O Google diz que um computador quântico em 9 minutos consegue quebrar o Bitcoin; como é que esses números foram calculados? Onde está, de facto, a verdadeira ameaça?

A internet tem estado a viralizar “um estudo do Google mostra que um computador quântico só precisa de 9 minutos para quebrar a chave privada do Bitcoin”, mas esse número simplesmente não existe em quaisquer fontes académicas ou oficiais fiáveis. O Decrypt Data (動區) apurou que “9 minutos” é muito provavelmente uma narrativa alarmista montada a partir da junção de um teste de referência do Google Willow (“5 minutos” no RCS) com o tempo de criação de blocos de 10 minutos do Bitcoin — e que, para quebrar o ECDSA do Bitcoin, são necessários 1,9 mil milhões de qubits, cerca de 18 milhões de vezes a mais do que os 105 qubits do Willow.
（Resumo anterior: o Google planeia concluir a migração para a criptografia pós-quantum até 2029, seis anos antes da meta do governo; a indústria de encriptação tem de acompanhar）
（Nota de contexto: especialista em física: “dê mais cinco anos a um computador quântico e ele vai conseguir quebrar a chave privada do Bitcoin; para atualizar o BTC, é preciso desligar tudo?”）

Nos últimos dias, uma mensagem intitulada “estudo do Google” tem sido largamente retransmitida em comunidades chinesas — a sua origem pode ser rastreada até um tweet publicado no X pelo meio de comunicação cripto Cointelegraph, que afirma que um computador quântico conseguiria quebrar uma carteira do Bitcoin em apenas 9 minutos, ainda mais rápido do que o tempo de criação de blocos. O tweet apenas inclui imagens e não cita quaisquer artigos de investigação nem relatórios oficiais.

O Decrypt Data (動區) realizou 6 rondas de verificação cruzada: não se encontra nada a mencionar “9 minutos para quebrar o Bitcoin” no blogue oficial do Google, na base de dados de artigos académicos arxiv, em revistas como Nature e Science, nem em todos os principais meios de comunicação cripto.

Diz-se primeiro a conclusão: trata-se de uma peça de informação falsa montada; o número “9 minutos” foi usado e “composto” de formas possivelmente aproximadas.

A decomposição “composta” de “9 minutos”: dois acontecimentos reais misturados

Para compreender a lógica de geração desta informação falsa, é necessário primeiro reconhecer dois acontecimentos reais.

Acontecimento 1: O “5 minutos” do Google Willow

Em dezembro de 2024, o Google divulgou o chip quântico Willow, afirmando que, no teste de referência de “Sampling de Circuitos Aleatórios (RCS)”, o Willow só precisaria de 5 minutos para concluir um cálculo que levaria 10²⁵ anos num supercomputador tradicional. Este é um avanço real e espantoso — mas com uma limitação essencial: o RCS é um algoritmo específico de demonstração de superioridade quântica, não tem qualquer relação com quebrar criptografia.

Para dar um exemplo: o teu computador consegue calcular 253×847 em 0,1 segundos, mas isso não significa que consiga criar uma sinfonia em 0,1 segundos. A capacidade do RCS não se converte diretamente na capacidade de quebrar o ECDSA (algoritmo de assinatura digital com curvas elípticas usado pelo Bitcoin); são problemas de tipos totalmente diferentes.

Acontecimento 2: O “10 minutos” do mempool do Bitcoin

Em média, o Bitcoin cria um bloco a cada 10 minutos. Os investigadores realmente discutiram um cenário de ataque teórico: se um computador quântico for suficientemente poderoso, poderia quebrar instantaneamente a chave privada numa janela de aproximadamente 10 minutos depois de as transações serem difundidas, mas antes de serem incluídas num bloco. Isto é conhecido como “ataque de curto alcance” ou “ataque ao mempool”.

Lógica de composição: quem fabricou a informação falsa pode ter calculado assim: 10 minutos (tempo de criação do bloco) − 1 minuto (margem de segurança) = 9 minutos (o “tempo de quebra” inventado); depois, somou-se o tom de “urgência para migrar imediatamente” vindo do plano de migração para criptografia pós-quantum após 2029 do Google — mas foi deliberadamente mal interpretado como “há uma ameaça imediata agora”.

Três elementos reais, uma conclusão falsa.

O que o Google disse de facto (28 de março de 2026)

A 28 de março de 2026, o Google anunciou que concluiria a migração para criptografia pós-quantum (PQC) antes de 2029, seis anos antes da meta de 2035 do governo federal dos EUA. O Android 17 já começou a incorporar os algoritmos de ML-DSA.

Um porta-voz do Google afirmou claramente: é preciso, pelo menos, mais 10 anos para quebrar o RSA-2048 com computadores quânticos.

Isto está em contraste com a afirmação de “quebrar em 9 minutos” — a diferença é de uma geração inteira.

Os números não mentem: por que razão o Bitcoin é seguro agora

De quantos qubits é que é preciso para quebrar o Bitcoin? Vamos falar com números:

Quebra offline de ECDSA num período de 1 dia: requer 13 milhões de qubits físicos. O Willow do Google tem 105.

