Relatório de 10.000 palavras sobre segurança quântica na blockchain: análise panorâmica das ameaças da computação quântica, estado atual da segurança quântica, recomendações de preparação e projeções de cronograma

Autor**:** Bob, investigador na Web3Caff Research

No início de 2026, a maior empresa de blockchain cotada nos EUA, a Coinbase, anunciou a criação de um conselho consultivo sobre computação quântica. A Fundação Ethereum elevou a segurança quântica ao nível de prioridade estratégica máxima e constituiu uma equipa dedicada à segurança quântica. Entretanto, o NIST dos EUA (National Institute of Standards and Technology) também definiu marcos de migração para a segurança quântica. Tudo isto sugere que a indústria de blockchain está prestes a enfrentar um enorme desafio de segurança.

Aproximando-nos da data de 30 de março de 2026, um artigo publicado pelo responsável da área de IA quântica da Google, Ryan Babbush, em conjunto com investigadores relevantes da Fundação Ethereum, da Universidade de Stanford e outras instituições, tocou completamente o “sino do apocalipse quântico”. Este trabalho mais recente, 《Proteger criptomoedas de curvas elípticas de ataques a vulnerabilidades quânticas: estimativas de recursos e medidas de mitigação》, afirma que, com as mais recentes estimativas de recursos quânticos, é possível levar a cabo um ataque quântico em poucos minutos usando menos de 500.000 qubits, reduzindo o que a indústria estimava anteriormente em 20 vezes. Em comparação, antes, a Google antecipou formalmente a sua linha temporal de migração pós-quântica para 2029 e emitiu publicamente um “último” aviso para toda a indústria.

Sabemos que a base fundamental do blockchain é a criptografia de chave pública (Public-key Cryptography). Nos últimos anos, o poder de computação dos computadores quânticos tem mostrado um desenvolvimento exponencial, colocando a criptografia de chave pública sob uma ameaça crescente. A comunicação social costuma fornecer datas de ameaça quântica extremamente urgentes, dando a entender que a computação quântica destruirá instantaneamente o mundo digital antigo. Mas a verdade não é assim. Perante os desafios potenciais da computação quântica, a indústria de blockchain está a desenvolver ativamente soluções de segurança quântica — por exemplo, a proposta anti-quântica recém-lançada pela comunidade Bitcoin, BIP-360 (Pay to Merkle Root); a atualização anti-quântica EIP-8141 que está para chegar na Ethereum; e o roadmap anti-quântica para os próximos 10 anos proposto pela rede de camada 2 Optimism da Ethereum. Face à complexidade das atualizações de rede blockchain, a comunidade de developers também está a construir infraestruturas anti-quânticas mais “simples”, como ferramentas “anti-quânticas” para utilizadores Bitcoin (YellowPages), com o objetivo de garantir a segurança quântica das suas chaves privadas.

Claro, à medida que aumenta a escala dos computadores quânticos capazes de armazenar qubits, o risco de os computadores quânticos poderem quebrar a criptografia tradicional do blockchain também se intensifica. Mas então, qual é afinal o nível desta ameaça? Como está a indústria Web3 a responder? E quanto falta para alcançar a segurança pós-quântica? Sem conceitos “esotéricos” de física, este relatório irá, a partir dos conceitos mais básicos de “quântico”, analisar o estado atual da segurança quântica em blockchain e fornecer uma tabela de projeção do tempo para este “relógio do apocalipse quântico”, com vista a dissecar de forma abrangente os riscos sistémicos que isso representa para a indústria e as soluções de resposta atuais.

Índice

• Introdução teórica à computação quântica
• Princípios da computação quântica (superposição, emaranhamento, interferência)
• História do desenvolvimento dos computadores quânticos
• Aplicações da computação quântica
• Ameaças à computação quântica
• Algoritmo quântico de SHOR
• Algoritmo quântico de Grover
• Análise do impacto da computação quântica no blockchain
• Impacto da computação quântica nas finanças digitais
• Situação da segurança quântica
• Desenvolvimento da criptografia pós-quântica
• Avanços anti-quânticos na indústria de blockchain
• Recomendações de preparação e projeção da linha temporal para o anti-quântico na indústria de blockchain
• Plano de migração a nível nacional
• Implementação substancial a nível empresarial
• Linha temporal de preparação de segurança quântica na indústria de blockchain
• Conclusão
• Diagrama da estrutura dos pontos-chave
• Referências

Introdução teórica à computação quântica

A mecânica quântica (Quantum mechanics) é a base teórica da computação quântica. Esta teoria académica, iniciada no início do século XX, é uma componente muito importante da física moderna. A palavra “mecânica quântica” era originalmente do alemão “_Quantenmechanik” , _criada por um grupo de físicos alemães e austríacos da Universidade de Göttingen (University of Göttingen) na Alemanha. O aparecimento da mecânica quântica está ligado à explicação de sistemas que a “física clássica” não consegue explicar. A “física clássica” é uma compreensão inicial das leis fundamentais da natureza, como mecânica, eletromagnetismo, calor, etc. No entanto, no mundo microscópico, a teoria da física clássica encontra limites; daí surge a necessidade de teorias modernas de física, como a mecânica quântica. Diferentemente da mecânica clássica, a mecânica quântica descreve o comportamento da matéria de uma forma assente em “probabilidade”, fornecendo assim um novo quadro teórico para o mundo microscópico.

Dizer que Deus lança dados para caracterizar muito bem a física tradicional e a física quântica é perfeitamente adequado. Há mais de cem anos, na época em que as pessoas viviam, muitos cientistas da corrente principal acreditavam que tudo o que era governado pelo Deus existia com “determinismo”. O lendário físico Albert Einstein (a seguir designado como Einstein) já questionou a aleatoriedade da mecânica quântica com a frase “Deus não lança dados”. A escola quântica contrapôs que Deus não só lança dados, como por vezes até os atira para locais que não conseguimos ver. Einstein, como defensor da teoria quântica incompleta na altura, acreditava que o universo existe de forma objetiva, e alinhava-se com o “determinismo físico”, ou seja, que todos os fenómenos são inevitavelmente controlados e não existe “verdadeira aleatoriedade”. Por outro lado, o físico dinamarquês Niels Henrik David Bohr (a seguir designado como Bohr), como representante da nova escola da “teoria das probabilidades”, considerava que a essência do mundo é “probabilística” e propôs a “interpretação da complementaridade” (corpuscularidade e ondulatória são complementares; não podem ser medidas com exatidão ao mesmo tempo, relacionada com o princípio da incerteza). Esta controvérsia académica sobre a mecânica quântica começou em 1925 e durou cerca de 10 anos. Nas décadas seguintes, vários tipos de experiências foram progressivamente demonstrando a perspetiva de Bohr. Embora Einstein tenha sido, no passado, um crítico da “teoria das probabilidades” na mecânica quântica, também impulsionou o desenvolvimento da teoria quântica por vias indiretas. Hoje, mais de cem anos depois, a física quântica penetrou profundamente em todos os aspetos da tecnologia moderna — desde dispositivos eletrónicos de semicondutores até à imagiologia médica — e as pessoas, mais tarde do que antes, já aceitaram que a base do mundo é quântica.

A controvérsia Einstein-Bohr, fonte da imagem: wikipedia

A computação quântica utiliza regras não tradicionais da mecânica quântica para realizar cálculos. Para distinguir, em termos que toda a gente consegue compreender, a computação tradicional da computação quântica: enquanto a computação tradicional resolve problemas de uma forma semelhante à de um detetive que resolve questões passo a passo, seguindo pistas; a computação quântica envia muitos detetives em simultâneo, investiga pistas em múltiplas dimensões ao mesmo tempo e, além disso, as pistas de cada detetive estão interligadas entre si. Assim, é possível encontrar a resposta do problema mais rapidamente.

