Перейти к основному контенту

3-летний квантовый разрыв Solana: почему Яковенко призвал пользователей Ethereum L2 «оставить всякую надежду»

· 13 мин чтения
Dora Noda
Dora Noda
Software Engineer

2 мая 2026 года Анатолий Яковенко сделал то, чего избегает большинство соучредителей блокчейнов: он заявил целой когорте пользователей, что их сеть не подлежит спасению. «Оставьте всякую надежду», — написал соучредитель Solana Labs, добавив, что это единственный честный совет для всех, кто держит активы в Ethereum Layer 2 и беспокоится о квантовых компьютерах. Этот твит появился в тот же час, когда Anza и Firedancer — два клиента, обеспечивающие большую часть стейка валидаторов Solana — опубликовали протестированные в боевых условиях тестовые сборки с проверкой подписей Falcon-512, схемы на основе решеток, выбранной NIST в качестве постквантового стандарта.

Эта синхронность не была случайностью. Это был самый громкий кросс-чейн маркетинговый залп со времен презентации Plasma Виталика Бутерина в 2017 году, и он перевел тему квантовой готовности из инженерного чек-листа 2030-х годов в конкурентное преимущество 2026 года. Пока «Strawmap» Ethereum намечает семь хардфорков с периодичностью в шесть месяцев, завершая создание постквантовой инфраструктуры примерно к 2029 году, у Solana уже есть рабочая проверка Falcon-512 в двух независимых реализациях клиентов. Разрыв составляет примерно три года — а трех лет достаточно, чтобы завоевать институциональный нарратив.

Что на самом деле было выпущено 2 мая

Две вещи стали реальностью в один и тот же день, и их сочетание имеет большее значение, чем каждая из них по отдельности.

Во-первых, Anza и Firedancer — две основные команды разработчиков клиентов-валидаторов Solana — независимо пришли к выводу, что Falcon-512 является подходящей схемой постквантовой подписи, и добавили начальные наборы инструментов проверки в свои соответствующие репозитории на GitHub. История коммитов Anza показывает, что работа над Falcon велась как минимум с 27 января 2026 года, что означает, что это был не поспешный ответ на новостные циклы, а многомесячные инженерные усилия, которые две команды вели параллельно, а затем синхронизировали.

Во-вторых, SIMD-0416 — документ по улучшению Solana (Solana Improvement Document), определяющий путь миграции для нативных квантово-безопасных кошельков и проверки подписей в смарт-контрактах, — стал темой публичного обсуждения одновременно с работой над клиентами. Вместе они формируют путь обновления от «проверка Falcon-512 существует в бинарном файле» до «аккаунты в основной сети Solana могут нативно использовать Falcon-512». Solana Foundation заявила, что миграция после активации не окажет существенного влияния на производительность сети — критически важное утверждение, поскольку успех Solana напрямую зависит от ее пропускной способности.

Falcon-512 — правильный выбор для высокопроизводительного L1. Среди стандартизированных NIST алгоритмов постквантовой подписи Falcon создает самые компактные подписи, что именно и необходимо сети, нацеленной на тысячи транзакций в секунду. CRYSTALS-Dilithium, более распространенная альтернатива, имеет подписи большего размера, что привело бы к раздуванию расходов на пропускную способность в уровнях gossip-протокола валидаторов и RPC Solana.

Проблема наследования L2, которую никто не хочет обсуждать

Формулировка Яковенко «оставьте всякую надежду» звучит риторически, пока вы не проследите криптографический граф вызовов. Каждый Ethereum Layer 2 — Arbitrum, Optimism, Base, zkSync, Linea и остальные — рассчитывается на Ethereum L1. Каждая транзакция расчета в L1 подписывается с использованием ECDSA на кривой secp256k1, том же примитиве, который использует Bitcoin. Контракты для хранения средств в мостах (bridge custody), подписи доказательств мошенничества (fraud-proof), публикация доказательств достоверности (validity-proof), отправка пакетов секвенирования — все они в конечном итоге полагаются на secp256k1 ECDSA на границе L1.

Это означает, что собственная криптография L2 не имеет значения, когда базовый L1 является поверхностью атаки. Вы можете построить самый экзотический ZK-rollup поверх Ethereum с внутренней криптографией, использующей любую схему подписи по вашему вкусу, но квантовый злоумышленник все равно победит, нацелившись на расчетный уровень L1. Гарантии вывода средств и расчетов L2 наследуются от L1 — и наследование идет только в одном направлении.

Формулировка Яковенко не была технически новой. Исследователи Ethereum понимали эту зависимость годами. Новым была готовность публично использовать это как оружие в тот же день, когда конкурирующий L1 продемонстрировал рабочую постквантовую проверку.

Strawmap, Glamsterdam и финишная черта 2029 года

У Ethereum есть план. Опубликованная в феврале 2026 года дорожная карта «Strawmap» от Ethereum Foundation намечает примерно семь хардфорков с периодичностью в шесть месяцев, растянутых с 2026 по 2029 год, с явной целью завершить создание постквантовой инфраструктуры к концу десятилетия. Glamsterdam, запланированный на первую половину 2026 года, является отправной точкой. Hegotá последует во второй половине 2026 года. EIP-8141, в настоящее время запланированный для Hegotá, позволит отдельным аккаунтам выбирать собственную схему проверки подписи, позволяя пользователям переходить на квантово-безопасные подписи, не дожидаясь единой общесетевой миграции.

