9 minutos para quebrar uma carteira: o artigo sobre computação quântica do Google abala o mundo da criptografia, o "momento Y2K" do Bitcoin chegou?

Duas teses empilhadas uma sobre a outra constituem o mais sério aviso de ameaça quântica jamais emitido para a indústria das criptomoedas.

Autor: Kap i Qi la, Deep Tide TechFlow

Em 31 de março, a equipa Google Quantum AI publicou uma white paper cujo título é discreto, mas cujo conteúdo é explosivo.

A conclusão central do artigo: quebrar a criptografia de curvas elípticas (ECC-256) que protege carteiras de Bitcoin e de Ethereum exige menos recursos de computação quântica do que estimado anteriormente, cerca de 20 vezes menos. Em concreto, basta menos de 1200 qubits lógicos e 90 milhões de portas Toffoli para, num computador quântico supercondutor, fazer a quebra com menos de 500.000 qubits físicos, em apenas alguns minutos.

No mesmo dia, o Caltech e a startup de hardware quântico Oratomic publicaram outra tese, com conclusões ainda mais agressivas: num computador quântico com arquitetura de átomos neutros, basta apenas cerca de 10.000 qubits físicos para iniciar um ataque, e 26.000 qubits quânticos permitem quebrar o ECC-256 em cerca de 10 dias.

Duas teses empilhadas uma sobre a outra constituem o mais sério aviso de ameaça quântica jamais emitido para a indústria das criptomoedas.

De “uma ameaça teórica distante” a “uma contagem decrescente para calcular”

Para compreender o impacto destas duas teses, é preciso olhar para uma linha do tempo: em 2012, a comunidade académica estimava que quebrar o ECC-256 exigia cerca de 1.000.000.000 de qubits físicos. Em 2023, a tese de Daniel Litinski reduziu esse número para cerca de 9.000.000. A nova tese da Google o baixou para menos de 500.000. A Oratomic foi ainda mais longe, reduzindo para 10.000.

Em duas décadas, cinco ordens de grandeza de redução.

Isto significa que o enquadramento do debate sobre a ameaça quântica mudou completamente. No passado, a narrativa dominante era “o computador quântico ainda está a dezenas de anos de conseguir quebrar a criptografia”; agora passou a ser “se o progresso do hardware acelerar de forma não linear, a janela poderá ser apenas de cinco a dez anos”. Um investigador da Ethereum Foundation, Justin Drake (que também é coautor da tese da Google), estima que, até 2032, a probabilidade de um computador quântico quebrar a chave privada ECDSA secp256k1 seja pelo menos de 10%.

A tese da Google descreve dois cenários de ataque.

O primeiro é um “ataque imediato” (on-spend attack). Quando um utilizador de Bitcoin inicia uma transação, a chave pública fica temporariamente exposta na memória pool (mempool). Um computador quântico suficientemente rápido consegue deduzir a chave privada a partir da chave pública em cerca de 9 minutos, iniciando uma transação concorrente e roubando os fundos antes da confirmação da transação. Considerando que o tempo médio de criação de blocos do Bitcoin é de cerca de 10 minutos, a tese estima que a probabilidade de sucesso deste tipo de ataque seja de aproximadamente 41%.

No domínio da criptografia, uma probabilidade de quebra de 41% não é um erro estatístico, mas sim um esquema de assinaturas já comprometido.

O segundo é um “ataque estático” (at-rest attack), dirigido a carteiras inativas onde a chave pública já está exposta na cadeia. Este tipo de ataque não tem limites de tempo; o computador quântico pode calcular ao seu próprio ritmo. A tese estima que, cerca de 6.900.000 BTC (um terço do fornecimento total) se encontram neste estado de exposição; incluem-se cerca de 1.700.000 moedas provenientes da era de Satoshi e uma grande quantidade de fundos cujas chaves públicas foram expostas devido à reutilização de endereços.

A preços atuais, estes 6.900.000 BTC valem mais de 45.000.000.000 USD.

