Solana 发布后量子路线图：Falcon 成为核心签名方案，量子安全竞赛正式开启

2026 年 4 月 27 日，Solana 基金会正式发布了一份关于量子计算威胁应对的综合性路线图。核心信息简洁明确：两大独立验证节点客户端团队 Anza 与 Jump Crypto 旗下的 Firedancer，经过各自独立研究后，不约而同地将目光投向同一种后量子签名方案——Falcon。两个团队已在 GitHub 上发布了 Falcon 的初版实现，标志着 Solana 从理论探讨正式迈入工程落地阶段。

这并非一次孤立的行业内事件。在它之前仅一个月，Google Quantum AI 团队联合以太坊基金会研究员与斯坦福大学教授发布了一份震动行业的白皮书，将破解比特币所依赖的 256 位椭圆曲线密码学所需的物理量子比特数量，从此前的学术估算大幅压缩了约 20 倍——降至不到 50 万个。量子威胁的时间表正在加速前移，而 Solana 选择的 Falcon 路线，恰好落在了这场讨论的风暴中心。

理解 Falcon 签名方案为什么被选中、它如何在技术上实现安全与性能的平衡、以及这次升级对整个加密行业意味着什么，是本文试图回答的核心问题。

两条独立路线在 Falcon 交汇

Solana 基金会此次发布的路线图包含一项被行业观察者评价为“罕见共识”的内容：Anza 和 Firedancer 两个彼此独立的开发团队，在未进行预先协调的情况下，各自完成了对后量子签名方案的评估研究，最终共同指向 Falcon。

Anza 是由前 Solana Labs 核心工程师组成的开发团队，承担 Solana 主网客户端 Agave 的维护工作；Firedancer 则由 Jump Crypto 开发，是 Solana 网络性能最强的验证节点客户端之一。两个团队合计代表 Solana 网络绝大部分质押份额，其技术共识的分量不可忽视。

两大团队的评估逻辑存在显著交集：均要求签名尺寸紧凑、验证效率高、能够在不牺牲 Solana 现有高吞吐量优势的前提下实现量子抗性。Falcon 之所以从 NIST 已批准的多个后量子签名方案中脱颖而出，正是因为它在这几个维度上表现出独特的平衡优势。

路线图同时披露了分阶段策略：第一阶段继续深化 Falcon 及替代方案的研究与测试；第二阶段在量子威胁成为可信风险后，为新创建的钱包引入后量子方案；第三阶段完成现有钱包的全面迁移。这一设计兼顾了前瞻性与务实性——不急于在威胁尚未成熟时进行全网硬切换，但确保一切准备工作已在工程层面完成就绪。

量子威胁从远景走向近忧

将 Solana 此次动作放在更宏观的行业时间轴上审视，能够更清晰地看到其紧迫性来源。

2025 年 11 月，Algorand 基金会协议团队率先在主网上使用 Falcon 签名完成了首笔后量子交易，为业界提供了概念验证。

2026 年 1 月 27 日，Anza 的 GitHub 仓库已经开始 Falcon 相关工作，表明开发团队的推进远早于公开路线图的发布。

2026 年 3 月 31 日，Google Quantum AI 发布重量级白皮书，系统评估了量子计算机破解加密货币密码学所需资源。结论令人震动：破解 256 位椭圆曲线离散对数问题仅需不到 50 万个物理量子比特，且可在数分钟内完成——较此前估算缩减约 20 倍。Google 同时将 2029 年设定为自身后量子密码学迁移的截止日期，并建议全行业采用同一时间表。

2026 年 4 月 15 日，波场（Tron）宣布启动后量子升级，成为首批采用 NIST 批准新加密标准的主流网络之一。

Bernstein 的研究报告则从投资视角给出了量化判断：比特币及加密行业大约还有 3 到 5 年的时间窗口完成向量子安全的过渡，量子威胁应被视为“中长期的系统升级周期”而非生存危机。

