A vulnerabilidade quântica no Bitcoin: um risco controlável

Autor | Christopher Bendiksen, CoinShares

Compilação | GaryMa 吴说区块链

Link original：

A possibilidade de computadores quânticos realmente utilizáveis no futuro não é uma probabilidade nula, gerando discussões amplas sobre seu impacto potencial na segurança criptográfica do Bitcoin. Isso é, sem dúvida, saudável e uma medida preventiva necessária para um sistema de armazenamento de valor de trilhões de dólares. No entanto, apesar de a tecnologia trazer desafios teóricos, seu risco real ainda está distante e pode ser abordado por meios diretos.

Para os investidores institucionais, entender essa questão requer diferenciar especulação (e, infelizmente, uma quantidade significativa de hype e comportamento de lucro egocêntrico) de análises baseadas em evidências. A vulnerabilidade quântica do Bitcoin não é uma crise iminente, mas sim uma consideração de engenharia previsível, e há tempo suficiente para se adaptar.

Resumo dos pontos-chave

Visão geral da vulnerabilidade quântica: O algoritmo de Shor pode, em teoria, expor chaves em ECDSA/Schnorr, e o algoritmo de Grover enfraquece SHA-256; a ameaça ainda está distante, limitada a cerca de 1,7 milhão de BTC em endereços P2PK (8% da oferta total), com uma possibilidade muito pequena de impacto no mercado (veja o último ponto abaixo)

Estrutura de segurança: Dependente de curvas elípticas para autorização e de funções hash para proteção; a computação quântica não pode alterar o limite de fornecimento de 21 milhões, nem contornar a prova de trabalho. Os modernos P2PKH/P2SH ocultam a chave pública antes do gasto; a alegação de 25% de vulnerabilidade exagera o risco temporário que pode ser mitigado

Linha do tempo e viabilidade: Para quebrar secp256k1 em um tempo viável (<1 ano), seria necessário um número de qubits lógicos atuais de 10 a 100 mil vezes maior; a tecnologia quântica relevante ainda precisará de pelo menos 10 anos. Ataques de longo prazo podem ser realizados em anos — podendo tornar-se viáveis em dez anos; ataques de curto prazo (ataques à memória) requerem <10 minutos de tempo de computação — não são viáveis em qualquer escala de tempo exceto em períodos extremamente longos (décadas)

Vantagens de intervenções radicais (como bifurcações suaves/duras ou destruição de moedas para formatos resistentes a quânticos): Fortalecer a rede com antecedência, prevenir quebra técnica acidental, fornecer um caminho de migração, transmitir sinal de adaptabilidade, aumentar a confiança dos investidores

Desvantagens de intervenções radicais: Tecnologias criptográficas não suficientemente verificadas podem introduzir vulnerabilidades; podem desperdiçar recursos de desenvolvimento escassos em soluções ainda não comprovadas ou ineficazes e causar mais mudanças; assumir que moedas dormidas foram perdidas, levando a forçamentos ou roubo; ameaçar a neutralidade; corroer propriedade, descentralização, imutabilidade e confiança

Impacto no mercado: Na prática, pode estar limitado a cerca de 10 mil BTC, que poderiam entrar repentinamente e inesperadamente no mercado devido à quebra das chaves privadas; no final, parecerá mais como transações normais; os detentores podem migrar voluntariamente; as moedas restantes estão distribuídas em 34 mil endereços, cada um com cerca de 50 BTC, e mesmo no cenário tecnológico mais otimista, levaria décadas para serem roubadas

Analisar corretamente essa questão requer uma compreensão profunda e detalhada

A estrutura de segurança do Bitcoin depende de dois elementos criptográficos centrais: o algoritmo de assinatura digital de curva elíptica (ECDSA ou Schnorr baseado em secp256k1) usado para autorizar transações, e funções hash como SHA-256 utilizadas para mineração e proteção de endereços. ECDSA gera um par de chaves assimétricas, sendo computacionalmente inviável derivar a chave privada a partir da chave pública em sistemas de computação clássicos. SHA-256 fornece um hash unidirecional, cuja inversão também é computacionalmente inviável. Os algoritmos quânticos trazem preocupações específicas. Um mal-entendido comum é que a computação quântica quebrará todo o sistema criptográfico, mas isso não é verdade. Abaixo, resumimos o impacto dos computadores quânticos práticos nas funções criptográficas comuns.

