A computação quântica vai quebrar o Bitcoin? O documento técnico da Google de 2026 revela risco de 6,9 milhões de BTC

Em 31 de março de 2026, a equipa de IA Quântica da Google publicou um relatório branco amplamente aguardado, atualizando a avaliação técnica do risco que os computadores quânticos representam para ativos criptográficos. Redigido em conjunto pelo vice-presidente de Investigação da Google, Hartmut Neven, e pelo diretor de investigação de algoritmos quânticos, Ryan Babbush, este relatório, através de tecnologia de provas de conhecimento zero, divulga estimativas atualizadas dos recursos para ataques quânticos e indica claramente a linha temporal da ameaça para 2029. O relatório branco afirma que futuros computadores quânticos com relevância para a criptografia (CRQC) poderão requerer apenas menos de 500.000 qubits quânticos físicos para quebrar, em poucos minutos, os algoritmos de criptografia de curvas elípticas (ECDSA) que sustentam a segurança do Bitcoin e do Ethereum. Esta conclusão provocou rapidamente agitação no setor, levando o mercado a reavaliar a vulnerabilidade dos ativos criptográficos perante a era quântica.

A verdade sobre a ameaça dos 9 minutos e 6,9 milhões de BTC: factos centrais do relatório branco

No relatório branco, a Google tornou pública pela primeira vez a sua proposta de otimização de circuitos quânticos para quebrar o problema de logaritmo discreto de curva elíptica de 256 bits (ECDLP-256). A investigação mostra que o número de qubits lógicos necessários para realizar este ataque foi reduzido dos milhares estimados anteriormente para entre 1.200 e 1.450, o que corresponde a uma quantidade de portas Toffoli (unidade básica de operações em computação quântica) de cerca de 70 a 90 milhões. Com base na velocidade de desenvolvimento dos atuais processadores quânticos supercondutores, a Google estima que um CRQC com cerca de 500.000 qubits quânticos físicos permitiria concluir a quebra do ECDLP-256 em poucos minutos.

O relatório branco sublinha, em particular, duas categorias de ameaças fundamentais à rede do Bitcoin: por um lado, quebrar diretamente, através do algoritmo de Shor, chaves privadas dos endereços de chaves públicas que não tenham sido movidos, o que se concentra principalmente nos “endereços adormecidos” que não foram utilizados durante muito tempo, incluindo cerca de 1,1 milhão de BTC atribuídos, de forma plausível, a Satoshi Nakamoto; por outro lado, um “ataque de sequestro” contra transações em curso, isto é, ao explorar a janela aproximada de 9 minutos entre a transmissão da transação e a sua inclusão em cadeia, os atacantes podem inferir rapidamente a chave privada do remetente da transação e alterar o endereço do alvo. A Google estima que o total de BTC exposto a este tipo de risco na rede do Bitcoin chega a 6,9 milhões de unidades e, ao preço de mercado atual, excede 47 mil milhões de dólares.

No ecossistema do Ethereum, o relatório branco indica que a lógica de execução de transações complexa das plataformas de contratos inteligentes e os mecanismos de interação com a Layer 2 podem originar cinco vias de ataque quântico, incluindo, mas não limitado a, roubo de chaves privadas dos nós validadores, falsificação de assinaturas nos sistemas de ponte entre cadeias e ataques de replay de assinaturas a partir de estados históricos. A Google alerta que estas vias de ataque podem colocar em risco mais de 100 mil milhões de dólares em ativos bloqueados na cadeia do Ethereum.

Do algoritmo de Shor à linha temporal de 2029: caminho evolutivo da ameaça quântica

A ameaça da computação quântica à criptografia de chave pública não é um tema novo. Logo em 1994, o matemático Peter Shor propôs o algoritmo de Shor, demonstrando que um computador quântico pode resolver de forma eficiente a fatorização de inteiros grandes e problemas de logaritmo discreto. Em 2016, após o arranque formal pelo National Institute of Standards and Technology (NIST) dos Estados Unidos, o projeto de padronização de criptografia pós-quântica (PQC) foi iniciado; nesse mesmo ano, a Google também começou a preparar a migração para a criptografia pós-quântica.

