O que realmente ameaça o Bitcoin na era quântica: Entre o medo e a realidade

O que é um quântico e por que o Bitcoin deve estar preocupado?

Antes de avançarmos na discussão sobre o futuro do Bitcoin, é importante entender qual é a ameaça em si. Computadores quânticos são máquinas que operam com princípios totalmente diferentes dos computadores tradicionais. Em vez de bits (0 ou 1), usam qubits, que podem estar simultaneamente em 0 e 1, o que lhes confere potencialmente uma capacidade de processamento astronômica. Para o Bitcoin, o mais perigoso é o algoritmo de Shor, que em teoria poderia extrair chaves privadas a partir de chaves públicas em tempo polinomial.

Por que isso representa uma ameaça? O Bitcoin protege as transações usando um esquema digital baseado em ECDSA e Schnorr na curva secp256k1. Atualmente, é matematicamente impossível calcular a chave privada a partir da pública — essa é a base da segurança de toda a rede. No entanto, um computador quântico suficientemente poderoso poderia superar essa defesa. Cientistas estimam que seriam necessários cerca de 2000 a 4000 qubits lógicos operando quase sem erros. Os dispositivos quânticos atuais operam com dezenas de qubits e estão longe desse limiar.

Janela de segurança: O Bitcoin tem tempo suficiente?

Aqui surge o primeiro consolo. Estimativas indicam que computadores quânticos capazes de representar uma ameaça real ao Bitcoin estão a pelo menos uma década de distância. Isso teoricamente dá à rede tempo suficiente para se preparar. O NIST já aprovou padrões de defesa: ML-DSA (Dilithium) e SLH-DSA (SPHINCS+) foram publicados como FIPS 204 e 205, e FN-DSA (Falcon) aguarda aprovação como FIPS 206. Esses esquemas são praticamente resistentes a ataques quânticos atualmente.

Teoricamente, o Bitcoin poderia implementar novos tipos de saídas (outputs) ou assinaturas híbridas integrando algoritmos pós-quânticos. Equipes como Bitcoin Optech já experimentam com agregação de assinaturas e construções baseadas em Taproot. Pesquisas de desempenho sugerem que até mesmo o SLH-DSA poderia ser ativado na rede com parâmetros comparáveis às cargas atuais. Um cenário em que o Bitcoin se adapta à ameaça quântica não é tecnicamente impossível.

Custo da migração: O preço oculto da segurança

Porém, a história das possibilidades técnicas não conta toda a verdade. A transição para assinaturas pós-quânticas tem consequências econômicas reais. Pesquisas publicadas no Journal of British Blockchain Association indicam que a viabilidade da segurança quântica está relacionada à redução da capacidade de bloco — estima-se uma queda de cerca de metade. As assinaturas pós-quânticas atuais são fisicamente maiores e exigem mais poder de processamento para verificação.

Isso, por sua vez, aumenta os custos operacionais dos nós. As taxas de transação tenderão a subir, pois cada assinatura ocupará mais espaço na limitada capacidade do bloco. Não é uma catástrofe, mas também não é uma vantagem transparente — é uma troca entre segurança quântica e eficiência atual.

Chaves expostas: 1,7 milhão de Bitcoins em risco

Aqui a questão se torna mais preocupante. A vulnerabilidade a ataques quânticos não está distribuída uniformemente entre todos os Bitcoins. Depende do tipo de endereço e se a chave pública já está visível na blockchain.

Saídas iniciais do tipo pay-to-public-key deixam a chave pública exposta diretamente na cadeia — portanto, protegidas apenas pela segurança do ECDSA, nada mais. Endereços padrão P2PKH e SegWit P2WPKH escondem a chave por meio de um hash até o momento de gastar as moedas, quando a chave se torna visível. Saídas Taproot P2TR mais recentes codificam a chave pública desde o início, o que significa que esses UTXOs já estão vulneráveis antes mesmo de serem transferidos.

Análises de dados da cadeia indicam uma imagem assustadora: cerca de 25% de todos os Bitcoins já estão em saídas com chaves públicas visíveis. Mais precisamente — estimativas indicam cerca de 1,7 milhão de BTC na “era Satoshi” ainda em saídas P2PK antigas, além de centenas de milhares em saídas Taproot mais novas com chaves visíveis. Algumas dessas moedas são historicamente consideradas “perdidas”, mas na realidade são ativos flutuantes que, com o poder quântico suficiente, poderiam ser alvo do primeiro atacante.

