Solana 将启动后量子迁移，主推 Falcon 算法，保障钱包与共识安全并明确落地步骤。

撰文：David Rubin、Emanuele Cesena、Maher Latif

编译：Saoirse，Foresight News

量子计算机暂时还不会对 Solana 构成直接威胁，但该公链必须提前布局，逐步切换至后量子加密体系。本文将详细阐述交易签名、共识机制以及存量钱包的落地迁移方案，同时紧跟前沿技术迭代趋势，为后续调整保留充足灵活空间。

公钥加密是区块链所有运行逻辑的底层根基。用户通过签名授权每一笔交易，验证节点打包区块并签署凭证，以此敲定全网区块共识。无论是资产归属权，还是链上共识机制，核心逻辑都依托于公钥核验签名有效性。

在去中心化无需许可的公链生态中，合法签名是唯一的权限凭证。只要能通过账户公钥生成有效签名，就能掌控对应账户资产。这套体系长久稳定运行，关键在于密钥的单向不可逆特性：私钥可以轻松推导为公钥，但仅凭公钥，几乎无法反向破解出私钥。

然而，量子计算正在打破这一安全壁垒。一旦高性能量子计算机落地成熟，现行所有基于椭圆曲线的签名算法都会被破解，彻底威胁用户资产安全与整条公链的共识稳定性。

因此，Solana 想要构建完善的后量子安全体系，就必须针对性解决共识机制、交易签名、存量钱包迁移三大核心风险点。这三大模块的技术限制与性能标准各不相同，需要分开规划、分步落地。

本文将全面介绍 Solana 的整体量子迁移规划。Falcon 因其签名体积更小、适配性更强，成为目前的首选方案。与此同时，各核心组件可根据自身带宽限制与开发需求，独立完成升级迭代。

量子与后量子技术最新进展

谷歌发布的最新行业研究、英伟达持续加码量子科研投入，再加上量子纠错技术与配套工具的飞速发展，都意味着：区块链行业亟需制定量子防御路线，并启动公开的社区讨论。

我们明确判断：量子计算机短期内不会威胁 Solana 的网络安全。业内普遍预估，能够破解椭圆曲线加密的量子攻击技术，仍需数年才会落地。而 Solana 始终保持高频版本迭代与生态更新。

鉴于后量子加密技术仍在持续研发优化，团队会长期跟踪各类备选方案，确保未来协议升级，都采用当下最成熟、最稳妥的技术，杜绝仓促决策。

截至目前，仅有 ML-DSA（Dilithium，后量子主流签名算法）获得美国国家标准与技术研究院（NIST）正式标准化认证，FN-DSA（Falcon，轻量化抗量子签名方案）也将在数月内完成全部标准化流程。

长线的升级规划，让我们有足够时间筛选更贴合 Solana 高性能属性的加密方案。全球科研团队仍在持续研发新一代抗量子加密技术，未来有望诞生更适配 Solana 生态的优质算法。

SQISign 就是极具潜力的备选技术：它的公钥与签名尺寸远小于 Falcon、ML-DSA 等主流方案，短板在于签名验证速度极其缓慢，现阶段无法规模化商用。倘若后续算法效率实现突破，它将成为极具竞争力的备选方案。

当下绝大多数后量子签名算法都存在明显短板：公钥与签名数据体积过大。这会大幅增加单笔交易与节点共识投票的数据体积，对于追求超高吞吐量的 Solana 而言，会严重拖累网络运行效率。

共识机制

Solana 现行的 Alpenglow 共识协议采用 BLS12-381 签名算法，核心优势是支持高效的签名聚合。在该机制下，验证节点的投票均为 BLS 签名，最终区块合规凭证，由全网节点投票签名聚合生成。

理想的后量子共识层，必须保留签名聚合这一核心能力。依托 LaBRADOR 证明系统实现的 Falcon 聚合签名技术，已经验证了该模式的可行性。

针对共识场景中，所有验证节点统一签署同一信息的特性，格基多重签名协议（如 Raccoon、DOTT）正处于重点研发阶段，也是共识层升级的可行方向。

共识层所选用的签名算法，可与交易签名算法相互独立。正如当前 Alpenglow 共识使用 BLS12-381、交易统一采用 Ed25519 一样，在后量子升级中，共识层可单独选用更适配聚合需求、低延迟特性的专属加密方案。

交易签名

在 NIST 认证的多款后量子签名标准中，Falcon 的签名体积最小，这对于高度依赖带宽效率的 Solana 来说至关重要。

此前，由于开发实现难度较高、易遭受侧信道攻击等问题，Falcon 的标准化进程一度延后，但它的核心优势依旧无可替代：

1. Falcon 签名验证仅采用整数运算，逻辑简洁，落地实现难度低；
2. 签名操作全程在链下完成，钱包与节点运营方可自主选用经过严格安全审计的程序版本。

如上所述，SQISign 是另一项极具发展前景的备选方案，其公钥与签名尺寸极致精简，接近传统椭圆曲线算法水平。尽管该技术的安全性与运行性能在持续优化，但目前尚未完成标准化，仍属于前沿科研阶段。

现有钱包

存量钱包的平稳过渡与资产迁移，是不可忽视的关键问题。对于比特币等老牌公链而言，如何保护老旧钱包资产、安全迁移至抗量子加密体系，一直是行业难题。

幸运的是，Solana 拥有一套完整且可行的全量钱包迁移方案。Solana 当前使用的 Ed25519 加密体系中，私钥由 32 字节原始种子生成。在签名过程中，系统通过 SHA-512 算法计算生成私密密钥，再以此衍生出公钥与交易签名。

