Segurança do Bitcoin na era quântica: distinguir entre ficção e ameaça real

A narrativa amplamente divulgada na mídia sobre “quebra de criptografia do Bitcoin por computadores quânticos” contém um erro conceitual fundamental. O Bitcoin não depende de criptografia de dados armazenados na cadeia de blocos. Blockchain funciona como um livro público, onde cada transação, valor e endereço são visíveis a todos. A ameaça real, na qual devemos nos concentrar, não é a descriptografia, mas a potencial falsificação de assinaturas digitais associadas à chave pública divulgada.

Onde realmente está a vulnerabilidade: de criptografia a assinaturas

Os sistemas de assinatura do Bitcoin—ECDSA e Schnorr—são a base do controle sobre os fundos. As moedas são transferidas por meio da geração de uma assinatura válida, que a rede aceita. Nesta arquitetura, a divulgação da chave pública torna-se uma fraqueza crítica quando surge um computador capaz de executar o algoritmo de Shor.

Se um atacante dispunha de uma máquina quântica criptograficamente relevante, poderia:

• Extrair a chave privada da chave pública visível na cadeia
• Gerar uma assinatura concorrente para outra despesa
• Assumir o controle dos fundos

A limitação da exposição da chave pública determina a escala desse risco. Muitos endereços Bitcoin criptografam a chave pública em hashes, revelando a chave bruta apenas no momento da transação. Outros formatos—como pay-to-pubkey ou alguns multisig—revelam a chave mais cedo. Reutilizar o endereço prolonga essa janela de exposição, transformando uma exposição única em um alvo permanente para um potencial atacante.

A ameaça quântica em números: o que é mensurável hoje

O Project Eleven publica semanalmente uma varredura na cadeia, identificando UTXOs com chave pública divulgada. Seu rastreador público indica cerca de 6,7 milhões de BTC que atendem aos critérios de exposição quântica.

Do ponto de vista computacional, de acordo com estudos de Roettler e coautores, quebrar o logaritmo discreto de 256 bits da curva elíptica exigiria:

A diferença entre qubits lógicos e físicos é fundamental. Converter um circuito em uma máquina capaz de correção de erros com baixa taxa de erro—necessária para um ataque prático—gera custos enormes de escala e tempo.

Taproot muda o cenário de exposição

A implementação do Taproot (P2TR) altera o padrão padrão de divulgação de chaves. As saídas Taproot contêm uma chave pública modificada de 32 bytes diretamente no script de saída, ao invés de uma chave pública hash. Isso significa que, com a tecnologia quântica se tornando uma ameaça prática, as novas despesas criarão, por padrão, um maior conjunto de UTXOs com chave divulgada.

No entanto, a segurança até agora não muda—a exposição torna-se uma variável mensurável, rastreável, que define a amplitude da ameaça futura.

De Grover à migração: o contexto de todo o espectro quântico

Funções de hash, como SHA-256, enfrentam outro tipo de ataque quântico. O algoritmo de Grover oferece uma aceleração quadrática na busca brute-force, mas não quebra o logaritmo discreto como Shor. Para pré-imagens de SHA-256, o custo permanece em torno de 2^128 operações mesmo com Grover—muito menos prático e perigoso do que quebrar o ECDSA.

A narrativa de ameaça quântica muitas vezes não faz distinção entre esses algoritmos. O NIST já padronizou primitivas pós-quânticas (ML-KEM, FIPS 203), e o Bitcoin está desenvolvendo soluções, como o BIP 360 propondo “Pay to Quantum Resistant Hash”. O desafio está na migração, não na ruptura imediata.

Por que isso é um problema de infraestrutura, não um cenário apocalíptico

Segundo relatórios recentes da Reuters, a IBM está projetando um caminho para um sistema resistente a erros por volta de 2029. Nesse mesmo contexto, avanços em componentes de correção de erros sugerem que uma quebra quântica seria resultado de anos de desenvolvimento, e não de um ataque inesperado.

O problema real se resume a três dimensões:

1. Qual parte do UTXO possui chaves públicas divulgadas (já identificáveis hoje)
2. Quão rápido carteiras e protocolos podem adotar despesas resistentes a quânticos
3. Se a rede manterá sua capacidade de processamento, segurança e economia de taxas durante a transição

Assinaturas pós-quânticas terão tamanhos de vários kilobytes ao invés de dezenas de bytes, alterando o cálculo do peso das transações e a experiência do usuário. A migração exige coordenação, não uma reprogramação desesperada.

O risco quântico real é mensurável, mas, acima de tudo, é um desafio de tempo e de projeto—não uma razão para pânico diante de um cenário alterado na narrativa de segurança das criptomoedas.