Tipos de criptografia existentes — antes e depois da quântica:

O principal problema enfrentado atualmente é o algoritmo de assinatura de 256 bits ECDSA (agora Schnorr, mas enfrenta o mesmo problema) usado para autorizar transações de Bitcoin. O algoritmo de Shor pode, em teoria, resolver o problema do logaritmo discreto que sustenta a curva elíptica, e uma vez que a chave pública seja exposta, a chave privada pode ser derivada.

O algoritmo de Grover reduz a segurança efetiva de hashes simétricos como SHA-256 de 256 bits para 128 bits, mas devido à enorme demanda computacional, a quebra por força bruta ainda é impraticável, portanto, os endereços protegidos por hash permanecem seguros. Quanto à mineração, os computadores quânticos podem, em teoria, tornar-se dispositivos de mineração bastante rápidos, mas não está claro se são economicamente viáveis em comparação aos ASIC (e, dado o mecanismo de ajuste automático de dificuldade embutido no Bitcoin, isso não é importante). O importante é que a computação quântica não pode alterar o limite fixo de fornecimento de 21 milhões de Bitcoins, nem contornar a prova de trabalho necessária para validação de blocos.

A exposição ao risco está limitada a endereços com chaves públicas visíveis, principalmente as saídas Pay-to-Public-Key (P2PK) tradicionais, que possuem cerca de 1,6 milhão de BTC, representando cerca de 8% da oferta total. No entanto, apenas 10.200 BTC estão em UTXOs, e somente se forem roubados por um computador quântico, poderiam causar qualquer perturbação significativa no mercado. Os restantes cerca de 1,6 milhão de BTC estão distribuídos em 32.607 UTXOs independentes, cada um com cerca de 50 BTC, e mesmo sob as suposições mais otimistas sobre os avanços tecnológicos quânticos, levaria milhares de anos para serem desbloqueados.

Distribuição e quantidade de moedas vulneráveis a quânticos

Formatos de endereço mais modernos, como Pay-to-Public-Key-Hash (P2PKH) ou Pay-to-Script-Hash (P2SH), ocultam a chave pública através de hashes, mantendo-a segura antes que os fundos sejam gastos. A alegação de 25% de vulnerabilidade geralmente inclui riscos temporários, como a reutilização de endereços por exchanges, que podem ser facilmente mitigados por melhores práticas; além disso, haverá um período de aviso de vários anos antes que o desenvolvimento tecnológico se torne realmente perigoso, permitindo tempo suficiente para ajustes de comportamento simples.

Estamos ainda bastante distantes da zona de perigo

Até o início de 2026, a ameaça quântica não está próxima. Para quebrar secp256k1, seria necessário um sistema quântico com milhões de qubits lógicos — o que está muito além da capacidade atual. Segundo os pesquisadores, para reverter uma chave pública em um dia, um atacante precisaria de um computador quântico com capacidade de tolerância a falhas e controle de erros, o que ainda não foi alcançado, e requereria 13 milhões de qubits físicos — cerca de 100 mil vezes o tamanho do maior computador quântico atual. Para completar a quebra em uma hora, sua performance precisaria ser 3 milhões de vezes superior ao dos computadores quânticos atuais. O CTO da Ledger, Charles Guillemet, disse à CoinShares: “Para quebrar a criptografia assimétrica atual, seriam necessários qubits em uma ordem de magnitude de milhões. O computador Willow do Google tem apenas 105 qubits. E a cada qubit adicionado, a dificuldade de manter um sistema coerente aumenta exponencialmente.” Aqui realizamos uma análise mais aprofundada do que foi discutido.

