A ameaça quântica ao Bitcoin não se trata de quebrar a criptografia—é de expor as suas chaves

A narrativa generalizada sobre computadores quânticos que quebram a criptografia do Bitcoin falha fundamentalmente o alvo. O Bitcoin não armazena segredos encriptados na cadeia que máquinas quânticas poderiam decifrar. Em vez disso, a vulnerabilidade real centra-se em algo muito mais específico: se surgir um computador quântico criptograficamente relevante, ele poderia explorar chaves públicas expostas para forjar transações não autorizadas através do algoritmo de Shor. Essa distinção é enormemente importante para compreender tanto a linha do tempo quanto as estratégias de mitigação que o Bitcoin necessita.

Por que o Modelo de Segurança do Bitcoin Não Depende de Criptografia

A blockchain do Bitcoin funciona como um livro-razão público. Cada transação, valor e endereço é visível para todos. A propriedade é comprovada por assinaturas digitais—especificamente assinaturas ECDSA e Schnorr—não por dados encriptados que precisam ser ocultados. Essas assinaturas demonstram controle sobre um par de chaves; elas não escondem nada. Quando alguém gasta moedas, produz uma assinatura válida que a rede aceita. A própria blockchain não contém ciphertexts para serem decifrados.

Essa verdade arquitetônica fundamental revela um problema de terminologia na forma como a ameaça quântica é frequentemente discutida. O especialista em segurança Adam Back capturou isso claramente: o Bitcoin não usa criptografia no sentido tradicional. Chamar computadores quânticos de uma ameaça à “criptografia do Bitcoin” reflete um entendimento equivocado do que o Bitcoin realmente protege. O protocolo protege a propriedade por meio de assinaturas e compromissos baseados em hash, não por ciphertexts.

O Risco Quântico Real: Derivação de Chave Privada a partir de Chaves Públicas Expostas

O cenário que exige atenção é muito mais restrito: se um atacante quântico puder executar o algoritmo de Shor de forma eficiente contra a criptografia de curva elíptica do Bitcoin, ele poderia derivar uma chave privada de uma chave pública na cadeia. Com essa chave privada em mãos, poderia criar uma assinatura de transação válida e potencialmente redirecionar fundos.

Se essa ameaça se concretizar depende dos padrões de exposição de chaves públicas. Muitos formatos de endereço do Bitcoin comprometem-se a um hash da chave pública—significando que a chave bruta permanece oculta até que a transação seja gasta. Essa janela de vulnerabilidade é relativamente pequena. Mas outros tipos de script expõem chaves públicas mais cedo, e a reutilização de endereços transforma uma revelação única em um alvo persistente para recuperação de chaves.

A “Bitcoin Risq List” do Projeto Eleven acompanha exatamente onde as chaves públicas já estão visíveis na cadeia, mapeando o conjunto de endereços potencialmente vulneráveis ao algoritmo de Shor. A análise mais recente identifica aproximadamente 6,7 milhões de BTC mantidos em endereços que atendem aos critérios de exposição, de acordo com os dados atuais da blockchain.

Medindo o Risco Quântico Sem Saber Quando Ele Chegará

Os requisitos computacionais para quebrar a criptografia de curva elíptica agora são razoavelmente bem compreendidos, mesmo que o cronograma para alcançá-los permaneça incerto.

Pesquisas de Roetteler e colegas estabeleceram que calcular um logaritmo discreto de curva elíptica de 256 bits requer aproximadamente 2.330 qubits lógicos no mínimo teórico. Converter qubits lógicos em um computador quântico com correção de erros funcional introduz uma sobrecarga massiva de qubits físicos. A análise de Litinski de 2023 sugere que uma computação de chave privada de 256 bits poderia ser realizada em cerca de 10 minutos usando aproximadamente 6,9 milhões de qubits físicos. Outras estimativas agrupam-se em torno de 13 milhões de qubits físicos para quebrar em um dia, dependendo das suposições de tempo e taxa de erro.

Esses números fornecem uma estrutura mensurável. Como a exposição de chaves públicas é quantificável hoje—o Projeto Eleven realiza varreduras automatizadas semanais—o pool de UTXOs vulneráveis pode ser monitorado agora, sem esperar que capacidades quânticas cheguem.

Mudanças no nível do protocolo, como o Taproot (BIP 341), alteraram os padrões de exposição de maneiras relevantes. As saídas Taproot incluem uma chave pública ajustada de 32 bytes diretamente no programa de saída, em vez de apenas um hash de chave pública. Isso não cria vulnerabilidade hoje, mas altera quais endereços se tornam expostos se a recuperação de chaves se tornar viável. Enquanto isso, propostas como o BIP 360 (“Pay to Quantum Resistant Hash”) delineiam possíveis caminhos de migração para saídas resistentes a quânticos.

Defesas Comportamentais e a Questão do Hash

Para operações do Bitcoin, escolhas comportamentais e o design da carteira oferecem alavancas de curto prazo. A reutilização de endereços aumenta drasticamente a exposição; carteiras que geram endereços novos para cada transação reduzem a superfície de ataque. Se a recuperação de chaves privadas se tornar rápida o suficiente para ocorrer dentro de um intervalo de bloco, os atacantes estariam competindo para gastar saídas expostas, ao invés de reescrever a história do consenso—um modelo de ameaça fundamentalmente diferente.

O hashing às vezes é incluído nas preocupações quânticas, mas o algoritmo relevante aqui é o Grover, não o Shor. Grover oferece apenas uma aceleração de raiz quadrada para buscas exaustivas—mantendo a resistência à pré-imagem do SHA-256 em aproximadamente 2^128 de trabalho, mesmo sob ataque quântico. Isso é incomparável a uma quebra de logaritmo discreto de curva elíptica.

Migração, Não Emergência: O Caminho Realista Adiante

O NIST já padronizou primitivas pós-quânticas como o ML-KEM (FIPS 203) como parte do planejamento de transição criptográfica mais amplo. Dentro do Bitcoin, desenvolvedores e pesquisadores estão propondo mecanismos de migração: novos tipos de saída que usam compromissos de hash resistentes a quânticos, mecanismos de encerramento de assinaturas legadas para criar incentivos à migração, e atualizações contínuas de carteiras para reduzir a reutilização de endereços.

Cronogramas recentes de empresas adicionam contexto. A IBM delineou recentemente avanços rumo a um sistema quântico tolerante a falhas por volta de 2029, embora o caminho desde demonstrações laboratoriais até sistemas capazes de atacar criptografia implantada continue longo e incerto.

O desafio quântico ao Bitcoin é, em última análise, um problema de coordenação e migração, não um colapso criptográfico imediato. As métricas acionáveis são simples: monitorar chaves públicas expostas no conjunto de UTXOs, otimizar o comportamento das carteiras para minimizar a exposição e adotar padrões de gasto resistentes a quânticos na rede, enquanto se preserva a eficiência de validação e a estabilidade do mercado de taxas.