Q-Day a aproximar-se? Análise detalhada do artigo do Google sobre computação quântica e possíveis vulnerabilidades de segurança do Bitcoin

Quando “computação quântica” e “Bitcoin” surgem simultaneamente, o que se desencadeia não é apenas um abalo no sector tecnológico; é também um questionamento profundo dos alicerces de segurança do maior activo criptográfico do mundo. Recentemente, uma importante publicação da equipa Google Quantum AI elevou este debate a um novo pico. O principal resultado do artigo é que, ao utilizar o algoritmo de Shor para quebrar a criptografia de curva elíptica secp256k1 usada no Bitcoin, os recursos de computação quântica necessários — em particular o número de qubits lógicos — apresentam uma optimização de “cerca de uma ordem de grandeza” face às melhores estimativas anteriores, com uma redução até 20 vezes. Isto não é um conceito longínquo de ficção científica, mas antes uma reavaliação de “Q-Day” (o dia em que os computadores quânticos conseguem quebrar a criptografia actualmente dominante), servindo de aviso a toda a indústria das criptomoedas.

Recontagem do risco imposto pela computação quântica

Em Março de 2026, o artigo “Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities” (Garantir que as criptomoedas de curva elíptica estão protegidas contra vulnerabilidades quânticas), publicado pela Google Quantum AI em conjunto com várias instituições, tornou-se tema central no sector. Ao abrigo dos princípios de divulgação responsável, através de técnicas de provas de conhecimento zero, sem revelar detalhes do ataque, o artigo comprova ao público que eles optimizaram significativamente os circuitos quânticos para quebrar a criptografia central de criptomoedas como o Bitcoin (curva secp256k1).

O artigo afirma que, para quebrar o problema do logaritmo discreto (ECDLP) da curva elíptica secp256k1 de 256 bits, são agora necessários apenas cerca de 1.200 a 1.450 qubits lógicos, e 70 milhões a 90 milhões de portas Toffoli. Nas hipóteses de engenharia mais optimistas, o número de qubits físicos necessário para executar estes circuitos pode ser controlado para ficar abaixo de 500 mil. Este número representa uma descida significativa face a estimativas, em alguns estudos anteriores, que apontavam para vários milhões de qubits físicos.

Este resultado significa que a barreira de engenharia para construir uma “computação quântica relacionada com criptografia” (CRQC) capaz de atacar o Bitcoin foi reduzida, e o calendário em que o perigo pode chegar poderá estar mais perto do que muita gente previa. Embora o artigo saliente que se trata ainda de um “risco teórico”, ele devolve directamente a indústria da zona de conforto de “a ameaça quântica ainda está muito longe” para a consideração realista de que a evolução tecnológica pode acelerar.

Fonte: Google Paper

Da teoria à trajectória de aproximação

A segurança do Bitcoin assenta em duas premissas criptográficas centrais: primeiro, o problema difícil do ECDLP dependente do algoritmo de assinatura digital de curvas elípticas (ECDSA); segundo, a dificuldade computacional da função hash SHA-256 dependente do proof-of-work (PoW). A ameaça da computação quântica aponta principalmente para o primeiro.

• **1994: ** O matemático Peter Shor propõe um algoritmo quântico capaz de resolver de forma eficiente a factorização de grandes inteiros e problemas de logaritmo discreto (algoritmo de Shor), anunciando teoricamente o potencial de subversão da computação quântica sobre os actuais sistemas de criptografia de chave pública.
• **2017 até ao presente: ** Com o rápido desenvolvimento de hardware quântico (especialmente qubits supercondutores) e de técnicas de correcção de erros quânticos, surgem continuamente estudos de quantificação sobre “quando será possível quebrar o Bitcoin”. As estimativas iniciais exigiam frequentemente vários milhões, ou até dezenas de milhões, de qubits físicos.
• **2021-2025: ** A comunidade académica tem vindo a ultrapassar limites de forma contínua em optimizações de algoritmos e compilação de circuitos, como a utilização de “algoritmo de janela”, “processamento em lote do módulo” e outras técnicas, reduzindo progressivamente a necessidade de qubits lógicos e de contagem de portas.
• **Março de 2026 (este evento): ** O mais recente avanço da equipa Google volta a baixar de forma substancial o patamar de recursos necessários para implementar o ECDLP. O artigo introduz simultaneamente os conceitos de “relógio rápido” (por exemplo, supercondutores, fotões) e “relógio lento” (por exemplo, armadilhas de iões, átomos neutros), indicando que o primeiro poderá derivar uma chave privada em poucos minutos, tendo, em teoria, potencial para implementar “ataque durante a transacção”.

