O mercado observa o risco quântico do Bitcoin enquanto os investigadores planeiam uma preparação faseada e cautelosa

Os investidores institucionais estão cada vez mais a perguntar de que forma a narrativa do Bitcoin quântico afecta as premissas de segurança a longo prazo, mesmo quando a ameaça prática ainda parece distante.

O verdadeiro âmbito da ameaça quântica

A discussão pública sugere frequentemente que a computação quântica poderá quebrar o Bitcoin de forma iminente. No entanto, as máquinas suficientemente poderosas para o fazer usando o algoritmo de Shor provavelmente ainda estão a décadas de distância, e a exposição real é mais estreita do que os títulos dramáticos fazem parecer.

O Bitcoin depende de assinaturas digitais para garantir a posse, historicamente ECDSA e, desde o Taproot, também assinaturas Schnorr sob o BIP340. Ambos os esquemas usam a mesma curva elíptica, secp256k1, para derivar chaves públicas a partir de chaves privadas de uma forma que, actualmente, é inviável inverter com hardware clássico.

Um computador quântico tolerante a falhas capaz de executar o algoritmo de Shor numa escala criptograficamente relevante poderia, em teoria, resolver o problema do logaritmo discreto em curvas elípticas. Isso permitiria a um atacante forjar assinaturas válidas e roubar fundos directamente, razão pela qual este vector de ataque atrai a maior atenção.

Em segundo plano está a preocupação com o algoritmo de Grover, que oferece uma aceleração quadrática para problemas de pesquisa por força bruta. Não quebraria directamente a SHA-256, mas poderia reduzir o trabalho necessário para encontrar um hash válido de proof-of-work, potencialmente alterando a economia da mineração e os riscos de centralização se um miner quântico conseguisse ultrapassar as frotas de ASICs existentes.

Além disso, qualquer vantagem desse proof-of-work continuaria a depender de engenharia no mundo real: conceber e operar um miner quântico superior a ASICs especializados é um desafio enorme à parte, para além de simplesmente executar o algoritmo de Grover num laboratório.

Onde o Bitcoin está efectivamente exposto

Os ataques baseados em Shor só se tornam relevantes quando uma chave pública fica visível na cadeia (on-chain). Este perfil de exposição varia significativamente entre tipos de output e práticas de carteira, razão pela qual o risco quântico para o Bitcoin não é uniforme.

As moedas com exposição a longo prazo são aquelas em que a chave pública é revelada quando o UTXO é criado ou permanece visível durante períodos prolongados. Este grupo inclui outputs P2PK iniciais, endereços reutilizados cujos fundos estão ligados a chaves reveladas em spends anteriores, e outputs Taproot P2TR, que comprometem uma chave ajustada (tweaked) directamente no UTXO.

Nesses casos, as chaves públicas podem ser recolhidas muito antes de qualquer spend ocorrer. Isso cria um cenário potencial de “recolher agora, atacar depois”: se, no futuro, existissem máquinas quânticas poderosas, poderiam visar chaves expostas há muito tempo em grande escala.

Em contraste, tipos de carteiras modernas como P2PKH (legado) e P2WPKH (SegWit) usam chaves públicas com hash, revelando apenas a chave real no momento do spend. No entanto, isto limita fortemente a janela para um atacante, que teria de derivar a chave privada e transmitir uma transacção conflitante nos poucos blocos antes de o spend legítimo ser confirmado.

As estimativas sobre quantas moedas estão expostas variam. Algumas análises sugerem que 20–50% do fornecimento total poderia estar vulnerável sob hipóteses amplas. Outras argumentam que isso exagera a explorabilidade prática, sobretudo quando muitas moedas expostas estão fragmentadas em UTXOs pequenos ou ficam apenas visíveis durante corridas (races) no mempool.

