архитектуру вокруг неё. Этот ответ — Falcon.
Что делает дорожную карту Solana Foundation от 27 апреля 2026 года интересной, так это не сам выбор — а то, что Anza и Firedancer от Jump пришли к Falcon независимо. Два флагманских клиента Solana не координировали это решение. Они оценили одно и то же пространство параметров — размер подписи, стоимость верификации, зрелость криптографической библиотеки, потенциал аппаратного ускорения — и сошлись в одном. Эта конвергенция является сильным сигналом в фрагментированной экосистеме клиентов, где команды часто не согласны друг с другом по многим вопросам.
Falcon — это схема на основе решеток, построенная на NTRU. NIST стандартизировал её в рамках FIPS 206 (под названием FN-DSA). При размере подписи в 666 байт она примерно в 10 раз больше, чем Ed25519 — это болезненно, но это другой порядок величины по сравнению с 2,4 КБ у Dilithium или многокилобайтным профилем SLH-DSA. Верификация проходит быстро. И Firedancer сообщил, что оптимизированная реализация Falcon может работать в 2-3 раза быстрее, чем текущие альтернативы на эллиптических кривых в их конвейере, что предполагает, что первоначальный прогноз о 90% коллапсе пропускной способности мог быть худшим сценарием, а не итогом.
У Falcon есть свои издержки. Подписание обходится дороже, чем верификация — независимые тесты показывают, что некоторые постквантовые схемы требуют примерно в 5 раз больше ресурсов для подписания, чем Ed25519. Подписание в Falcon включает гауссовское сэмплирование, которое печально известно сложностью реализации за константное время, что исторически создавало риски атак по побочным каналам. Экосистема криптографических библиотек вокруг Falcon моложе, чем вокруг ECC. Ни одно из этих препятствий не является критическим. Все они требуют работы.
Вопрос миграции, которого Solana не может избежать
Опубликованная дорожная карта Solana Foundation разбита на этапы и намеренно расплывчата в датах: продолжение исследования угроз, оценка Falcon и альтернатив, внедрение постквантовых подписей для новых кошельков при необходимости, а затем миграция существующих кошельков. Каждый шаг содержит проблему, о которой фонд пока не готов говорить публично.
Новые кошельки — это простая часть. Solana может ввести новый тип аккаунта, скрыть его за флагом функции (feature flag) и позволить пользователям подключаться по желанию. Протокол может принимать как подписи Ed25519, так и Falcon в течение переходного периода.
Миграция существующих кошельков — это то, где блокчейны терпят неудачу. У Solana десятки миллионов активных аккаунтов с балансом. Каждый из них представляет собой публичный ключ, на который может нацелиться злоумышленник с квантовым компьютером в будущем. Миграция требует от каждого пользователя создания транзакции, которая доказывает владение старым ключом и привязывает аккаунт к новому постквантовому ключу. Пользователи, потерявшие сид-фразы, забросившие кошельки или умершие, не смогут мигрировать. Затем протокол сталкивается с той же дилеммой, что и Биткоин — сформулированной в марте 2026 года в ходе дебатов по BIP-360 «заморожено против украдено» — между заморозкой немигрировавших аккаунтов (спорно) и оставлением их в качестве «бесплатного квантового обеда» для того, кто построит первую криптографически значимую машину (также спорно).
Экономический охват огромен. Оборотное предложение SOL составляет около 540 миллионов токенов. Значительный процент находится на адресах, которые не использовались годами. Маркетплейсы, DAO, казначейства, спящие кошельки «китов» — каждому из них в конечном итоге потребуется ончейн-действие со стороны владельца ключа, который может существовать, а может и нет. Миграция — это не техническая функция; это многолетняя проблема координации без очевидного дедлайна, без очевидного органа власти и без очевидных средств правовой защиты для аккаунтов, пропустивших окно миграции.
Как Solana's подход сравнивается с Bitcoin и Ethereum
Три крупнейшие сети движутся к квантовой устойчивости с очень разных стартовых позиций.
Bitcoin (BIP-360 / P2QRH): Pay-to-Quantum-Resistant-Hash создает новый тип адреса, использующий подписи Falcon и Dilithium, структури�рованный аналогично P2TR, но без уязвимого для квантовых вычислений пути ключа (keypath). BTQ Technologies развернула BIP-360 в тестовой сети Bitcoin Quantum Testnet v0.3.0 в марте 2026 года. Проблема Биткоина — консерватизм: достижение консенсуса для активации софтфорка, добавляющего новый тип адреса, происходит медленно, а дебаты о миграции (заморожено против украдено для монет эпохи Сатоши) политизированы. Но структура Биткоина с хешированным публичным ключом дает время, которого у Solana нет.
Ethereum (EIP-7701 + EIP-8141): Вместо криптографического перехода на уровне всего протокола, Ethereum использует нативную абстракцию аккаунта. EIP-7701 включает логику валидации смарт-аккаунтов, а EIP-8141 позволяет аккаунтам переходить на квантово-безопасные схемы аутентификации через слой абстракции. Компромисс: Ethereum получает более плавный путь миграции без резкого перехода («flag day»), но безопасность зависит от реализации смарт-аккаунтов, а не от единой гарантии протокола. Ethereum может мигрировать поаккаунтно, постепенно, без хардфорка.
Solana (Falcon + поэтапное внедрение): Находится посередине. Протокол должен нативно поддерживать новую схему �подписи (более инвазивно, чем подход с абстракцией в Ethereum), но миграция для каждого аккаунта выглядит скорее как постепенная модель Ethereum, чем как переход на новый тип адреса в Биткоине. Ограничение производительности — это уникальное давление, с которым не сталкивается ни одна другая крупная сеть с такой интенсивностью.
