Análise aprofundada do BIP-360: Como o Bitcoin dá o primeiro passo contra a computação quântica?

Cada avanço técnico na computação quântica está a reavaliar a cronologia da segurança a longo prazo do Bitcoin. Quando a Google antecipou o prazo de migração para a criptografia pós-quântica para 2029, quando a comunidade académica demonstrou que bastam 9 minutos para derivar uma chave privada a partir de uma chave pública com um circuito quântico, a comunidade de programadores do Bitcoin também apresentou a sua resposta. Em fevereiro de 2026, a BIP-360 «Pay-to-Merkle-Root (P2MR)» foi formalmente integrada no repositório bitcoin/bips, assinalando a primeira vez que capacidades anti-quânticas são incluídas numa via de atualização formal do Bitcoin. Não se trata de uma revolução criptográfica radical, mas sim de uma defesa estrutural cautelosa e incremental.

Porque é que a ameaça quântica se tornou um factor estrutural neste momento?

Na última semana, o sector da computação quântica sofreu uma mudança paradigmática fundamental. Um artigo conjunto publicado pela equipa quântica da Google e pelo professor de Stanford Dan Boneh confirma que, com apenas 1.200-1.400 qubits lógicos, é possível quebrar em cerca de 9 minutos o algoritmo de assinatura digital de curva elíptica (ECDSA) que protege o Bitcoin. Este número é cerca de uma ordem de grandeza inferior às estimativas anteriores da indústria de 10.000 qubits lógicos. Mais importante ainda, a arquitetura de átomos neutros proposta pela empresa Oratomic mostra que é possível atingir este objetivo com apenas 10.000 qubits físicos, e o California Institute of Technology já construiu uma matriz de átomos neutros com 6.100 qubits. Isto significa que a ameaça quântica em laboratório está a passar de teoria para validação em engenharia. Para o Bitcoin, o risco não está relacionado com o algoritmo de hash SHA-256, mas sim com as chaves públicas expostas na cadeia no momento em que as transações ocorrem. Assim que um computador quântico for capaz de derivar retroativamente a chave privada a partir da chave pública, todos os endereços reutilizados, as saídas P2PK herdadas e as despesas da chave de caminhos Taproot ficarão em risco. De acordo com estimativas da ARK Invest, cerca de 34,6% da oferta de Bitcoin (aproximadamente 6,9 milhões de BTC) pode ficar exposta a este risco.

Como é que a BIP-360 reduz mecanicamente a exposição das chaves públicas?

O núcleo da BIP-360 reside na introdução de um novo tipo de saída denominado «pay-to-Merkle-root (P2MR)». Esta proposta inspira-se, em estrutura, na atualização Taproot de 2021, mas faz uma alteração crucial: remove totalmente a opção de gastar pelo caminho de chaves. Numa transação Taproot tradicional, o gastador pode escolher gastar o UTXO através do caminho de chaves (expondo a chave pública ajustada) ou através do caminho de scripts (fornecendo uma prova de Merkle). O caminho de chaves é mais eficiente, mas o custo é escrever a chave pública na cadeia. O P2MR força que a despesa de todos os UTXO seja feita obrigatoriamente através do caminho de scripts. Em concreto, a saída P2MR apenas compromete a raiz de Merkle da árvore de scripts, sem comprometer nenhuma chave pública interna. Quando o utilizador precisa de gastar, basta revelar o nó folha específico do script e fornecer a prova de Merkle; todo o processo evita a exposição em cadeia das chaves públicas de curva elíptica. Este mecanismo corta diretamente a entrada mais central para o ataque quântico — a chave pública já exposta.

Que custos estruturais são exigidos para melhorar a segurança?