Em 2024, o NIST publicou os primeiros standards de criptografia pós-quântica, marcando a transição da PQC de pesquisa académica para aplicações de engenharia. Durante este período, a Google continuou a participar na definição de padrões da indústria e, em 2025, apresentou o seu próprio calendário interno de migração, planeando concluir a transição de infraestrutura para PQC antes de 2029. Este relatório branco de 2026 pode ser visto como a continuação desse calendário por parte da Google, elevando o nível de alerta sobre riscos. O relatório branco menciona explicitamente que a Google está a colaborar com instituições como a Coinbase, o Stanford Blockchain Research Center e a Ethereum Foundation para avançar em conjunto um enquadramento de divulgação responsável e planos de migração setorial.

A linha temporal principal é a seguinte:

A verdade sobre 1.200 qubits

Os dados centrais do relatório branco assentam na otimização de duas variáveis-chave: o número de qubits lógicos e a quantidade de portas Toffoli. A equipa de investigação compilou duas configurações de circuitos quânticos distintos, implementando, respetivamente, um plano com 1.200 qubits lógicos + 70 milhões de portas Toffoli e um plano com 1.450 qubits lógicos + 70 milhões de portas Toffoli. Comparando com as estimativas comuns da indústria em 2024, que variavam entre 20.000 e 30.000 qubits lógicos, os resultados mais recentes da Google comprimem os recursos necessários em quase 20 vezes.

Do ponto de vista de implementação física, a Google faz projeções com base nos parâmetros de desempenho dos seus atuais processadores quânticos topo de gama. Supondo que cada qubit lógico é composto por cerca de 400 qubits quânticos físicos (tendo em conta o custo de sobrecarga do erro quântico), então 1.200 qubits lógicos correspondem a um total de aproximadamente 480.000 qubits quânticos físicos. Considerando que o hardware quântico se expande a uma taxa anual de cerca de 1,5 a 2 vezes, a Google considera que atingir esta escala física por volta de 2029 é altamente viável.

Com base nos dados de “Gate” até 1 de abril de 2026, o preço do Bitcoin (BTC) é de $68.201,5, a receita de transações em 24h é de $821,63M e a capitalização bolsista é de $1,41T, com uma quota de mercado de 55,68%. O preço do Ethereum (ETH) é de $2.103,61, a receita de transações em 24h é de $407,98M, a capitalização bolsista é de $249,77B e a quota de mercado é de 10,08%. Se os riscos descritos no relatório branco se tornarem realidade, com base no preço atual, a capitalização do total de 6,9 milhões de BTC expostos excede já 47 mil milhões de dólares; por sua vez, o risco de 100 mil milhões de dólares em ativos do Ethereum expostos representaria mais de 40% da sua atual capitalização total.

Vozes divididas do mercado: do pânico à racionalidade

Após a publicação do relatório branco, formaram-se opiniões e controvérsias no setor, dentro e fora da indústria.

Os defensores (representados pela Google, por algumas instituições académicas e pela comunidade de investigação em segurança) consideram que a divulgação, de forma responsável, dos requisitos precisos de recursos para ameaças quânticas é um passo necessário para impulsionar a atualização do setor. A Google verifica a viabilidade do ataque através de tecnologia de provas de conhecimento zero, mas sem divulgar o desenho específico dos circuitos, sendo vista como um novo modelo de divulgação que equilibra transparência e segurança. Os parceiros explicitamente mencionados no relatório branco incluem a Coinbase, o Stanford Blockchain Research Center e a Ethereum Foundation, indicando que alguns líderes do setor reconhecem e participam neste mecanismo de alerta de risco.

