O que é o Dia Q? A ameaça quântica ao Bitcoin explicada

Os computadores quânticos não conseguem quebrar a criptografia do Bitcoin hoje, mas novos avanços do Google e da IBM sugerem que a lacuna está diminuindo mais rápido do que o esperado. Seu progresso em direção a sistemas quânticos tolerantes a falhas aumenta os riscos para o “Dia Q”, o momento em que uma máquina suficientemente poderosa poderia quebrar endereços Bitcoin mais antigos e expor mais de US$ 711 bilhões em carteiras vulneráveis.

A atualização do Bitcoin para um estado pós-quântico levará anos, o que significa que o trabalho terá que começar muito antes da chegada da ameaça. O desafio, dizem os especialistas, é que ninguém sabe quando isso acontecerá, e a comunidade tem lutado para chegar a um acordo sobre a melhor forma de avançar com um plano.

Essa incerteza levou a um temor persistente de que um computador quântico que possa atacar o Bitcoin possa ficar online antes que a rede esteja pronta.

Neste artigo, veremos a ameaça quântica ao Bitcoin e o que precisa mudar para preparar o blockchain número um.

Como funcionaria um ataque quântico

Um ataque bem-sucedido não pareceria dramático. Um ladrão habilitado para quantum começaria escaneando o blockchain em busca de qualquer endereço que já tenha revelado uma chave pública. Carteiras antigas, endereços reutilizados, resultados iniciais de mineradores e muitas contas inativas se enquadram nessa categoria.

O invasor copia uma chave pública e a executa em um computador quântico usando o algoritmo de Shor. Desenvolvido em 1994 pelo matemático Peter Shor, o algoritmo dá a uma máquina quântica a capacidade de fatorar grandes números e resolver o problema do logaritmo discreto com muito mais eficiência do que qualquer computador clássico. As assinaturas da curva elíptica do Bitcoin dependem da dificuldade desses problemas. Com qubits corrigidos de erros suficientes, um computador quântico poderia usar o método de Shor para calcular a chave privada vinculada à chave pública exposta.

Como disse Justin Thaler, parceiro de pesquisa da Andreessen Horowitz e professor associado da Universidade de Georgetown Descriptografarassim que a chave privada for recuperada, o invasor poderá mover as moedas.

“O que um computador quântico poderia fazer, e isso é relevante para o Bitcoin, é forjar as assinaturas digitais que o Bitcoin usa hoje”, disse Thaler. “Alguém com um computador quântico poderia autorizar uma transação retirando todos os Bitcoins de suas contas, ou como você quiser, quando você não autorizou. Essa é a preocupação.”

A assinatura forjada pareceria real para a rede Bitcoin. Os nós aceitariam, os mineradores o incluiriam em um bloco e nada na cadeia marcaria a transação como suspeita. Se um invasor atingir um grande grupo de endereços expostos de uma só vez, bilhões de dólares poderão ser movimentados em minutos. Os mercados começariam a reagir antes que alguém confirmasse que um ataque quântico estava a acontecer.

Onde estará a computação quântica em 2025

Em 2025, a computação quântica finalmente começou a parecer menos teórica e mais prática.

• Janeiro de 2025: O chip Willow de 105 qubit do Google mostrou uma redução acentuada de erros e uma referência além dos supercomputadores clássicos.
• Fevereiro de 2025: A Microsoft lançou sua plataforma Majorana 1 e relatou um emaranhado recorde de qubits lógicos com a Atom Computing.
• Abril de 2025: O NIST estendeu a coerência do qubit supercondutor para 0,6 milissegundos.
• Junho de 2025: A IBM estabeleceu metas de 200 qubits lógicos até 2029 e mais de 1.000 no início de 2030.
• Outubro de 2025: IBM emaranhado 120 qubits; O Google confirmou uma aceleração quântica verificada.
• Novembro de 2025: A IBM anunciou novos chips e software visando vantagens quânticas em 2026 e sistemas tolerantes a falhas até 2029.

Por que o Bitcoin se tornou vulnerável

As assinaturas do Bitcoin usam criptografia de curva elíptica. Gastar a partir de um endereço revela a chave pública por trás dele e essa exposição é permanente. No formato inicial de pagamento para chave pública do Bitcoin, muitos endereços publicaram suas chaves públicas na rede antes mesmo do primeiro gasto. Os formatos posteriores de hash de chave pública paga mantiveram a chave oculta até o primeiro uso.

Como suas chaves públicas nunca foram ocultadas, essas moedas mais antigas, incluindo cerca de 1 milhão de Bitcoins da era Satoshi, estão expostas a futuros ataques quânticos. Mudar para assinaturas digitais pós-quânticas, disse Thaler, exige envolvimento ativo.

“Para que Satoshi protegesse suas moedas, eles teriam que movê-las para novas carteiras pós-quânticas seguras”, disse ele. “A maior preocupação são as moedas abandonadas, no valor de cerca de 180 mil milhões de dólares, incluindo cerca de 100 mil milhões de dólares que se acredita serem de Satoshi. São somas enormes, mas estão abandonadas, e esse é o risco real.”