Четвертый подход, заслуживающий внимания: Arc от Circle и аналогичные квантово-нативные L1-сети полностью отказываются от модернизации, проектируя постквантовые подписи с самого генезиса. Они оплачивают стоимость пропускной способности авансом и никогда не сталкиваются с проблемой миграции. Если миграция Solana на Falcon затянется до 2027–2028 годов, в то время как сети класса Arc будут запускаться со встроенной квантовой устойчивостью, институциональный поток, который сейчас считает Solana «достаточно быстрой», может найти себе новый дом.
Что это значит для разработчиков и инфраструктуры
Для разработчиков приложений непосредственное практическое влияние будет незначительным. Миграция на Falcon произойдет через стандартные обновления протокола Solana, библиотеки абстрагируют изменения, и большинству dApps не нужно будет знать, какую схему подписи используют их пользователи. Более значимый эффект второго порядка коснется предположений разработчиков о пропускной способности транзакций, предсказуемости комиссий и размере состояния аккаунтов.
Если оптимизированный путь Falcon сохранит 2-3-кратное улучшение, о котором сообщал Firedancer, Solana может завершить миграцию с потерей пропускной способности на 30–60% вместо 90%. Это по-прежнему существенно для высокочастотных сценариев использования — бессрочных DEX, ончейн-книг ордеров, циклов выполнения ИИ-агентов — которые строились вокруг текущего нижнего порога стоимости транзакции в Solana.
Для поставщиков инфраструктуры ситуация более острая. Индексаторам, RPC-провайдерам и операторам архивных нод придется закладывать бюджет на рост рее�стра (ledger), который масштабируется вместе с увеличением размера подписи. Подписки WebSocket, транслирующие обновления аккаунтов, будут передавать больше байтов на каждое событие. Любому, кто эксплуатирует оборудование валидаторов для Solana, потребуется пересмотреть требования к пропускной способности канала для распространения данных через Turbine.
Для институциональных игроков, оценивающих, на какой сети строить долгосрочную инфраструктуру, вопрос теперь усложняется. Скорость Solana — это конкурентное преимущество, по которому квантовая миграция наносит прямой удар. Стратегия защиты здесь — выбирать сети, где путь миграции кратчайший, а архитектурные издержки минимальны. Это, вероятно, означает, что сети на базе Falcon будут выглядеть предпочтительнее сетей на базе Dilithium, миграции на основе абстракции аккаунта — лучше, чем переключения на уровне всего протокола, а квантово-нативные L1 — лучше, чем модернизированные системы, до тех пор, пока не появится реальное квантовое оборудование и теория не станет практикой.
Вопрос идентичности
За криптографией скрывается более тихий вопрос: для чего нужна Solana после миграции?
Рыночная позиция сети строилась на абсолютном пороге скорости, с которым другие блокчейны не могли сравниться. Снизьте этот порог даже на 30%, и Solana все еще останется быстрой — но она станет ближе к Aptos, Sui, Sei и остальной когорте высокопроизводительных L1-сетей, чем когда-либо с момента запуска. Дифференциация сужается. Позиционирование «Solana уникально быстрая» превращается в «Solana — одна из нескольких быстрых сетей».
Это не обязательно плохо. Solana, ставшая на 30% медленнее, но при этом квантово-устойчивая и остающаяся самой активной сетью по количеству транзакций, — это сеть, которая повзрослела, а не пришла в упадок. Но команда провела пять лет, аргументируя каждый архитектурный выбор служением пропускной способности, и постквантовая эра заставляет сменить парадигму. Скорость больше не является единственным фактором, под который оптимизируется архитектура. Безопасность против оборудования будущег�о теперь становится равнозначным ограничением.
Конвергенция Anza и Firedancer на Falcon говорит о том, что экосистема разработчиков приняла это. Следующие два года покажут, сделают ли то же самое пользовательская база, институциональные покупатели и спекулятивный нарратив.
BlockEden.xyz предоставляет RPC корпоративного уровня и инфраструктуру индексаторов для Solana и более 27 других сетей. В то время как постквантовая миграция меняет представления о производительности, на которых строились разработки, изучите наши инфраструктурные услуги, чтобы строить на фундаменте, спроектированном для будущего.
Источники
- Новости Solana: Постквантовое ускорение сети выявляет жесткий компромисс: безопасность против скорости — CoinDesk
- Разработчики Solana наметили план защиты сети от квантовых угроз — CoinDesk
- Клиенты Solana Anza и Firedancer выбирают Falcon в качестве постквантового решения — Yellow.com
- Solana Foundation излагает поэтапный план квантовой готовности, при этом две команды разработчиков сходятся на подписях Falcon — Unchained
- Solana тестирует Falcon против квантовой угрозы — ZebPay
- Исследователь выиграл 1 биткоин за крупнейшую на сегодняшний день квантовую атаку на эллиптическую кривую — CoinDesk
- Как квантовый компьютер можно использовать для кражи вашего биткоина за «9 минут» — CoinDesk
- Квантовому компьютеру может потребоваться всего 10 000 кубитов, чтобы опустошить ваши криптокошельки — CoinDesk
- BIP 360: Pay-to-Merkle-Root (P2MR)
- BTQ Technologies внедряет квантово-устойчивые биткоин-транзакции BIP 360 в тестовой сети — The Quantum Insider
- Solana и Aptos стремятся защитить блокчейны от будущих квантовых атак — Decrypt
- Solana в 2026 году: Техническая дорожная карта — Blockdaemon