O que é o Q-Day? A ameaça quântica ao Bitcoin explicada

Source: PortaldoBitcoin Original Title: O que é o Q-Day? A ameaça quântica ao Bitcoin explicada Original Link: Atualmente, os computadores quânticos não conseguem quebrar a criptografia do Bitcoin, mas novos avanços do Google e da IBM indicam que a diferença está diminuindo mais rápido do que o esperado.

O progresso em direção a sistemas quânticos tolerantes a falhas eleva as apostas para o chamado “Q-Day” — o momento em que uma máquina suficientemente poderosa poderia quebrar endereços antigos de Bitcoin e expor mais de US$ 711 bilhões em carteiras vulneráveis.

Atualizar o Bitcoin para um estado pós-quântico levará anos, o que significa que o trabalho precisa começar muito antes da chegada da ameaça. O desafio, dizem os especialistas, é que ninguém sabe quando isso ocorrerá — e a comunidade tem dificuldade em concordar sobre como avançar com um plano.

Essa incerteza gera o temor persistente de que um computador quântico capaz de atacar o Bitcoin possa surgir antes que a rede esteja pronta.

Neste artigo, veremos a ameaça quântica ao Bitcoin e o que precisa mudar para preparar a principal blockchain do mundo.

Como funcionaria um ataque quântico

Um ataque bem-sucedido não pareceria algo espetacular. Um ladrão com um computador quântico começaria escaneando a blockchain em busca de qualquer endereço que já tenha revelado uma chave pública. Carteiras antigas, endereços reutilizados, saídas de mineradores do início da rede e contas dormentes se enquadram nessa categoria.

O invasor copiaria uma chave pública e a executaria em um computador quântico usando o algoritmo de Shor. Desenvolvido em 1994 pelo matemático Peter Shor, o algoritmo permite que uma máquina quântica fatorize grandes números e resolva o problema do logaritmo discreto com muito mais eficiência do que qualquer computador clássico.

As assinaturas de curva elíptica do Bitcoin dependem da dificuldade desses problemas. Com qubits suficientes e correção de erros, um computador quântico poderia usar o método de Shor para calcular a chave privada vinculada à chave pública exposta.

Como explicou Justin Thaler, pesquisador associado da Andreessen Horowitz e professor na Universidade de Georgetown, uma vez recuperada a chave privada, o invasor poderia mover as moedas.

“O que um computador quântico poderia fazer — e isso é o que importa para o Bitcoin — é forjar as assinaturas digitais que o Bitcoin usa hoje”, disse Thaler. “Alguém com um computador quântico poderia autorizar uma transação retirando todos os Bitcoins da sua conta, mesmo sem sua permissão. Essa é a preocupação.”

A assinatura falsificada pareceria legítima para a rede do Bitcoin. Os nós a aceitariam, os mineradores a incluiriam em um bloco e nada na blockchain indicaria que a transação é suspeita. Se um invasor atacasse um grande grupo de endereços expostos de uma vez, bilhões de dólares poderiam ser movidos em minutos. O mercado reagiria antes mesmo de haver confirmação de que um ataque quântico estava ocorrendo.

O estado da computação quântica em 2025

Em 2025, a computação quântica finalmente começou a parecer menos teórica e mais prática.

• Janeiro de 2025: o chip Willow de 105 qubits do Google mostrou grande redução de erros e desempenho superior a supercomputadores clássicos.
• Fevereiro de 2025: a Microsoft lançou sua plataforma Majorana 1 e relatou recorde de emaranhamento lógico de qubits com a Atom Computing.
• Abril de 2025: o NIST ampliou a coerência de qubits supercondutores para 0,6 milissegundos.
• Junho de 2025: a IBM estabeleceu metas de 200 qubits lógicos até 2029 e mais de 1.000 no início da década de 2030.
• Outubro de 2025: a IBM emaranhou 120 qubits; o Google confirmou aceleração quântica verificada.
• Novembro de 2025: a IBM anunciou novos chips e softwares com foco em vantagem quântica em 2026 e sistemas tolerantes a falhas até 2029.

Por que o Bitcoin se tornou vulnerável?

As assinaturas do Bitcoin usam criptografia de curva elíptica. Gastar a partir de um endereço revela a chave pública por trás dele, e essa exposição é permanente. No formato inicial pay-to-public-key, muitos endereços publicavam suas chaves públicas na blockchain antes mesmo da primeira transação. Formatos posteriores, pay-to-public-key-hash, mantinham a chave oculta até o primeiro uso.

Como suas chaves públicas nunca foram ocultadas, essas moedas mais antigas — incluindo cerca de 1 milhão de Bitcoins da era Satoshi — estão expostas a futuros ataques quânticos. Migrar para assinaturas digitais pós-quânticas, explicou Thaler, exige ação ativa.

