跳到主要内容

Solana 的后量子悖论:当 40 倍签名体积和 90% 的速度损失威胁到最快公链的身份时

· 阅读需 16 分钟
Dora Noda
Dora Noda
Software Engineer

Solana 比任何其他 Layer 1 都更强调一点:速度。400 毫秒的出块时间、65,000 TPS 的营销基准,以及围绕一个假设构建的并行执行模型——即签名很小且验证成本低廉。2026 年 4 月,这一假设遭遇了量子计算机。

当 Project Eleven 和 Solana 基金会完成首次端到端抗量子签名测试时,结果介于警告和危机之间。后量子签名的体积比 Solana 目前使用的 Ed25519 签名大 20 到 40 倍。吞吐量下降了约 90%。这个以超越以太坊为品牌核心的区块链,在测试条件下,突然看起来比它嘲讽了五年的网络还要慢。

这不是普通的性能衰退。这是 Solana 很久以前做出的设计决策所带来的架构性账单——当账单到期时,整个生态系统现在必须决定自己想要成为什么样的区块链。

账单:为什么量子安全签名对 Solana 的打击如此之重

每个 Layer 1 都使用椭圆曲线密码学对交易进行签名。比特币和以太坊依赖 ECDSA。Solana 使用 Ed25519。两者都很快,都能产生约 64 字节的紧凑签名,并且都依赖于同一个数学硬度假设——椭圆曲线离散数问题。Shor 算法在足够强大的量子计算机上运行,可以在多项式时间内解决该问题。当那台机器出现时,每个受 ECDSA 或 Ed25519 保护的账户都可以在几分钟内被开启。

NIST 标准化的后量子替代方案——如 Dilithium 和 Falcon 等基于格(lattice-based)的方案,以及 SLH-DSA 等基于哈希的方案——在数学上对 Shor 算法具有鲁棒性。然而,它们对带宽并不友好。Dilithium 签名可能达到 2.4 KB。SLH-DSA 根据参数选择可能延伸至 7-49 KB。Falcon 作为最紧凑的 NIST 标准化格方案,产生的签名仍约为 666 字节——大约是 Ed25519 大小的 10 倍,而这已经是“较优”的选择。

对于比特币来说,这种膨胀很烦人。但对于 Solana 来说,这是关乎存亡的。Solana 的吞吐量模型依赖于在 400 毫秒的出块时间内塞入尽可能多的交易,领导者(leaders)通过 Turbine 树传播数据切片(shreds),而该树的大小是基于紧凑载荷设计的。如果将单笔交易签名扩大 20-40 倍,下游的整个流水线——带宽、内存池传播(或其等效的 Gulf Stream)、验证节点验证、账本存储——都要支付同样的倍数。测试中 90% 的吞吐量下降不是软件 Bug。它是当你将 40 倍的字节推入一个为既有容量设计的管道时必然会发生的结果。

不对称脆弱性:为什么 Solana 的时间对比特币更紧迫

大多数区块链量子分析都将所有链混为一谈。它们不应该被归为一类。Solana 存在一个比特币所没有的结构性问题。

在比特币中,你的钱包地址是公钥的哈希值。只要你从未从该地址消费,你的公钥就会隐藏在 SHA-256 墙后面,量子攻击者无从下手。只有在消费的瞬间,公钥才会在链上暴露。那个窗口——从广播交易到被挖出的几秒或几分钟——就是易受攻击的面,而且非常小。

Solana 的运作方式不同。Solana 账户地址就是公钥。没有哈希过程。Ed25519 公钥即地址,从账户获得资金的那一刻起就在链上可见。攻击 Solana 的加密相关量子计算机不需要等待用户进行交易。它可以随时、并行、无限期地攻击任何有资金的账户。

Project Eleven 的分析给出了一个数字:在量子场景下,100% 的 Solana 网络都是脆弱的,而比特币和以太坊只有较小一部分已消费并暴露公钥的地址子集处于暴露状态。这不是一个小细节。它将迁移的紧迫性提高了几个数量级。比特币可以理直气壮地说“如果你不移动你的币,你就是安全的”。Solana 不能。

威胁有多真实?2026 年 4 月的 Q-Day 奖金

对这一切的标准反对意见是,能够破解真实加密技术的量子计算机仍需 10-15 年的时间,所以现在没必要恐慌。但 2026 年 4 月的两条新闻让这一反对意见变得难以立足。

首先,一名独立研究人员利用公开可用的量子硬件破解了 15 位椭圆曲线密钥,从而领取了 Project Eleven 价值一个比特币的 Q-Day 奖金——这是迄今为止针对椭圆曲线密码学最大规模的公开量子攻击。15 位不等于 256 位,差距巨大。但这次演示意义重大,因为它标志着跨越了从理论到可执行的门槛,且是在按小时租用的硬件上完成的。