Como todos sabemos, os computadores tradicionais trabalham com 0 ou 1 em binário; na computação quântica pode existir “estado de superposição” que está simultaneamente em 0 e 1, sendo que só até à “medição” que essa situação fica determinada. Em linguagem simples, num computador tradicional cada unidade de informação só pode ser 0 ou 1, como o interruptor de uma lâmpada: desligado é 0, ligado é 1. Ou vês a luz acender, ou vês a luz apagar, não existe um terceiro estado. Já na computação quântica, esta lâmpada pode estar meio acesa e meio apagada ao mesmo tempo (estado de superposição) até tu a observares; só nessa altura é que ela “decide” se está acesa ou apagada. Os estados de superposição no mundo quântico existem devido à essência física: a natureza como a observamos funciona assim. Por exemplo, o eletrão Electron (um dos constituintes básicos da matéria) e o fotão Photon (a unidade fundamental da luz e de toda a radiação eletromagnética) antes de serem medidos, de facto encontram-se em vários estados possíveis em simultâneo.

Embora o mundo quântico pareça muito diferente da realidade que sentimos no dia a dia, experiências clássicas já verificaram a sua existência — trata-se da famosa “experiência da dupla fenda” (Double-slit Experiment). Neste ensaio, os cientistas fazem eletrões ou fotões passarem por um ecrã com duas fendas e registam a sua posição num ecrã de deteção posterior. O resultado mostra que, quando eletrões ou fotões passam simultaneamente pelas duas fendas, surgem no ecrã franjas de interferência, como se as partículas percorressem simultaneamente dois caminhos e se “interferissem” entre si. Ainda mais espantoso: se tentares observar por qual fenda passam, as franjas de interferência desaparecem e no ecrã ficam apenas dois picos separados, como se as partículas só pudessem percorrer um caminho. Esta experiência demonstra que as partículas quânticas, antes de serem observadas, estão realmente em estado de superposição — existem simultaneamente vários estados possíveis.

Para compreender mais facilmente, pode-se comparar a algo como** lançar uma moeda**: no mundo quântico, quando a moeda está no ar a rodar, não está apenas cara ou coroa; está em estado de cara e coroa em simultâneo. Só quando tu a apanhas e observas é que ela “decide” se é cara ou coroa. O princípio dos estados de superposição quânticos é semelhante: antes de serem observadas, as partículas podem estar em várias posições possíveis ao mesmo tempo. Este é um fenómeno que a física clássica não consegue explicar. E por isso, a mecânica quântica é considerada uma das direções mais imaginativas de avanço interdisciplinar e intersetorial no futuro.

Experiência da dupla fenda Double Slit Experiment , fonte da imagem: Science Notes

Em termos simples, um computador quântico é um novo tipo de computador que realiza cálculos com base nos princípios da teoria quântica. Comparado com os computadores tradicionais que só conseguem armazenar e processar bits (Bit: a unidade mínima de informação, que só representa 0 e 1), um computador quântico utiliza “qubits” (Qubit) para armazenar dados. Como os qubits podem representar múltiplos estados simultaneamente — ou seja, os “estados de superposição” descritos acima —, quando se têm vários qubits, eles podem combinar-se e produzir um número de possibilidades que cresce de forma exponencial. Em termos simples: por cada qubit adicional, o espaço de computação expande-se em duplicado. Por essa razão, em certas áreas específicas — como quebrar códigos complexos, otimizar problemas combinatórios gigantescos ou simular estruturas moleculares — um computador quântico pode ter uma vantagem potencial enorme face aos computadores tradicionais.

Princípios da computação quântica (superposição, emaranhamento, interferência)

Para compreender o funcionamento da computação quântica, em primeiro lugar é necessário entender um novo conjunto de termos. Esta parte do princípio inclui 3 conceitos importantes: superposição (Superposition), emaranhamento (Entanglement) e decoerência (Decoherence).

No texto anterior foi mencionado que os computadores quânticos usam qubits ou qubits (Qubit) para armazenar e processar informação. E um qubit é uma unidade especial: pode representar simultaneamente não apenas 0 ou 1, mas múltiplos estados ao mesmo tempo — esta característica chama-se superposição (Superposition).

Na computação quântica, é possível adicionar múltiplos estados quânticos para criar outro estado quântico válido; inversamente, também se pode descrever um único estado quântico como a soma/conjunto de 2 ou mais outros estados diferentes. A característica de superposição permite que o computador quântico tenha capacidade de processamento paralelo, possibilitando realizar simultaneamente milhões de operações de cálculo. Por exemplo: num ambiente de computação normal, 10 qubits de um computador tradicional só conseguem representar 1 estado (por exemplo, 0000011010) de cada vez; já um computador quântico com 10 qubits consegue representar ao mesmo tempo até 1024 estados possíveis (2 elevado a 10). Comparativamente, enquanto um computador tradicional só consegue representar um estado de cada vez, um computador quântico consegue testar mais de 1000 estados de uma vez. O “estado de superposição” dos qubits é a característica mais central da computação quântica.

O segundo conceito importante é o emaranhamento quântico (Entanglement). Em termos simples, quando dois qubits (Qubit) estão “emaranhados”, não importa a que distância estejam, se alterares o estado de um deles, o outro também sofre imediatamente uma alteração correspondente. Esta é a parte mais fascinante da mecânica quântica — parece que existe uma ligação misteriosa invisível entre eles. Este fenómeno existe em partículas microscópicas como fotões (Photon) e eletrões (Electron). Quando alguns desses elementos interagem, formam um sistema global — como se vários bailarinos estivessem de mãos dadas e girassem todos em conjunto. Se empurrares um dos bailarinos, os outros também se movem.

Mudando para um exemplo do quotidiano ainda mais intuitivo: imagina que tu e um amigo, numa cidade distante, cada um têm uma moeda mágica. Estas moedas estão “emaranhadas”. Quando tu viras a tua moeda para cara, instantaneamente a moeda do teu amigo também fica em cara, independentemente de quão longe vocês estejam. O emaranhamento quântico é exatamente uma das características-chave que permite ao computador quântico realizar computação paralela e potencial de transmissão de informação em grande escala, algo que o computador tradicional não consegue fazer.

O emaranhamento quântico é extremamente importante na computação quântica e na comunicação quântica; permite que o computador quântico resolva problemas complexos mais rapidamente. Sem emaranhamento quântico, o computador quântico não consegue fazer com que os qubits (Qubit) trabalhem em conjunto e, por isso, perde a vantagem quântica. A propriedade do “estado de muitos corpos” do emaranhamento quântico permite que múltiplos qubits cooperem, e assim o computador executa uma aceleração “exponencial” através de algoritmos.

O terceiro conceito importante é a decoerência quântica (Decoherence). A decoerência quântica (Decoherence) é o fenómeno em que, assim que um qubit é afetado pela interferência do ambiente externo, características quânticas como o estado de superposição e o emaranhamento tendem a desaparecer gradualmente. É como uma moeda a rodar no ar: se alguém lhe tocar de leve, ela cai imediatamente e fica cara ou coroa. Portanto, um dos desafios centrais dos computadores quânticos é prolongar o máximo possível o tempo de estabilidade desse “estado de rotação”, garantindo que a computação pode ser concluída com sucesso. Por exemplo, ao fabricar estados de superposição de qubits (Qubit) numa plataforma de dispositivos, o ruído do ambiente provoca decoerência nos qubits (Qubit). Em geral, é necessário construir ambientes físicos extremos, como temperaturas muito baixas e vácuo.