“Para que Satoshi proteja suas moedas, seria preciso movê-las para novas carteiras seguras contra ataques quânticos”, disse. “A maior preocupação são as moedas abandonadas, cerca de US$ 180 bilhões, incluindo aproximadamente US$ 100 bilhões que se acredita pertencerem a Satoshi. São valores imensos, mas estão abandonados — e esse é o verdadeiro risco.”

Aumentando o risco estão as moedas associadas a chaves privadas perdidas. Muitas estão intocadas há mais de uma década e, sem essas chaves, nunca poderão ser transferidas para carteiras resistentes a quânticos, tornando-se alvos viáveis para futuros ataques.

Ninguém pode congelar Bitcoins diretamente na blockchain. As defesas práticas contra ameaças quânticas futuras concentram-se em migrar fundos vulneráveis, adotar endereços pós-quânticos ou gerenciar riscos existentes.

No entanto, Thaler observou que criptografia e esquemas de assinatura digital pós-quânticos trazem custos de desempenho altos, pois são muito maiores e mais pesados do que as assinaturas atuais de 64 bytes.

“As assinaturas digitais atuais têm cerca de 64 bytes. As versões pós-quânticas podem ser de 10 a 100 vezes maiores”, disse. “Em uma blockchain, esse aumento de tamanho é um problema muito maior porque cada nó precisa armazenar essas assinaturas para sempre. Gerenciar esse custo, o tamanho literal dos dados, é muito mais difícil aqui do que em outros sistemas.”

Caminhos para a proteção

Desenvolvedores já propuseram várias Bitcoin Improvement Proposals (BIPs) para preparar a rede contra ataques quânticos. Elas seguem caminhos diferentes — desde proteções opcionais até migrações completas da rede.

• BIP-360 (P2QRH): cria novos endereços “bc1r…” que combinam assinaturas de curva elíptica com esquemas pós-quânticos como ML-DSA ou SLH-DSA. Oferece segurança híbrida sem hard fork, mas as assinaturas maiores implicam taxas mais altas.
• Quantum-Safe Taproot: adiciona um ramo oculto pós-quântico ao Taproot. Se ataques quânticos se tornarem realistas, mineradores poderiam adotar um soft fork para exigir o uso desse ramo, enquanto os usuários operam normalmente até lá.
• Quantum-Resistant Address Migration Protocol (QRAMP): plano de migração obrigatória que move UTXOs vulneráveis para endereços seguros contra quânticos, provavelmente via hard fork.
• Pay to Taproot Hash (P2TRH): substitui chaves visíveis do Taproot por versões duplamente hasheadas, limitando a exposição sem quebrar compatibilidade ou usar nova criptografia.
• Non-Interactive Transaction Compression (NTC) via STARKs: usa provas de conhecimento zero para comprimir grandes assinaturas pós-quânticas em uma única prova por bloco, reduzindo custos de armazenamento e taxas.
• Esquemas Commit-Reveal: baseados em compromissos hasheados publicados antes de qualquer ameaça quântica.
  • Helper UTXOs anexam pequenas saídas pós-quânticas para proteger gastos.
  • Transações “pílula venenosa” permitem pré-publicar caminhos de recuperação.
  • Variantes no estilo Fawkescoin permanecem dormentes até que um computador quântico real seja demonstrado.

Em conjunto, essas propostas delineiam um caminho gradual para a segurança quântica: correções rápidas e de baixo impacto, como P2TRH, agora — e atualizações mais pesadas, como o BIP-360 ou compressão via STARKs, conforme o risco aumenta. Todas exigiriam ampla coordenação, e muitos formatos de endereços e esquemas de assinatura pós-quânticos ainda estão em discussão inicial.

Thaler destacou que a descentralização do Bitcoin — sua maior força — também o torna lento e difícil de atualizar, já que qualquer novo esquema de assinatura exigiria amplo consenso entre mineradores, desenvolvedores e usuários.

“Dois grandes problemas se destacam para o Bitcoin. Primeiro, as atualizações demoram muito, se é que acontecem. Segundo, há as moedas abandonadas. Qualquer migração para assinaturas pós-quânticas precisa ser ativa, e os donos dessas carteiras antigas desapareceram”, disse Thaler.

“A comunidade precisa decidir o que fazer com elas: ou concorda em removê-las de circulação, ou não faz nada e deixa que invasores com computadores quânticos as tomem. Esse segundo caminho seria juridicamente ambíguo — e quem as tomasse provavelmente não se importaria.”

A maioria dos detentores de Bitcoin não precisa agir imediatamente. Alguns hábitos já ajudam a reduzir o risco de longo prazo — como evitar reutilizar endereços, mantendo a chave pública oculta até gastar, e usar carteiras modernas.

Os computadores quânticos de hoje ainda estão longe de quebrar o Bitcoin, e as previsões sobre quando isso acontecerá variam amplamente. Alguns pesquisadores veem uma ameaça dentro de cinco anos; outros, apenas na década de 2030 — mas investimentos contínuos podem acelerar essa linha do tempo.