Não existem hoje computadores quânticos capazes de quebrar a blockchain do Bitcoin. No entanto, os programadores já estão a considerar uma vaga de upgrades para construir defesas contra a ameaça potencial, e com razão, já que a ameaça deixou de ser hipotética.
Esta semana, a Google publicou investigação sugerindo que um computador quântico suficientemente poderoso poderia decifrar a criptografia central do Bitcoin em menos de nove minutos — um minuto mais rápido do que o tempo médio de liquidação de um bloco do Bitcoin. Alguns analistas acreditam que essa ameaça poderá tornar-se realidade até 2029.
As apostas são elevadas: cerca de 6,5 milhões de tokens de bitcoin, no valor de centenas de milhares de milhões de dólares, estão em endereços que um computador quântico poderia visar diretamente. Alguns desses coins pertencem ao criador pseudónimo do Bitcoin, Satoshi Nakamoto. Além disso, a eventual violação danificaria os princípios centrais do Bitcoin — “confia no código” e “moeda sã”.
Eis como é que a ameaça se apresenta, juntamente com propostas em consideração para a mitigar.
Duas formas de uma máquina quântica atacar o Bitcoin
Vamos primeiro compreender a vulnerabilidade antes de discutirmos as propostas.
A segurança do Bitcoin assenta numa relação matemática unidirecional. Quando cria uma carteira, é gerada uma chave privada e um número secreto, a partir dos quais é derivada uma chave pública.
Para gastar tokens de bitcoin, é necessário provar a posse de uma chave privada, não revelando-a, mas utilizando-a para gerar uma assinatura criptográfica que a rede consegue verificar.
Este sistema é infalível porque os computadores modernos levariam milhares de milhões de anos a quebrar a criptografia de curvas elípticas — especificamente o Elliptic Curve Digital Signature Algorithm (ECDSA) — para fazer engenharia reversa da chave privada a partir da chave pública. Assim, diz-se que a blockchain é computacionalmente impossível de comprometer.
Mas um futuro computador quântico pode transformar esta via de sentido único numa via de dois sentidos, derivando a sua chave privada a partir da chave pública e esvaziando os seus coins.
A chave pública fica exposta de duas formas: Por coins parados em onchain (o ataque de longa exposição) ou por coins em movimento ou transações à espera na memory pool (ataque de curta exposição).
Os endereços Pay-to-public key (P2PK) (usados por Satoshi e pelos primeiros mineradores) e Taproot (P2TR), o formato de endereço atual ativado em 2021, são vulneráveis ao ataque de longa exposição. Coins nesses endereços não precisam de se mover para revelar as suas chaves públicas; a exposição já aconteceu e é legível por qualquer pessoa na Terra, incluindo um eventual atacante quântico futuro. Aproximadamente 1,7 milhão de BTC está em endereços antigos P2PK — incluindo os coins de Satoshi.
A curta exposição está ligada à mempool — a sala de espera de transações não confirmadas. Enquanto as transações lá estão à espera de serem incluídas num bloco, a sua chave pública e a sua assinatura ficam visíveis para toda a rede.
Um computador quântico poderia aceder a esses dados, mas teria apenas uma janela breve — antes de a transação ser confirmada e enterrada sob blocos adicionais — para derivar a chave privada correspondente e agir sobre ela.
Iniciativas
BIP 360: Remover a chave pública
Como foi notado anteriormente, cada novo endereço do Bitcoin criado hoje utilizando Taproot expõe permanentemente uma chave pública em onchain, dando a um computador quântico futuro um alvo que nunca desaparece.
O Bitcoin Improvement Proposal (BIP) 360 remove a chave pública permanentemente embutida em onchain e visível para todos, introduzindo um novo tipo de saída chamado Pay-to-Merkle-Root (P2MR).
Recorde que um computador quântico estuda a chave pública, faz engenharia reversa da forma exata da chave privada e forja uma cópia funcional. Se removermos a chave pública, o ataque não tem nada de onde trabalhar. Entretanto, todo o resto, incluindo pagamentos Lightning, configurações multi-assinatura e outras funcionalidades do Bitcoin, permanece igual.