Ark Invest 在 3 月的分析中指出，约 35% 的比特币供应量存放在可能面临未来量子风险的地址中。另一份独立报告估算，当前约 693 万枚 BTC（约占总量 33%）的公钥已在链上暴露，其中约 170 万枚来自中本聪时代使用的 P2PK 格式脚本，公钥直接写入交易输出。

Solana 基金会的公开发文语气克制而前瞻，明确表示“量子威胁距离现实仍有数年之遥”，但同时强调“如果这一威胁真正显现，Solana 的迁移工作已经过充分研究、理解并准备好部署”。这种表述方式意味着，生态系统选择了“预备而非恐慌”的中间路线。

Falcon 的系统适配性拆解

从技术架构的角度审视，Falcon 被 Solana 选中并非偶然，而是系统级适配性分析的结果。Solana 的高吞吐量架构以每秒处理数万笔交易著称，且验证节点须在亚秒级延迟窗口内完成所有阶段性计算。这就要求迁移方案必须满足一组特定的技术约束，而 Falcon 在几个关键维度上呈现出了与替代方案相比的结构性优势。

签名尺寸

Falcon 签名大小约 690 字节至 1-2 KB（取决于安全等级），而另两种主要后量子方案的情况差异明显。CRYSTALS-Dilithium 作为同样由 NIST 标准化的方案，签名大小约 2-4 KB。SPHINCS+ 作为基于哈希的无状态签名方案，签名大小达到约 8-17 KB。在 Solana 的网络环境下，每笔交易均需携带签名数据，签名尺寸直接决定区块空间占用率和带宽成本。Falcon 在 NIST 批准的三大标准化后量子签名方案（FIPS 204 对应 ML-DSA，即 Dilithium；FIPS 205 对应 SLH-DSA，即 SPHINCS+；Falcon 对应 FN-DSA）中签名最为紧凑。

验证效率

Falcon 采用基于 NTRU 格的构造，验证过程仅需执行一次多项式乘法即可完成核心计算，具有极低的常数因子开销。这一特性对 Solana 的运行架构尤为重要——验证节点须在极短时间内完成签名验证以保持网络一致性。初步测试数据表明，优化后的 Falcon 实现可使网络性能在当前椭圆曲线方案基础上提升 2-3 倍。

密钥尺寸

Falcon 的公钥尺寸同样处于合理区间，显著小于某些替代方案。紧凑的公钥意味着账户状态数据的存储开销可控，这在一个拥有庞大账户体系的区块链网络中，是维持状态同步效率的关键因子。

Falcon 之所以在紧凑签名的同时保持高安全性，底层原理可概括如下。它建立在 NTRU 格上的“短整数解”难题之上——这类格问题被认为即使在量子计算模型下依然难以高效求解。与基于大数分解的 RSA 或基于离散对数的椭圆曲线密码学不同，格密码尚未被 Shor 算法及其变体找到高效攻击路径。Falcon 签名过程可概括为三个步骤：首先将待签名消息哈希映射到某个格点；随后利用私钥（一个较短的格基）找到离该目标格点足够近的格点；最后输出偏移向量作为签名。验证者仅需检查签名是否为短向量且与消息哈希匹配，无需访问私钥即可完成验证。

以下是四种主流签名方案的参数对照，有助于直观理解 Falcon 在性能与安全性之间的平衡选择：

对比维度	Ed25519（Solana 当前方案）	Falcon	CRYSTALS-Dilithium	SPHINCS+
密码学基础	椭圆曲线	格（NTRU）	格（MLWE）	哈希
签名大小	约 64 字节	约 690 字节–2 KB	约 2–4 KB	约 8–17 KB
公钥大小	约 32 字节	约 897 字节–1.8 KB	约 1.3–2.6 KB	约 32–64 字节
量子安全性	无	有（格难题）	有（格难题）	有（哈希）
NIST 安全等级	不适用	1–5 级可选	2–5 级	1–5 级