O primeiro passo da computação quântica é a “inicialização”. A inicialização tem como objetivo ajustar o estado dos seus qubits (Qubit) de um estado aleatório para o estado fundamental (correspondente ao estado de menor energia), garantindo que o algoritmo quântico é executado nos estados exigidos. Depois, através de uma série de operações de “portas quânticas” (semelhantes às portas lógicas de um computador), eles evoluem e, por fim, obtemos o resultado da medição. No entanto, os estados quânticos são extremamente frágeis: pequenas interferências do ambiente externo podem destruir a superposição e o emaranhamento. Por isso, os computadores quânticos precisam de um apoio de um ambiente externo extremamente rigoroso.

Por esta razão, a computação quântica tem grande potencial em muitos domínios, como criptografia (quebrar sistemas de cifragem), ciência dos materiais (simular e analisar comportamentos de materiais), inteligência artificial e previsão meteorológica. À medida que a computação quântica continua a desenvolver-se, o futuro pode vir a sofrer grandes transformações devido à computação quântica.

História do desenvolvimento dos computadores quânticos

Depois de compreender os conceitos básicos da computação quântica, passemos a conhecer a história dos computadores quânticos.

Os computadores quânticos aparecem nas notícias de uma forma sempre misteriosa, porque a hegemonia quântica é uma das ciências de topo em que os países competem. A construção de computadores quânticos tem pouco mais de 20 anos; contudo, com o avanço dos tempos, o uso de computadores quânticos tem vindo gradualmente a ser aberto ao público. A ideia de dispositivos de computação quântica surgiu pela primeira vez em 1969 com o físico israelita-americano Stephen J. Wiesner. Em 1981, Richard Phillips Feynman propôs a ideia de usar quanticamente a computação universal, estabelecendo as bases teóricas para os primeiros protótipos de computadores quânticos. Em 1994, Peter Shor apresentou o famoso algoritmo de Shor, ajudando o mundo a compreender o enorme potencial da computação quântica para quebrar tecnologias de encriptação tradicionais. De 2000 até hoje, grandes empresas de tecnologia como a Google e a Microsoft têm desenvolvido produtos e serviços relacionados com computação quântica.

Tal como os computadores comuns, a conceção e a fabricação de computadores quânticos dividem-se em duas grandes partes: hardware e software. No hardware há três componentes centrais: o painel de dados, o painel de controlo e medição e o processador. O painel de dados quânticos é o “coração” do computador quântico; serve para armazenar os qubits (a unidade básica que os computadores quânticos usam para armazenar e processar informação) e também para fixar a estrutura desses qubits. As soluções mais comuns atualmente incluem qubits supercondutores, qubits topológicos, etc. A IBM e a Google optaram por rotas tecnológicas que usam qubits supercondutores; a sua vantagem é a simplicidade na fabricação. Os qubits topológicos têm maior estabilidade, mas são difíceis de implementar; a Microsoft escolheu a sua tecnologia.

Um computador quântico é como uma fábrica. O seu “coração” — o painel de dados quânticos — armazena os qubits (Qubit). O painel de controlo e medição converte os sinais digitais em ondas para controlar os qubits. O processador é responsável pelos cálculos, enquanto o software executa os algoritmos através de circuitos quânticos. Os programadores podem escrever programas quânticos usando o IBM Qiskit, a Cirq da Google ou o Q# da Microsoft.

CEO da Google e computador quântico, fonte da imagem: NYTimes

Aplicações da computação quântica

Com a evolução dos algoritmos quânticos e a “comercialização” dos computadores quânticos, a tecnologia quântica tem vindo a integrar-se gradualmente em todos os aspetos da nossa vida.

Com a entrada de gigantes empresariais e o impacto dos investimentos de capital, a computação quântica tem vindo a brilhar em vários domínios, como investigação e desenvolvimento de medicamentos e desenho de modelos de controlo de risco na área financeira. Os métodos tradicionais de desenvolvimento de fármacos dependem da simulação por computadores clássicos das interações moleculares, mas os computadores quânticos podem simular reações químicas com mais precisão. Por exemplo, em 11 de janeiro de 2021, a Google fez parceria com a empresa farmacêutica alemã Boehringer Ingelheim. Usaram algoritmos quânticos para simular estruturas moleculares, ajudando a desenhar medicamentos para doenças cardiovasculares, reduzindo bastante o período de tempo dos ensaios. Na área financeira, a computação quântica otimiza a gestão de risco e carteiras de investimento. O JPMorgan Chase é uma das primeiras instituições financeiras a adotar uma exploração de computação quântica baseada no IBM Q System One (o primeiro computador quântico comercial baseado em circuitos). Utiliza o computador quântico IBM Q System One para simular métodos Monte Carlo, usado para avaliar risco de mercado e precificação de derivados, ajudando o banco a tomar decisões mais precisas no mercado. Embora a computação quântica ainda enfrente dúvidas e desafios a nível de escala comercial, estes casos demonstram que o ritmo da computação quântica saiu do laboratório e se acelerou no sentido de aplicações práticas.

Ameaças da computação quântica

A vantagem única dos computadores quânticos permite-lhes atingir aceleração exponencial em determinados ambientes, ultrapassando em muito a velocidade de processamento de computadores clássicos em dimensões superiores. Assim, os algoritmos de quebra quântica representam uma ameaça potencial enorme para as tecnologias de blockchain construídas sobre criptografia. Atualmente, a arquitetura mais mainstream de blockchain (como Bitcoin, Ethereum, etc.) depende principalmente de sistemas de criptografia de chave pública (como ECDSA, o algoritmo de assinatura digital de curvas elípticas) e de funções hash (como SHA-256) para realizar cifragem segura. Contudo, num futuro previsível, a computação quântica vai quebrar esta barreira de segurança. Atualmente, as ameaças da computação quântica à segurança do blockchain provêm sobretudo de dois algoritmos quânticos mais emblemáticos: o algoritmo Shor proposto em 1994 por Peter Shor e o algoritmo Grover proposto em 1996 por Lov Grover.

Algoritmo quântico de SHOR

O algoritmo Shor (肖尔) é um algoritmo quântico proposto pelo professor de matemática do MIT dos EUA, Peter Williston Shor, também chamado “algoritmo quântico de fatorização de números primos”. Em termos simples, ele consegue decompor rapidamente números inteiros muito grandes — como os usados na cifra RSA — em produtos de dois grandes números primos. Comparado com computadores tradicionais, os computadores quânticos conseguem executar esta tarefa em tempo muito curto, o que é precisamente o ponto forte do Shor. A sua ideia central é igualmente “inteligente”: o algoritmo não procura diretamente os fatores primos; primeiro, encontra rapidamente padrões numéricos (o período) e depois estima os fatores primos com base nessa regularidade.

Uma analogia simples: se um computador tradicional decompõe grandes números como se estivesse num armazém enorme, revirando caixas à procura de algo, então um computador quântico é como se tivesse uma multidão de cópias de si próprio, tentando simultaneamente cada caminho, até encontrar a resposta rapidamente.

