Um whitepaper de coautoria com a Fundação Ethereum e pesquisadores de Stanford reduz as estimativas de qubit em 20 vezes e alerta que bilhões em ativos criptográficos estão expostos a múltiplos vetores de ataque.
Um whitepaper publicado em 30 de março pelo Google Quantum AI comprimiu drasticamente o cronograma estimado para que os computadores quânticos quebrem a criptografia de curva elíptica que protege praticamente todos os principais blockchains – e a indústria de criptografia está se esforçando para avaliar as consequências.
O artigo foi coautor dos pesquisadores do Google Ryan Babbush e Hartmut Neven, juntamente com o pesquisador da Fundação Ethereum, Justin Drake, e o criptógrafo de Stanford, Dan Boneh. Ele conclui que quebrar o problema do logaritmo discreto da curva elíptica de 256 bits que sustenta as assinaturas de transações Bitcoin e Ethereum exigiria menos de 500.000 qubits físicos, uma redução de aproximadamente 20 vezes em relação às estimativas anteriores que colocavam o limite na casa dos milhões.
“Queremos aumentar a conscientização sobre esta questão e estamos fornecendo à comunidade de criptomoedas recomendações para melhorar a segurança e a estabilidade antes que isso seja possível”, escreveram os pesquisadores do Google em uma postagem de blog que acompanha.
Três classes de ataque
O whitepaper distingue entre três classes de ataques quânticos a blockchains, cada uma visando diferentes pontos de vulnerabilidade no ciclo de vida da transação.
Primeiro, os ataques “on-spend” visam transações em andamento. Quando um usuário transmite uma transação Bitcoin, a chave pública fica visível no mempool. Em uma arquitetura quântica de clock rápido usando qubits supercondutores ou fotônicos, o artigo estima que a obtenção da chave privada correspondente pode levar cerca de nove minutos. O tempo médio de confirmação de bloqueio do Bitcoin é de 10 minutos, dando ao invasor uma janela estreita, mas viável, para assinar uma transação de substituição fraudulenta e executar a original.
Em segundo lugar, os ataques “em repouso” têm como alvo carteiras inativas onde as chaves públicas já estão permanentemente expostas na cadeia. As primeiras saídas do Bitcoin usaram scripts Pay-to-Public-Key que incorporavam chaves públicas diretamente, e a reutilização de endereços agravou a exposição. O artigo estima que aproximadamente 6,9 milhões de BTC estão atualmente vulneráveis a esse tipo de ataque, incluindo cerca de 1,7 milhão de moedas da era Satoshi. Ao contrário dos ataques on-spend, não há restrição de tempo – qualquer máquina quântica poderia trabalhar através da criptografia em seu próprio ritmo.
“A aceleração da mineração via quantum é principalmente um espetáculo secundário. O roubo de chave privada é o verdadeiro vetor existencial”, disse Cais Manai, CPO e cofundador do TEN Protocol, ao The Defiant em fevereiro.
Finalmente, os ataques “on-setup” aplicam-se especificamente a cerimônias criptográficas que sustentam sistemas como a Amostragem de Disponibilidade de Dados da Ethereum. O esquema de compromisso polinomial KZG usado na verificação de dados de blob do Ethereum depende de uma configuração confiável única que gera um escalar secreto, que deve ser destruído posteriormente. Um computador quântico poderia recuperar esse segredo a partir de parâmetros disponíveis publicamente, criando o que o artigo chama de exploração permanente e reutilizável, capaz de forjar provas de disponibilidade de dados sem necessidade de computação quântica adicional.
Exposição do Ethereum
O whitepaper identifica pelo menos cinco classes de ataque distintas apenas para Ethereum.
Além do risco no nível da carteira – o documento sinaliza cerca de 20,5 milhões de ETH mantidos em contas com chaves públicas expostas – as chaves de administração que regem a autoridade de cunhagem de stablecoins dependem das mesmas assinaturas vulneráveis. O artigo estima que aproximadamente US$ 200 bilhões em stablecoins e ativos tokenizados no Ethereum dependem dessas chaves de administração.
A camada de consenso de prova de participação do Ethereum enfrenta sua própria exposição. Aproximadamente 37 milhões de ETH apostados são autenticados por meio de assinaturas digitais que o jornal considera vulneráveis quânticas. O documento alerta que se for explorada a concentração de apostas em grandes grupos, o limiar para perturbar o consenso diminui significativamente.