Это последовательная стратегия. Но она медленная.

Миграция структурно сложнее для Ethereum, чем для Solana, по причине, которая не имеет ничего общего с качеством инженерии, но напрямую связана с площадью охвата. Ethereum необходимо координировать изменения протокола L1, инфраструктуру валидаторов (подписи BLS, обязательства KZG), инструменты абстракции аккаунтов (EIP-7702 и подобные) и десятки L2-роллапов, каждый из которых имеет свои собственные контракты секвенирования, пакетной обработки и мостов. Семь хардфорков Strawmap отражают этот масштаб развертывания. У Solana есть Anza, Firedancer и процесс SIMD — гораздо меньшая «политическая поверхность» для внедрения изменений.

В конце марта 2026 года Google Quantum AI опубликовала статью, в которой стоимость взлома 256-битной криптографии на эллиптических кривых была снижена примерно в 20 раз — до примерно 1 200 логических кубитов, что достижимо на оборудовании, требующем менее 500 000 физических кубитов. Эта единственная статья изменила расчет срочности. В рабочем документе Федеральной резервной системы от сентября 2025 года модель угрозы «собирай сейчас, дешифруй позже» уже была отмечена как реальная: злоумышленник копирует данные публичного чейна сегодня и просто ждет.

Собери сейчас, расшифруй позже: почему время уже пошло

Угроза по принципу «собери сейчас, расшифруй позже» (harvest-now-decrypt-later) — это то, что делает данную дискуссию насущной, а не чисто академической. Публичные ключи ECDSA утекают каждый раз, когда трансляция транзакции попадает в сеть. После утечки они становятся навсегда доступными для извлечения будущим квантовым злоумышленником — просто потому, что данные блокчейна по определению никогда не удаляются. В отличие от зашифрованных TLS-сессий, которые противнику приходится активно перехватывать и сохранять, весь публичный реестр Ethereum находится в свободном доступе, архивируется и реплицируется.

Последствие этого неутешительно: каждая транзакция в L2-сетях Ethereum с момента запуска мейннетов Arbitrum и Optimism в 2021 году уже находится в наборе данных для будущей расшифровки. То же самое касается каждой транзакции Bitcoin с повторно используемым адресом. Единственная мера противодействия, работающая ретроактивно, — это перевод средств на адрес, публичный ключ которого никогда не транслировался в сеть, чего большинство пользователей не могут или не хотят делать. Упреждающее смягчение последствий требует наличия работающей постквантовой схемы подписи в той цепочке, где хранятся средства.

Именно через эту призму стоит читать твит Яковенко. Это не просто «Solana станет квантово-безопасной раньше Ethereum» — это утверждение о будущем. Это «уже утекшие публичные ключи Ethereum находятся в чьей-то базе для расшифровки, а L2, которому вы доверяете, не обладает единоличными полномочиями, чтобы это исправить» — утверждение о настоящем.

Ответ Optimism: 10-летняя миграция Суперчейна

Optimism предвидел это давление. В январе 2026 года OP Labs опубликовали дорожную карту постквантового развития для Суперчейна (Superchain), которая нацелена на полный отказ от внешних учетных записей (EOA) на базе ECDSA к январю 2036 года — горизонт в 10 лет, при условии одобрения управлением (governance). План опирается на EIP-7702 для миграции EOA в постквантовые смарт-контрактные аккаунты без принуждения пользователей отказываться от балансов или адресов, при этом CRYSTALS-Dilithium назван одним из кандидатов на роль верификатора подписей.

Это серьезная дорожная карта. Но это именно дорожная карта, а не готовый код. Optimism прямо отмечает, что конкретная схема постквантовой подписи еще не определена и что стандарты NIST на основе решеток могут не быть лучшим долгосрочным выбором. Они также лоббируют в Ethereum Foundation обязательство валидаторов придерживаться параллельного графика перехода с BLS на PQ — потому что без согласования с L1 работа на уровне L2 будет ограничена потолком протокола.

По сравнению с «наборами верификации, работающими в проверенных тестовых сборках» от Anza и Firedancer, январское объявление Optimism — это артефакт другой эпистемической категории. Оба подхода необходимы, но только один из них может быть внедрен в 2026 году.

Контекст Bitcoin: BIP-360, BIP-361 и политика софтфорков

Квантовая миграция Bitcoin проходит через другой механизм управления. BIP-360 Хантера Биста (оплата на квантово-устойчивый хеш) и BIP-361 (механизм «заморозки квантовых монет», который принудительно переводит спящие средства из квантово-уязвимых скриптов) находятся на стадии активного обсуждения сообществом. Ни один из них не активирован. Путь Bitcoin — это обязательно софтфорк с широким консенсусом майнеров и узлов, что медленно по самой своей природе.

