A ameaça da computação quântica do Google aumenta: Como a indústria de criptografia deve responder antes do Q-Day em 2029?

À medida que a computação quântica passa de um tema na linha de frente da física teórica para um calendário de engenharia das grandes tecnológicas, o alicerce de segurança que suporta o funcionamento de todo o mundo digital enfrenta desafios sem precedentes. Em Março de 2026, a Google publicou em sequência dois comunicados, trazendo o enquadramento mental das ameaças quânticas de “hipóteses distantes” para uma “contagem decrescente para a realidade”. Para a indústria de criptografia, isto já não é um debate académico sobre possibilidades futuras, mas sim um teste de esforço abrangente da resiliência dos sistemas de segurança, da eficiência da governação da comunidade e do caminho de evolução tecnológica.

Que mudanças na perceção do mercado sobre a ameaça quântica ocorreram?

Nos últimos dez anos, a ameaça da computação quântica para os ativos cripto foi encarada, na maior parte das vezes, como uma “narrativa de longo prazo” — embora teoricamente válida, é amplamente considerada ainda distante de aplicações reais, estando a dezenas de anos de distância. No entanto, a série de comunicados da Google publicada em Março de 2026 alterou completamente este enquadramento de perceção.

A mudança central reside na reconfiguração quantitativa dos custos de ataque. A equipa de Quantum AI da Google atualizou, num white paper, as estimativas de recursos necessários para quebrar o problema do logaritmo discreto em curvas elípticas de 256 bits: cerca de 1.200 a 1.450 qubits lógicos, acompanhados por 70 a 90 milhões de portas Toffoli, permitem concluir um ataque em poucos minutos. Mais importante ainda, a dimensão de qubits quânticos físicos necessários para concretizar este ataque foi comprimida para menos de 500 mil, uma redução de cerca de 20 vezes face às estimativas anteriores. Isto significa que a computação quântica relacionada com criptografia deixa de ser um objetivo longínquo que “exige vários milhões de qubits” e passa a ser uma tarefa de engenharia que “pode ser realizada em poucos anos”.

Em paralelo, a Google definiu um calendário interno de migração claro — concluir a transição integral dos seus próprios sistemas para a criptografia pós-quântica até ao final de 2029. A fixação deste marco faz com que a discussão na indústria passe de “se vai acontecer” para “se é possível concluir a migração antes disso”.

O que está a acelerar a linha temporal da ameaça quântica?

O que impulsiona esta mudança de perceção são as ruturas duplas em hardware e algoritmos quânticos. Do ponto de vista do hardware, o chip quântico Willow da Google, com 105 qubits, ainda está longe do limiar de ataque; contudo, as suas conquistas em tecnologia de correção de erros têm um significado emblemático. A correção de erros é um pré-requisito para a computação quântica em grande escala. Este avanço indica que o caminho para a computação quântica relacionada com criptografia está a ser progressivamente desbravado.

No lado dos algoritmos, a importância é igualmente crítica. A eficiência de compilação do algoritmo de Shor tem vindo a melhorar de forma contínua ao longo dos últimos anos, levando a estimativas de recursos para quebrar a criptografia de curvas elípticas a descerem continuamente. A equipa de investigação da Google aponta que esta tendência de otimização se mantém há vários anos, e que os resultados mais recentes reduzem o patamar de ataque para um quinto das estimativas anteriores. Além disso, a rápida iteração do hardware quântico, juntamente com melhorias contínuas nos algoritmos de correção de erros, cria um efeito combinado, fazendo com que o “Q-Day” — isto é, o momento em que uma computação quântica consegue quebrar eficazmente sistemas de criptografia de chave pública existentes — chegue mais cedo do que o que, em geral, a indústria previa.

Que custo esta mudança estrutural acarretará para a segurança dos ativos cripto?

A materialização da ameaça quântica reflete-se, em primeiro lugar, na reclassificação do risco de segurança dos ativos. Atualmente, os riscos de segurança dos ativos cripto não estão distribuídos de forma homogénea. De acordo com o tipo de endereço, existe uma diferença significativa na exposição: endereços antigos no formato Pay-to-Public-Key, em que a chave pública fica totalmente pública; uma vez que o computador quântico tenha capacidade de quebra, a chave privada pode ser derivada diretamente. Já no caso dos endereços no formato Pay-to-Public-Key-Hash, a chave pública só fica exposta quando a transação ocorre; se forem rigorosamente seguidas as regras de não reutilização de endereços, o risco fica relativamente controlado.

