A ameaça quântica real que o Bitcoin enfrenta não está na "decifração", mas na falsificação de assinaturas: por que podemos medir esse risco agora

Muitas pessoas discutem a ameaça dos computadores quânticos ao Bitcoin, repetindo a mesma frase — “os computadores quânticos vão decifrar a criptografia do Bitcoin”. Mas essa afirmação está fundamentalmente incorreta. Na verdade, o Bitcoin não possui dados criptografados que precisem ser “decifrados”.

Por que a criptografia do Bitcoin não é o verdadeiro problema

A proteção de propriedade do Bitcoin não é garantida por textos criptografados. Em vez disso, ela depende de assinaturas digitais (ECDSA e Schnorr) e compromissos hash para garantir a segurança. A blockchain é um livro-razão totalmente público — cada transação, cada valor, cada endereço pode ser visto por qualquer pessoa. Nada está escondido.

Em outras palavras, um computador quântico não pode decifrar o Bitcoin, porque na blockchain não há segredos criptografados. Adam Back, um dos desenvolvedores iniciais do Bitcoin e inventor do Hashcash, afirmou de forma direta na plataforma X: “Bitcoin não usa criptografia. Estude o básico, caso contrário, isso revelará sua ignorância.”

Qual é o verdadeiro risco? Se um computador quântico relacionado à criptografia puder executar o algoritmo de Shor, ele poderá derivar a chave privada a partir da chave pública na blockchain, criando assinaturas válidas para transações conflitantes. Isso não é “decifrar criptografia”, mas sim roubar o controle de validação.

Exposição da chave pública: o verdadeiro gargalo de segurança do Bitcoin

O sistema de assinaturas do Bitcoin exige que os usuários provem controle sobre a chave por meio da criação de uma assinatura — essa é a razão pela qual as transações são válidas. Portanto, quando e como a chave pública é exposta torna-se o núcleo da ameaça quântica.

Muitos formatos de endereço usam o hash da chave pública, o que significa que a chave pública só é revelada no momento da transação. Essa janela de tempo estreita limita a oportunidade de um atacante calcular a chave privada e criar transações conflitantes.

Por outro lado, nem todos os formatos de saída funcionam assim. Alguns tipos de script expõem a chave pública mais cedo, e o uso repetido de endereços transforma uma exposição única em um alvo contínuo.

A ferramenta de código aberto “Bitcoin Risq List” do Project Eleven mapeou esses cenários, mostrando quais bitcoins podem estar expostos a atacantes com Shor. Segundo suas análises, aproximadamente 670 milhões de BTC em endereços estão dentro do padrão de risco.

Como o Taproot mudou as expectativas de exposição

O Taproot (endereços P2TR) mudou a forma padrão de exposição. Segundo o padrão BIP 341, a saída Taproot contém uma chave modificada de 32 bytes, em vez do hash da chave pública.

Hoje, isso não traz novas vulnerabilidades. Mas altera o que poderia ser exposto se a chave for recuperada. Isso é importante, pois a exposição é mensurável — podemos acompanhar potenciais pools de Bitcoin vulneráveis sem precisar adivinhar o cronograma da ameaça quântica.

O Project Eleven realiza varreduras automáticas semanais e publica sua “Bitcoin Risq List”, incluindo todos os endereços vulneráveis à ameaça quântica e seus saldos.

Quanto poder de cálculo é necessário para a ameaça quântica?

Do ponto de vista computacional, a distinção crucial está na lacuna entre qubits lógicos e qubits físicos.

Roetteler e colaboradores determinaram que calcular o logaritmo discreto na curva elíptica de 256 bits requer no máximo 2.330 qubits lógicos (a fórmula é 9n + 2⌈log₂(n)⌉ + 10, onde n=256).

No entanto, ao converter isso em máquinas quânticas capazes de realizar cálculos profundos com baixa taxa de erro, o custo em qubits físicos é o principal gargalo. Segundo uma estimativa de Litinski em 2023, calcular a chave privada de uma curva elíptica de 256 bits requer cerca de 50 milhões de portas Toffoli. Com uma abordagem modular, isso poderia ser feito em cerca de 10 minutos usando aproximadamente 6,9 milhões de qubits físicos.

A análise do Schneier on Security estima que seriam necessários cerca de 13 milhões de qubits físicos para quebrar em um dia, ou aproximadamente 317 milhões de qubits físicos em uma hora, dependendo das suposições de tempo e taxa de erro.

Por que o fator tempo é tão importante

O tempo de execução determina a viabilidade do ataque. Se um computador quântico precisar de 10 minutos para recuperar a chave privada a partir da pública, e o tempo médio de um bloco do Bitcoin for 10 minutos, o atacante pode competir pelo controle da saída exposta. Ele não precisa reescrever a história do consenso.

Há também a questão do hash, frequentemente mencionada nesse contexto. Mas a alavancagem quântica aqui é o algoritmo Grover, que oferece uma aceleração quadrática na busca exaustiva, e não o algoritmo de Shor para logaritmos discretos. Estudos do NIST sobre o custo de ataques com Grover indicam que o esforço e a correção de erros elevam o custo do sistema a operações na ordem de 2^128. Isso é insignificante em comparação com a quebra do logaritmo discreto ECC.

Por que a adaptação implica desafios de transição, não uma ameaça imediata

Fora do Bitcoin, o NIST já padronizou criptografia pós-quântica, como o ML-KEM (FIPS 203), como parte de um plano de transição mais amplo. Dentro do Bitcoin, o BIP 360 propõe um novo tipo de saída chamado “Pay to Quantum Resistant Hash”. Ao mesmo tempo, o qbip.org defende a descontinuação de assinaturas antigas para facilitar a transição e eliminar a necessidade de manter chaves públicas de longo prazo.

Recentemente, roteiros empresariais oferecem contexto, explicando por que isso é um desafio de infraestrutura, não uma emergência. A Reuters reportou que a IBM discute avanços nos componentes de correção de erros e confirma que o caminho para sistemas tolerantes a falhas deve estar disponível por volta de 2029.

Assim, a ideia de que “computadores quânticos vão decifrar o Bitcoin” é tanto uma má interpretação terminológica quanto uma avaliação incorreta do mecanismo.

O verdadeiro indicador mensurável é: quantas partes do conjunto UTXO têm suas chaves públicas expostas, como as carteiras respondem a essa exposição, e quão rápido a rede pode implementar métodos resistentes a ataques quânticos, mantendo a validação e os custos sob controle.

Quando se trata do futuro do Bitcoin frente aos computadores quânticos, a conversa deve focar na adaptação, não na crise.