其次,由以太坊基金会研究员 Justin Drake 和斯坦福大学的 Dan Boneh 共同撰写的谷歌量子 AI 论文,大幅下调了破解真实加密货币密钥所需的量子比特估值。之前的共识一直徘徊在 2,000 万个物理量子比特左右。而新的分析显示:少于 50 万个物理量子比特,其中一种设计建议约 26,000 个量子比特的系统即可在“几天内”破解比特币的加密。另一篇由谷歌主导的论文模拟了量子机器在约 9 分钟内从暴露的公钥推导出私钥。

这些仍是未来的系统。IBM 目前最大的芯片是 1,121 个量子比特的 Condor。从 1,121 个嘈杂量子比特到 26,000 个容错量子比特是真实存在的工程挑战,并非一蹴而就。但时间表被压缩了,而压缩时间表的人正是制造这些机器的研究人员。对于管理加密资产托管的机构来说,“现在存储,以后解密”的风险——即今天捕获链上公钥以便在硬件成熟时进行攻击——已不再是一个假设。

Falcon:两大 Solana 客户端独立选择的折衷方案

如果量子安全迁移是不可避免的,且 Dilithium 级别的签名膨胀难以承受,那么 Solana 有一个现实的答案:选择最小的 NIST 批准的后量子方案并围绕它进行工程设计。这个答案就是 Falcon。

使 2026 年 4 月 27 日 Solana 基金会路线图变得有趣的地方不在于选择本身 —— 而是 Anza 和 Jump 的 Firedancer 独立选择了 Falcon。这两个旗舰级 Solana 客户端并没有协调这一决定。他们评估了相同的权衡空间 —— 签名大小、验证成本、密码库的成熟度、硬件加速潜力 —— 并最终趋于一致。在两个团队存在诸多分歧的碎片化客户端生态中,这种趋同是一个强烈的信号。

Falcon 是基于 NTRU 的格密码(lattice-based)方案。NIST 将其作为 FIPS 206 的一部分(以 FN-DSA 的名称)进行了标准化。其签名为 666 字节,大约是 Ed25519 的 10 倍 —— 虽然令人心痛,但比 Dilithium 的 2.4 KB 或 SLH-DSA 的数 KB 规模要小一个数量级。验证速度很快。此外,Firedancer 报告称,其流水线中优化的 Falcon 实现运行速度可能比目前的椭圆曲线替代方案 快 2-3 倍,这表明最初 90% 的吞吐量崩塌可能只是最坏情况的上限,而非最终目标。

Falcon 确实存在成本。签名比验证更昂贵 —— 独立基准测试显示,某些后量子方案的签名成本大约是 Ed25519 的 5 倍。Falcon 的签名涉及高斯采样(Gaussian sampling),众所周知,这很难在恒定时间内实现,历史上一直存在侧信道风险。围绕 Falcon 的密码库生态比 ECC 更加年轻。这些都不是致命障碍,但都需要投入工作。

Solana 无法回避的迁移问题

Solana 基金会发布的路线图是分阶段的,且故意模糊了日期:继续研究威胁、评估 Falcon 及其替代方案、在需要时为新钱包引入后量子签名,然后迁移现有钱包。每一步都包含一个基金会尚未准备好公开讨论的问题。

新钱包是简单的部分。 Solana 可以引入一种新的账户类型,通过功能标志(feature flag)进行限制,并允许用户选择加入。在过渡期内,协议可以同时接受 Ed25519 和 Falcon 签名。

迁移现有钱包才是链面临失败的地方。 Solana 拥有数千万个有资金的账户。每一个都是未来量子计算机攻击者可以瞄准的公钥。迁移要求每个用户构造一笔交易,证明对旧密钥的所有权,并将账户绑定到新的后量子密钥。丢失助记词、弃用钱包或已去世的用户无法进行迁移。随后协议将面临与比特币完全相同的困境 —— 正如 2026 年 3 月围绕 BIP-360 “冻结还是被盗”的辩论中所阐述的那样 —— 即在冻结未迁移账户(有争议)和将其留作建造出第一台密码学相关机器者的“量子免费午餐”(同样有争议)之间做出选择。

经济影响面是巨大的。 SOL 的流通供应量约为 5.4 亿枚代币。很大一部分存在于多年未动过的地址中。市场、DAO、金库、沉睡的巨鲸钱包 —— 每一个最终都需要由可能存在或已不存在的密钥持有者进行链上操作。迁移不是一个技术特性;它是一个多年的协调问题,没有明确的截止日期,没有明确的权威机构,对于错过窗口期的账户也没有明确的补救措施。