De acordo com estimativas, atualmente cerca de 4 milhões de bitcoins (aproximadamente um quarto do total em circulação) estão guardados em endereços P2PK ou em endereços P2PKH repetidos, estando sob uma exposição potencial ao risco. Estes dados evidenciam a urgência do problema: mesmo que ainda não existam computadores quânticos, um atacante pode adotar a estratégia de “recolher primeiro, decifrar depois”, obtendo antecipadamente dados da chave pública, para os decifrar quando a tecnologia estiver madura.

O custo mais profundo está no nível de confiança. Para investidores institucionais, ao avaliar ativos cripto como opção de alocação de capital, a segurança técnica é uma das dimensões centrais. Se a ameaça quântica for encarada como um “risco sistémico e incontrolável”, pode levar a uma evasão estrutural da alocação de capital, o que, por sua vez, exerce uma pressão sustentada sobre a liquidez do mercado.

Para o panorama da indústria cripto, que tipo de divisão isto implica?

A capacidade de Bitcoin e Ethereum para lidar com a ameaça quântica está a formar um contraste marcante, e esta divisão poderá remodelar a competitividade de longo prazo dos dois ecossistemas.

A governação da comunidade Bitcoin tem como característica principal a cautela e a descentralização; qualquer grande atualização no nível do protocolo exige consenso de toda a rede. Neste momento, embora já existam propostas como BIP 360 para fornecer alguma proteção quântica no contexto do Taproot, ainda não se formou consenso sobre um roteiro completo de migração para PQC. Alguns membros da comunidade mantêm dúvidas sobre a linha temporal de 2029, acreditando que a ameaça quântica está a ser exagerada. No entanto, os progressos de investigação da Google estão a forçar uma reavaliação desta posição — se 2029 se tornar um marco real, há uma incerteza considerável sobre se a governação descentralizada do Bitcoin consegue coordenar-se num prazo limitado.

O Ethereum, por sua vez, revela um estado de preparação completamente diferente. A Ethereum Foundation publicou um roadmap para o Post-Quantum Ethereum, propondo de forma explícita realizar, progressivamente, a atualização de PQC a nível do Layer 1 através de múltiplos hard forks (como os “hard forks” I e J), incluindo a migração integral de módulos centrais como assinaturas de validadores, o sistema de contas e o armazenamento de dados. Vitalik Buterin já discutiu publicamente, por várias vezes, soluções de proteção quântica, e a rede de testes também já está em funcionamento. Esta estratégia de “planear com antecedência e migrar de forma gradual” está altamente alinhada com a linha temporal de 2029 da Google, evidenciando uma iniciativa estratégica mais forte e uma maior certeza de execução.

Que cenários de evolução poderão surgir no futuro?

Com base nas informações atuais, a evolução da indústria cripto face à ameaça quântica poderá apresentar dois cenários.

Cenário 1: migração ordenada. O roteiro do Ethereum progride conforme planeado, realizando a atualização de PQC ao nível do Layer 1 através de múltiplos hard forks em torno de 2029. A comunidade do Bitcoin, sob pressão externa, chega a consenso e introduz novos tipos de endereços e algoritmos de assinatura através de soft forks. Fornecedores de carteiras, bolsas e projetos de Layer 2 seguem em simultâneo, formando um caminho de migração padrão para toda a indústria. Os ativos dos utilizadores transicionam através de migração ativa ou de conversão automática por protocolo, mantendo a ameaça quântica dentro de um âmbito gerível.

Cenário 2: bifurcação e fragmentação. Se a comunidade do Bitcoin não conseguir chegar a consenso antes do marco temporal de 2029, poderá ocorrer uma divisão da comunidade: uma parte dos nós e dos mineiros apoia a atualização para PQC, enquanto outra parte mantém o protocolo original. Esta bifurcação não só cria o risco de divisão da rede como também pode enfraquecer a confiança do mercado no Bitcoin enquanto “ouro digital” em termos de segurança. Além disso, alguns projetos que interrompam o desenvolvimento ou que não tenham mecanismos de governação podem ficar permanentemente impossibilitados de concluir a atualização, ficando os seus ativos sujeitos a um risco efetivo de zerar.

A distinção entre os dois cenários depende, em última instância, de saber se a indústria consegue, nos próximos anos, completar a passagem de “consenso de perceção” para “consenso de execução”.

Quais são os riscos potenciais no caminho para a era pós-quântica?

