Desenvolvedores de Bitcoin iniciam o caminho da segurança quântica com BIP-360

A discussão sobre segurança quântica do Bitcoin acaba de ganhar um novo artefato concreto no pipeline de código e especificações: um rascunho atualizado do BIP-360 foi incorporado ao repositório oficial de Propostas de Melhoria do Bitcoin, propondo um tipo de saída adjacente ao Taproot projetado para limitar a exposição a futuros ataques de recuperação de chave quântica.

A mudança importa menos porque “resolve” o risco quântico hoje, e mais porque formaliza um caminho específico e opcional que preserva a funcionalidade da árvore de scripts do Taproot, ao mesmo tempo que remove a rota de gastos considerada mais problemática num modelo de ameaça quântica.

Desenvolvedores de Bitcoin fazem o primeiro movimento formal de resistência quântica

Anduro, uma plataforma focada em pesquisa incubada pela Marathon Digital (MARA), disse no X que a atualização mesclada “introduz Pay-to-Merkle-Root (P2MR), um novo tipo de saída proposto que omite o gasto de caminho-chave vulnerável quântico do Taproot, preservando a compatibilidade com Tapscript e árvores de script”.

Em termos de BIP, a proposta tem como escopo “Consenso (soft fork)” e define P2MR como uma nova saída SegWit v2 que se compromete diretamente com a raiz Merkle de uma árvore de script, em vez de uma chave pública ajustada como em Pay-to-Taproot (P2TR). A implicação prática é direta: as saídas P2MR só podem ser gastas por meio da lógica do caminho do script; o gasto do caminho-chave é totalmente removido.

O resumo do BIP enquadra o objetivo em termos de minimizar alterações e, ao mesmo tempo, fornecer um conjunto de opções para usuários que desejam proteção adicional:

“Este documento propõe um novo tipo de saída: Pay-to-Merkle-Root (P2MR), através de um soft fork. As saídas P2MR operam com quase a mesma funcionalidade que as saídas P2TR (Pay-to-Taproot), mas com o gasto do caminho principal removido.”
Ele acrescenta que a proteção pretendida é contra “ataques de longa exposição por computadores quânticos criptograficamente relevantes (CRQCs)”, bem como “futuras abordagens criptoanalíticas que possam comprometer a criptografia de curva elíptica (ECC) usada pelo Bitcoin”.

Um elemento-chave do BIP é a disciplina de definição: ele distingue ataques de “longa exposição” (onde as chaves públicas estão disponíveis na cadeia por longos períodos) de ataques de “curta exposição”, que teriam como alvo chaves públicas reveladas brevemente no mempool durante um gasto não confirmado.

O documento deixa explícito que o P2MR não é um escudo quântico completo. “Vale a pena notar que os resultados P2MR propostos são resistentes apenas a ‘ataques de longa exposição’ em criptografia de curva elíptica; isto é, ataques a chaves expostas por períodos de tempo maiores do que o necessário para confirmar uma transação de gastos”, afirma o BIP.

“A proteção contra ataques quânticos mais sofisticados, incluindo a proteção contra a recuperação de chaves privadas de chaves públicas expostas no mempool enquanto uma transação aguarda para ser confirmada (também conhecida como ‘ataques de exposição curta’), pode exigir a introdução de assinaturas pós-quânticas no Bitcoin.” Os autores acrescentam que “pretendem oferecer uma proposta separada para este propósito após pesquisas futuras”.

Essa divisão também é a razão pela qual a proposta enfatiza a compatibilidade do tapscript. Ele posiciona o P2MR como um tipo de saída de árvore de script que poderia, se o Bitcoin adotar opcodes de assinatura pós-quântica, fornecer uma pista de atualização mais limpa do que mecanismos de script mais antigos que não suportam o caminho de evolução do tapscript.

Anduro destacou que a mudança foi projetada como um soft fork e “não afeta os resultados existentes do Taproot”. P2MR seria um novo tipo de saída (com endereços bech32m começando com bc1z) em vez de um retrofit dos UTXOs bc1p Taproot existentes.

A proposta também não pretende que a troca seja gratuita. Ao remover os gastos do caminho-chave, o P2MR abre mão do caminho de testemunha mais compacto do Taproot (uma única assinatura Schnorr). O BIP estima que uma testemunha de gasto mínimo de P2MR é 37 bytes maior do que um gasto de caminho de chave Taproot, embora possa ser menor do que um gasto de caminho de script Taproot equivalente porque o bloco de controle do P2MR omite uma chave pública interna.

A privacidade também muda. Como cada gasto é um caminho de script, os usuários do P2MR necessariamente revelam que estão gastando em uma árvore de script – algo que os gastos do caminho-chave do Taproot podem evitar a sinalização.

Anduro disse que a atualização também “aborda as críticas sobre os desenvolvedores de Bitcoin não levarem a sério a ameaça quântica” e observou a adição de Isabel Foxen Duke como coautora para tornar o BIP mais claro “para o público em geral, não apenas para a comunidade de desenvolvedores de Bitcoin”.

O BIP-360 permanece no status “Rascunho”. Mas a sua fusão no repositório canónico ainda é um marcador de processo significativo: move a conversa sobre segurança quântica da preocupação abstrata e das hipóteses das listas de discussão para uma proposta de mudança de consenso específica que carteiras, bibliotecas e revisores podem agora analisar linha a linha.

Se o debate tiver uma próxima fase, é provável que se concentre em se as opções “preparadas e não assustadas” como o P2MR são bases suficientes ou se o Bitcoin eventualmente precisará lidar diretamente com as assinaturas pós-quânticas e as realidades operacionais da migração de valor em escala.

Até o momento, o BTC era negociado a US$ 66.558.

Imagem em destaque criada com DALL.E, gráfico de TradingView.com