Os opositores e críticos concentram-se em três dimensões: a veracidade da urgência temporal, a potencial perturbação do mercado causada pelo modo de divulgação e a capacidade de resistência das arquiteturas atuais de blockchain. Alguns membros da comunidade cripto apontam que, embora o relatório branco afirme ser “divulgação responsável”, o seu método de publicação ainda inevitavelmente gera discussões de pânico no mercado, o que pode constituir um ataque não técnico à confiança nos ativos criptográficos. Além disso, desenvolvedores centrais do Bitcoin enfatizam que, mesmo que um ataque quântico se torne possível no plano técnico, a rede do Bitcoin não é totalmente desprovida de defesa; por exemplo, embora a atualização Taproot possa, em alguns cenários, aumentar a superfície de ataque, ao mesmo tempo oferece uma base para introduzir scripts e soluções de assinatura mais flexíveis.

Três perspetivas de um relatório branco

Ao analisar o relatório branco da Google, é necessário distinguir claramente os três níveis: factos, opiniões e especulações.

A Google de facto publicou este relatório branco, que inclui dados específicos de compilação de circuitos quânticos (1.200 qubits lógicos, 70 milhões de portas Toffoli, etc.). Estes dados foram validados por provas de conhecimento zero, sendo verificáveis. A Google propôs uma linha temporal de migração para 2029 e existe um facto de colaboração com instituições, incluindo a Ethereum Foundation. O relatório branco menciona explicitamente a avaliação técnica de que a atualização Taproot do Bitcoin pode aumentar a superfície de ataque.

As afirmações no relatório branco de que “a computação quântica pode acabar com o Bitcoin mais cedo do que o esperado” fazem parte de uma conclusão do grupo de investigação. A estimativa do risco de exposição de 6,9 milhões de BTC assenta no pressuposto de que “todos os endereços que não foram movidos durante muito tempo não adotaram quaisquer medidas de proteção”, o que não é absolutamente verdade na rede real. Do mesmo modo, o aviso sobre cinco vias de ataque no Ethereum baseia-se na suposição de que o atacante já dispõe de capacidade CRQC.

A viabilidade de que os computadores quânticos atinjam a escala descrita no relatório branco em 2029 corresponde a uma extrapolação baseada na velocidade atual de desenvolvimento do hardware. Se a quantidade de qubits quânticos físicos pode crescer, em três anos, dos atuais alguns centenas para 500.000, depende de várias inovações técnicas nos domínios da correção de erro quântico e da fabricação de hardware, o que envolve uma elevada incerteza.

Além disso, há uma narrativa que vale a pena comparar com uma declaração feita por Satoshi Nakamoto num fórum em 2010. Na altura, perante discussões semelhantes sobre a evolução tecnológica, Satoshi disse: “Se o SHA-256 for completamente comprometido, acho que podemos chegar a um consenso, reverter a cadeia de blocos para um estado conhecido e bom, e a partir daí continuar.” Esta perspetiva reflete o consenso atual da indústria de que “é sempre mais fácil quebrar do que criptografar” — isto é, a evolução dos ativos criptográficos em si também faz parte do seu modelo de segurança.

Do exchange ao auto-custódia: reestruturação da indústria na era pós-quântica

A publicação do relatório branco da Google teve impactos substanciais na indústria cripto em três dimensões.

Em primeiro lugar, acelerou o processo de criptografia pós-quântica passar de teoria para implementação em engenharia. Desde que, em 2024, o NIST publicou padrões de PQC, algumas novas cadeias públicas e projetos de Layer 2 já começaram a testar soluções de assinatura PQC, como Falcon, Dilithium, etc. Após a publicação do relatório branco, as discussões sobre “cronogramas de migração para PQC” espalharam-se do meio académico para exchanges, prestadores de serviços de carteira e operadores de pools de mineração. Para grandes exchanges, a forma de desenhar um sistema de endereços de depósito e levantamento compatível com PQC, garantindo ao mesmo tempo a segurança dos ativos existentes, tornou-se um desafio técnico que precisa de ser resolvido nos próximos dois anos.

