Roteiro quântico após o Circle: Como trocar a fechadura com antecedência para "quebra quântica"?

Autor: KarenZ, Foresight News

Se um dia os computadores quânticos forem suficientemente poderosos, o primeiro desafio das blockchains provavelmente serão duas hipóteses de segurança mais fundamentais: ainda é possível provar "sou eu" com assinaturas, e os dados criptografados hoje poderão ser decifrados no futuro.

O mais recente artigo da Circle, intitulado 《Roteiro de Segurança Pós-Quântica da Circle》, discute exatamente essa questão. Sua conclusão central é direta: a criptografia de curvas elípticas amplamente utilizada na blockchain hoje, incluindo ECDSA, Ed25519, BLS, se encontrar computadores quânticos suficientemente fortes, se tornará inválida. Ainda mais problemático, na cadeia EVM, ao transmitir uma transação pela primeira vez, normalmente se revela a chave pública; em blockchains como Bitcoin, endereços que já gastaram, reutilizaram ou expuseram a chave pública em scripts também entram em uma zona de risco semelhante.

A composição dos autores também indica que não se trata de um artigo comum de divulgação científica. Entre eles estão Mira Belenkiy, engenheira-chefe de software da Circle; Duc V. Le, engenheiro de pesquisa da Circle; Gordon Liao, economista-chefe da Circle; Vipin Singh Sehrawat, engenheiro-chefe de segurança de produto da Circle; Dragos Rotaru, engenheiro de pesquisa; além do cofundador da Interop Labs, inicialmente responsável pelo desenvolvimento da rede Axelar, atualmente parte da Circle, Sergey Gorbunov, e o renomado acadêmico de criptografia aplicada de Stanford, Dan Boneh.

O aspecto mais importante do artigo não é a narrativa alarmista de "computadores quânticos vão destruir criptomoedas", mas sim que ele divide o problema em uma questão de migração técnica realista. A Circle acredita que a transição pós-quântica não é uma simples atualização de botão, mas uma "longa mudança" envolvendo carteiras, contratos inteligentes, custódia, serviços em nuvem, validadores e regras regulatórias.

O artigo lista várias categorias de riscos que as blockchains enfrentam frente a ataques quânticos.

A primeira é a falsificação de contas. Assim que a chave pública do endereço for exposta, um atacante quântico no futuro poderá recuperar a chave privada e falsificar transações diretamente. Segundo o projeto Project Eleven, com base na métrica Bitcoin RisQ, milhões de endereços com saldo estão sob risco quântico, incluindo aproximadamente 14 milhões de endereços de Bitcoin.

A segunda é o risco de "coletar agora, decifrar depois": o atacante armazena os dados criptografados hoje e os decifra quando a computação quântica estiver madura.

A terceira é o risco na camada de consenso: se as chaves de assinatura dos validadores forem recuperadas, podem ocorrer assinaturas duplas, censura ou até reescrita de histórico. A quarta é o risco na camada de rede: comunicações P2P, RPC sobre TLS, que dependem de troca de chaves tradicional, também precisarão de atualização.

Roteiro de migração em três fases da Circle

A estratégia da Circle não é simplesmente trocar um algoritmo de assinatura por outro, mas dividir em três etapas: "preparar agora", "transição híbrida" e "troca final". Cada etapa tem diferentes prioridades de risco: dados de privacidade devem ser protegidos primeiro, contas e contratos inteligentes devem migrar gradualmente, enquanto consenso e infraestrutura só após a maturidade do ecossistema, hardware e padrões.

_ Tipos de ataque e fases de resposta no roteiro Arc, origem: artigo do roteiro de segurança pós-quântica da Circle_

A primeira fase é a "fase de preparação atual". O objetivo aqui não é eliminar imediatamente o ECDSA, mas deixar espaço para que desenvolvedores e usuários possam migrar. O Arc suportará na mainnet a verificação de assinaturas pós-quânticas SLH-DSA-SHA2-128s, permitindo que contas inteligentes validem assinaturas quânticas na cadeia. Em termos simples, o Arc instalará um sistema de controle de acesso capaz de reconhecer novas chaves, mas as assinaturas de transações nativas ainda usarão ECDSA por enquanto, pois assinaturas pós-quânticas tendem a ser maiores e mais lentas, afetando o throughput e a experiência do usuário.

Simultaneamente, o Arc suportará o uso de criptografia X-Wing HPKE para encriptar memos de transação, protegendo o conteúdo, o estado do contrato e vestígios de execução por ambientes de execução de privacidade. Essa priorização ocorre porque "hoje registrado, amanhã decifrado" é um risco irreversível: assinaturas podem ser atualizadas no futuro, mas dados já vazados não podem ser tornados privados novamente.

Na camada de contas, a Circle propõe várias ferramentas de transição. Como a abstração de contas via EIP-4337, que permite que contas inteligentes validem assinaturas pós-quânticas; o esquema hash-and-rotate, que armazena apenas o hash da chave pública na cadeia, minimizando o tempo de exposição da chave pública; e o registro de chaves públicas pós-quânticas, que permite aos usuários vincularem seus endereços às chaves públicas quânticas com antecedência. O objetivo comum dessas estratégias é permitir que os usuários se preparem para a migração sem esperar a completa reformulação do protocolo subjacente.