Os riscos no processo de migração tecnológica também não podem ser ignorados. Primeiro, o risco de seleção de algoritmos: no domínio da criptografia pós-quântica existem várias opções candidatas; diferentes projetos de blockchain poderão adotar diferentes padrões de PQC, criando novos desafios de interoperabilidade entre cadeias. Em segundo lugar, o risco de implementação de código: os algoritmos de PQC são relativamente mais complexos do que os algoritmos criptográficos tradicionais; a introdução de novo código pode introduzir vulnerabilidades que ainda não tinham sido detetadas, tornando-se um ponto de entrada para os atacantes.

Além disso, a própria narrativa de mercado pode também ser uma fonte de risco. A equipa de investigação da Google, no seu anúncio, sublinha especificamente que “estimativas não validadas cientificamente” sobre capacidades de ataque quântico podem, por si só, tornar-se ferramentas de FUD, gerando risco sistémico ao abalar a confiança do mercado. Isto exige que a indústria, ao discutir a ameaça quântica, mantenha a clareza cognitiva e evite cair em narrativas de pânico emocional.

O que merece atenção é que a tecnologia de provas de conhecimento zero tem vindo a ser explorada como uma ferramenta de divulgação responsável — a Google já usou este mecanismo para validar publicamente as suas conclusões sobre estimativas de recursos, evitando ao mesmo tempo divulgar detalhes do ataque. Isto oferece um paradigma que poderá ser usado como referência para a divulgação de futuras vulnerabilidades de segurança.

Resumo

A Google fixou a linha temporal da ameaça quântica em 2029 e comprimiu em 20 vezes as estimativas de recursos de hardware necessários para quebrar a criptografia de curvas elípticas, assinalando que o impacto da computação quântica na indústria cripto passou de “cenários teóricos” para a fase de “planeamento na realidade”. Neste novo enquadramento, o limite de segurança dos ativos cripto deixa de depender apenas da força dos algoritmos atuais, passando a depender da eficiência de governação e da capacidade de execução da indústria dentro de uma janela de tempo limitada.

Está a ocorrer uma divisão nas estratégias de resposta de Bitcoin e Ethereum: o primeiro enfrenta problemas de coordenação sob governação descentralizada, enquanto o segundo, através de um roteiro claro, já demonstrou uma adaptabilidade mais forte. Independentemente do caminho, a migração para PQC tornar-se-á uma das maiores atualizações de infraestruturas da indústria cripto nos próximos anos. Para os participantes do mercado, compreender o limite real da ameaça quântica, acompanhar os progressos de PQC por parte dos projetos e evitar hábitos básicos de segurança como a reutilização de endereços será a ação fundamental para gerir o risco neste período de transição.

FAQ

Pergunta: O computador quântico consegue, atualmente, quebrar o Bitcoin ou o Ethereum?

Resposta: Não. Existe uma diferença de ordens de grandeza entre a quantidade de qubits dos computadores quânticos atuais (por exemplo, os 105 qubits físicos do Google Willow) e os qubits físicos na ordem das dezenas de milhares até aos milhões necessários para quebrar a criptografia de curvas elípticas. A ameaça está no futuro, não no presente.

Pergunta: O que é “Q-Day”? Quando irá chegar?

Resposta: Q-Day refere-se ao momento crítico em que um computador quântico consegue quebrar de forma eficaz os sistemas atuais de criptografia de chave pública. Com base nos seus progressos em hardware quântico e na otimização de algoritmos, a Google definiu um calendário interno de migração para 2029, mas o momento exato ainda depende da velocidade das ruturas tecnológicas nos próximos anos.

Pergunta: Como é que um utilizador comum deve lidar com a ameaça quântica?

Resposta: Evitar a reutilização de endereços é, nesta fase, a medida de proteção mais eficaz. No futuro, deve-se acompanhar se o projeto dos ativos detidos publica um plano de migração para PQC e, após a atualização do protocolo, migrar ativamente os ativos para endereços que suportem assinaturas resistentes a ataques quânticos.

Pergunta: Se ocorrerem ataques quânticos, todos os ativos cripto serão roubados?

Resposta: Não. Existe um risco direto apenas para endereços cuja chave pública já foi exposta (como endereços P2PK ou endereços P2PKH reutilizados). Para os ativos que seguem a regra de não reutilização de endereços, o seu nível de exposição ao risco é relativamente controlado. Além disso, uma atualização de PQC a nível de protocolo resolve este problema fundamentalmente.