Em segundo lugar, impôs requisitos de atualização claros aos utilizadores de auto-custódia e a projetos antigos. O risco de 6,9 milhões de BTC exposto no relatório branco visa principalmente dois tipos de endereços: os “endereços adormecidos” que não foram movidos durante muito tempo e os UTXO que utilizam endereços de chaves públicas já usados (por exemplo, o formato Legacy P2PK). Isto significa que, para qualquer utilizador de auto-custódia que ainda use formatos de endereços não atualizados, ou que mantenha ativos não movimentados durante muito tempo, a sua exposição ao risco vai aumentar com o tempo. Para projetos de contratos inteligentes implantados antes de 2017, se a lógica de verificação de assinaturas não reservar espaço para atualização, podem enfrentar um bloqueio de segurança permanente.

Em terceiro lugar, levou a uma reavaliação das soluções de governação de ativos na cadeia. Se ataques quânticos se tornarem realidade, como congelar rapidamente os ativos roubados, como coordenar todos os nós para concluir um soft fork de PQC e como lidar com ativos que não podem ser movimentados entre endereços iniciais como os de Satoshi Nakamoto: para além destas questões técnicas, os desafios de coordenação social serão um desafio novo para o setor.

Três futuros: cenários de simulação na era quântica

Com base na velocidade atual do desenvolvimento tecnológico e na capacidade de resposta da indústria, podem ser simuladas três vias evolutivas possíveis.

Cenário um: cenário otimista (migração de PQC à frente do ataque quântico). Neste cenário, as principais cadeias públicas, exchanges e prestadores de serviços de carteira concluem a atualização de PQC antes de 2028, com uma migração completa dos endereços de ativos correntes para esquemas de assinatura resistentes a quânticos. Embora os computadores quânticos atinjam capacidades de quebra por volta de 2029, a rede já não possuirá uma superfície de ataque explorável. A concretização deste cenário depende da rápida consolidação do consenso da indústria e de um investimento suficiente de recursos para o desenvolvimento de engenharia.

Cenário dois: cenário pessimista (ataque quântico antes da atualização da indústria). A velocidade de evolução do hardware quântico excede as expectativas; quando a indústria ainda não tiver concluído a migração para PQC, os atacantes já terão capacidade para implementar a quebra. Nesse momento, as redes do Bitcoin e do Ethereum enfrentarão riscos de grande escala de divulgação de chaves privadas, com colapso da confiança do mercado e uma redução acentuada do valor dos ativos. Neste cenário, a indústria poderá ser forçada a adotar medidas extremas, como congelar à força os endereços expostos através de consenso social, reverter transações e até iniciar uma nova cadeia.

Cenário três: cenário mais provável (atualização faseada e coexistência de riscos locais). A indústria concluirá a migração de PQC para os principais formatos de endereço entre 2028 e 2030, mas uma grande quantidade de ativos de cauda longa, projetos antigos e endereços de auto-custódia não atualizados de forma proativa continuarão expostos a riscos. A aplicação real da computação quântica terá início com ataques locais; os atacantes poderão priorizar endereços com maior concentração de valor e defesa mais fraca para realizar ataques-piloto. Neste cenário, o foco da gestão de riscos passará de “atualização unificada em toda a indústria” para “proteção por prioridade dos ativos críticos”.

Conclusão

O relatório branco de IA Quântica da Google de 2026 não é uma profecia do fim do mundo para o universo criptográfico; é antes um alerta técnico em que a precisão dos riscos aumenta continuamente. Ele leva os ataques quânticos de “ameaças teóricas distantes” para “desafios de engenharia quantificáveis”, ganhando à indústria uma janela preciosa de tempo para atualização. Quer seja o potencial da atualização Taproot do Bitcoin, quer seja a arquitetura flexível dos contratos inteligentes do Ethereum, existe uma base técnica para introduzir criptografia pós-quântica. Para cada participante do ecossistema cripto, compreender a essência das ameaças quânticas, avaliar a própria exposição ao risco e acompanhar ativamente o processo de migração para PQC será uma questão central para proteger a segurança dos ativos digitais nos próximos anos. A história da evolução das tecnologias cripto provou repetidamente uma coisa: a verdadeira segurança não nasce da ignorância dos riscos, mas sim de uma antecipação plena dos desafios e de uma resposta sistémica.