Um relatório amplamente citado restringe a sub-parte realmente exposta e concentrada para cerca de 10,200 BTC, o que é significativo, mas está longe de um cenário de anulação sistémica. Além disso, esta distinção entre superfície de ataque teórica e prática é crucial para uma avaliação de risco credível.

O gargalo do quântico tolerante a falhas

Todos estes cenários assumem a existência de computadores quânticos grandes e tolerantes a falhas a operar em escalas muito acima das dos dispositivos actuais. Hoje, os sistemas publicamente conhecidos ainda são ruidosos, pequenos e incapazes de ataques criptograficamente significativos.

Quebrar as assinaturas de curvas elípticas do Bitcoin exigiria provavelmente milhões de qubits físicos com correcção de erros forte para produzir qubits lógicos estáveis suficientes. Um estudo recente estima que as máquinas poderiam precisar de ser aproximadamente 100,000× mais poderosas do que qualquer processador quântico disponível hoje.

As opiniões divergem sobre se esse hardware chegará a tempo para ter relevância para o Bitcoin. Ainda assim, muitas previsões sérias agrupam-se em torno de meados da década de 2030 até meados da década de 2040 como a janela plausível mais cedo, o que dá tempo ao ecossistema, mas não é desculpa para complacência.

O crucial é que, se alguma capacidade significativa alguma vez surgir, a resposta terá de ter sido planeada, testada e coordenada anos antes. É por isso que a discussão mudou de ficção científica para um problema de engenharia e de governação.

Normas pós-quânticas e caminhos de migração

O desafio central é como é que o Bitcoin poderia migrar para criptografia resistente a quântico sob limites estritos de débito (throughput), governação conservadora e incentivos assimétricos entre detentores e prestadores de serviços.

Em 2024, o NIST finalizou o seu primeiro conjunto de normas de criptografia pós-quântica, incluindo ML-DSA baseado em reticulados (Dilithium) e SLH-DSA (SPHINCS+). Estes esquemas estão a tornar-se os candidatos por defeito para sistemas grandes que precisam de se preparar para operações seguras contra quântico.

Para o Bitcoin, qualquer migração realista provavelmente seria implementada por fases. Seriam introduzidos novos tipos de output e predefinições de carteiras, possivelmente juntamente com transacções híbridas que exigem provas tanto clássicas como pós-quânticas durante um longo período de transição.

No entanto, as assinaturas pós-quânticas, em geral, vêm com compromissos: são frequentemente maiores e mais pesadas computacionalmente para verificar, aumentando o uso de espaço em blocos, os requisitos de largura de banda e os custos de validação para nós completos. É necessário um desenho cuidadoso para evitar pressionar a escalabilidade da rede e a descentralização.

Existem várias direcções plausíveis para além de qualquer blueprint único. As opções incluem tipos de output com capacidade quântica, políticas híbridas para uma janela de transição definida, e predefinições de carteiras que reduzem gradualmente a exposição de longa duração a chaves públicas. Um soft fork é o mecanismo mais plausível para introduzir novos tipos de script, enquanto um hard fork permanece um último recurso de alto risco devido à possibilidade de cisões na cadeia (chain splits).

BIP 360 e P2MR como endurecimento incremental

O BIP 360, recentemente fundido no repositório oficial de BIPs, é a tentativa mais concreta até agora para traduzir uma preocupação de alto nível numa mitigação incremental, nativa do Bitcoin, focada em padrões de longa exposição.

A proposta introduz um novo tipo de output chamado Pay-to-Merkle-Root (P2MR), concebido para ser funcionalmente semelhante às árvores de script do Taproot, mas removendo deliberadamente o spending do caminho de chave (key-path). Em vez disso, todos os spends devem revelar um caminho de script e uma prova de Merkle.

Conceptualmente, o P2MR são “árvores de script à la Taproot, mas sem key-path”. Este desenho visa directamente chaves públicas incorporadas de longa duração que são as mais vulneráveis a cenários de “recolher agora, atacar depois” ligados ao algoritmo de Shor, sem comprometer imediatamente o Bitcoin com esquemas pesados de assinaturas pós-quânticas.