Moedas que nunca revelaram a chave pública (P2PKH ou P2WPKH) têm uma posição muito melhor. Estão protegidas por endereços hashados, contra os quais o algoritmo de Grover oferece apenas um aceleramento quadrático — uma ameaça que pode ser neutralizada ajustando-se os parâmetros de segurança.

Cenários de oferta: Quase todos levam ao caos

Michael Saylor afirma que “a segurança aumenta, a oferta diminui”. Essa simplificação ignora a complexidade dos cenários reais.

O primeiro cenário é “redução de oferta por abandono”. Proprietários de moedas em saídas vulneráveis que nunca fizerem a migração podem, de fato, bloquear efetivamente suas moedas — marcando-as como ilegais ou colocando-as em listas negras pela convenção da rede. Isso poderia diminuir efetivamente a oferta em circulação.

O segundo cenário é “distorção da oferta por roubo”. Um atacante quântico, com a máquina adequada, poderia meticulosamente esvaziar carteiras expostas. Não seria uma queima de moedas, mas uma transferência delas para uma carteira controlada pelo atacante — sem implicações de mercado de alta.

O terceiro cenário é “pânico por física”. Especular sobre ameaças quânticas iminentes poderia gerar vendas preemptivas, forks na cadeia ou migração massiva de capitais. Esse cenário pode ser mais perigoso do que a própria tecnologia.

Nenhum desses caminhos garante uma redução limpa na oferta circulante, que fosse unânime e otimista para os touros. Podem igualmente levar a mudanças caóticas na avaliação, forks controversos e ondas de ataques a carteiras antigas.

O desafio da coordenação: A física é menor problema

A boa notícia é que o proof-of-work do Bitcoin baseado em SHA-256 é relativamente resistente a quânticos. O algoritmo de Grover oferece apenas um aceleramento quadrático, que pode ser compensado aumentando a dificuldade de mineração. A ameaça mais crítica permanece nos esquemas de assinatura digital.

Porém, aqui surge um problema que vai além da matemática. O Bitcoin não possui uma autoridade central que possa impor atualizações. Cada migração pós-quântica exigiria um consenso esmagador entre desenvolvedores, mineradores, exchanges e grandes detentores. Essa coordenação precisaria acontecer antes que apareçam computadores quânticos capazes de ataques reais.

Análises recentes de círculos de venture capital destacam que gestão e tempo representam riscos maiores do que a própria matemática. A comunidade do Bitcoin já enfrentou dificuldades com atualizações simples. A transição pós-quântica seria a mudança mais ambiciosa na história da rede.

Ataques subtis no mempool

Um detalhe frequentemente ignorado na discussão é o mempool — espaço onde as transações aguardam mineração. Quando alguém envia moedas de um endereço com chave hash, sua chave pública é revelada nesse processo. Em um cenário com atacante quântico, poderia surgir uma possibilidade de ataque “sign-and-steal”: um observador quântico espera no mempool, rapidamente gera a chave privada e envia uma transação concorrente com uma taxa maior.

Não é um ataque fácil, mas é uma possibilidade que análises tradicionais de risco muitas vezes ignoram.

Resumo: Otimismo condicional

O Bitcoin pode se fortalecer na era quântica. A rede pode implementar novas assinaturas, proteger saídas vulneráveis e adotar garantias criptográficas reforçadas. Mas a hipótese de Saylor — de que tudo ocorrerá suavemente, que “moedas perdidas permanecerão congeladas” e que “a oferta diminuirá” — é mais uma aposta na coordenação perfeita do que na física.

A realidade é mais complexa. Cerca de 1,7 milhão de Bitcoins já estão em saídas vulneráveis. A migração será custosa, politicamente difícil e exigirá uma coordenação sem precedentes. O Bitcoin pode sair dessa mais forte, mas somente se desenvolvedores e grandes detentores reagirem cedo, evitando pânico ou roubos em massa.

A certeza é moderada. Engenharia é possível. Mas a coordenação social permanece incerta.