Qualquer atualização de segurança implica concessões, e o P2MR não é exceção. O custo mais direto manifesta-se nas comissões de transação. Como utiliza o caminho de scripts em vez do caminho de chaves mais compacto, as transações P2MR precisam de transportar mais dados de testemunho (incluindo a prova de Merkle e o conteúdo do script), o que aumenta o tamanho da transação e, por conseguinte, eleva as taxas. Para utilizadores comuns, trata-se de um aumento de custo visível. Uma troca mais profunda reside no equilíbrio entre experiência do utilizador e segurança. O caminho de chaves foi concebido para proporcionar uma forma de gastar mais económica e rápida. Ao removê-lo, todas as transações regressam ao caminho de scripts; embora isto reforce a resistência quântica, também sacrifica, até certo ponto, parte da eficiência. Além disso, o P2MR não é uma solução completa de assinaturas pós-quânticas. Ele não introduz assinaturas baseadas em grelhas (Dilithium) nem assinaturas baseadas em hash (SPHINCS+) para substituir as assinaturas ECDSA e Schnorr existentes. Limita-se a fechar a vulnerabilidade atual de exposição de chaves públicas, e não a remodelar a base criptográfica subjacente do Bitcoin.

O que é que isto significa para o panorama da indústria de criptografia?

O avanço da BIP-360 está a remodelar silenciosamente o rumo da evolução da infraestrutura da indústria. Para fornecedores de carteiras, suportar endereços P2MR (prevê-se que comecem por bc1z) tornar-se-á uma nova dimensão para distinguir níveis de segurança do produto. Os detentores a longo prazo podem optar por migrar os seus ativos para este tipo de endereços resistentes ao pós-quântico, reduzindo proativamente o risco futuro. Para plataformas de transação e custodiantes, isto implica avaliar a exposição das chaves públicas dos ativos dos utilizadores existentes e preparar mecanismos de orientação de migração adequados. Um impacto mais distante está na classificação dos ativos. No futuro, o mercado poderá naturalmente dividir-se em duas categorias de Bitcoin: uma, destinada a armazenamento a longo prazo em endereços resistentes ao pós-quântico, «reserva de segurança»; outra, ainda nos endereços tradicionais, com transações frequentes e chaves públicas expostas, «ativos em circulação». Esta divisão pode afetar as preferências de liquidez e a lógica de valorização dos ativos. Do ponto de vista do caminho de desenvolvimento técnico, a introdução da BIP-360 também oferece um paradigma de referência para outras blockchains — antes de uma migração completa para assinaturas pós-quânticas, como reduzir a exposição ao risco através de ajustes a nível de protocolo.

Quais caminhos de evolução poderão ser seguidos no futuro?

O percurso técnico da BIP-360 já é relativamente claro, mas o seu percurso de adoção social ainda tem uma grande incerteza. Em termos de evolução técnica, o cenário mais provável é o avanço por etapas via soft fork: primeiro ativar o novo tipo de saída P2MR, permitindo que os utilizadores escolham ativamente utilizá-lo; em seguida, carteiras, plataformas de transação e custodiantes aumentam gradualmente o suporte; por fim, os utilizadores migram incrementalmente os ativos ao longo dos próximos anos. Este processo é semelhante ao caminho de adoção do SegWit e do Taproot. No entanto, a construção de consenso social pode ser mais desafiante do que a implementação técnica. A BTQ Technologies já implantou a implementação de trabalho da BIP-360 na rede de testes quânticos do Bitcoin, atraindo mais de 50 mineiros e escavando mais de 100.000 blocos. Mas esta rede de testes opera de forma independente da rede principal do Bitcoin, contornando os processos de governação da cadeia principal. Para a BIP-360 entrar verdadeiramente no repositório de código do Bitcoin Core, ainda é necessário um consenso amplo entre mineiros, programadores e utilizadores. O presidente da BTQ, Christopher Tam, afirmou de forma direta: «Isto é um problema social. Existem alguns “clérigos de alto nível” na comunidade do Bitcoin que precisam de ser convencidos.»

Que riscos potenciais precisam de alerta?

