Atualmente, os computadores quânticos ainda não têm poder suficiente para quebrar a criptografia do Bitcoin. No entanto, recentíssimos avanços feitos por gigantes como Google e IBM mostram que essa diferença está diminuindo mais rapidamente do que muitos imaginam. A expectativa crescente em torno do chamado “Q-Day” — o dia em que uma máquina superpoderosa pode comprometer endereços antigos do Bitcoin — gera preocupações, uma vez que isso poderia expor mais de US$ 711 bilhões em carteiras vulneráveis.
A atualização do Bitcoin para um padrão que resista a ataques quânticos demanda tempo, e os especialistas alertam que é preciso agir antes que essa ameaça se concretize. O problema é que ninguém sabe exatamente quando isso vai acontecer, e a comunidade enfrenta dificuldades para chegar a um consenso sobre como prosseguir.
Essa incerteza faz com que muitos temam que um computador quântico poderoso veja a luz do dia antes que a rede Bitcoin esteja preparada para se defender. Vamos explorar, então, como um ataque quântico funcionaria e o que precisa ser feito para proteger essa importante rede.
Como funcionaria um ataque quântico
Um ataque quântico não seria exatamente um espetáculo. Imaginemos um hacker com um computador quântico que começa a escanear a blockchain, focando em endereços que já revelaram chaves públicas. Isso inclui carteiras mais antigas, endereços reutilizados e contas que estão paradas há muito tempo.
O invasor copiaria uma chave pública e utilizaria um algoritmo quântico chamado Shor, criado pelo matemático Peter Shor em 1994. Esse algoritmo é capaz de fatorar grandes números de maneira muito mais eficiente do que qualquer computador tradicional. As assinaturas de curva elíptica do Bitcoin dependem da complexidade desses cálculos, e, com qubits suficientes e correção de erros, um computador quântico conseguiria descobrir a chave privada associada a uma chave pública exposta.
Justin Thaler, um pesquisador importante na área, destaca que, uma vez que o invasor tenha recuperado a chave privada, ele pode movimentar as moedas. “Um computador quântico poderia falsificar assinaturas digitais, permitindo que alguém retire todos os Bitcoins da sua conta sem permissão. Essa é a verdadeira preocupação”, diz ele. Assim, uma assinatura falsa pareceria legítima para a rede do Bitcoin, permitindo que transações fossem validadas sem que ninguém percebesse. Se um hacker atacar um grande número de endereços expostos ao mesmo tempo, bilhões de dólares poderiam ser movimentados em questão de minutos, fazendo o mercado reagir antes mesmo de ter confirmação do ataque.
O estado da computação quântica em 2025
Até 2025, a computação quântica começa a se moldar de maneira mais prática e palpável. Aqui estão alguns marcos importantes:
- Janeiro de 2025: O chip Willow de 105 qubits do Google apresenta uma redução significativa de erros e desempenho superior aos supercomputadores clássicos.
- Fevereiro de 2025: A Microsoft lança a plataforma Majorana 1, reportando um recorde no emaranhamento lógico de qubits com a Atom Computing.
- Abril de 2025: O NIST amplia a coerência de qubits supercondutores para 0,6 milissegundos.
- Junho de 2025: A IBM estabelece metas ambiciosas de 200 qubits lógicos até 2029 e mais de 1.000 no início da década de 2030.
- Outubro de 2025: A IBM emaranha 120 qubits e o Google confirma aceleração quântica verificada.
- Novembro de 2025: A IBM lança novos chips e softwares focados em vantagem quântica em 2026 e sistemas tolerantes a falhas até 2029.
Por que o Bitcoin se tornou vulnerável?
O Bitcoin utiliza criptografia de curva elíptica. Cada vez que você gasta a partir de um endereço, a chave pública correspondente é revelada, e essa exposição é permanente. Nos endereços antigos do tipo pay-to-public-key, muitos deles já publicavam suas chaves públicas na blockchain antes mesmo da realização da primeira transação. Já formatos mais modernos, como o pay-to-public-key-hash, mantêm a chave oculta até o primeiro uso.