Миграция Solana осуществляется через релизы клиентов Anza и Firedancer, а также процесс SIMD. Это быстрее, но также концентрирует управление в более узком кругу. Является ли это преимуществом или недостатком, зависит от того, какую сторону компромисса децентрализации вы ставите в приоритет. Для институционального покупателя, которому в 2027 году потребуется убедительный аргумент о «квантово-безопасном L1» в презентации для закупок, ответ очевиден: побеждает тот, кто быстрее.

Затраты на инфраструктуру, которые никто не учел

Постквантовые схемы подписи имеют больший размер, чем ECDSA. Подписи Falcon-512 примерно в 5–10 раз больше по объему в байтах, чем подписи secp256k1, в зависимости от кодировки. Подписи Dilithium еще больше. Это не незначительные затраты, если рассматривать их в масштабе всего стека RPC и пропускной способности высокопроизводительной сети.

Конкретно: валидатор Solana, рассылающий голоса через gossip, RPC-провайдер, проверяющий подписи при отправке транзакций, индексатор, реконструирующий историю транзакций — каждый уровень платит налог на пропускную способность. Для уровней RPC с оплатой за запрос или за трафик стоимость транзакции будет расти пропорционально размеру подписи. Это событие переоценки стоимости, к которому цепочкам с высокой пропускной способностью нужно готовиться уже сейчас, так как PQ-подписи станут стандартом, а не исключением.

Для разработчиков практический вывод заключается в том, чтобы начать измерения. Если ваше приложение транслирует тысячи транзакций в секунду на Solana, переход от Ed25519 (текущий стандарт, 64-байтные подписи) к Falcon-512 (около 666 байт на подпись, в зависимости от сжатия) — это конкретная дельта пропускной способности и хранилища, которую можно рассчитать сегодня. Планируйте соответственно.

Что следует усвоить разработчикам

Несколько практических выводов.

Если вы строите на Solana, ожидайте, что обновления в стиле SIMD-0416 появятся раньше, чем предполагает дорожная карта Ethereum для L1. С самого начала проектируйте любую стратегию абстракции аккаунтов или агрегации подписей с учетом Falcon-512. Производители аппаратных кошельков последуют за разработчиками клиентов; обновления прошивки для Falcon возможны, хотя и не тривиальны.

Если вы строите на Ethereum L2, честный взгляд таков: заявления о постквантовой безопасности на уровне L2 не дают реальной защиты до тех пор, пока L1 не внедрит свою часть. Миграция на уровне аккаунтов через EIP-7702 дает вам путь развития, но контракты мостов и подписи расчетов — это унаследованный риск, который вы не контролируете. Ориентируйтесь на окно перехода в 2027–2029 годах, а не в 2026 году.

Если вы создаете кроссчейн-инфраструктуру или управляете мультичейн-продуктом, ваша модель угроз теперь должна включать «утекшие публичные ключи из сети, через которую вы переводили активы». Мосты, хранящие активы за мультисигами с подписью ECDSA, являются самым высокорискованным артефактом переходного периода, независимо от того, к какой сети они привязаны.

Маркетинговый клин — это история

Твит Яковенко не был техническим откровением. Это был ход по позиционированию на рынке, выполненный с редкой точностью во времени. Техническое утверждение о том, что L2-решения Ethereum наследуют криптографические риски L1, документировалось в статьях и EIP на протяжении многих лет. Новым 2 мая стала готовность сжать это утверждение в фразу из трех слов, озвучить ее публично и связать с выпуском конкурирующей технологии в рамках одного новостного цикла.

Три года — это широкое маркетинговое окно. Независимо от того, завершатся ли семь хардфорков Ethereum в 2029 году или затянутся до 2030-го, Solana теперь удерживает инициативу в прессе по теме «квантово-безопасного L1» как минимум на ближайшие двенадцать месяцев. Для индустрии, где институциональное принятие зависит от тезисов в презентациях для отделов закупок больше, чем от материалов криптографических конференций, эта позиция дорогого стоит.

Более сложный вопрос заключается в том, заставит ли подход Яковенко фонд Ethereum Foundation ускорить реализацию Strawmap, и начнет ли когорта L2 внедрять сигнатурные оболочки CRYSTALS-Dilithium, которые сгладят отставание L1, вместо того чтобы ждать его устранения. Самым интересным результатом стала бы конкурентная гонка, которая ускорит сроки перехода всех участников на постквантовую криптографию (PQ) на два-три года. Наименее интересным исходом было бы замыкание каждой экосистемы на собственной дорожной карте. Следите за звонками Ethereum All Core Devs в ближайшие шесть месяцев, чтобы узнать ответ.

BlockEden.xyz управляет инфраструктурой RPC промышленного уровня для Solana, Ethereum и основных L2-сетей, включая высокопроизводительные рабочие нагрузки по проверке подписей, которые изменит миграция на Falcon-512. Поскольку схемы постквантовой подписи увеличивают требования к пропускной способности и стоимость проверки на всех уровнях RPC, изучите наши API-сервисы Solana и Ethereum, чтобы строить на базе инфраструктуры, предназначенной для преодоления следующего криптографического перехода без ущерба для экономики вашего приложения.

Источники

Share on Twitter