跳到主要内容

Solana 的 3 年量子优势:为何 Yakovenko 让以太坊 L2 用户“放弃所有希望”

· 阅读需 15 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 5 月 2 日,Anatoly Yakovenko 做了一件大多数区块链联合创始人都会回避的事情:他告诉一整群用户,他们的网络已经无药可救。“放弃一切希望吧,”这位 Solana Labs 联合创始人写道,对于任何在以太坊(Ethereum)Layer 2 上持有资产并担心量子计算机的人来说,这是唯一的诚实建议。这条推文发布的同一小时,Anza 和 Firedancer —— 负责保障 Solana 绝大部分验证者质押权益的两个客户端 —— 发布了经过生产环境加固的测试版本,验证了 Falcon-512 签名,这是 NIST 选定作为后量子标准的基于格(lattice-based)的方案。

这种同步并非巧合。这是自 2017 年 Vitalik 发布 Plasma 幻灯片以来最响亮的跨链营销攻势,它将量子准备工作从 2030 年代的工程清单重新定义为 2026 年的竞争优势。当以太坊的“草图路线图”(Strawmap)计划以每六个月一次的节奏进行七次硬分叉、在 2029 年左右完成后量子基础设施时,Solana 现在已经在两个独立的客户端实现中拥有了可运行的 Falcon-512 验证。差距大约是三年 —— 而三年时间足以赢得机构叙事。

5 月 2 日究竟发布了什么

同一天有两件事变成了现实,而两者的结合比其中任何一件单独来看都更重要。

首先,Anza 和 Firedancer —— Solana 的两个主要验证者客户端团队 —— 独立达成一致,认为 Falcon-512 是正确的后量子签名方案,并将初始验证套件发布到了各自的 GitHub 仓库。Anza 的提交历史显示,自 2026 年 1 月 27 日以来,Falcon 的开发工作就一直在进行中,这意味着这并非是对新闻周期的仓促回应,而是两个团队并行运行并最终汇合的数月工程努力。

其次,SIMD-0416 —— 定义原生量子安全钱包和智能合约签名验证迁移路径的 Solana 改进文档 —— 与客户端工作一起进入了公众视野。它们共同构成了从“二进制文件中存在 Falcon-512 验证”到“Solana 主网账户可以原生使用 Falcon-512”的升级路径。Solana 基金会表示,迁移一旦激活,将不会显著影响网络性能 —— 这是一个关键的主张,因为 Solana 的卖点(Pitch)取决于吞吐量。

对于高吞吐量的 L1 来说,Falcon-512 是正确的选择。在 NIST 标准化的后量子签名算法中,Falcon 生成的签名最小,这正是目标每秒数千笔交易的区块链所需要的。CRYSTALS-Dilithium 是更常见的替代方案,其签名较大,会增加 Solana 验证者 Gossip 网络和 RPC 层的带宽成本。

没人想讨论的 L2 继承性问题

在追踪加密调用图之前,Yakovenko 的“放弃一切希望”听起来像是修辞手法。每一个以太坊 Layer 2 —— Arbitrum、Optimism、Base、zkSync、Linea 等等 —— 都在以太坊 L1 上结算。每一笔 L1 结算交易都使用 secp256k1 曲线上的 ECDSA 进行签名,这是比特币使用的同种原语。桥接托管合约、欺诈证明签名、有效性证明发布者、排序器批处理提交者 —— 所有这些最终在 L1 边界都依赖于 secp256k1 ECDSA。

这意味着当底层 L1 成为攻击面时,L2 自身的加密技术就变得毫无意义。你可以在以太坊之上构建最奇特的 ZK-rollup,其内部加密使用你喜欢的任何签名方案,但量子攻击者仍然可以通过攻击 L1 结算层获胜。L2 的提现和结算保证是从 L1 继承的 —— 而继承只流向一个方向。

Yakovenko 的提法在技术上并不新颖。以太坊研究人员多年来一直了解这种依赖关系。新鲜之处在于,在竞争对手 L1 展示了可运行的后量子验证的同一天,他愿意公开将其作为武器。