Como resultado, as moedas mais antigas — incluindo cerca de 1 milhão de Bitcoins da época de Satoshi — estão expostas a potenciais ataques quânticos. Para protegê-las, seria necessário migrar para assinaturas digitais que sejam resistentes a esses desafios quânticos, o que, segundo Thaler, requer um esforço ativo.
Ele menciona que, para Satoshi proteger suas moedas, seria preciso movê-las para novas carteiras seguras. A grande preocupação são as moedas abandonadas, que somam cerca de US$ 180 bilhões, incluindo aproximadamente US$ 100 bilhões que se acredita pertencerem a Satoshi. Esses valores significativos estão “perdidos” e representam um risco real.
A situação é ainda mais complicada quando falamos de moedas associadas a chaves privadas que foram perdidas. Muitas dessas moedas não são tocadas há mais de uma década. Sem acesso à nova categoria de carteiras que resistiria a ataques quânticos, elas se tornam alvos fáceis em um futuro próximo.
Além disso, as defesas praticas contra essa ameaça incluem migrar fundos vulneráveis, adotar endereços que sejam pós-quânticos ou gerenciar riscos já existentes. Entretanto, a nova criptografia quântica tende a ser significativamente mais pesada em termos de desempenho, o que é um empecilho em redes como o Bitcoin, onde cada nó precisa armazenar essas informações.
Caminhos para a proteção
Desenvolvedores têm proposto várias Bitcoin Improvement Proposals (BIPs) para preparar a rede contra esses ataques. Essas propostas variam desde opções de proteção até migrações completas da rede. Vamos dar uma olhada em algumas delas:
- BIP-360 (P2QRH): Cria novos endereços “bc1r…” que combinam assinaturas de curva elíptica com esquemas pós-quânticos como ML-DSA ou SLH-DSA. Assegura segurança híbrida, embora as assinaturas maiores possam elevar as taxas.
- Quantum-Safe Taproot: Adiciona um ramo oculto pós-quântico ao Taproot, permitindo que mineradores adotem um *soft fork* caso ataques se tornem reais, enquanto os usuários operam normalmente.
- Quantum-Resistant Address Migration Protocol (QRAMP): Um plano que moveria UTXOs vulneráveis para endereços que sejam seguros contra esses ataques, provavelmente através de um *hard fork*.
- Pay to Taproot Hash (P2TRH): Substitui chaves visíveis do Taproot por versões duplamente hasheadas, limitando a exposição sem quebrar a compatibilidade.
- Non-Interactive Transaction Compression (NTC) via STARKs: Usa provas de conhecimento zero para condensar grandes assinaturas pós-quânticas em uma única prova por bloco, reduzindo custos e taxas.
- Esquemas Commit-Reveal: Baseados em compromissos hasheados, são anunciados antes de qualquer ameaça quântica.”
Essas propostas delineiam um caminho gradual para garantir a segurança quântica. Algumas soluções são mais simples e de baixo impacto, como o P2TRH, e podem ser implementadas agora. Outras, como BIP-360 ou compressão via STARKs, podem ser aplicadas conforme o risco aumentar. Contudo, todas elas exigiriam um grande esforço de coordenação entre mineradores, desenvolvedores e usuários.
Thaler ressalta que a descentralização do Bitcoin, seu maior trunfo, também é um entrave. Atualizações levam tempo e, para qualquer novo esquema de assinatura, é necessário que haja um consenso amplo.
A boa notícia é que a maioria dos detentores de Bitcoin não precisam se preocupar em agir imediatamente. Algumas práticas já podem ajudar a reduzir riscos a longo prazo, como evitar a reutilização de endereços e manter as chaves públicas ocultas até a transação.
Atualmente, os computadores quânticos estão a uma boa distância de conseguir quebrar o Bitcoin. As previsões sobre quando isso pode acontecer variam muito; alguns especialistas falam sobre um prazo de cinco anos, enquanto outros projetam algo para a década de 2030. Mas, em um cenário em que os investimentos em tecnologia continuam a crescer, essa linha do tempo pode ser acelerada.
