Um novo artigo de pesquisa sobre criptografia a16z argumenta que narrativas apocalípticas sobre computadores quânticos matando instantaneamente o Bitcoin estão muito desalinhadas com a realidade, e que o risco real para blockchains reside em migrações longas e confusas, em vez de um colapso repentino do “Dia Q”. O artigo já desencadeou uma refutação contundente sobre X por parte de investidores que dizem que a ameaça está mais próxima e mais forte do que o a16z sugere.
Bitcoin não está condenado pela computação quântica: a16z
No artigo “Computação quântica e blockchains: combinando urgência com ameaças reais”, Justin Thaler, parceiro de pesquisa da a16z e professor de ciência da computação em Georgetown, dá o tom desde o início, escrevendo que “os cronogramas para um computador quântico criptograficamente relevante são frequentemente exagerados – levando a pedidos de transições urgentes e em massa para a criptografia pós-quântica”. Ele argumenta que esse hype distorce as análises de custo-benefício e distrai as equipes de riscos mais imediatos, como bugs de implementação.
Thaler define um “computador quântico criptograficamente relevante” (CRQC) como uma máquina totalmente corrigida de erros, capaz de executar o algoritmo de Shor em uma escala onde pode quebrar RSA-2048 ou esquemas de curva elíptica como secp256k1 em aproximadamente um mês de tempo de execução. Na sua avaliação, um CRQC na década de 2020 é “altamente improvável” e os marcos públicos não justificam alegações de que tal sistema seja provável antes de 2030.
Ele enfatiza que em plataformas de íons aprisionados, supercondutores e de átomos neutros, nenhum dispositivo está próximo das centenas de milhares a milhões de qubits físicos, com as taxas de erro e profundidade de circuito exigidas, que seriam necessárias para a criptoanálise.
Em vez disso, a peça a16z traça uma linha nítida entre criptografia e assinaturas. Thaler argumenta que os ataques colheita-agora-descriptografar-mais tarde (HNDL) já tornam a criptografia pós-quântica urgente para dados que devem permanecer confidenciais por décadas, razão pela qual grandes provedores estão implementando o estabelecimento de chave pós-quântica híbrida em TLS e mensagens.
Mas ele insiste que as assinaturas, incluindo aquelas que protegem Bitcoin e Ethereum, enfrentam um cálculo diferente: elas não protegem dados ocultos que podem ser descriptografados retroativamente e, uma vez existente um CRQC, o invasor só poderá falsificar assinaturas daqui para frente.
Nesta base, o artigo afirma que “a maioria das cadeias não privadas” não estão expostas ao risco quântico do tipo HNDL ao nível do protocolo, porque os seus livros já são públicos; o ataque relevante é falsificar assinaturas para roubar fundos, e não descriptografar dados na rede.
Dores de cabeça específicas do Bitcoin
Thaler ainda sinaliza que o Bitcoin tem “dores de cabeça especiais” devido à governança lenta, rendimento limitado e grandes conjuntos de moedas expostas e potencialmente abandonadas, cujas chaves públicas já estão na cadeia, mas ele enquadra a janela de tempo para um ataque sério em termos de pelo menos uma década, não alguns anos.
“O Bitcoin muda lentamente. Quaisquer questões controversas podem desencadear um hard fork prejudicial se a comunidade não conseguir chegar a um acordo sobre a solução apropriada”, escreve Thaler, acrescentando “outra preocupação é que a mudança do Bitcoin para assinaturas pós-quânticas não pode ser uma migração passiva: os proprietários devem migrar ativamente suas moedas”.
Além disso, Thalen sinaliza um “problema final específico do Bitcoin”, que é o seu baixo rendimento de transações. “Mesmo depois que os planos de migração forem finalizados, a migração de todos os fundos vulneráveis quânticos para endereços seguros pós-quânticos levaria meses na taxa de transação atual do Bitcoin”, diz Thaler.
Ele é igualmente cético em relação à pressa em esquemas de assinatura pós-quântica na camada base. Assinaturas baseadas em hash são conservadoras, mas extremamente grandes, muitas vezes vários kilobytes, enquanto esquemas baseados em treliça, como ML-DSA e Falcon do NIST, são compactos, mas complexos e já produziram vários canais laterais e vulnerabilidades de injeção de falhas em implementações do mundo real. Thaler alerta que os blockchains correm o risco de enfraquecer sua segurança se saltarem muito cedo para primitivos pós-quânticos imaturos sob pressão das manchetes.
Divisão da indústria quanto ao risco
A resistência mais contundente veio do cofundador da Castle Island Ventures, Nic Carter, e do CEO do Project 11, Alex Pruden. Carter resumiu sua visão sobre X dizendo que o trabalho do a16z “subestima descontroladamente a natureza da ameaça e superestima o tempo que temos para nos preparar”, apontando aos seguidores um longo tópico de Pruden.