A segunda fase é a "transição híbrida". Essa é a fase mais prática e complexa. O contrato inteligente USDC suportará, por um período, assinaturas tradicionais e pós-quânticas simultaneamente, e, após a preparação do ecossistema, as assinaturas clássicas serão desativadas por mecanismos de reserva. A Circle também planeja migrar fundos de armazenamento frio para contratos multiassinatura, compatíveis com diferentes blockchains e algoritmos pós-quânticos, para acompanhar a evolução. Como o USDC está implantado em mais de 30 blockchains, o desafio não é apenas uma atualização de uma única cadeia, mas a fragmentação causada por diferentes escolhas de algoritmos e cronogramas.

O artigo destaca especialmente o problema do ecrecover. Muitos contratos EVM usam ecrecover para verificar assinaturas ECDSA, mas muitos desses contratos já não podem ser atualizados. Se simplesmente desativar ecrecover, muitas aplicações existentes serão prejudicadas; se continuar usando, permanecerá o risco de falsificação quântica. Uma solução promissora seria uma hard fork na camada de protocolo para modificar o comportamento do ecrecover, permitindo que ele suporte assinaturas pós-quânticas enquanto mantém a compatibilidade com ABI antigo. Essa abordagem é importante porque não serve apenas novos contratos, mas também tenta oferecer uma rota de migração para contratos antigos difíceis de modificar.

A fase de transição também inclui atualizações na infraestrutura subjacente. A Circle precisa revisar sua pilha criptográfica, avaliar se provedores de nuvem, HSMs, KMS, TEE, libp2p, TLS, entre outros, estão preparados para o pós-quântico, e rotacionar chaves na ordem correta. O artigo alerta que, se a chave A proteger a chave B, e a chave B proteger a C, deve-se rotacionar A primeiro, depois B, e por último C. Uma troca na ordem errada pode expor materiais criptografados anteriormente, mesmo com algoritmos pós-quânticos.

A terceira fase é a "troca definitiva". Quando o ecossistema, regulamentações, carteiras de hardware, provedores de nuvem e infraestrutura blockchain estiverem prontos, a Circle executará a mudança definitiva. Nessa etapa, o Arc e os contratos USDC podem rejeitar assinaturas ECDSA, e os validadores migrarão para esquemas pós-quânticos; se algumas cadeias que suportam USDC não atingirem segurança pós-quântica suficiente, a Circle pode até considerar pausar ou retirar suporte a certos contratos para evitar que ativos dos usuários fiquem vulneráveis a falsificações quânticas.

O que fazer com contas antigas é o maior desafio

Porém, a mudança final traz o problema mais difícil: o que fazer com os ativos de contas que não migraram? A postura da Circle é que congelar contas inseguras é uma medida contra roubos, e não uma confiscação automática de ativos. Em outras palavras, "parar o controle por assinatura antiga" e "negar os direitos econômicos do detentor" devem ser tratados separadamente. Assim, o artigo destaca a importância de estratégias de recuperação de contas, incluindo migração para Arc, recuperação via seed phrase e provas de conhecimento zero, uso de TEE, além de procedimentos legais, custódia, exchanges ou documentos de herança, em casos limitados.

Isso levanta uma questão política importante: a recuperação de contas. Com a chegada da era quântica, assinaturas tradicionais não poderão mais provar propriedade, e KYC pode não identificar a quem pertence um endereço anônimo. A Circle acredita que as autoridades regulatórias devem definir previamente: como notificar os usuários antes do prazo de migração, quais evidências são suficientes para comprovar propriedade, quanto tempo de inatividade leva à presunção de abandono, e como aplicar regras de herança, sanções, combate à lavagem de dinheiro e ordens judiciais. O artigo estima que a indústria terá um período de 5 a 10 anos para estabelecer essas regras.

Outro ponto de avaliação do artigo é que uma migração acelerada demais pode gerar riscos maiores. Por exemplo, empresas que usam HSMs para proteger chaves privadas podem, na pressa de adotar assinaturas pós-quânticas, exportar chaves para CPUs comuns, tornando-se mais vulneráveis a ataques tradicionais. A postura da Circle é que a transição pós-quântica deve ser preparada com antecedência, mas sem comprometer a segurança atual por uma sensação de "estar seguro".

De forma simples, a Circle não está dizendo que "computadores quânticos vão invadir a blockchain amanhã", mas que: a infraestrutura financeira não pode esperar até que as fechaduras sejam comprovadamente quebradas para trocar as fechaduras. Especialmente para USDC, que opera em mais de 30 blockchains, o verdadeiro desafio não é apenas escolher um novo algoritmo, mas fazer com que carteiras, contratos, custódia, validadores, provedores de nuvem, reguladores e usuários migrem juntos.

Embora ataques quânticos ainda não tenham se concretizado, os custos de migração já estão à vista.