需要强调的是，Falcon 在签名尺寸上的优势以较复杂的签名生成为代价，签名过程涉及傅里叶采样等较精密操作，对实现细节要求更高。这些操作在安全硬件环境中需要更精细的工程实现，但其计算开销仅由“签名发起方”承担，并不影响网络上所有验证节点的验证工作量。这一不对称性使得 Falcon 在 Solana 的架构约束下呈现出理想的匹配度：验证节点仅需极轻量计算即可确认签名合法性，而签名生成端的额外开销对用户设备来说仍在可承受范围内。

在基础架构层面，Solana 当前依赖椭圆曲线密码学的多个关键部分均面临量子威胁，包括账户模型中的 Ed25519 签名、区块传播所用的 Turbine/Rotor 机制、共识层使用的 Alpenglow BLS 签名，以及用户定义程序中的签名验证模块。迁移至 Falcon 需要同步升级这些组件，交易大小的增加也需要相应调整 SVM（Solana 虚拟机）、网络层和共识层的参数。

值得关注的设计细节是地址不变的迁移机制。Anza 的方案提出，用户可利用生成密钥的原始助记词，结合零知识证明技术，将其与 Ed25519 种子之间的数学关系进行可验证推导，从而在不改变账户地址的前提下迁移至 Falcon 签名体系。这意味着现有用户不必创建新地址即可获得量子保护，大幅降低了迁移过程中的用户体验摩擦。

舆情观点拆解：行业正分化出多重立场

Solana 选择 Falcon 的消息在行业舆论场上引发了不同维度的讨论。通过拆解主流观点可以发现，不同的技术路线选择映射出截然不同的哲学立场。

核心开发者视角：威胁尚未成熟，但准备不容迟疑

Solana 基金会和两大客户端团队的立场高度一致。他们在公开发文中采用了“距离现实尚有数年但准备工作已就绪”的双重表述——既不夸大威胁的紧迫性，也不低估长期风险。Anza 首席经济学家 Max Resnick 与斯坦福大学应用密码学博士 Sam Kim 联合发布的文章进一步提供了概率化评估：量子计算机在 5 年内具备实际威胁能力的概率约为 3-5%。这一基于数据的低概率评估，反而构成了“现在准备不早”逻辑的有力支撑——正因为窗口期存在不确定性，提前就绪是理性选择。

投资机构视角：中等风险可承受，需有序升级

华尔街经纪商 Bernstein 的分析师 Gautam Chhugani 团队给出定性判断：量子威胁“真实但可控”。报告的核心逻辑在于区分暴露面与全局风险——主要集中在约 170 万枚 BTC 的老旧地址，而比特币挖矿依赖的 SHA 哈希算法即便在量子先进场景下依然高度安全。这一判断与此前 Ark Invest 估算的约 35% 比特币供应暴露于潜在风险中的结论形成呼应。

FalconX 市场联席主管 Joshua Lim 则从金融衍生品视角提供了一个独特观察：比特币的量子风险可能最先在衍生品市场而非链上活动中暴露——期权及长年期合约的定价往往比链上行为更早反映市场对“Q-Day”事件担忧的定价。

行业分歧：比特币社区的“行动派”与“观望派”

围绕应否以及如何应对量子威胁，行业内部存在显著分歧。比特币社区在这一议题上的立场分裂尤其明显。

Blockstream 首席执行官 Adam Back，作为比特币生态中最具技术影响力的声音之一，持明确观望态度。他多次公开表示量子风险被严重高估，认为至少在数十年内无需采取任何行动。

与之针锋相对的是安全研究员 Ethan Heilman 等人提出的比特币改进提案 BIP-360。该提案建议引入一种名为 Pay-to-Merkle-Root 的新输出类型，以保护比特币地址免受短暴露窗口内的量子攻击。但 Heilman 本人也坦承，该方案的完整落地可能需要约 7 年时间。

波场创始人孙宇晨则以更激进的姿态加入竞争叙事：“当比特币还在争论、以太坊还在组建研究委员会时，波场已经在建设。量子安全应该是一项功能，而不是一个漏洞。”波场已于 4 月 15 日启动后量子升级，采用 NIST 批准的新加密标准，将量子安全定位为公链竞争的差异化叙事。