No entanto, se for implementada, esta proposta protege apenas os novos coins para a frente. Os 1,7 milhões de BTC que já estão em endereços antigos expostos é um problema separado, abordado por outras propostas abaixo.
SPHINCS+ / SLH-DSA: Assinaturas pós-quânticas baseadas em hash
SPHINCS+ é um esquema de assinatura pós-quântica construído sobre funções de hash, evitando os riscos quânticos que enfrentam as criptografias de curvas elípticas usadas pelo Bitcoin. Enquanto o algoritmo de Shor ameaça o ECDSA, designs baseados em hash como o SPHINCS+ não são vistos como igualmente vulneráveis.
O esquema foi padronizado pelo National Institute of Standards and Technology (NIST) em agosto de 2024 como FIPS 205 (SLH-DSA) após anos de avaliação pública.
O compromisso em termos de segurança é o tamanho. Enquanto as assinaturas atuais do bitcoin têm 64 bytes, SLH-DSA tem 8 quilobytes (KB) ou mais de tamanho. Assim, adotar SLH-DSA aumentaria de forma acentuada a procura de espaço de bloco e faria subir as taxas de transação.
Como resultado, propostas como SHRIMPS (outro esquema de assinatura pós-quântica baseada em hash) e SHRINCS já foram introduzidas para reduzir o tamanho das assinaturas sem comprometer a segurança pós-quântica. Ambos assentam no SHPINCS+ enquanto procuram manter as suas garantias de segurança numa forma mais prática e eficiente em termos de espaço, adequada para uso em blockchain.
Esquema commit/reveal de Tadge Dryja: Um travão de emergência para a mempool
Esta proposta, um soft fork sugerido pelo co-criador da Lightning Network, Tadge Dryja, tem como objetivo proteger as transações na mempool de um atacante quântico futuro. Fá-lo ao separar a execução das transações em duas fases: Commit e Reveal.
Imagine informar um parceiro que lhe vai enviar um email e, depois, efetivamente enviar o email. A primeira é a fase de commit, e a última é a fase de reveal.
Na blockchain, isto significa que primeiro publica uma impressão digital selada da sua intenção — apenas um hash, que não revela nada sobre a transação. A blockchain carimba essa impressão digital permanentemente. Mais tarde, quando transmitir a transação real, a sua chave pública fica visível — e sim, um computador quântico a observar a rede poderia derivar a sua chave privada a partir disso e forjar uma transação concorrente para roubar os seus fundos.
Mas essa transação forjada é rejeitada imediatamente. A rede verifica: este gasto tem um compromisso prévio registado em onchain? O seu tem. O do atacante não — ele criou-o momentos antes. A sua impressão digital pré-registada é o seu álibi.
O problema, contudo, é o custo acrescido devido a a transação ser dividida em duas fases. Por isso, é descrita como uma ponte intermédia, prática de implementar enquanto a comunidade trabalha na construção de defesas quânticas.
Hourglass V2: Desacelerar o gasto de coins antigos
Proposta pelo programador Hunter Beast, a Hourglass V2 ataca a vulnerabilidade quântica ligada a aproximadamente 1,7 milhões de BTC detidos em endereços mais antigos, já expostos.
A proposta parte do pressuposto de que estes coins poderiam ser roubados num ataque quântico futuro e procura abrandar a hemorragia limitando as vendas a um bitcoin por bloco, para evitar uma liquidação massiva catastrófica durante a noite, capaz de derrubar o mercado.
A analogia é uma corrida ao banco: não pode impedir as pessoas de levantarem dinheiro, mas pode limitar a cadência dos levantamentos para impedir que o sistema colapse durante a noite. A proposta é controversa porque, mesmo com esta restrição limitada, alguns na comunidade do Bitcoin a consideram uma violação do princípio de que nenhuma parte externa pode alguma vez interferir com o seu direito de gastar os seus coins.
Conclusão
Estas propostas ainda não estão ativadas, e a governação descentralizada do Bitcoin, que envolve programadores, mineradores e operadores de nós, significa que qualquer upgrade provavelmente levará algum tempo a concretizar-se.
Ainda assim, o fluxo constante de propostas que antecedem o relatório desta semana da Google sugere que o problema já estava há muito tempo no radar dos programadores, o que pode ajudar a atenuar as preocupações do mercado.