Já em 2001, a IBM demonstrou um exemplo do algoritmo Shor com um computador quântico de ressonância magnética nuclear de estado líquido. Desde então, este algoritmo provocou grande impacto no campo da criptografia, porque demonstrou o poder potencial da computação quântica: no futuro, pode ter efeitos profundos nas tecnologias de encriptação tradicionais e na segurança da internet.

Isto significa que, em sistemas de encriptação tradicionais, algoritmos baseados em cifragem assimétrica como a criptografia de curvas elípticas (Elliptic Curve Cryptography), incluindo a cifra usada em assinaturas HTTPS/TSL, chaves SSH e assinaturas de certificados de sites mais antigos, bem como algoritmos como RSA, enfrentarão uma ameaça direta. Em particular, a criptografia de curvas elípticas: esta tecnologia está intimamente ligada à vida quotidiana, como nas Apps de telemóvel, na autenticação de software ID para fins de cifragem. Trata-se de uma das tecnologias de cifragem mais populares e utilizadas na internet moderna. Embora atualmente os computadores quânticos ainda não consigam quebrar a encriptação RSA de 2048 bits (teoricamente ainda seriam necessários milhares de qubits), à medida que a tecnologia de computação quântica amadurecer, no futuro próximo poderá superar esta barreira de segurança.

Algoritmo quântico de Grover

Dois anos após o lançamento do algoritmo Shor, o cientista indiano-americano Lov Kumar Grover, da Universidade de Stanford, propôs e desenvolveu um novo algoritmo quântico — o algoritmo Grover, também chamado de algoritmo de pesquisa quântica. No contexto da computação quântica, o algoritmo Grover é um algoritmo bastante prático, usado para pesquisa e consulta em bases de dados não estruturadas.

Se um computador comum tiver de encontrar respostas numa base de dados de tamanho na ordem de “várias dezenas de potências de 2” (por exemplo, 2 elevado a dezenas), o método tradicional basicamente consiste em verificar de ponta a ponta uma a uma, como folhear livros um a um numa biblioteca — extremamente demorado. O algoritmo Grover, por sua vez, utiliza as características de “superposição quântica” e “amplificação de amplitude” para encontrar a resposta em cerca de √N tentativas. Este processo chama-se “aceleração quadrática” (Quadratic Speedup).

Simplificando: se um computador tradicional precisa de executar 10¹² vezes (ou seja, um trilião de vezes), o algoritmo Grover, teoricamente, precisa apenas de cerca de 1 milhão de vezes. A diferença de eficiência é muito evidente.

O princípio central é: primeiro, “colocar em superposição” todas as respostas possíveis, para que os qubits representem simultaneamente N estados possíveis — no início, a probabilidade de cada resposta ser escolhida é 1/N. Depois, o algoritmo usa um mecanismo chamado “oráculo” para “marcar” a resposta correta (inversão de fase). Em seguida, por iterações repetidas, a probabilidade da resposta correta é continuamente aumentada, enquanto a probabilidade das restantes respostas erradas é reduzida.

Dá para fazer uma analogia: imagina uma sala totalmente escura com inúmeras portas, em que apenas uma porta tem um tesouro. Um computador tradicional só consegue testar uma porta de cada vez. O algoritmo Grover, por outro lado, como se primeiro fizesse com que todas as portas fossem “experimentadas” ao mesmo tempo; e a cada ronda, aumenta-se um pouco a “luminosidade” daquela porta correta, até que, no escuro, ela vá ficando cada vez mais brilhante. Por fim, consegue-se perceber à primeira vista. Quando a probabilidade da resposta correta é amplificada para perto de 100%, o sistema de medição consegue obter o resultado correto com elevada probabilidade.

Talvez te perguntem: se ele testa simultaneamente todas as portas desde o início, por que não nos diz diretamente qual porta tem o tesouro? A razão é — quando tu “olhas” para o resultado (medição), só consegues ver uma das portas. Se olhares desde o início, como todas as portas têm probabilidades iguais, a probabilidade de veres a porta do tesouro é como um sorteio aleatório, quase como adivinhar. Por isso, o algoritmo Grover precisa de tornar a porta correta cada vez mais brilhante, rodada a rodada. Quando a porta correta já estiver claramente mais brilhante do que as outras no escuro, ao “olhar”, quase de certeza verás a resposta correta. Ou seja, o computador quântico consegue explorar todas as possibilidades em simultâneo, mas não consegue exibir todas as respostas ao mesmo tempo — só consegue “amplificar a probabilidade da resposta correta”, permitindo-te obter o resultado correto com grande probabilidade na medição.

O algoritmo Grover também pode ser aplicado à força bruta na criptografia, o que representa uma ameaça substancial para a quebra de chaves simétricas. Atualmente, na indústria, recomenda-se o uso de chaves com comprimento equivalente a AES-256 (Advanced Encryption Standard), porque em ambientes quânticos uma chave de 128 bits só fornece 64 bits de segurança. Por isso, a indústria precisa de segurança mais elevada. Contudo, o algoritmo Grover tem limitações: ele fornece apenas aceleração ao nível quadrático. Isto significa que, embora seja muito mais rápido do que os computadores tradicionais, o aumento de velocidade não é ilimitado. Uma analogia: se antes tinhas de correr 100 quilómetros, o algoritmo Grover pode fazer com que corras apenas 10 quilómetros até chegar ao destino, mas ainda precisas de pagar o esforço de correr. Além disso, os custos de fabrico e operação de computadores quânticos são muito elevados — como se tivesses de usar uma passadeira de corrida extremamente cara para completar esses 10 quilómetros. Portanto, em aplicações reais, o algoritmo Grover não consegue quebrar infinitamente todos os sistemas de encriptação; ainda é necessário combinar chaves mais longas ou outras medidas de segurança para garantir a segurança.

Análise do impacto da computação quântica no blockchain

O núcleo da conceção de blockchain é uma ledger distribuída construída sobre uma base criptográfica. A maioria dos protocolos blockchain, como Bitcoin, usa ECC (criptografia de curvas elípticas) para geração de chaves públicas e privadas e assinaturas digitais. E, com base em ECDSA (Elliptic Curve Digital Signature Algorithm, algoritmo de assinatura digital de curvas elípticas), o Secp256k1 — os parâmetros específicos da curva elíptica usados tipicamente no Bitcoin e na Ethereum — tem como características segurança, eficiência e chaves mais curtas, sendo amplamente usado para geração de pares de chaves e assinaturas na cadeia.

Também o conjunto de funções hash encriptadas do SHA-2, em particular o SHA-256, é uma função hash encriptada amplamente adotada no blockchain. Uma função hash mapeia dados de qualquer comprimento num valor de comprimento fixo (hash). O algoritmo tem caráter irreversível, sendo difícil derivar de forma inversa; é frequentemente usado em algoritmos de proof-of-work e na validação de transações. À medida que os computadores quânticos evoluem, com a existência de escala suficiente de qubits, o computador pode quebrar algoritmos de cifragem assimétrica como a criptografia de curvas elípticas através da execução de “algoritmos quânticos”, fazendo cálculos contínuos em tempo curto (1 mês). Assim, os componentes do blockchain enfrentarão um desafio direto.