草图路线图、Glamsterdam 以及 2029 年的终点线

以太坊有一个计划。基金会的“草图路线图”(Strawmap)于 2026 年 2 月发布,规划了从 2026 年到 2029 年大约每六个月一次频率的七次硬分叉,明确目标是在这十年结束前完成后量子基础设施。Glamsterdam 定于 2026 年上半年进行,是启动点。Hegotá 将于 2026 年下半年紧随其后。EIP-8141 —— 目前暂定于 Hegotá —— 将允许个人账户选择自己的签名验证方案,让用户无需等待全网范围的迁移即可切换到量子安全签名。

这是一个连贯的策略。但它也很慢。

由于某种与工程质量无关、而与影响面(Surface Area)完全相关的原因,迁移对以太坊来说在结构上比 Solana 更难。以太坊需要协调 L1 协议更改、验证者基础设施(BLS 签名、KZG 承诺)、账户抽象工具(EIP-7702 等)以及数十个拥有各自排序器、批处理器和桥接合约的 L2 Rollup。“草图路线图”的七次硬分叉反映了这种发散性。而 Solana 只有 Anza、Firedancer 和 SIMD 流程 —— 需要交付的政治面要小得多。

2026 年 3 月底,Google Quantum AI 发表了一篇论文,将破解 256 位椭圆曲线加密的成本下调了约 20 倍 —— 降至约 1,200 个逻辑量子比特,这在物理量子比特少于 500,000 个的硬件上即可实现。那一篇论文改写了紧迫性计算。美联储(Federal Reserve)自己 2025 年 9 月的工作论文已经将“现在收集,以后解密”(harvest now, decrypt later)标记为实际的威胁模型:攻击者今天抓取公共链数据,然后等待。

现在收割,稍后解密:为什么时钟已经开启

“现在收割,稍后解密” (harvest-now-decrypt-later) 的威胁使得这场辩论变得迫在眉睫,而不仅仅是学术讨论。每当交易被广播时,ECDSA 公钥就会泄露。一旦泄露,它们就会变成未来量子攻击者可以永久提取的目标——因为区块链数据从设计上就是永不删除的。与对手必须主动拦截并存储的加密 TLS 会话不同,整个以太坊公共账本是可以自由下载、存档和复制的。

这意味着一个令人不安的事实:自 Arbitrum 和 Optimism 于 2021 年主网上线以来的每一笔以太坊 L2 交易都已经在“收割集”中。每一个使用重复地址的比特币交易也是如此。追溯性有效的唯一缓解措施是将资金转移到一个公钥从未广播过的地址——而大多数用户无法或不愿这样做。前向缓解则需要在一个持有资金的链上建立一套可运行的后量子签名方案。

这就是解读 Yakovenko 推文的视角。这不是“Solana 将在以太坊之前实现量子安全”——这是一个关于未来的陈述。而是“以太坊已经泄露的公钥就在某些人的收割堆中,而你信任的 L2 并没有单方面修复这一问题的权限”——这是一个关于现状的陈述。

Optimism 的反击:为期 10 年的超级链迁移

Optimism 预见到了这种压力。2026 年 1 月,OP Labs 发布了一份超级链 (Superchain) 的后量子路线图,目标是在 2036 年 1 月之前全面弃用基于 ECDSA 的外部拥有账户 (EOA) ——这是一个为期 10 年的愿景,且需经过治理批准。该计划依靠 EIP-7702 将 EOA 迁移到后量子智能合约账户,而无需强迫用户放弃余额或地址,其中 CRYSTALS-Dilithium 被列为候选签名验证算法之一。

这是一个严肃的路线图。但它也仅仅是一个路线图,而非已交付的代码。Optimism 明确指出,具体的后量子签名方案尚未确定,且基于格 (lattice-based) 的 NIST 标准化方案可能不是长期的最佳选择。他们还在游说以太坊基金会,希望让验证者也承诺一个平行的 BLS 到 PQ 的时间线——因为如果没有 L1 的协同,L2 层级的工作将触及天花板。

与 Anza 和 Firedancer 的“在生产级加固的测试版本中运行验证套件”相比,Optimism 1 月份的公告属于不同认知范畴的产物。两者都是必要的;但到 2026 年,只有一种是可交付的。

比特币背景:BIP-360、BIP-361 与软分叉政治

比特币的量子迁移运行在不同的治理机器上。Hunter Beast 的 BIP-360(支付至量子抗性哈希)和 BIP-361(一种“量子代币冻结”机制,将强制迁移休眠资金离开易受量子攻击的脚本)都在活跃的社区审查中。两者均未激活。比特币的路径必然是需要广泛矿工和节点共识的软分叉——设计上就很缓慢。