Pruden começa enfatizando o respeito por Thaler e pela equipe a16z, mas acrescenta: “Discordo do argumento de que a computação quântica não é um problema urgente para blockchains. A ameaça está mais próxima, o progresso é mais rápido e a solução é mais difícil do que ele está enquadrando e do que a maioria das pessoas imagina”.
Ele argumenta que os resultados técnicos recentes, e não o marketing, deveriam ancorar a discussão. Citando sistemas de átomos neutros que agora suportam mais de 6.000 qubits físicos, Pruden aponta que “agora temos um sistema sem recozimento com mais de 6.000 qubits físicos na arquitetura de átomo neutro”, contradizendo diretamente qualquer implicação de que apenas arquiteturas de recozimento não escaláveis atingiram essa escala. Ele observa que trabalhos como o conjunto de pinças de 6.100 qubit da Caltech mostram que plataformas de átomos neutros grandes, coerentes e em temperatura ambiente já são uma realidade.
Sobre a correção de erros, Pruden escreve que “a correção de erros de código de superfície foi demonstrada experimentalmente no ano passado, passando-a de um problema de pesquisa para um problema de engenharia” e aponta para rápidos avanços em códigos de cores e códigos LDPC.
Ele destaca as estimativas atualizadas do Google “Tracking the Cost of Quantum Factoring”, que mostram que um computador quântico com cerca de um milhão de qubits físicos barulhentos funcionando por cerca de uma semana poderia, em princípio, quebrar o RSA-2048 – uma redução de vinte vezes em relação à estimativa do próprio Google de 2019 de vinte milhões de qubits.
“As estimativas de recursos para um CRQC executando o algoritmo de Shor caíram duas ordens de magnitude em seis meses”, observa ele, concluindo: “Dizer que esta trajetória de progresso pode potencialmente entregar um computador quântico antes de 2030 não é um exagero”.
Enquanto Thaler enfatiza o HNDL como um problema de criptografia, Pruden reformula os blockchains como alvos quânticos exclusivamente atraentes. Ele enfatiza que “as chaves públicas usadas em assinaturas digitais são tão fáceis de coletar quanto mensagens criptografadas”, mas em blockchains essas chaves estão diretamente ligadas ao valor visível. Ele ressalta que “essas chaves públicas são distribuídas e diretamente associadas ao valor (US$ 150 bilhões apenas para o BTC de Satoshi)” e que, uma vez que um adversário quântico pode falsificar assinaturas, “se você puder forjar uma assinatura, poderá roubar o ativo independentemente de quando a UTXO/conta original foi criada”.
Para Pruden, esta realidade económica significa que “os incentivos económicos apontam de forma simples e clara para as blockchains como sendo o primeiro caso de utilização quântica criptograficamente relevante”, mesmo que outros setores também enfrentem riscos de HNDL. Ele acrescenta que “a migração dos blockchains será muito mais lenta do que os sistemas centralizados. Um banco pode atualizar sua pilha. Os blockchains devem alcançar um consenso global, absorver compensações de desempenho das assinaturas PQ e coordenar milhões de usuários para migrar suas chaves”.
Invocando a mudança plurianual da Ethereum de prova de trabalho para prova de participação, ele escreve: “A coisa mais próxima foi a transição da ETH 1.0 para 2.0, que levou anos, e por mais complexa que fosse, uma migração PQ é muito mais difícil. Qualquer um que pense que isso é uma questão de trocar algumas linhas de código de assinatura simplesmente nunca enviou, implantou ou manteve uma blockchain de produção”.
Pruden concorda com Thaler que o pânico é perigoso, mas inverte a conclusão: “Concordo que a pressa é perigosa. Mas é exatamente por isso que o trabalho deve começar agora. O modo de falha mais provável é que a indústria espere muito tempo e, então, um marco importante do CQ desencadeie o pânico”. Ele encerra dizendo que discorda que “a computação quântica esteja progredindo lentamente”, que “as blockchains são menos vulneráveis do que os sistemas expostos ao risco de HNDL” ou que “a indústria tem anos de folga antes que uma ação seja necessária”, argumentando que “todas as três suposições estão em desacordo com a realidade”.
Até o momento, o Bitcoin estava em US$ 91.616.
Imagem em destaque criada com DALL.E, gráfico de TradingView.com
Processo Editorial for bitcoinist está centrado na entrega de conteúdo exaustivamente pesquisado, preciso e imparcial. Mantemos padrões rígidos de fornecimento e cada página passa por uma revisão diligente por nossa equipe de especialistas em tecnologia e editores experientes. Este processo garante a integridade, relevância e valor de nosso conteúdo para nossos leitores.
Fontebitcoinist