Impacto de diferentes algoritmos nos componentes de cifragem, fonte da imagem: Web3Caff Research investigador Bob

Além disso, os computadores quânticos também podem levar a ataques “HNDL” (Harvest-Now-Decrypt-Later), isto é, os atacantes recolhem dados a partir de agora e lançam um ataque de desencriptação quando chega o “dia de salto” do poder quântico. HNDL é uma estratégia de vigilância: depende de monitorização por longos períodos e de armazenamento dos dados cifrados que não podem ser quebrados no momento; depois, quando a tecnologia quântica amadurecer no futuro, os dados são desencriptados. O suposto “dia de salto” da computação quântica é chamado pela indústria de Y2Q ou Q Day. Face à ameaça da computação quântica, a indústria de blockchain está a responder ativamente. Por exemplo, em janeiro de 2026, a empresa cotada nos EUA Coinbase, criou um comité independente para computação quântica e blockchain para lidar com a futura ameaça potencial à segurança de cifragem do blockchain e estudar soluções anti-quânticas. No mesmo ano, a rede de camada 2 da Ethereum, Optimism, também começou a introduzir algoritmos anti-quânticos para lidar com desafios maiores no futuro.

Diagrama de explicação HNDL, fonte da imagem: Paloalto Networks

Impacto da computação quântica nas finanças digitais

É claro que o impacto potencial da computação quântica não se limita ao sector do blockchain e das finanças. A indústria de finanças digitais, mais amplamente, também é afetada — por exemplo, bancos ligados à vida quotidiana das pessoas. Por motivos de segurança e risco, as infraestruturas de segurança de cifragem de que os bancos dependem em grande medida são as primeiras a ser ameaçadas. O algoritmo Shor pode quebrar rapidamente a cifragem RSA e a cifragem de curvas elípticas usadas pelos bancos, expondo as informações dos utilizadores bancários. Além disso, o modo de ataque “HNDL — furtar primeiro e desencriptar depois” faz com que os dados financeiros atualmente expostos continuem também vulneráveis a serem quebrados por computadores quânticos no futuro. Face à “ameaça quântica”, as principais empresas financeiras do mundo já começaram a entrar na “era pós-quântica”. Em 2024, o NIST dos EUA lançou os primeiros padrões de segurança quântica; os bancos e instituições financeiras começaram a planear a migração para algoritmos de criptografia pós-quântica (PQC, Post-Quantum Cryptography) para lidar com a chegada da era quântica.

No entanto, a computação quântica traz não só desafios como também um aspeto positivo para instituições financeiras como bancos. Os computadores quânticos podem provocar uma transformação no setor ao acelerar cálculos complexos. A computação quântica pode acelerar a modelação de risco, nomeadamente a simulação Monte Carlo, facilitando que os bancos avaliem o risco de forma mais precisa e rápida. Nos últimos anos, os cenários de implementação da computação quântica em bancos têm vindo a surgir com maior frequência. Por exemplo, em 2025, o HSBC colaborou com um projeto de computação quântica da IBM, usando processadores quânticos para ajudar a melhorar a taxa de precisão na previsão de trades de obrigações em 34%. O banco turco Yapi Kredi cooperou com a empresa canadiana de computação quântica D-Wave para, através de modelos de gestão de risco, identificar rapidamente empresas de alto risco.

Estado da segurança quântica

De facto, depois que as pessoas tomaram consciência das ameaças quânticas, nos últimos anos a criptografia pós-quântica (Post-Quantum Cryptography, abreviada PQC) tem registado progressos positivos. Em particular, após o NIST em 2024 publicar três padrões de criptografia pós-quântica, as indústrias relacionadas com segurança de dados têm vindo a preparar a migração para a segurança quântica com grande urgência. Grandes plataformas empresariais como as do setor bancário financeiro e as de comunicações eletrónicas têm colocado medidas anti-quânticas na agenda, planeando a atualização de algoritmos nos próximos anos.

Desenvolvimento da criptografia pós-quântica

Segundo a previsão da Global Risk Institute (relatório de linha temporal das ameaças quânticas, com base em dezenas de especialistas), a probabilidade de a cifra RSA ser quebrada por computação quântica em 8 anos (2034) é de cerca de 19–34% (dados de 2024/2025). Comparativamente com anos anteriores, esta linha temporal acelera ligeiramente. A criptografia pós-quântica (Post-Quantum Cryptography) surgiu justamente com a crescente preocupação em torno do Q Day. Atualmente, evoluiu para uma base fundamental da investigação anti-quântica.

Gráfico de previsão de que computadores quânticos conseguem quebrar RSA-2048 em 1 dia, fonte da imagem: Global Risk Institute

A criptografia pós-quântica também é chamada de “criptografia anti-quântica” ou “criptografia de segurança quântica”. A maioria dos ataques quânticos é dirigida a algoritmos de chave pública. As áreas de investigação da criptografia pós-quântica incluem criptografia em reticulados (lattice), aprendizagem com correção de erros (error-tolerant learning), polinómios multivariáveis, entre outros. Estes algoritmos existem para garantir a segurança de dados privados num ambiente de computação quântica futuro.

A padronização de soluções anti-quânticas já tem um processo de 10 anos. O projeto de criptografia pós-quântica iniciou-se em 2016 pelo National Institute of Standards and Technology (NIST). Ao longo de várias rondas de avaliação. Em agosto de 2024, o NIST publicou oficialmente os primeiros padrões de criptografia pós-quântica. O objetivo é apenas um — responder à ameaça quântica no futuro, que atacará os algoritmos de chave pública existentes (RSA e cifragem de curvas elípticas) com computação quântica. Estes três padrões de criptografia pós-quântica são:

• ML-KEM: usado para encapsulamento de chaves, responsável principalmente por “troca segura de chaves”. Em termos simples: quando acedes a um site seguro (por exemplo, HTTPS), as duas partes precisam de acordar secretamente uma “chave de encriptação” antes. O ML-KEM é a ferramenta para transferir essa chave com segurança. As suas características são velocidade de encriptação rápida e eficiência elevada;
• ML-DSA: baseado no esquema de assinaturas digitais de reticulados modulares CRYSTALS-Dilithium, usado para garantir que os dados não são adulterados durante a transmissão e para confirmar a identidade do remetente. Podes entendê-lo como “colocar um selo anti-falsificação” num ficheiro ou mensagem; terceiros podem verificar se esse selo é genuíno e se o conteúdo não foi alterado;
• SLH-DSA: baseado em algoritmos de assinatura digital a partir de hashing sem estado; o nome original é SPHINCS+. A sua segurança é mais forte e pertence a uma solução mais “robusta”, mas com o custo de exigir mais tempo para gerar assinaturas e com um tamanho maior. Podes entendê-lo como uma forma de assinatura mais “segura”, só que mais lenta ao assinar.

O motivo pelo qual são chamados de “algoritmos anti-quânticos” é essencialmente este: já não dependem de problemas matemáticos que podem ser quebrados de forma eficiente pelo algoritmo Shor (como a fatorização de grandes números ou o problema do logaritmo discreto em curvas elípticas). Em vez disso, são construídos sobre bases matemáticas que ainda são difíceis de atacar com computadores quânticos atuais.

A segurança de algoritmos criptográficos tradicionais (como RSA, ECC) é baseada em problemas como “fatorização de grandes números é difícil” ou “é difícil inferir a chave privada ao reverter curvas elípticas”. No entanto, os computadores quânticos podem acelerar exponencialmente a quebra com o algoritmo Shor, pelo que, em teoria, deixa de ser seguro.

Já o ML-KEM e o ML-DSA baseiam-se em “criptografia em reticulados (lattice)”. Pode-se entender como encontrar soluções específicas num labirinto matemático extremamente complexo e com alta dimensionalidade; neste momento não existe um algoritmo quântico que consiga acelerar significativamente a quebra de problemas em reticulados como acontece com Shor. Por isso, mesmo num ambiente de computação quântica, estes problemas ainda são considerados de alta dificuldade.

