Ameaça ao Bitcoin por parte de computadores quânticos: Mito técnico ou problema real?

A opinião amplamente difundida de que computadores quânticos representam uma ameaça à criptografia do Bitcoin baseia-se numa compreensão incorreta da arquitetura da rede. Na realidade, o Bitcoin não fundamenta a sua segurança na confidencialidade de segredos criptografados armazenados na blockchain – a referência a este tema aparece em muitos documentos técnicos, mas raramente chega à consciência do público em geral. Em vez disso, o verdadeiro desafio diz respeito às assinaturas digitais e às chaves públicas reveladas, que constituem o vetor de ataque real para a ameaça quântica teórica.

Onde reside a ameaça real?

Confundir criptografia com sistemas de assinaturas digitais é a fonte da maioria das desinformações sobre o Bitcoin preparado para o quantum. A blockchain é um livro público – cada transação, valor e endereço são visíveis para todos. Nada neste sistema está criptografado no sentido tradicional.

A segurança do Bitcoin baseia-se em dois pilares: nos sistemas de assinaturas (ECDSA e Schnorr) e nas funções de hash (hashing). Estes mecanismos garantem o controlo sobre os pares de chaves, mas não protegem informações através de criptografia. Se um computador quântico suficientemente avançado pudesse executar o algoritmo de Shor, poderia derivar a chave privada a partir da chave pública revelada na blockchain. Isso seria uma falsificação de autorização, não uma descriptografia.

Mapeando a exposição real: o que sabemos hoje?

A vulnerabilidade não surge de forma uniforme em toda a rede. Muitos formatos de endereço comprometem a chave pública – a chave pública bruta permanece oculta até à emissão da transação. Isto reduz a janela de tempo para um potencial atacante.

O Project Eleven realiza varreduras semanais e publica a “Bitcoin Risq List”, para monitorizar endereços com chaves públicas reveladas. As estimativas atuais indicam cerca de 6,7 milhões de BTC em endereços que cumprem critérios de exposição quântica. Isto serve como referência para toda a análise de risco.

Outros tipos de scripts, especialmente Taproot (P2TR), revelam diretamente uma chave pública modificada de 32 bytes no código de saída. Isto altera o perfil de exposição, mas não cria uma nova vulnerabilidade hoje – só se tornará crítico quando surgirem máquinas criptograficamente relevantes.

Dimensão computacional do problema: quantos qubits são necessários?

Pesquisas indicam objetivos claros e mensuráveis. Para calcular a chave privada de uma curva elíptica de 256 bits, são necessários cerca de 2330 qubits lógicos (referência: Roetteler et al.). A transformação desta em uma máquina prática requer, no entanto, milhões de qubits físicos devido à correção de erros.

Estimativas de 2023 sugerem:

• ~6,9 milhões de qubits físicos para estimar a chave em cerca de 10 minutos (modelo de Litinskij)
• ~13 milhões de qubits físicos para quebrar em um dia
• ~317 milhões de qubits físicos para o objetivo numa janela de uma hora

As escolhas arquitetónicas relativas ao tempo, taxa de erro e implementação de correção de erros fazem com que o custo real possa variar drasticamente.

Algoritmo de Grover: menos perigoso que Shor

Quando a conversa passa para funções de hash, surge o algoritmo de Grover. Este apenas oferece uma aceleração de raiz quadrada na busca por força bruta, e não uma quebra do logaritmo discreto alcançada pelo Shor. Para pré-imagens SHA-256, o objetivo permanece na ordem de 2^128 operações – mesmo após otimizações quânticas. Isto não é comparável à ameaça às curvas elípticas.

Como o Bitcoin pode adaptar-se?

O risco quântico é sobretudo um desafio de migração, não uma catástrofe técnica. O NIST já padronizou primitivas pós-quânticas, como o ML-KEM (FIPS 203). A comunidade Bitcoin discute propostas como o BIP 360, que sugere “Pay to Quantum Resistant Hash”.

As principais limitações à migração são a largura de banda, armazenamento e taxas de transação. Assinaturas pós-quânticas atingem tamanhos de vários kilobytes em vez de dezenas de bytes. Isto altera a economia do peso das transações e a experiência do utilizador na carteira.

Relatórios recentes indicam que empresas como a IBM estimam que o caminho para um sistema resistente a erros estará disponível por volta de 2029. Isto sugere que a janela de tempo para adaptação é de anos, não de meses.

A direção real de preparação

Os elementos que realmente contam: que parte do conjunto UTXO tem chaves públicas reveladas, como reage a exposição o comportamento da carteira, e quão rapidamente a rede pode adotar caminhos de gasto resistentes ao quantum, mantendo a validação e a estabilidade do mercado de taxas.

A reutilização de endereços aumenta a janela de exposição – os futuros recebimentos no mesmo endereço permanecem revelados. Por outro lado, os projetos de carteiras podem reduzir o risco através de uma gestão adequada de endereços e migração precoce para formatos pós-quânticos.

A ameaça de computadores quânticos ao Bitcoin não é uma ficção, mas a sua natureza difere claramente da narrativa popular. Não se trata de quebrar criptografia, mas de uma evolução coordenada do ecossistema, onde a referência para cada decisão deve basear-se em dados mensuráveis sobre a exposição atual da rede.