后量子原语的早期探索

在主流网络争相规划后量子迁移路线之时，新兴生态已从设计之初就实现原生后量子支持。Circle 的 Layer 1 区块链 Arc 计划在主网上线时即提供可选的后量子签名方案，覆盖钱包和基础设施层。Naoris Protocol 已于 2026 年 4 月 1 日发布其后量子 Layer 1 主网，成为该领域的先行者之一。

为了帮助读者更清晰地把握当前舆论场的多元格局，以下几点对主要机构与个人的核心立场进行了归纳：

• Solana 核心开发团队（Anza/Firedancer） ：威胁数年之遥，但 Falcon 方案已研究成熟、可随时激活部署
• Anza 经济学家（Resnick/Sam Kim） ：5 年内实际威胁概率约 3-5%，低概率不等同于可忽略
• Bernstein（投资机构） ：威胁“真实但可控”，3-5 年窗口期，应视为中长期系统升级周期
• Ark Invest：约 35% 比特币供应面临潜在量子风险，但有时间适应
• FalconX（Joshua Lim） ：量子风险信号或先在衍生品市场出现
• Adam Back（Blockstream CEO） ：风险被严重高估，数十年内无需采取行动
• Ethan Heilman（安全研究员） ：推动 BIP-360 应对方案，但落地可能需约 7 年
• 孙宇晨（波场创始人） ：量子安全是功能而非漏洞，波场已率先部署
• Circle（Arc 区块链） ：原生后量子设计，主网上线即提供抗量子签名
• Naoris Protocol：已于 2026 年 4 月发布后量子 Layer 1 主网

Solana 当前市场数据参考

Solana（SOL）在路线图发布后经历了短暂市场关注。截至 2026 年 4 月 29 日，SOL 报价约 84.97 美元，24 小时涨幅约 1.06%，7 日跌幅约 2.71%，年内跌幅约 42.58%。市值约 489.4 亿美元，全流通市值约 530.5 亿美元，市值占全流通市值比约 92.25%。当前流通供应量约 5.7596 亿枚 SOL，总供应量约 6.2438 亿枚。

行业影响分析：格局重塑的潜在逻辑

Solana 的 Falcon 路线，无论最终是否全面落地，已经对加密行业的竞争格局和基础设施方向产生了结构性影响。

后量子准备成为新一代差异化维度

在 2026 年之前，量子安全在加密行业中基本被视为理论研究课题或边缘叙事。然而，随着 Google 白皮书的发布、Solana 路线图的公布，以及 Circle Arc 的原生后量子设计，量子安全正被重新定义为公链基础设施的差异化能力。这不是一场面对面的“安全军备竞赛”——因为真正的量子威胁尚未到来——而是一场建立信任与吸引力的“安全投资竞赛”：能否在未来数年内向用户和机构传递“这个网络考虑了十年之后的安全问题”的信号，可能成为公链获取长期资本的隐性加分项。

迁移能力的非对称性

Solana 所展示的迁移方案中有一个被低估的优势。在权益证明网络中，验证节点的数量相对集中且存在明确的治理机制，后量子升级可通过网络升级流程推进。相比之下，比特币网络的去中心化程度更高、治理协调难度更大，BIP-360 提案从设计到落地的预估周期长达 7 年，这种非对称性可能在量子计算加速逼近时为不同网络创造出截然不同的响应速度。

产业信号传导效应

Solana 路线图的发布在时间维度上与前文所述的产业信号形成共振：Google 将 2029 年设为后量子迁移目标年限，Cloudflare 在 Google 白皮书发布后随即调整迁移规划，英国 NCSC 已设定 2028 至 2035 年的里程碑。Solana 此次动作并非加密行业的孤立事件，而是全球大型科技与安全组织后量子迁移浪潮中的一个环节。这种共振信号很可能加速其他主流公链跟进制定明确的后量子时间表。