Solana 的方法与比特币和以太坊的对比

三大巨头正从完全不同的起点向抗量子性迈进。

比特币 (BIP-360 / P2QRH):Pay-to-Quantum-Resistant-Hash 创建了一种新的地址类型,使用 Falcon 和 Dilithium 签名,结构类似于 P2TR,但没有量子易受攻击的密钥路径。BTQ Technologies 于 2026 年 3 月在 Bitcoin Quantum Testnet v0.3.0 上部署了 BIP-360。比特币的挑战在于保守主义 —— 达成共识以激活增加新地址类型的软分叉很慢,而且关于迁移的辩论(针对中本聪时代代币的冻结还是被盗)在政治上充满了争议。但比特币的哈希公钥结构为它赢得了 Solana 所没有的时间。

以太坊 (EIP-7701 + EIP-8141):以太坊并非在全协议范围内进行密码学切换,而是利用原生账户抽象。EIP-7701 启用了智能合约账户验证逻辑,而 EIP-8141 允许账户通过抽象层轮换到量子安全认证方案。权衡之处在于:以太坊获得了一条更平滑的迁移路径,没有特定的切换日(flag day),但安全性取决于智能账户的实现,而非统一的协议保证。以太坊可以逐个账户、逐渐迁移,而无需硬分叉。

Solana (Falcon + 分阶段推出):介于两者之间。协议必须原生支持新的签名方案(比以太坊的抽象方法更具侵入性),但每个账户的迁移看起来更像以太坊的渐进模式,而非比特币的地址类型切换。性能约束是其他主流链都没有面临的独特压力。

另一个值得注意的方法:Circle 的 Arc 和类似的量子原生 L1 通过从创世之初就设计后量子签名,完全跳过了改造。他们预先支付了带宽成本,永远不需要迁移。如果 Solana 的 Falcon 迁移拖到 2027-2028 年,而 Arc 级别的链在出厂时就内置了抗量子性,那么目前认为 Solana “足够快”的机构渠道可能会寻找新家。

这对开发者和基础设施意味着什么

对于应用开发者来说,直接的实际影响很小。Falcon 迁移将通过标准的 Solana 协议升级落地,开发库将对这些变化进行抽象化处理,大多数 dApp 无需了解其用户使用的是哪种签名方案。更大的二阶效应在于开发者对交易吞吐量、费用可预测性以及账户状态大小的假设。

如果 Falcon 的优化路径能维持 Firedancer 所报告的 2-3 倍提升,Solana 落地迁移时的吞吐量损失可能仅为 30-60%,而非 90%。对于那些围绕 Solana 当前单次交易成本底线构建的高频用例——如永续合约 DEX、链上订单簿、AI 代理执行循环——这仍然具有重要意义。

对于基础设施提供商来说,情况则更为严峻。索引器、RPC 提供商和存档节点运营商需要为随着签名尺寸变大而同步增长的账本数据预留预算。推送账户更新的 WebSocket 订阅在每次事件中将传输更多字节。任何运行 Solana 验证者硬件的人员都需要重新评估 Turbine 传播的带宽假设。

对于正在评估在哪条链上构建长周期基础设施的机构而言,现在的选择变得更加困难。Solana 的速度是其竞争护城河,而量子迁移直接冲击了这一优势。对冲策略是选择那些迁移路径最短、架构成本最低的链。这可能意味着基于 Falcon 的链将优于基于 Dilithium 的链,基于账户抽象的迁移将优于协议范围内的统一切换,而量子原生 L1 将优于改造版——直到真正的量子硬件出现,理论变为现实。

身份定位问题

在密码学的背后,隐藏着一个更深层次的问题:迁移之后,Solana 的定位是什么?

该网络的市场地位建立在其他链无法企及的绝对速度底线之上。即使这个底线降低 30%,Solana 依然很快——但它与 Aptos、Sui、Sei 等高性能 L1 阵营的距离,将比发布以来的任何时候都更近。差异化正在缩小。“Solana 具有独特的速度优势”这一说辞将演变为“Solana 是几条快速区块链之一”。

这未必是件坏事。一个速度慢了 30% 但具备量子安全性、且按交易量计仍是最活跃的链,是一个走向成熟而非衰退的网络。但该团队在过去五年里将每一个架构选择都框定为为吞吐量服务,而后量子时代迫使他们进行重新定位。速度不再是架构优化的唯一目标,对抗未来硬件的安全防护现在成为了一个同等重要的约束条件。

Anza 与 Firedancer 在 Falcon 方案上的趋同表明开发者生态系统已经接受了这一点。接下来的两年将揭示用户群、机构买家和投机叙事是否也会达成同样的共识。

BlockEden.xyz 为 Solana 及其他 27+ 条链提供企业级 RPC 和索引器基础设施。随着后量子迁移重塑开发者所依赖的性能假设,欢迎探索我们的基础设施服务,在为未来设计的基石上进行构建。

资料来源

Share on Twitter