Embora o P2MR seja uma atualização preventiva importante, as suas limitações também não podem ser ignoradas. Em primeiro lugar, os ativos existentes não ficam protegidos automaticamente. Todos os UTXO antigos, até o utilizador os transferir de forma ativa para saídas P2MR, mantêm o risco de exposição das chaves públicas. Isto significa que, mesmo após a atualização estar concluída, continuarão a existir por muito tempo na rede grandes quantidades de ativos vulneráveis, especialmente os endereços de mineração dos primeiros tempos de Satoshi e as «moedas adormecidas» que ficaram longamente sem movimentação. Em segundo lugar, o BIP-360 não é o ponto final. Assim que um computador quântico relacionado com criptografia verdadeiramente utilizável (CRQC) surgir, reduzir apenas a exposição de chaves públicas já não será suficiente para lidar com a ameaça; nesse momento, ainda será necessária a migração para um esquema completo de assinaturas pós-quânticas. Em terceiro lugar, há diferenças significativas entre a rede de testes e a rede principal. A rede de testes da BTQ usa um tempo-alvo de criação de bloco de 1 minuto para acelerar iterações de teste, o que é diferente do mecanismo de 10 minutos de criação de bloco da rede principal do Bitcoin. As soluções que passam na validação na rede de testes ainda precisam de reavaliar os limites de segurança ao serem migradas para a rede principal. Por fim, o progresso da tecnologia quântica continua a acelerar. O prazo de migração para 2029 definido pela Google e o prazo de migração de criptografia pós-quântica após abril de 2026 sob a diretiva NSM-10 do governo federal dos EUA estão a comprimir a janela de tempo de resposta da indústria.

Resumo

A proposta da BIP-360 assinala a transição do Bitcoin de uma resposta passiva à ameaça quântica para a construção proativa de camadas de defesa. Ao remover o caminho de chaves do Taproot e ao forçar a adoção do caminho de scripts, reduz significativamente o risco de exposição em cadeia das chaves públicas. Mas isto não é nem o ponto final, nem uma solução universal. Trata-se de uma preparação técnica cautelosa e incremental, ganhando uma janela de tempo para a migração completa futura para assinaturas pós-quânticas. Para a indústria de criptografia, compreender o significado da BIP-360 não passa por vê-la como uma solução definitiva, mas por reconhecer que: no ponto crítico de substituição dos paradigmas criptográficos, o planeamento antecipado e a planificação de sistemas são muito mais importantes do que respostas de emergência. A contagem decrescente da computação quântica já começou, e os programadores do Bitcoin e os participantes do ecossistema estão a responder a este desafio teórico que atravessa trinta anos, com uma modificação estrutural de código.

FAQ

Pergunta: A BIP-360 permite ao Bitcoin ficar completamente imune a ataques quânticos?

Não. A BIP-360 apenas reduz o risco de exposição de chaves públicas e não substitui os algoritmos de assinatura de curva elíptica existentes. Se surgir um computador quântico relacionado com criptografia verdadeiramente utilizável, ainda será necessário migrar para um esquema completo de assinaturas pós-quânticas.

Pergunta: O que é que os utilizadores comuns precisam de fazer agora?

Neste momento, a ameaça quântica não está iminente, pelo que os utilizadores não precisam de entrar em pânico. Mas podem começar a criar o hábito de não reutilizar endereços, acompanhar quando a aplicação da carteira começará a suportar o tipo de endereço P2MR e continuar a seguir as atualizações do protocolo do Bitcoin.

Pergunta: Em que é que os endereços P2MR são diferentes dos endereços existentes?

Prevê-se que os endereços P2MR comecem por bc1z e pertençam ao tipo de saída SegWit version 2. A diferença central é que força todas as despesas a passarem pelo caminho de scripts, evitando a exposição direta das chaves públicas na cadeia.

Pergunta: Quando é que a BIP-360 será ativada na rede principal do Bitcoin?

Atualmente, a BIP-360 ainda está no estado Draft e ainda não foi integrada no repositório de código do Bitcoin Core. O momento exato da ativação depende do progresso em que o consenso da comunidade é alcançado, e não existe ainda um calendário claro.

Pergunta: Porque é que não fazer diretamente upgrade para assinaturas pós-quânticas?

As soluções de assinaturas pós-quânticas (como assinaturas baseadas em grelhas) são de maior tamanho; em comparação, isso cria uma pressão significativa sobre o espaço de bloco e o desempenho dos nós do Bitcoin. A BIP-360 é uma solução incremental: ao mesmo tempo que reduz o risco e mantém a eficiência da rede, reserva tempo para uma atualização mais completa.