O SLH-DSA (antes SPHINCS+) baseia-se em funções hash. Para os algoritmos hash, os computadores quânticos apenas conseguem aceleração quadrática via Grover, e não aceleração exponencial. Isto significa que, desde que se aumentem adequadamente os parâmetros de segurança (por exemplo, usando um comprimento de hash maior), é possível compensar a vantagem de aceleração causada pela computação quântica. Assim, a segurança é mais robusta, mas o custo é um maior tamanho de assinatura e uma geração mais lenta.

Em resumo, estes algoritmos anti-quânticos são seguros porque se baseiam em problemas matemáticos difíceis de resolver eficientemente pelos computadores quânticos conhecidos atualmente (problemas de reticulados ou problemas de hash), e não em problemas clássicos de fatorização de grandes números que sejam facilmente quebráveis pelo algoritmo Shor.

Com base nos padrões acima, os investigadores desenvolveram três linhas principais de tecnologia de algoritmos anti-quânticos:

1. Linha tecnológica baseada em criptografia em reticulados (Lattice-based). Esta linha de tecnologia tem desempenho combinado ótimo e é a mais bem considerada. Interpretando em linguagem não técnica: o seu mecanismo de cifragem passa por desenhar uma “estrutura de grelha/reticulado” de alta dimensionalidade, impedindo que os algoritmos quânticos façam o cálculo de descifragem percorrendo “o caminho mais curto”. As suas vantagens são as mais evidentes: tamanho de chaves adequado, multiutilidade (cifragem, assinaturas e provas de conhecimento zero) e segurança elevada. O protocolo de segurança da camada de transporte TLS, na maioria dos casos, vai escolher esta linha. Algoritmos padrão definidos pelo NIST, como ML-KEM (originalmente Kyber) e ML-DSA (originalmente Crystal-Dilithium), baseiam-se nisso;
2. Linha tecnológica baseada em criptografia por hash (Hash-based). Esta linha tecnológica é a solução com a segurança mais elevada. Esta linha utiliza totalmente funções hash para assinaturas; a computação quântica só consegue usar força bruta e adivinhação “cega” para descifrar, e a sua vantagem é a elevada segurança. O fundador da Ethereum Vitalik Buterin também, em 27 de fevereiro de 2026, recomendou publicamente no futuro o uso de uma solução de assinatura “baseada em hash” e, através de EIP-8141, melhorar a capacidade de alternar a assinatura. O algoritmo SLH-DSA, padronizado pela NIST, representa uma das opções nesta linha, mas tem a desvantagem de assinaturas maiores e mais lentas, pelo que não é adequado para cenários de assinaturas frequentes;
3. Linha tecnológica baseada em criptografia por códigos (Code-based). Esta linha tecnológica foi escolhida pelo NIST como “algoritmo de backup”, com cerca de 50 anos de história. A sua segurança depende de códigos de correção de erros (Error Correction Code) usados no domínio das comunicações para ocultar a informação da chave privada. O atacante precisa, em ambientes complexos de dados, de recuperar a informação original através de validação, sendo a dificuldade de cálculo extremamente alta. Este tipo de problemas é muito difícil quer para computação clássica quer para computação quântica; o algoritmo Shor não funciona para estes “problemas de codificação” e o efeito do algoritmo Grover é limitado. Atualmente é usado como opção para “algoritmo de encapsulamento de chaves”, podendo evitar vulnerabilidades que possam surgir na “criptografia baseada em reticulados”. O seu inconveniente é que a chave pública é normalmente comparativamente grande, chegando a dezenas de milhares ou mesmo a centenas de milhares de bytes, o que restringe os cenários de utilização.

Para além das três principais linhas, existem outras linhas menos comuns associadas a diferentes cenários de uso, como criptografia baseada em multivariáveis e troca de chaves super-singular isogénica (já foi quebrada), etc. A linha de criptografia por multivariáveis é frequentemente usada na geração e validação rápida de assinaturas em blockchain; a sua vantagem é a velocidade de validação. Este esquema é mais adequado para assinaturas do que para cifragem. A troca de chaves super-singular isogénica era anteriormente usada no protocolo SSL para estabelecer chaves de sessão com segurança quântica. Porém, foi quebrada em 2022, pelo que esta linha tecnológica foi removida pela NIST dos padrões.

No geral, o núcleo da criptografia pós-quântica é usar novos mecanismos matemáticos de proteção para substituir os “mecanismos matemáticos antigos” que serão quebrados no futuro pela computação quântica. Assim, protege-se a segurança da privacidade dos dados. Portanto, em setores financeiros que dependem altamente da encriptação de dados, a implementação e migração da criptografia pós-quântica torna-se particularmente importante. Hoje, as maiores empresas tecnológicas do mundo (Google, Microsoft, Amazon, etc.) estão a integrar progressivamente estes algoritmos em navegadores, sistemas operativos e outros componentes. Assim, utilizadores comuns não precisam de se preocupar excessivamente: porque as grandes empresas de plataforma já estão a planear migrar para algoritmos de segurança quântica.

Avanços anti-quânticos na indústria de blockchain

Para a indústria de blockchain, que depende fortemente da segurança criptográfica, a ameaça potencial da computação quântica não tem sido preocupação recente; tem sido alvo de investigação prospetiva e reservas técnicas já há muitos anos. Entre as principais instituições do setor e os profissionais centrais, forma-se um “consenso” básico: a ameaça da computação quântica é um problema que pode ser resolvido de forma “engenheirada” — não é um risco sistémico inatingível.

Assim, embora o “blockchain nativo anti-quântica” ainda não seja uma direção dominante, à medida que os mecanismos de governação avançam gradualmente, algumas empresas mainstream e blockchains públicos já começaram a preparar-se para migrar para ambientes de segurança quântica. Uma série de movimentos recentes indica que a indústria está a passar de discussões teóricas para o estágio de planeamento de implementação.

Por exemplo, a Coinbase, uma das maiores empresas de cripto cotadas a nível global, fundou em janeiro de 2026 um conselho consultivo independente de computação quântica, convidando professores de computação quântica e especialistas em segurança da comunidade académica dos EUA. Está previsto que divulgue relatórios de avaliação de risco quântico e roadmaps de migração anti-quântica. O planeamento inclui a atualização do mecanismo de endereços do Bitcoin, o reforço dos sistemas internos de gestão de chaves e a adoção gradual de esquemas de assinatura pós-quântica, como assinaturas digitais baseadas em reticulados modulares (ML-DSA), etc.

Ao mesmo tempo, a Ethereum Foundation também criou uma equipa dedicada à investigação anti-quântica e colocou a segurança quântica como prioridade estratégica para 2026. Estas iniciativas indicam que 2026 poderá ser o ponto de partida do planeamento para a indústria de blockchain entrar na “era anti-quântica”. A segurança quântica está a passar de temas teóricos para a fase de implementação em engenharia (será explicado em detalhe mais abaixo).

Em contrapartida, a comunidade Bitcoin tem seguido uma via mais prudente. O seu desafio não está apenas a nível técnico, mas também a nível de governação. Devido a que os mecanismos de governação do Bitcoin dependem fortemente do consenso da comunidade e que os ciclos de atualização costumam avançar em unidades de “anos”, as principais dificuldades da migração de segurança quântica vêm mais de coordenação de decisões e formação de consenso, e não de implementação puramente técnica.

