Satoshi Nakamoto previu a defesa por hash do Bitcoin 16 anos antes dos temores com a computação quântica

Há dezesseis anos, Satoshi Nakamoto respondeu a um cético em um fórum em 2010, e a resposta ainda orienta como a rede protege o seu dinheiro hoje.

Principais destaques

  • Satoshi Nakamoto defendeu o SHA-256 em uma postagem no fórum Bitcointalk em 16 de julho de 2010.
  • A Google Quantum AI cortou sua estimativa de 2026 para quebrar a curva do Bitcoin para 500.000 qubits.
  • Desenvolvedores propuseram BIP-360 e outras ideias em 2026 para preparar endereços resistentes a ataques quânticos.

Uma postagem em fórum que definiu as regras

Em 16 de julho de 2010, um usuário chamado bdonlan questionou a dupla criptografia de hash SHA-256 do Bitcoin no fórum Bitcointalk. Ele perguntou se o design enfraquecia a segurança.

Satoshi respondeu diretamente. O criador do Bitcoin comparou o SHA-256 à mudança do processamento de 32 bits para 64 bits, e não a um pequeno salto no tamanho de bits. Computadores ficariam sem espaço de endereçamento de 32 bits em 4 gigabytes, disse ele, mas ninguém espera ficar sem espaço de 64 bits tão cedo. O SHA-256 funciona do mesmo jeito, e a matemática dá ao Bitcoin espaço de sobra.

Satoshi também deu à rede um plano de saída. Se o SHA-256 algum dia enfraquecesse, desenvolvedores poderiam fazer um soft fork para uma nova função de hash em uma altura de bloco definida. Hashes antigos e novos rodariam lado a lado até que todos os nós fossem atualizados.

A capitalização de mercado do Bitcoin cresceu desde então para além de um trilhão, e a rede liquida centenas de bilhões de dólares em valor diariamente. Cada dólar dessa atividade ainda depende da função de hash que Satoshi defendeu em uma única resposta em fórum há dezesseis anos.

Por que o Bitcoin usa dois hashes em vez de um

O código do Bitcoin faz hash duas vezes dos dados: SHA256(SHA256(data)), um método que os desenvolvedores chamam de SHA256d. Os criptógrafos Niels Ferguson e Bruce Schneier recomendaram essa abordagem para ataques de extensão de comprimento de bloco, uma falha na estrutura Merkle-Damgard que o SHA-2 usa.

Os mineradores fazem hash duas vezes dos cabeçalhos de blocos para atingir a meta de dificuldade da rede, e os nós fazem hash duas vezes das transações para montar as árvores de Merkle. As carteiras adicionam uma terceira camada, RIPEMD-160 sobre SHA-256, para reduzir chaves públicas em endereços.

Satoshi escolheu o SHA-256 por um motivo. O National Institute of Standards and Technology publicou o algoritmo em 2001 como parte da família SHA-2, oferecendo um grande salto de força em relação ao SHA-1, que já mostrava rachaduras quando o Bitcoin foi lançado em janeiro de 2009. O SHA-256 precisa de aproximadamente 2^128 operações para forçar uma colisão e de aproximadamente 2^256 para forçar uma pré-imagem.

Dezesseis anos depois, ninguém quebrou esse design. Nenhum pesquisador encontrou um ataque de colisão, pré-imagem ou segunda pré-imagem que funcione contra o SHA-256 completo. Versões com menos rodadas caíram para a criptoanálise, mas esses ataques param de escalar antes de chegar ao algoritmo real de 64 rodadas. A NIST e grupos independentes como ECRYPT-CSA continuam avaliando a função completa como segura.

O hardware de mineração conta a mesma história. Fabricantes de circuito integrado específico para aplicação (ASIC) construíram linhas inteiras de produtos em torno do SHA-256d, e a taxa de hash da rede agora roda na faixa de exahash. Satoshi previu que a Lei de Moore sozinha nunca ameaçaria a função, e os ajustes de dificuldade mantiveram os tempos de bloco perto de dez minutos apesar dos ganhos exponenciais no poder de mineração.

Computação quântica muda o debate

A força bruta clássica nunca preocupou Satoshi, e ainda não ameaça o Bitcoin. A computação quântica separa o risco em dois problemas distintos.