Taproot: a ideia era melhorar a privacidade, mas acabou por ampliar a superfície de ataque

Uma descoberta inesperada no artigo é que a atualização Taproot do Bitcoin, em 2021, criou novas vulnerabilidades na dimensão de segurança quântica. O Taproot foi concebido para melhorar a eficiência das transações e a privacidade, adotando um esquema de assinaturas Schnorr. Mas uma característica das assinaturas Schnorr é que a chave pública fica por defeito exposta na cadeia, removendo a camada de proteção “hash primeiro e exposição depois” que existia no formato de endereços antigo (P2PKH).

Por outras palavras, a melhoria do Taproot na segurança tradicional abre, precisamente na dimensão da segurança quântica, uma porta. Isto expandiu o conjunto de Bitcoins vulneráveis a ataques quânticos: deixou de estar restrito a moedas antigas e endereços reutilizados, passando a abranger todas as carteiras que usam Taproot.

Ethereum: o problema é maior, mas há preparação mais cedo

Se o Bitcoin enfrenta um risco “ao nível da carteira”, o Ethereum lida com um problema “ao nível da infraestrutura”.

A tese da Google aponta que o Ethereum está exposto a ataques quânticos em cinco camadas: carteiras individuais, chaves de gestão de contratos inteligentes, validação do PoS (Proof of Stake), redes Layer 2 e mecanismos de amostragem de disponibilidade de dados. A tese estima que as 1000 maiores carteiras do Ethereum detêm cerca de 20.500.000 ETH; uma máquina quântica capaz de quebrar uma chave a cada 9 minutos conseguiria esvaziar todas num prazo inferior a 9 dias. A preços atuais do ETH, estes ativos valem aproximadamente 41.500.000.000 USD.

O problema mais profundo é o risco sistémico. No Ethereum, stablecoins e ativos tokenizados totalizando cerca de 200.000.000.000 USD dependem da assinatura das chaves de administradores; cerca de 37.000.000 ETH em staking são autenticados por meio de assinaturas digitais igualmente vulneráveis. Se um grande pool de staking for comprometido, o atacante poderá até interferir no próprio mecanismo de consenso.

Ainda assim, o Ethereum tem uma vantagem estrutural: o tempo de criação de blocos é apenas de 12 segundos; a maioria das transações é confirmada em menos de um minuto; e há grande utilização de mempool privada, o que torna a viabilidade de “ataques imediatos” no Ethereum muito menor do que no Bitcoin.

A boa notícia é que a comunidade do Ethereum está a responder de forma mais proativa.

A Ethereum Foundation lançou na semana passada o pq.ethereum.org, reunindo oito anos de resultados de investigação pós-quântica; mais de dez equipas de clientes estão a avançar testes e desenvolvimento semanalmente. Vitalik Buterin também já tinha publicado um roadmap de resistência quântica. Em contraste, a cultura de governação da comunidade do Bitcoin é mais conservadora: a proposta BIP-360 (introduzindo um formato de carteira resistente a quânticos) já foi integrada no repositório BIP em fevereiro, mas só resolve um tipo de problema de exposição de chaves públicas; uma migração criptográfica completa exige mudanças de protocolo em maior escala.

Reação da comunidade: pânico, racionalidade e “isto não é só um problema nosso”

A reação da indústria cripto, como era esperado, fragmentou-se em várias correntes.

Os adeptos do pânico são representados pelo CEO da Project Eleven, Alex Pruden: “Esta tese rebate diretamente todos os argumentos que a indústria cripto usa para ignorar a ameaça quântica.” O parceiro da Dragonfly, Haseeb Qureshi, foi ainda mais direto na X: “o pós-quântico já não é mais um ensaio.”

