A verdadeira ameaça quântica ao Bitcoin não tem nada a ver com "quebrar a criptografia"

A narrativa em torno dos computadores quânticos e da segurança do Bitcoin tem sido confusa por um erro fundamental de terminologia. A cobertura mediática frequentemente afirma que os computadores quânticos irão “quebrar a encriptação do Bitcoin”, mas essa abordagem ignora completamente a vulnerabilidade real. O Bitcoin não armazena segredos encriptados na blockchain. A exposição verdadeira reside nas assinaturas digitais e na comprometimento de chaves públicas — um vetor de ameaça distintamente diferente.

Compreendendo o que realmente importa: Assinaturas versus Secrecy

O modelo de segurança do Bitcoin baseia-se em assinaturas ECDSA e Schnorr para provar a propriedade de moedas. A blockchain é um livro-razão transparente; cada transação e endereço é visível publicamente. Isso significa que nada está encriptado no sentido tradicional. A questão de segurança não é se um computador quântico pode decifrar algo escondido — é se consegue derivar uma chave privada de uma chave pública exposta e forjar uma assinatura válida.

Adam Back, um desenvolvedor de longa data do núcleo do Bitcoin, destacou essa distinção de forma clara: “Bitcoin não usa encriptação. Entenda o básico.” Esse erro de terminologia tem inflado o medo infundado sobre o quântico há anos. O risco quântico real envolve o algoritmo de Shor, que teoricamente pode calcular logaritmos discretos sobre curvas elípticas. Se um computador quântico suficientemente potente executar esse algoritmo contra uma chave pública visível na cadeia, ele poderia derivar a chave privada correspondente e autorizar transações não autorizadas.

O Gargalo: Quando as Chaves Públicas se Tornam Expostas

O formato do endereço importa significativamente para o risco quântico. Muitos tipos de endereços do Bitcoin comprometem apenas um hash da chave pública, o que significa que a chave bruta permanece oculta até que essa saída seja gasta. Esse design reduz a janela de oportunidade para um atacante calcular uma chave privada via Shor.

Por outro lado, outros tipos de script expõem as chaves mais cedo. A reutilização de endereços transforma uma única revelação em uma vulnerabilidade persistente. As saídas Taproot (P2TR), introduzidas pelo BIP 341, incluem uma chave pública ajustada de 32 bytes diretamente no programa de saída, ao invés de um hash — uma mudança que altera significativamente o perfil de exposição.

A “Bitcoin Risq List” do Project Eleven acompanha essa exposição de forma metódica. Sua análise identifica aproximadamente 6,7 milhões de BTC já na cadeia com chaves públicas expostas, criando o que os pesquisadores definem como o pool de endereços vulneráveis ao quântico.

Quantificando a Barreira Computacional

Compreender se o risco quântico é iminente requer separar qubits lógicos de qubits físicos. Pesquisas de Roetteler e colegas demonstram que calcular um logaritmo discreto de 256 bits sobre curvas elípticas exige aproximadamente 2.330 qubits lógicos na cota superior. A raiz quadrada da relação de 256 — juntamente com a complexidade algorítmica mais ampla — informa essas estimativas.

Converter qubits lógicos em máquinas físicas com correção de erros introduz uma sobrecarga enorme. Estimativas recentes sugerem que cerca de 6,9 milhões de qubits físicos poderiam recuperar uma chave de curva elíptica de 256 bits em cerca de 10 minutos (sob o modelo de Litinski de 2023). Outras análises estimam cerca de 13 milhões de qubits físicos para quebrar uma chave em um dia. Esses números assumem taxas de erro e tempos específicos que ainda não foram comprovados na prática.

Os roteiros recentes da IBM situam computadores quânticos tolerantes a falhas por volta de 2029, embora o progresso nos componentes de correção de erros continue a alterar os cronogramas. O caminho computacional do potencial teórico ao ataque prático permanece extremamente íngreme.

A Questão do Grover: Por que Funções Hash Permanecem Resilientes

Algoritmos quânticos representam ameaças diferentes às camadas criptográficas. Enquanto o algoritmo de Shor ataca problemas de logaritmo discreto diretamente, o algoritmo de Grover oferece apenas uma aceleração de raiz quadrada na busca exaustiva. Para o hashing SHA-256 do Bitcoin, um ataque acelerado por Grover deixa o alvo de segurança em torno de 2^128 operações — ainda inviável computacionalmente e incomparável a uma quebra de curva elíptica.

Assim, o hashing permanece uma preocupação secundária nas avaliações de risco quântico.

A Migração como o Verdadeiro Desafio

Se uma máquina capaz de quânticos realmente surgir, a ameaça não envolveria reescrever a história do consenso do Bitcoin. Em vez disso, um atacante competiria para gastar saídas com chaves expostas mais rápido do que as confirmações legítimas de transações. Isso desloca a janela de vulnerabilidade do Bitcoin de uma reconstrução histórica para uma competição em tempo real de transações.

Atualizações de protocolo oferecem o caminho a seguir. O BIP 360 propõe tipos de saída “Pay to Quantum Resistant Hash”, enquanto propostas como qbip.org defendem o fim das assinaturas legadas para forçar a migração e reduzir o longo rabo de endereços expostos. Assinaturas pós-quânticas, como ML-KEM (o padrão FIPS 203 do NIST), têm tamanhos de kilobytes ao invés de dezenas de bytes, remodelando fundamentalmente a economia das transações e o design de carteiras.

O comportamento das carteiras e os padrões de reutilização de endereços oferecem alavancas de curto prazo. Uma vez que uma chave pública é transmitida na cadeia, qualquer recebimento futuro para esse mesmo endereço permanece exposto. Usuários e desenvolvedores podem reduzir a exposição hoje por meio de disciplina operacional e melhores configurações de carteira.

A Conclusão: Medição de Risco Sem Certainty de Cronograma

A vulnerabilidade quântica do Bitcoin é real, mas mensurável — e sua urgência depende do desenvolvimento de máquinas tolerantes a falhas, não de avanços algorítmicos. O desafio de infraestrutura é gerenciável: acompanhar a exposição, desenhar caminhos de migração e atualizar regras de validação. O desafio de narrativa é corrigir a terminologia: o Bitcoin não enfrenta risco de quebra de encriptação porque não usa encriptação para quebrar. Enfrenta risco de forjar assinaturas a partir de chaves públicas expostas — e esse cronograma depende de hardware, não de teoria.