O algoritmo de Grover acelera a busca por força bruta. Aplicado ao SHA-256, ele reduz a segurança efetiva de 256 bits para cerca de 128 bits, um número que ainda está muito além do alcance. Pesquisadores dizem que um atacante precisaria de hardware quântico em escala que o mundo ainda não construiu, então as coisas seguem seguras por enquanto.

O algoritmo de Shor apresenta o problema maior e mira assinaturas, não hashes. Um computador quântico rodando isso poderia extrair uma chave privada de uma chave pública exposta na curva elíptica usada pelo Bitcoin. Estima-se que 7 milhões de bitcoins, perto de 35% da oferta, estejam em endereços com chaves públicas expostas e carregariam risco se esse hardware existisse.

A Google Quantum AI publicou em 2026 pesquisas que reduziram a quantidade de qubits necessária para quebrar a curva do Bitcoin para cerca de 500.000 qubits físicos. Máquinas quânticas atuais operam na faixa de 1.000 a 1.500 qubits. Pesquisadores ainda apontam uma ameaça operacional em algum lugar entre 2029 e 2035, dependendo do progresso na correção de erros.

Desenvolvedores revisitam a questão após dezesseis anos

Satoshi voltou às preocupações relacionadas a hash mais de uma vez durante 2010, incluindo o que aconteceria se o SHA-256 sofresse uma colisão parcial. A resposta dele permaneceu consistente: travar a cadeia honesta antes que o problema se espalhe, depois migrar para uma nova função.

As atualizações posteriores do Bitcoin deixaram o hashing central intacto. O Segregated Witness foi ativado em 2017, e o Taproot em 2021, ambos focados em eficiência e privacidade, e não em hashing. A resistência quântica não virou um tema urgente para os desenvolvedores até a conscientização sobre os algoritmos de Grover e Shor se espalhar pela comunidade de criptografia nos anos 2020.

Desenvolvedores propõem rotas de saída que Satoshi prometeu

Desenvolvedores de Bitcoin já propuseram o caminho de migração que Satoshi descreveu em 2010, mas com foco em assinaturas em vez de hashes. Várias ideias foram colocadas na mesa.

O BIP-360 introduz um novo formato de endereço, endereços pay-to-Merkle-root começando com bc1z, construídos em torno de esquemas de assinatura resistentes a ataques quânticos. Desenvolvedores uniram a proposta em 2026. Uma proposta complementar, BIP-361, detalha como a rede poderia eventualmente aposentar tipos mais antigos de endereços expostos. Com este último método, um pouco mais controverso.

Provedores de carteira agora enfrentam pressão para parar a reutilização de endereços e direcionar os usuários para os tipos de saída mais novos antes de qualquer prazo quântico chegar.

A migração traz obstáculos próprios. Desenvolvedores ainda precisam de um plano para moedas presas em endereços antigos cujos proprietários estejam inativos ou fora de alcance, incluindo qualquer bitcoin ligado às carteiras iniciais do próprio Satoshi. Assinaturas pós-quânticas também ocupam mais espaço de bloco do que as assinaturas que o Bitcoin usa hoje, e pesquisadores estão testando esquemas de assinatura baseados em hash para manter essa migração administrável.

O que isso significa para quem tem Bitcoin

Nada sobre o SHA-256 exige ação hoje. A função de hash que protege a mineração e o histórico de transações permanece inalterada por qualquer ataque conhecido, clássico ou quântico.

Exposição de assinaturas é o item que vale observar. Titulares com moedas em endereços no estilo antigo, ou qualquer pessoa que tenha reutilizado um endereço do Bitcoin, têm mais exposição do que alguém usando tipos de saída modernos com chaves públicas que ficam ocultas até o momento do gasto.

Satoshi fechou a discussão de 2010 com um aviso que ainda parece política vigente. Qualquer ataque forte o suficiente para quebrar o SHA-256 provavelmente também danificaria primos mais fortes como SHA-512, então uma quebra completa parece improvável apenas por si só. A defesa do Bitcoin nunca foi permanência. Era a capacidade de se mover antes que uma ameaça se tornasse real.

Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • Comentário
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
Sem comentários
  • Fixado