A ameaça quântica real para o Bitcoin está no gargalo das assinaturas, não na criptografia que não existe

Durante anos, o setor tem repetido uma frase que soa aterradora: “Os computadores quânticos vão quebrar o Bitcoin”. Mas essa narrativa sofre de um erro fundamental de terminologia. A verdade é mais matizada, mas também mais gerenciável do que parece.

O grande equívoco: Bitcoin não usa criptografia, usa assinaturas digitais

Aqui está o ponto crítico que a maioria esquece: Bitcoin não oculta informações por meio de criptografia. A blockchain é um livro-razão completamente público. Qualquer pessoa pode ver cada transação, cada valor e cada endereço. Nada está criptografado.

O que o Bitcoin realmente protege é a capacidade de gastar suas moedas, e isso é conseguido por meio de assinaturas digitais (ECDSA e Schnorr principalmente) e compromissos baseados em hash. Quando uma chave pública fica exposta na cadeia, um computador quântico suficientemente poderoso poderia usar o algoritmo de Shor para derivar a chave privada correspondente.

O verdadeiro gargalo de segurança não é a criptografia. É a exposição de chaves públicas.

Onde reside o risco real: as chaves públicas visíveis

Dependendo do formato de endereço que você usa, a chave pública pode ficar exposta em diferentes momentos:

• Endereços com hash (P2PKH, P2WPKH): A chave pública fica oculta por trás de um hash até que você gaste os fundos. Janela de exposição pequena.
• Pay-to-pubkey e Taproot (P2TR): Incluem a chave pública diretamente no script. Janela de exposição maior, especialmente se você reutilizar endereços.
• Reutilização de endereços: Converte uma exposição temporária em um alvo persistente para um hipotético atacante quântico.

O Project Eleven, um projeto de código aberto especializado em mapear essa vulnerabilidade, estima que aproximadamente 6,7 milhões de BTC atendem aos critérios de exposição quântica. Isso representa UTXOs onde as chaves públicas já são visíveis na blockchain.

Calcular o custo quântico: de qubits lógicos a qubits físicos

Para que um computador quântico realmente quebre o sistema, ele precisa de:

2.330 qubits lógicos como limite superior para calcular um logaritmo discreto de curva elíptica de 256 bits (segundo Roetteler et al.).

Mas transformar isso em uma máquina real tolerante a falhas requer correção de erros massiva:

• Cenário de 10 minutos: ~6,9 milhões de qubits físicos (Litinski, 2023)
• Cenário de 1 dia: ~13 milhões de qubits físicos
• Cenário de 1 hora: ~317 milhões de qubits físicos

Essas cifras não são teóricas. São estimativas baseadas em arquiteturas quânticas realistas. A IBM, em sua recente folha de rota corporativa, fala de alcançar um sistema tolerante a falhas por volta de 2029. A Reuters cobriu declarações sobre avanços na correção de erros quânticos.

O risco é mensurável hoje, embora não seja iminente

Aqui está o crucial: embora os computadores quânticos capazes de executar Shor ainda não existam hoje, o Project Eleven executa uma varredura automatizada semanal para rastrear quais UTXOs são vulneráveis. Os dados são públicos e acessíveis.

Isso significa que o risco não é especulativo. Você pode quantificá-lo agora:

• Qual porcentagem do fornecimento possui chaves expostas
• Quais são esses endereços específicos
• Quando foi a última vez que esses fundos foram movimentados

O Taproot (BIP 341) mudou o padrão de exposição incluindo uma chave pública ajustada de 32 bytes diretamente no output. Não cria uma vulnerabilidade nova hoje, mas estabelece o que ficaria exposto se a recuperação de chaves se tornar factível.

Da exposição teórica à migração prática

O caminho à frente não é uma batalha tecnológica repentina. É uma questão de migração de assinaturas e comportamento dos usuários.

O NIST já padronizou primitivas pós-quânticas (ML-KEM, FIPS 203) para infraestruturas mais amplas. Dentro do Bitcoin, o BIP 360 propõe um tipo de saída “Pay to Quantum Resistant Hash”. Também há pressão para descontinuar assinaturas herdadas e forçar incentivos à migração para formatos resistentes.

As alavancas práticas são:

• Design de carteira (evitar reutilização de endereços)
• Largura de banda e taxas (as assinaturas pós-quânticas pesam kilobytes)
• Coordenação comunitária para adotar novas rotas de gasto

A conclusão que importa

“A computação quântica quebra a criptografia do Bitcoin” é uma frase que falha tanto em terminologia quanto em mecânica. O que os desenvolvedores precisam monitorar é: quanta parte do UTXO possui chaves públicas expostas, como as carteiras respondem a essa exposição, e com que rapidez a rede pode adotar rotas de gasto resistentes, mantendo as restrições de validação e mercado de taxas.

Não é uma ameaça imediata. É um desafio de infraestrutura com uma linha do tempo compreensível e alavancas que podemos calcular hoje.