Demonstrações recentes, incluindo a do Google, mostraram progresso, mas ainda estamos longe da escala necessária para atacar o Bitcoin no mundo real.

Algumas estimativas sugerem que computadores quânticos relacionados à criptografia (mas que não necessariamente representam um perigo na prática) podem surgir na década de 2030 ou mais tarde, com algumas análises prevendo um prazo de 10 a 20 anos.

Exposições ao risco de longo prazo (como endereços P2PK) poderão enfrentar ataques que exigem anos de tempo computacional; enquanto exposições ao risco de curto prazo (como chaves públicas visíveis no pool de memória durante uma transação) exigem que o cálculo seja concluído em menos de 10 minutos.

Intervenções radicais têm prós e contras

Propostas de intervenções radicais para abordar essa questão, como bifurcações suaves para formatos de endereço resistentes a quânticos em condições tecnicamente imaturas ou, pior ainda, a destruição de moedas vulneráveis através de bifurcações duras, exigem extrema cautela. Essas ações podem não apenas provocar desastres tecnológicos por introduzirem vulnerabilidades críticas acidentalmente, mas também podem enfraquecer os princípios centrais do Bitcoin em relação à propriedade e descentralização, erosionando a confiança sem necessidade.

Introduzir novos formatos de endereço é extremamente arriscado e não deve ser incentivado antes que a criptografia que sustenta sua segurança seja plenamente compreendida e validada. Devemos reconhecer que, antes que computadores quânticos realmente utilizáveis apareçam, não podemos ter certeza de que a criptografia resistente a quânticos será efetiva em um sentido comprovável. Além disso, se escolhermos prematuramente um esquema de endereço resistente a quânticos, poderemos investir recursos de desenvolvimento escassos em soluções que eventualmente se provem ineficazes, rapidamente obsoletas ou até mesmo completamente defeituosas.

Fundamentalmente, não podemos determinar se essas moedas vulneráveis estão em estado de hibernação ou já foram perdidas, como demonstrado por transferências ocasionais de endereços inativos por longos períodos. Os detentores têm a oportunidade de migrar seus fundos voluntariamente, e, à medida que a capacidade quântica aumenta, os ativos não reclamados também podem naturalmente completar a transição.

No futuro previsível, o impacto no mercado parece limitado. Apenas uma pequena parte das BTC vulneráveis, cerca de 10.200, está em certas categorias P2PK e, se fossem rapidamente e repentinamente comprometidas, poderiam afetar a liquidez. Esses eventos são mais prováveis de se parecer com grandes transações normais, em vez de causar turbulência sistêmica. Mais preocupante é a manutenção da imutabilidade e neutralidade do Bitcoin, características que podem ser ameaçadas por alterações de protocolo prematuras.

Prevenir riscos quânticos para o Bitcoin é tecnicamente viável e não causará destruição. “O Bitcoin pode adotar assinaturas pós-quânticas. As assinaturas Schnorr (uma implementação técnica em uma atualização anterior) pavimentaram o caminho para mais atualizações, e o Bitcoin pode continuar sua evolução defensiva,” disse o Dr. Adam Back, criptógrafo, à CoinShares. Assinaturas resistentes a quânticos podem ser introduzidas através de bifurcações suaves, permitindo a integração sem costura de novos padrões criptográficos. Algumas propostas existentes, como as Propostas de Melhoria do Bitcoin (BIP), já esboçam esse caminho de evolução. Os usuários podem, conforme seu julgamento, migrar fundos para endereços seguros, enquanto continuam a monitorar o desenvolvimento da tecnologia quântica — podendo até utilizar endereços tradicionais expostos como “indicadores” do progresso tecnológico.

Para os investidores institucionais, a percepção chave é: o risco quântico é controlável e há uma janela de tempo suficiente para soluções. A própria arquitetura do Bitcoin possui resiliência intrínseca, capaz de suportar adaptações proativas. Como uma moeda saudável na era digital, o Bitcoin merece ser avaliado com base em seus fundamentos, em vez de em ameaças tecnológicas exageradas.