Atualmente, a comunidade Bitcoin discute principalmente três linhas técnicas:

1. Introduzir funções novas gradualmente através de soft fork;
2. Descontinuar formatos antigos de endereços para reduzir o risco de exposição de chaves públicas;
3. Integrar esquemas de assinaturas pós-quânticas.

Mas ainda é difícil chegar, no curto prazo, a uma solução unificada.

A proposta mais recentemente sob atenção é BIP-360 (também chamada Pay-to-Tapscript-Hash, P2TSH). A proposta surgiu em 2024 pela primeira vez e recebeu atualizações importantes no final de 2025; atualmente ainda está em fase de rascunho, mas o volume de discussão já é considerável. A sua ideia central aproveita o mecanismo de output do upgrade Taproot de 2021, eliminando Key Path Spend (gasto por caminho de chave pública), reduzindo o risco de exposição de chaves públicas nos formatos de endereços anteriores. Isto deixaria espaço para a futura integração de algoritmos de assinatura anti-quântica.

No entanto, dentro da comunidade ainda existe outra opinião: a de que a ameaça quântica ainda está numa fase inicial e que ainda falta muito tempo para ataques reais; por isso, o debate sobre se é necessário realizar imediatamente uma atualização de grande escala continua a ser controverso.

Ou seja, a indústria de blockchain não está apenas à espera do impacto da computação quântica. Está a empurrar gradualmente a transição anti-quântica em diferentes cadências de governação e com diferentes estruturas de perceção de risco. O verdadeiro desafio não é apenas a implementação técnica, mas sim como alcançar consenso de atualização em rede aberta, entre comunidades diferentes e estruturas de interesse.

Embora, por agora, o Bitcoin ainda não pareça ter sido alvo de ataques quânticos reais e de ameaças de segurança, há uma pequena percentagem de Bitcoin que está em risco quântico. Uma empresa financeira nos EUA, a Coinshares, afirmou que os endereços de chaves públicas no formato Pay-To-Public-Key (P2PK) adotados cedo são o alvo mais fácil para ataques quânticos. Estima-se que cerca de 1,6 milhões de endereços (8% do total) fiquem mais expostos a ameaças. E a quantidade de Bitcoin que provavelmente causará volatilidade no mercado é cerca de 10.000 BTC.

Estatísticas do número de Bitcoin sob ameaça quântica, fonte da imagem: Coinshare

Considerando o problema dos ciclos de atualização longos da rede blockchain, antes da comunidade Bitcoin fazer uma atualização oficial anti-quântica, a comunidade de developers tem tentado ativamente criar soluções “rápidas”. Por exemplo, a equipa Project Eleven desenvolveu em 2025 uma ferramenta de geração de chaves anti-quânticas, Yellow Pages, permitindo aos utilizadores do Bitcoin ligarem diretamente o seu Bitcoin a endereços anti-quânticos e comprovarem a sua titularidade.

O mecanismo do Yellow Pages é relativamente simples. O produto pode gerar chaves de assinatura pós-quânticas (com suporte para padrões NIST). Depois de o utilizador assinar, o seu endereço é associado à chave pós-quântica. Quando a ameaça quântica chegar, o utilizador pode transferir o Bitcoin para endereços quimcamente seguros após comprovar a titularidade. Além da blockchain Bitcoin, a Project Eleven também está a colaborar com Solana e outras blockchains mainstream para desenvolver uma série de ferramentas de infraestrutura para a era pós-quântica.

Em comparação com o ciclo de atualização do Bitcoin, a comunidade Ethereum tende a ser ainda mais visionária. Em novembro de 2025, o fundador da Ethereum, Vitalik Buterin, alertou num encontro Devconnect que a computação quântica pode, antes das eleições nos EUA em 2028, ter poder de computação suficiente para quebrar a segurança da Ethereum. Vitalik Buterin impulsionou ativamente a comunidade Ethereum para concluir em 4 anos uma migração sistémica de segurança quântica. Dois meses depois, em janeiro de 2026, a Ethereum Foundation colocou a segurança quântica como a prioridade estratégica de topo do ano e constituiu uma equipa dedicada ao pós-quântico, investindo para ajudar e desenvolver software de atualização de segurança quântica relacionado. Em fevereiro de 2026, Vitalik Buterin atualizou no X o roadmap anti-quântico da Ethereum: a Ethereum substituirá atualmente os esquemas de assinatura BLS por uma linha tecnológica baseada em códigos hash (Hash-based cryptography, ver acima), e usará STARK para agregar e reduzir custos de overhead, antecipando o ataque às fragilidades quânticas da Ethereum. O objetivo é, em um ano, através da atualização EIP-8141, resolver completamente o problema de abstração de contas e sair de uma assinatura única ECDSA (fácil de ser atacada por computação quântica). A partir daí, os utilizadores poderão alternar livremente esquemas de assinatura, incluindo assinaturas anti-quânticas (baseadas na linha tecnológica por hash).

Além disso, a Ethereum Foundation vai investir 2 milhões de dólares em incentivos para investigação relacionada. O investigador da Ethereum, Justin Drake, também afirmou que a Ethereum está a transitar da fase de investigação para a fase de implementação em engenharia, incluindo a realização de conferências de developers anti-quânticos e a publicação de testnets anti-quânticos de múltiplos clientes.

Entretanto, a rede de camada 2 da Ethereum, Optimism, também publicou em janeiro de 2026 a estratégia de roadmap anti-quântica do Superchain / OP Stack. Está planeado abandonar, antes de 2036, os EOA (External Owned Accounts, contas externas) baseados em ECDSA, que são fáceis de atacar, e passar do nível de abstração de contas (Account Abstraction) para a era pós-quântica. Os wallets externos podem delegar as suas permissões para contas de smart contract. Em 2036, o OP mainnet e o seu ecossistema deixará de aceitar transações com apenas assinaturas ECDSA; a interação on-chain terá de ser feita através de contas de smart contract compatíveis com assinaturas pós-quânticas. Contudo, os utilizadores não precisam transferir ativos. Como L2 (rede de camada 2), a Optimism tornar-se-á o pioneiro de segurança quântica da Ethereum. Nos anos seguintes, a Optimism irá apoiar em paralelo assinaturas ECDSA e assinaturas PQ pós-quânticas, mobilizando o ecossistema, como dApp (aplicações descentralizadas), para migrar para contas de smart contract, e finalmente eliminar ECDSA, que é suscetível a ataques quânticos.

Numa indústria de blockchain que depende de infraestruturas criptográficas, 2026 é o ponto temporal em que a segurança anti-quântica passa da teoria para a implementação concreta. A migração quântica no ecossistema Ethereum será mais suave e melhor planeada no tempo do que no Bitcoin. Embora o Bitcoin ainda não tenha feito uma atualização oficial, já surgiram propostas em escala de discussão. E, a nível do design de rede, o Bitcoin é atualizável. À medida que surgirem mais propostas anti-quânticas, antes do momento da ameaça quântica chegar, a comunidade pode alinhar a atualização dos algoritmos via soft fork e sincronização comunitária. Entretanto, antes da rede blockchain ser atualizada com sucesso, os utilizadores podem escolher testar ferramentas open source (como o YellowPages mencionado acima) para garantir a “segurança quântica” dos seus ativos.