Aumentando o risco estão as moedas vinculadas a chaves privadas perdidas. Muitos permaneceram intocados por mais de uma década e, sem essas chaves, nunca poderão ser movidos para carteiras resistentes a quânticas, tornando-os alvos viáveis ​​para um futuro computador quântico.

Ninguém pode congelar o Bitcoin diretamente na rede. As defesas práticas contra futuras ameaças quânticas concentram-se na migração de fundos vulneráveis, na adoção de endereços pós-quânticos ou na gestão dos riscos existentes.

No entanto, Thaler observou que a criptografia pós-quântica e os esquemas de assinatura digital apresentam altos custos de desempenho, uma vez que são muito maiores e consomem mais recursos do que as atuais assinaturas leves de 64 bytes.

“As assinaturas digitais atuais têm cerca de 64 bytes. As versões pós-quânticas podem ser de 10 a 100 vezes maiores”, disse ele. “Em uma blockchain, esse aumento de tamanho é um problema muito maior porque cada nó deve armazenar essas assinaturas para sempre. Gerenciar esse custo, o tamanho literal dos dados, é muito mais difícil aqui do que em outros sistemas.”

Caminhos para proteção

Os desenvolvedores lançaram várias propostas de melhoria do Bitcoin para se preparar para futuros ataques quânticos. Eles seguem caminhos diferentes, desde proteções opcionais leves até migrações completas de rede.

• BIP-360 (P2QRH): Cria novos endereços “bc1r…” que combinam as assinaturas de curva elíptica atuais com esquemas pós-quânticos como ML-DSA ou SLH-DSA. Oferece segurança híbrida sem hard fork, mas assinaturas maiores significam taxas mais altas.
• Quantum-Safe Taproot: Adiciona uma ramificação pós-quântica oculta ao Taproot. Se os ataques quânticos se tornarem realistas, os mineradores poderão fazer um soft-fork para exigir o ramo pós-quântico, enquanto os usuários operam normalmente até então.
• Protocolo de migração de endereços resistentes a quânticos (QRAMP): um plano de migração obrigatório que move UTXOs vulneráveis ​​para endereços seguros quânticos, provavelmente por meio de um hard fork.
• Pay to Taproot Hash (P2TRH): Substitui chaves Taproot visíveis por versões com hash duplo, limitando a janela de exposição sem nova criptografia ou quebra de compatibilidade.
• Compressão de transações não interativas (NTC) via STARKs: usa provas de conhecimento zero para compactar grandes assinaturas pós-quânticas em uma única prova por bloco, reduzindo custos de armazenamento e taxas.
• Esquemas de Commit-Reveal: Confie em compromissos com hash publicados antes de qualquer ameaça quântica.
  • Os UTXOs auxiliares anexam pequenas saídas pós-quânticas para proteger os gastos.
  • As transações de “pílula venenosa” permitem que os usuários publiquem previamente caminhos de recuperação.
  • Variantes do estilo Fawkescoin permanecem inativas até que um computador quântico real seja demonstrado.

Juntas, essas propostas esboçam um caminho passo a passo para a segurança quântica: soluções rápidas e de baixo impacto, como o P2TRH agora, e atualizações mais pesadas, como BIP-360 ou compressão baseada em STARK, à medida que o risco aumenta. Todos eles precisariam de ampla coordenação, e muitos dos formatos de endereço pós-quânticos e esquemas de assinatura ainda estão em fase inicial de discussão.

Thaler observou que a descentralização do Bitcoin – sua maior força – também torna as grandes atualizações lentas e difíceis, uma vez que qualquer novo esquema de assinatura exigiria um amplo acordo entre mineradores, desenvolvedores e usuários.

“Duas questões principais se destacam para o Bitcoin. Primeiro, as atualizações demoram muito tempo, se é que acontecem. Em segundo lugar, há as moedas abandonadas. Qualquer migração para assinaturas pós-quânticas tem que estar ativa, e os proprietários dessas carteiras antigas desaparecem”, disse Thaler. “A comunidade deve decidir o que acontece com eles: ou concorda em retirá-los de circulação ou não fazer nada e deixar que invasores equipados com tecnologia quântica os levem. Esse segundo caminho seria legalmente cinzento, e aqueles que apreendem as moedas provavelmente não se importariam.”

A maioria dos detentores de Bitcoin não precisa fazer nada imediatamente. Alguns hábitos ajudam muito na redução do risco a longo prazo, incluindo evitar a reutilização de endereços para que a sua chave pública permaneça oculta até que você gaste e aderir a formatos de carteira modernos.

Os computadores quânticos de hoje não estão perto de quebrar o Bitcoin, e as previsões de quando eles irão variar enormemente. Alguns investigadores prevêem uma ameaça nos próximos cinco anos, outros empurram-na para a década de 2030, mas os investimentos contínuos poderão acelerar o cronograma.