Quebra imediata dentro de uma janela do mempool de 10 minutos: requer 1,9 mil milhões de qubits físicos. É mais de 18 milhões de vezes o Willow.

Requisitos de qubits lógicos: 2.330 a 2.619 qubits lógicos, e cada qubit lógico exige milhares de qubits físicos para correção de erros. Os 105 qubits físicos do Willow, ao serem convertidos em qubits lógicos, ficam aquém até de um dígito.

Quão grande é a diferença? Mesmo exigindo a opção mais permissiva de “quebrar offline em 1 dia”, são necessários 13 milhões de qubits — cerca de 124.000 vezes os 105 qubits atuais do Willow. Paolo Ardoino, CEO da Tether, resume de forma direta:

A distância entre a computação quântica e a quebra da encriptação do Bitcoin ainda é muito grande.

A verdadeira ameaça para o Bitcoin está aqui

Desmistificar não significa que a ameaça quântica não exista. O problema é que a forma da ameaça é completamente diferente da descrita na informação falsa.

Risco real de curto prazo: Harvest Now, Decrypt Later (Colher agora, descodificar mais tarde)

Os atacantes não conseguem quebrar o Bitcoin neste momento, mas podem recolher agora dados encriptados e descodificá-los quando o computador quântico estiver maduro. Para o Bitcoin, isto significa que os dados da chave pública na cadeia já estão totalmente publicados e armazenados permanentemente; não é possível “recuperá-los”.

Atualmente, existem cerca de 6,8 milhões de BTC (avaliados em cerca de 47 mil milhões de dólares) em endereços vulneráveis a quânticos, sobretudo em dois cenários:

Primeiro, endereços no formato P2PK: um formato de output usado no início do Bitcoin, que expõe diretamente a chave pública. A maior parte dos cerca de 1 milhão de BTC minerados por Satoshi Nakamoto pertence a este formato.

Segundo, endereços P2PKH reutilizados: cada transação de gasto revela a chave pública. Se um endereço já tiver emitido transações, a sua chave pública já está na cadeia e, teoricamente, pode ser atacada por um computador quântico no futuro.

Em comparação, endereços que nunca emitiram transações (chave pública não exposta) têm maior segurança — um computador quântico não consegue inferir diretamente uma chave privada a partir do endereço do Bitcoin (valor hash da chave pública), porque isto envolve SHA-256; considera-se que mesmo com computadores quânticos seja difícil atacá-lo de forma eficaz.

Linha temporal: onde está o Q-Day?

Pierre-Luc Dallaire-Demers, físico da Universidade de Calgary no Canadá, já alertou que pode haver uma ameaça substancial dentro de cinco anos, mas isso é uma estimativa mais arrojada. A maioria dos especialistas coloca o “Q-Day” (o dia em que um computador quântico consegue quebrar criptografia existente) entre 2035 e 2040. O próprio Google também diz “pelo menos 10 anos”.

O que já está a ser feito na defesa: a comunidade Bitcoin não está à espera da morte

Perante ameaças previsíveis no futuro, a indústria de criptografia já tomou medidas concretas:

BIP 360 (Pay-to-Tapscript-Hash): publicado oficialmente no início de 2026; introduz tipos de outputs resistentes a ataques quânticos, fornecendo ao Bitcoin um caminho de atualização para criptografia pós-quantum. Isto não exige uma desativação total, mas exige que os utilizadores migrem ativamente os endereços.

Testnet Bitcoin Quantum: uma rede de testes dedicada criada pela BTQ Technologies, para verificar a viabilidade de formatos de transação resistentes a ataques quânticos.

Algoritmo ML-DSA de padrão NIST: o Instituto Nacional de Padrões e Tecnologia dos EUA concluiu a padronização da criptografia pós-quantum; o ML-DSA tornou-se um algoritmo recomendado oficialmente, e o Android 17 do Google já o incorporou.

Trezor Safe 7: o fabricante de carteiras de hardware Trezor lançou uma nova carteira com uma “arquitetura resistente a quânticos”, preparando-se antecipadamente.

A conclusão do estudo da CoinShares é um consenso na indústria: a ameaça quântica para o Bitcoin é um “risco gerível” — não é algo que vai matar amanhã, mas é algo para preparar desde agora.

Uma forma simples de distinguir a veracidade de uma mensagem

A forma como as notícias usam métodos para fabricar temas em extensão é, na verdade, típica: pegar em alguns números reais, mas que nem sempre têm relação científica, juntá-los; depois adicionar um sentimento de urgência de “ação imediata”. O método de verificação é simples: perguntar “qual é a fonte original?”. As conquistas quânticas do Google publicam-se na Nature, arxiv ou em blogues oficiais, com revisão por pares. Se “quebrar o Bitcoin em 9 minutos” fosse algo real, já estaria a ser manchete global, e não apenas a circular em capturas de ecrã numa comunidade chinesa.

Os computadores quânticos são uma ameaça real e de longo prazo, e devem ser levados a sério. Mas o pânico não é preparação, e números falsos não ajudam qualquer defesa prática. Os 105 qubits do Willow ainda estão muito longe do limiar dos 1,9 mil milhões — e há ainda várias dezenas de anos de distância a nível de engenharia.