即便未来量子计算机攻破 Ed25519 加密机制，攻击者最多只能窃取衍生后的私密密钥，无法破解用户的原始种子。SHA-512 仍是安全可靠的抗量子单向哈希算法，能够永久保障用户种子安全。

量子攻击者无法获取核心原始种子，资产的唯一控制权始终掌握在合法持有者手中。基于这一特性，我们规划了完整的迁移流程：

1. 全新钱包全面采用 Falcon 等后量子安全签名方案；
2. 逐步淘汰并关闭 Ed25519 签名验证功能，防止量子设备伪造签名、盗取用户资产；
3. 存量用户迁移资产时，需出示全新后量子密钥对的有效签名，同时提交零知识证明，佐证自身持有原始 Ed25519 种子。

这套迁移机制彻底脱离存在安全隐患的旧签名体系，只有真实的资产持有人，才能出具合规的零知识证明，全方位保障资产迁移安全。多款成熟的零知识证明框架均可适配该机制；虽然通用型证明文件体积偏大，但资产迁移仅为一次性操作，不会影响日常链上交易体验。

程序衍生账户（PDA）是 Solana 独有的特殊账户类型，本身无私钥设计，因此天生具备抗量子安全属性，无需任何改造升级。

其他补充说明

Solana 网络多项核心配套模块，同样依赖 Ed25519 签名，包括区块分片传输协议 Turbine、节点点对点通信 Gossip、QUIC 高速传输协议等。这类组件的加密升级方案，将与交易签名改造保持一致。

目前，Solana 运行环境向开发者开放了多种椭圆曲线加密接口，涵盖 Ed25519、Secp256k1、Secp256r1、BLS12-381 等。迈入后量子时代后，这类存在安全漏洞的传统加密接口将全部关停禁用，替换为新一代安全加密底层工具。

社区也在自发开展实验性技术研发。例如 Blueshift 团队，依托现有链上原生组件，结合温特尼茨一次性签名（WOTS）技术，实现了无需协议底层升级的抗量子冷钱包存储方案，为用户提供了自主选择的额外安全防护。

Solana 后续发展规划

公链近期首要落地动作：通过 SIMD-0416 提案，为智能合约新增 Falcon 签名验证系统调用接口。实现链上原生 Falcon 验证后，开发者可自主接入该加密算法，搭建抗量子资产金库、安全转账协议以及各类 DeFi 底层基础设施。

这并不意味着 Solana 会直接将 Falcon 定为全网统一协议级签名方案，也不会强行将其整合至 Alpenglow 共识体系。Solana 始终保持快速迭代的开发节奏，而后量子密码学仍处在持续探索与完善阶段。团队的核心策略是：优先落地短期可落地的实用安全方案，同时长期横向测评各类加密技术，为未来协议迭代，筛选最优长效方案。

在客户端 Firedancer 的研发层面，我们已完成高度优化的 Falcon 签名验证程序，运行效率达到官方参考版本的 2-3 倍，后续将推进全方位性能检测与安全审计。与此同时，团队会持续测评各类替代加密方案，为 Solana 长期量子安全战略，储备充足的技术选择。

参考资料

[1] R. Babbush, H. Neven. "Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly." Google Research Blog, March 2026.

https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/

[2] NVIDIA. "NVIDIA Launches Ising, the World’s First Open AI Models to Accelerate the Path to Useful Quantum Computers." NVIDIA Newsroom, March 2026.

https://nvidianews.nvidia.com/news/nvidia-launches-ising-the-worlds-first-open-ai-models-to-accelerate-the-path-to-useful-quantum-computers

[3] A. Sanso. "So you wanna Post-Quantum Ethereum transaction signature." Ethereum Research, December 2024.

https://ethresear.ch/t/so-you-wanna-post-quantum-ethereum-transaction-signature/21291

[4] A. Sanso. "Falcon as an Ethereum Transaction Signature: The Good, the Bad, and the Gnarly." Ethereum Research, January 2025.

https://ethresear.ch/t/falcon-as-an-ethereum-transaction-signature-the-good-the-bad-and-the-gnarly/21512

[5] A. Sanso. "The road to Post-Quantum Ethereum transaction is paved with Account Abstraction (AA)." Ethereum Research, February 2025.

https://ethresear.ch/t/the-road-to-post-quantum-ethereum-transaction-is-paved-with-account-abstraction-aa/21783

[6] A. Sanso, T. Thiery, B. Wagner. "Revisiting Falcon signature aggregation for PQ mempools." Ethereum Research, March 2026.

https://ethresear.ch/t/revisiting-falcon-signature-aggregation-for-pq-mempools/24431

[7] D. J. Bernstein et al. "Ed25519: High-speed high-security signatures." 2012.

https://ed25519.cr.yp.to/

[8] NIST. "Post-Quantum Cryptography Standardization." FIPS 203, 204, 205. August 2024.

https://csrc.nist.gov/projects/post-quantum-cryptography

[9] V. Buterin. "How to hard-fork to save most users' funds in a quantum emergency." Ethereum Research, March 2024.

https://ethresear.ch/t/how-to-hard-fork-to-save-most-users-funds-in-a-quantum-emergency/18901