Solana 的迁移通过 Anza 和 Firedancer 客户端版本发布以及 SIMD 流程进行。这速度更快,但也让治理集中在较小的圈子内。这究竟是特性还是缺陷,取决于你优先考虑去中心化权衡的哪一端。对于希望在 2027 年采购方案中加入具有防御力的“量子安全 L1”主张的机构买家来说,答案显而易见:快者胜。

尚未计入成本的基础设施代价

后量子签名方案比 ECDSA 更庞大。Falcon-512 签名的大小大约是 secp256k1 签名的 5–10 倍,具体取决于编码方式。Dilithium 签名则更大。当这种成本在高吞吐量链的整个 RPC 和带宽栈中分摊时,它就不是一笔小数目了。

具体来说,Solana 验证者广播投票 (gossiping votes)、RPC 提供商在交易提交时提供签名验证、索引器重建交易历史——每一层都要支付“带宽税”。对于按请求或按带宽计费的 RPC 层级,每笔交易的成本将随着签名大小的增加而同步上升。这是一个重新定价事件,随着 PQ 签名成为默认而非例外,高吞吐量链需要为此做好规划。

对于开发者来说,实际的意义是开始进行测算。如果你的应用程序在 Solana 上每秒广播数千笔交易,那么从 Ed25519(目前的默认设置,64 字节签名)转向 Falcon-512(约 666 字节签名,取决于压缩情况)是你可以从现在就开始计算的具体的带宽和存储增量。请据此制定计划。

开发者应注意的要点

以下是一些实际的解读。

如果你在 Solana 上构建应用,预计 SIMD-0416 式的升级会比以太坊 L1 路线图建议的时间更早落地,在设计任何账户抽象 (AA) 或签名聚合策略时,从一开始就要考虑到 Falcon-512。硬件钱包供应商将紧跟客户端团队;Falcon 的固件更新虽然可行,但并非易事。

如果你在以太坊 L2 上构建应用,诚实的解读是:在 L1 交付其方案之前,L2 层级的后量子主张并不能带来实质性的安全性。通过 EIP-7702 进行的账户级迁移为你提供了一条路径,但跨链桥合约和结算签名是你无法控制的继承风险。请为 2027–2029 年的过渡窗口做好准备,而不是 2026 年。

如果你正在构建跨链基础设施或运营多链产品,你的威胁模型现在必须包含“来自你曾跨链通过的链的已收割公钥”。使用 ECDSA 签名的多重签名 (multi-sigs) 托管资产的跨链桥是过渡期风险最高的部分,无论它们锚定在哪条链上。

营销切入点即是故事

Yakovenko 的推文并非技术披露,而是一次执行时机极其精准的市场定位行动。关于以太坊 L2 继承了 L1 密码学风险的技术主张,多年来已在各类论文和 EIP 中有所记载。5 月 2 日的新意在于,他愿意将这一主张压缩成简短的词句,在公开场合发布,并在同一新闻周期内配合已上线的竞争技术共同推出。

三年的时间对于市场营销来说是一个漫长的窗口期。无论以太坊的七次硬分叉究竟是在 2029 年完成还是推迟到 2030 年,Solana 现在至少在接下来的 12 个月内,在“量子安全 L1”的媒体宣传中占据了主动权。对于一个机构采用更多取决于采购简报要点而非密码学会议记录的行业来说,这种主动权的价值巨大。

更深层次的问题在于,Yakovenko 的定调是否会迫使以太坊基金会加快其 Strawmap 路线图的进程,以及 L2 阵营是否会开始发布 CRYSTALS-Dilithium 签名封装来弥补 L1 的滞后,而不是坐等其完成。最有趣的结果将是一场竞争竞赛,将每个人的后量子(PQ)时间表提前两到三年。最无趣的结果则是每个生态系统都退回到各自的路线图中。关注未来六个月的以太坊全核心开发者(All Core Devs)会议,就能找到答案。

BlockEden.xyz 为 Solana、以太坊以及主要的 L2 运行生产级的 RPC 基础设施,包括受 Falcon-512 迁移影响的高吞吐量签名验证工作负载。随着后量子签名方案提高了每个 RPC 层级的带宽和验证成本,探索我们的 Solana 和以太坊 API 服务,在旨在吸收下一次密码学转型且不破坏应用经济模型的设施上进行构建。

来源

Share on Twitter