Os racionalistas otimistas são representados por CZ. Ele considera que a única coisa de que as criptomoedas precisam é fazer upgrade para algoritmos resistentes a quânticos: “não há necessidade de entrar em pânico”. Esta afirmação é correta do ponto de vista técnico, mas ignora uma questão crítica: uma blockchain descentralizada não pode impor a todos, como bancos ou redes militares, a atualização de software. O ciclo de migração da infraestrutura do Bitcoin — desde as carteiras dos utilizadores até que as corretoras suportem o novo formato de endereço — pode exigir cinco a dez anos, mesmo que todas as partes cheguem hoje a um consenso.

A corrente “tudo pode ser quebrado” aponta que a computação quântica não ameaça apenas as blockchains; sistemas bancários globais, transferências SWIFT, bolsas de valores, comunicações militares e sítios HTTPS dependem todos do mesmo tipo de sistema criptográfico. A tese da Google responde a isto de forma positiva: sistemas centralizados podem empurrar atualizações para os utilizadores; blockchains descentralizadas não podem. Esta é a diferença fundamental.

O humor mais frio vem de Elon Musk: “pelo menos, se te esqueceres da password da carteira, no futuro ainda consegues recuperá-la.”

Conflitos de interesses e desconto na racionalidade

As duas teses não são “apenas académicas”.

A tese da Caltech/Oratomic tem nove autores, todos acionistas da Oratomic, e seis deles são funcionários da empresa. Este artigo é, ao mesmo tempo, um resultado científico e uma promoção comercial da rota de hardware de átomos neutros dessa empresa. A tese da Google também não é totalmente neutra: a Google definiu 2029 como prazo interno para a migração do seu próprio sistema para criptografia pós-quântica, e as conclusões do artigo alinham-se fortemente com esta decisão comercial. Além disso, por razões de segurança, a Google não publicou o desenho real de circuitos quânticos; em vez disso, validou os resultados junto do governo dos EUA através de provas de conhecimento zero.

O conflito de interesses das teses precisa de ser ponderado com desconto, mas a tendência em si não precisa de ser descontada. Sempre que alguém alega que “a ameaça quântica está a ser exagerada”, a próxima tese reduz novamente a quantidade de qubits necessários em uma ordem de grandeza.

A que distância estamos do “Q-Day”?

Atualmente, os computadores quânticos mais avançados têm cerca de 6.000 qubits e o tempo de coerência é apenas de aproximadamente 13 segundos. De 6.000 qubits para os 500.000 exigidos na tese da Google (ou os 10.000 alegados pela Oratomic), ainda existe uma enorme lacuna de engenharia no meio.

Mas a analogia do investidor em cripto McKenna é a que vale a pena lembrar: “podes imaginar o Q-Day como o Y2K, mas desta vez é mesmo real.”

O cofundador da StarkWare, Eli Ben-Sasson, pediu à comunidade do Bitcoin que acelere a implementação do BIP-360. A própria Google afirma que está a trabalhar com a Coinbase, com o Stanford Blockchain Research Institute e com a Ethereum Foundation para avançar com uma migração responsável.

O debate já não é “se a computação quântica consegue quebrar a criptografia”, mas sim “se a indústria cripto consegue concluir a migração antes de o hardware alcançar”. A calendarização de 2029 da Google, somada à compressão acentuada dos requisitos de qubits no artigo da Oratomic, deixa à indústria uma margem de amortecimento mais curta do que qualquer pessoa esperaria.

Os 1.100.000 BTC que Satoshi deixou a dormir não conseguem migrar por si mesmos para endereços quânticos seguros. Se os computadores quânticos chegarem primeiro, este legado digital com valor superior a 70.000.000.000 USD tornar-se-á o maior objetivo de “resgate de naufrágios digitais” da história. A tese da Google introduz até um enquadramento jurídico para “digital salvage” como analogia, sugerindo que os governos de vários países poderão precisar de legislação para lidar com estes ativos inativos que não podem ser migrados.

Este é um problema que nenhum white paper do Bitcoin previu: se a barreira matemática que protege a propriedade privada for ela própria comprometida, “Code is Law” ainda pode fazer sentido?