促使用户行为的渐进迁移

值得注意的是，Winternitz Vault 的“可选启用”模型暴露了一个问题：在未形成全网络强制性升级之前，量子安全将依赖用户的主动学习与自行迁移。一次性签名模型虽然具有极强的量子抗性，但在用户体验层面存在额外摩擦，尚未在主流用户中被广泛采用。如何平衡“给用户选择权”与“降低被动暴露面”，将是所有公链在量子过渡期面临的共同难题。

多情境演化推演：四种可能的量化未来

在前文事实审视的基础上，以下基于合理逻辑推演四种情境下区块链量子安全的演化路径——这些路径属于推测，存在不确定性，但每种情境均有可追溯的技术依据。

情境一：有序过渡

量子计算能力以可预期的速度递增，行业有 3-5 年的窗口逐步实现后量子迁移。在此情境下，Solana 可在保持网络稳定运行的前提下，按照“新钱包优先、现有钱包逐步迁移”的策略完成过渡。Falcon 的紧凑签名特性使交易大小增加处于可控区间，网络性能不应有显著影响。比特币方面，BIP-360 或 BIP-361 提案经过充分社区讨论后逐步实施。这一情境对加密资产价格和行业格局的冲击最小。

情境二：急促应战

假设中性原子或光子技术路线出现超预期的工程突破，使得加密相关级量子计算机的落地时间大幅提前至 2-3 年内。Solana 的准备程度将因 Falcon 的预研积累而具备较其他主流公链更迅速的响应条件，但全行业仍需在压缩的时间窗口内完成非同寻常的协调工作。约 693 万枚公钥已暴露的 BTC 的迁移将成为最大不确定性因素。

情境三：标准路线变更

NIST 宣布新的替代后量子签名方案或在现有标准中发现更优构造，导致 Falcon 不再是最优选。Solana 路线图的设计包含继续研究替代方案的弹性空间，但前期围绕 Falcon 所做的工程投入与工具链建设需相应调整，过渡成本将递增。这提醒行业，在后量子标准化尚未完全固化之际，任何单一方案的技术锁定均存在风险。

情境四：叙事驱动的阶段性泡沫

量子威胁主导的叙事可能引发加密市场的阶段性恐慌与避险性资产再配置。资金可能从“未明确规划抗量子路线”的资产，流向已发布清晰方案的资产及新兴的原生抗量子项目。短期内可能出现过度反应，引发不理性的局部泡沫化现象。FalconX 衍生品市场分析中对“量子风险可能在现货市场之前被贴现”的判断，为此情境提供了金融逻辑基础。这种叙事驱动的波动本身可能为投机者提供短期机会，但对行业健康的长期发展并非有益。届时，长期架构优势与短期市场定价之间的认知鸿沟需要冷静观察与理性辨析。

结语

Falcon 被 Solana 选中，本质上是一次技术适配性与长期战略的交叉选择：在一个以高吞吐量为核心架构特征的公链上，后量子签名方案不能仅是“安全足够好”，还必须在签名尺寸、验证效率和系统开销上保持高度克制。两道独立的技术搜索路径最终在 Falcon 上实现交汇，构成了这一选择最具说服力的合理性来源。

从更宏观的行业视角看，Solana 的 Falcon 路线是量子安全叙事从边缘实验室走向主流工程实践的一个关键节点。尽管真正的量子威胁仍需基本粒子物理、纠错编码和工程实现等多条技术路径同步突破——目前最先进量子计算机约 1,500 个物理量子比特与破解椭圆曲线所需的约 50 万个物理量子比特之间，仍然横亘着 250-500 倍的规模鸿沟，且逻辑比特错误率须从当前实验室最优约 0.01%-0.001% 精确至约 0.0000000001% 级别——但威胁的时钟确实在加速运转。

对于加密行业而言，Solana 的做法提供的启示超越具体技术方案本身：将后量子迁移视为一个需要提前充分研究、但在威胁明朗之前保持克制的长期工程任务，而非一次性的应激反应。这种姿态，在当前量子威胁叙事的高波动性之下，或许是最理性的一种回应。