Recomendações de preparação anti-quântica e projeção de timeline na indústria de blockchain

Até ao momento, a tecnologia dos computadores quânticos está a avançar de dezenas/centenas de qubits para milhares de qubits. Em 2025, a Fujitsu do Japão (Fujitsu) em parceria com o Riken (instituto de pesquisa Rikagaku Kenkyū Kikō) desenvolveu uma máquina supercondutora de 256 qubits. O objetivo é desenvolver, em 2026, um computador quântico com mais de 1000 qubits. Em 25 de março de 2026, o Google (Google) atualizou o seu calendário para a era pós-quântica para 2029 e apelou ao setor para fazer migração segura. Embora a escala atual de qubits ainda não seja suficiente para quebrar rapidamente a encriptação tradicional, com a iteração dos computadores quânticos a capacidade de armazenamento de qubits aumentará exponencialmente num futuro próximo; por isso, países e empresas também apresentaram timelines para migração de segurança quântica.

Plano de migração a nível nacional

Em 2022, os EUA publicaram o《Commercial National Security Algorithm Suite 2.0》（CNSA 2.0）, definindo explicitamente a rota e os padrões para os sistemas de segurança nacional migrarem para criptografia pós-quântica. Este quadro tem como objetivo fornecer proteção de longo prazo aos sistemas de segurança nacional e às informações sensíveis, respondendo ao risco de quebra de criptografia trazido pela computação quântica no futuro.

Em março de 2025, o UK National Cyber Security Centre publicou um calendário de migração de criptografia anti-quântica, planeando:

• concluir uma avaliação completa de riscos até 2028;
• concluir uma migração completa de sistemas críticos até 2035.

De acordo com a CNSA 2.0, a NSA dos EUA definiu 2030–2033 como janela crítica de migração. O Reino Unido e a Austrália também consideram 2035 como o nó final para concluir a migração.

Além disso, National Institute of Standards and Technology (NIST) já publicou padrões de criptografia pós-quântica e exigiu explicitamente que, a partir de 2030, as instituições federais e infraestruturas críticas eliminem gradualmente os algoritmos tradicionais mais vulneráveis a ataques quânticos. A União Europeia, no《Quantum Europe Strategy》, também propôs que a maioria das infraestruturas críticas concluam upgrades de segurança quântica até 2035.

Em termos gerais, 2025–2035 está a tornar-se a janela de políticas globais para a migração de segurança quântica.

Implementação substancial a nível empresarial

A nível empresarial, o setor financeiro, de telecomunicações e de infraestruturas cloud é considerado enfrentar um risco potencial de ataques “Harvest Now, Decrypt Later” (HNDL, isto é, “furtar agora, desencriptar no futuro”) — os atacantes roubam dados cifrados hoje e só depois, quando a computação quântica maturar, é que efetuam a quebra. Assim, dados sensíveis a longo prazo (por exemplo registos de transações bancárias e dados de identidade) tornam-se alvos prioritários de proteção.

Em maio de 2024, o grande banco global JPMorgan Chase anunciou a implantação de uma rede ágil de cifragem com segurança quântica (Q-CAN) para aumentar a resiliência de cifragem da sua rede na era quântica.

Na área das comunicações, o fornecedor de CDN e serviços cloud Cloudflare começou já em 2022 a implementar o protocolo TLS híbrido pós-quântico e, no lado do servidor, a suportar mecanismos de troca de chaves pós-quânticas, preparando terreno para uma migração completa da internet para ambientes de cifragem pós-quântica no futuro.

Nos sistemas operativos móveis, o mais recente Android17 da Google já integra tecnologia de proteção de assinaturas digitais pós-quânticas baseada em ML-DSA, em conformidade com os padrões da NIST.

Atualmente, a maioria das empresas de infraestruturas críticas segue padrões NIST, já tendo passado do estágio de validação técnica para um estágio de testes em pequena escala e deployment híbrido.

Calendário de ameaça quântica e de preparação, fonte da imagem: Paloato Networks

Timeline de preparação de segurança quântica na indústria de blockchain

Se tomarmos como referência as regras de migração da segurança quântica do NIST dos EUA e da União Europeia, o prazo limite para migração quântica é 2035. Contudo, de acordo com a mais recente avaliação de ameaças quânticas da Google em 2026, a ameaça quântica foi antecipada significativamente. A própria Google forneceu um novo calendário para 2029, o que indica que o prazo para a “migração para segurança quântica” nos setores relevantes é apenas de 3 anos. Assim, a indústria de blockchain tem de arrancar de forma urgente com upgrades pós-quânticos.

Na verdade, ecossistemas de blockchain diferentes já estão a fazer deploy de planos com base neste marco temporal. Como pioneiro anti-quântico mais “ativo” — a Ethereum — poderá concluir a implementação da proposta EIP-8141 no final de 2026. A proposta inclui também soluções de assinaturas anti-quânticas. O ecossistema Ethereum Optimism anunciou que eliminará, no prazo de 10 anos, todas as contas externas (EOA) baseadas em ECDSA no OP mainnet e em todo o Superchain. A comunidade Bitcoin já integrou o BIP360 no repositório oficial de rascunhos de BIPs em fevereiro de 2026; a BTQ Technologies concluiu o deployment da testnet. Em 31 de março de 2026, a Bitcoin Magazine publicou a proposta anti-quântica que os developers estão a rever. É evidente que, desde 2026, o momento de migração quântica na indústria de blockchain está a acelerar.

Além disso, para definir ainda mais claramente o momento específico do “dia de salto”, a equipa de infraestruturas de segurança quântica em blockchain Project Eleven lançou recentemente o desafio público de criptografia quântica Q-Day Prize e projetou um modelo de avaliação dinâmica, Q-Day Clock, para medir a janela temporal em que a computação quântica representa uma ameaça substancial à criptografia de curvas elípticas. A Project Eleven irá calibrar a perceção da indústria sobre quão perto está o “Q-Day” da agressão quântica com base nos dados de ambos. No panorama geral, antes da chegada do “dia de salto”, a indústria precisa enfrentar aproximadamente três fases de preparação: planeamento e experimentação, migração em grande escala e fase de segurança quântica.

• Fase de planeamento e experimentação: por volta de 2026–2027, empresas de blockchain e equipas de desenvolvimento de redes blockchain públicas concluem a avaliação preliminar de risco quântico, testam e desenvolvem testnets, fazem deploy de modelos de cifragem híbrida e protegem contra o risco de ataques HNDL aos dados;
• Fase de migração em grande escala: por volta de 2028–2029, após o lançamento de mainnets em cadeias mainstream, as assinaturas opcionais pós-quânticas, plataformas de transação de infraestruturas, custodiante de ativos e ecossistemas descentralizados como pontes cross-chain completam deploy de cifragem híbrida. As redes de camada 2 das chains públicas podem primeiro validar a estabilidade da sua operação;
• Fase de segurança quântica: 2030–2035, cadeias mainstream, plataformas de transação e infraestruturas relacionadas descontinuam ou atualizam algoritmos ECDSA fáceis de atacar, adotam algoritmos anti-quânticos ou outras soluções anti-quânticas, alcançando segurança quântica. Em 2035, instituições ligadas à indústria atingem os objetivos do NIST e da União Europeia e concluem o trabalho de migração de segurança quântica.

Conclusão

No início de 2026, as principais empresas e equipas de blockchain do mundo colocaram, de forma sincronizada, a segurança quântica na sua prioridade estratégica. Do lado da infraestrutura base da indústria, passando por blockchains públicos, até ao nível regulatório, foi proposto um calendário relativamente claro para os momentos de segurança quântica.

Durante as últimas décadas após a criação do Bitcoin, blockchains baseados em criptografia criaram um grande ecossistema de finanças digitais que continua em funcionamento até hoje. Contudo, ao longo destes 17 anos, a ciência da computação des