As redes da camada 2 apresentam riscos adicionais. O artigo estima que pelo menos 15 milhões de ETH em grandes rollups e pontes entre cadeias estão expostos. Os autores observam que a StarkNet, que usa criptografia baseada em hash em vez de criptografia de curva elíptica, se destaca como segura quântica.
“A comunidade enfrentará em breve decisões difíceis e sem precedentes relativamente ao destino destes activos, forçando compromissos entre a imutabilidade dos direitos de propriedade criptográfica e a estabilidade económica da rede”, alerta o jornal.
Divulgação via Prova de Conhecimento Zero
No que os autores do artigo consideram a primeira vez na criptoanálise quântica, o Google não publicou os circuitos quânticos reais usados para atingir suas estimativas de recursos otimizadas. Em vez disso, a equipe executou seu simulador de circuito por meio da Máquina Virtual SP1 Zero-Knowledge e publicou uma prova Groth16 zkSNARK, permitindo que terceiros verificassem as alegadas reduções de recursos sem obter acesso às técnicas específicas necessárias para executar um ataque.
“Para partilhar esta investigação de forma responsável, envolvemos o governo dos EUA e desenvolvemos um novo método para descrever estas vulnerabilidades através de uma prova de conhecimento zero, para que possam ser verificadas sem fornecer um roteiro para maus atores”, escreveram os investigadores.
O artigo foi publicado uma semana depois que a Fundação Ethereum lançou um centro de recursos públicos consolidando oito anos de pesquisa pós-quântica em um roteiro de migração em fases. O plano da EF visa atualizações do protocolo principal da Camada 1 até 2029 por meio de quatro hard forks sequenciais, começando por equipar os validadores com chaves de backup resistentes a quantum e substituindo progressivamente o atual esquema de assinatura BLS por alternativas baseadas em hash.
O BIP-360 do Bitcoin, que propõe um tipo de saída Pay-to-Merkle-Root resistente a quantum para substituir os gastos vulneráveis do caminho-chave do Taproot, foi incorporado ao repositório oficial do BIP em fevereiro. Mas a proposta não introduz assinaturas pós-quânticas – apenas remove uma categoria de exposição de chave pública. Uma migração criptográfica completa exigiria uma mudança de protocolo muito maior.
O próprio Google estabeleceu o prazo de 2029 para migrar seus próprios serviços de autenticação e assinatura digital para criptografia pós-quântica.
Dilema da moeda adormecida
Talvez a implicação mais politicamente carregada do documento envolva ativos que não podem ser migrados – moedas trancadas em carteiras cujas chaves privadas são perdidas, incluindo os estimados 1,1 milhão de BTC de Satoshi Nakamoto nas primeiras saídas P2PK. Essas moedas não podem ser movidas voluntariamente para endereços quânticos seguros.
O artigo apresenta uma estrutura de “salvamento digital”, fazendo uma analogia com a lei de salvamento marítimo, como um modelo de governança potencial para abordar a recuperação quântica destes ativos. As escolhas políticas que a indústria enfrenta são difíceis: seja fazer hard fork e queimar moedas não migradas, impor prazos de migração com períodos de retirada com taxas limitadas ou permitir que atores equipados com tecnologia quântica reivindiquem ativos inativos.
O que vem a seguir
O artigo não afirma que o hardware quântico atual possa executar esses ataques hoje – o processador mais avançado do Google, Willow, opera com apenas 105 qubits físicos, como observou o The Defiant quando o chip foi anunciado em dezembro de 2024.
Mas a trajetória da otimização é o argumento central: as estimativas de recursos para quebrar a criptografia da curva elíptica caíram aproximadamente em uma ordem de magnitude apenas por meio de melhorias algorítmicas, independentemente do dimensionamento do hardware.
Para Bitcoin e Ethereum – as duas redes que detêm a grande maioria da capitalização de mercado criptográfica – a questão já não é se devem migrar, mas se os processos de governação que definem estes protocolos podem avançar com rapidez suficiente.
“Este artigo refuta diretamente todos os argumentos que a indústria criptográfica usou para descartar a ameaça quântica”, disse Alex Pruden, CEO e cofundador do Project Eleven, uma empresa de migração pós-quântica, ao The Defiant por e-mail.
“A solução para proteger essas redes existe; a questão é se o resto da indústria e os principais desenvolvedores de protocolos começam a construir agora ou esperam e sofrem as consequências”, concluiu.
Este artigo foi escrito com a ajuda de fluxos de trabalho de IA. Todas as nossas histórias são selecionadas, editadas e verificadas por um ser humano.
Fontesthedefiant