O principal compromisso é o tamanho: os spends do P2MR carregam testemunhos (witnesses) maiores em comparação com spends compactos do Taproot key-path. No entanto, os defensores argumentam que aceitar scripts ligeiramente maiores se justifica se reduzir significativamente a exposição a chaves públicas de longa duração.

O BIP 360 apresenta o P2MR como um bloco de construção fundamental, e não como uma resposta final. Ele aborda parte do problema — outputs de longa exposição — enquanto os riscos de corrida no mempool de curta duração e a transição para assinaturas pós-quânticas completas exigiriam propostas adicionais e consenso.

UTXOs legados e dilemas de governação

A proposta também sublinha uma realidade mais desconfortável: mesmo com novos tipos de output e melhores predefinições de carteira, uma parte não trivial do conjunto UTXO provavelmente permanecerá indefinidamente em scripts legados, criando bolsões de vulnerabilidade estrutural.

Algumas detenções estão simplesmente dormentes ou perdidas, com proprietários que nunca assinarão uma nova transacção. Outras estão em arranjos de custódia institucional ou em configurações personalizadas que se movem lentamente. Além disso, a inércia humana simples significa que alguns utilizadores não migrarão voluntariamente até a ameaça parecer imediata.

Se alguma capacidade quântica relevante do ponto de vista criptográfico alguma vez aparecer, algumas moedas expostas há muito tempo cujos proprietários são inalcançáveis poderiam, em princípio, ser varridas por quem conseguir derivar primeiro as suas chaves privadas. Mesmo que isso seja tratado como roubo em vez de falha de protocolo, o impacto no mercado poderia ser severo.

A liquidação súbita de grandes clusters dormentes poderia quebrar a confiança, desencadear debates de política de emergência e alimentar receios sobre um excesso de oferta escondido. No entanto, propostas para congelar, recuperar (claw back) ou tratar de outra forma moedas não migradas levantam questões explosivas sobre imutabilidade, neutralidade e direitos de propriedade que atingem o cerne do contrato social do Bitcoin.

A possibilidade de deadlock de governação é uma das razões pelas quais um planeamento inicial, medido, é tão importante. Quando um ataque quântico credível estiver em curso, pode haver pouco tempo ou consenso para improvisar correcções radicais.

Riscos, cronogramas e preparação realista

No debate mais amplo sobre o risco quântico do bitcoin, a maioria dos analistas mais sérios concorda agora em alguns pontos: o desafio é real, os prazos são incertos, e a superfície de ataque é altamente desigual entre diferentes tipos de outputs e práticas de carteiras.

Importante: o ecossistema não está a começar do zero. Os programadores já estão a explorar melhorias que podem ser activadas via soft fork, novos designs de outputs como P2MR, e estratégias de migração informadas por normas emergentes noutros sectores. É precisamente o tipo de trabalho que os detentores institucionais com horizonte longo querem ver.

A parte mais difícil é a coordenação. Qualquer transição significativa poderia levar anos, ser politicamente controversa, e ser complicada por moedas que nunca se movem. Dito isto, a cultura conservadora de upgrades do Bitcoin é também uma força, permitindo mudanças por adesão (opt-in) e em fases, sem forçar toda a rede para um prazo apressado de hard fork.

Nesse contexto, o perfil de risco do bitcoin quântico parece menos um precipício existencial iminente e mais um desafio de engenharia de longa duração. Com pesquisa contínua, desenho prudente de carteiras e endurecimento incremental do protocolo, a rede ainda tem tempo para se preparar.

No fim, a postura racional é clara: preparar é melhor do que entrar em pânico. Ao tratar o quântico como uma ameaça séria mas gerível, o Bitcoin pode continuar a evoluir o seu modelo de segurança sem sacrificar as propriedades que o tornaram valioso à partida.