Quantificação e classificação do risco em activos

O artigo disponibiliza uma grande quantidade de dados, revelando as potenciais exposições ao risco quântico no ecossistema do Bitcoin — esta é a parte mais impactante deste evento.

Em primeiro lugar, o artigo classifica o risco quântico com base no tipo de script dos endereços do Bitcoin e na reutilização de endereços:

• P2PK (Pay-to-Public-Key): Script que expõe directamente a chave pública. Estes endereços estão sob a ameaça de “ataque estático” desde o momento em que recebem Bitcoin. O artigo estima que cerca de 1,7 milhões de Bitcoins estejam bloqueados em scripts deste tipo; a maioria corresponde a recompensas de mineração da era inicial de “Satoshi”, com grande probabilidade de as chaves privadas já terem sido perdidas, tornando-os “activos adormecidos” que não podem ser transferidos.
• P2TR (Pay-to-Taproot): Script novo introduzido com a actualização Taproot de 2021. Embora melhore a privacidade e a flexibilidade, ao registar a “chave pública” directamente no script de bloqueio, ele enfrenta também um risco estático semelhante ao do P2PK.
• Reutilização de endereços: Mesmo endereços P2PKH ou P2WPKH, que normalmente conseguem ocultar a chave pública, assim que o utilizador faz um gasto (e portanto expõe a chave pública na cadeia), todos os Bitcoins restantes nesse endereço ficam instantaneamente expostos a ataque estático. Através de análise de dados, o artigo assinala que, tendo em conta factores como a reutilização de endereços e a exposição de chaves públicas, neste momento cerca de 6,7 milhões de Bitcoins (aprox. 33% da oferta em circulação) se encontram em risco teórico de ataque quântico; destes, cerca de 2,3 milhões são “activos adormecidos” que não se mexem há mais de 5 anos.

Decomposição de perspectivas na opinião pública: dissensão e consenso na comunidade técnica

Após a publicação do artigo, rapidamente se formaram várias linhas de debate entre a comunidade técnica, a comunidade de criptomoedas e a comunidade académica:

• Visão dos “urgentes”: Consideram que este é o alerta de ameaça quântica mais autorizado e rigoroso até ao momento. A grande redução na estimativa de recursos implica que o “Q-Day” deixa de ser um conceito distante de décadas e passa a ser um risco real que pode chegar em poucos anos (à medida que os avanços de engenharia progridem). Pedem que todas as comunidades de blockchain que dependem do ECDLP iniciem imediatamente e acelerem a migração para criptografia pós-quântica (PQC).
• Visão dos “cautelosos”: Salientam que existe um grande fosso entre os “qubits lógicos” e os “qubits físicos” no artigo. Converter 1.200 qubits lógicos em 500 mil qubits físicos com baixa taxa de erro e alcançar operações de portas fiáveis e correcção de erros ainda enfrenta desafios de engenharia difíceis de quantificar. Defendem que, antes do nascimento de um CRQC de “relógio rápido” de verdade, ainda existe tempo suficiente para observar e preparar.
• Visão dos “céticos”: Mostram preocupação com o modo como a equipa da Google divulgou o relatório através de “provas de conhecimento zero”, e não publicando todos os detalhes técnicos. Consideram que isso enfraquece a verificabilidade. Ao mesmo tempo, algumas opiniões apontam que os autores do artigo e as criptomoedas podem ter uma ligação de interesses potencial (por exemplo, alguns autores detêm activos relacionados), o que pode afectar a objectividade do relatório.

Apesar das divergências, um “consenso” em formação é: a ameaça quântica é real e chegará mais cedo ou mais tarde. A questão central da discussão já não é apenas “se vai acontecer”, mas sim “quando vai acontecer” e “como é que nos vamos adaptar”.

Análise do impacto na indústria: da segurança dos activos à evolução do ecossistema

O impacto deste evento vai muito além do Bitcoin.

• Impacto nos activos criptográficos: O efeito mais directo é que o anchor de valor de cerca de 6,7 milhões de Bitcoins — isto é, a certeza de que “quem detém a chave privada possui o activo” — enfrenta desafios impostos pela tecnologia futura. Isto não só pode afectar o seu valor a longo prazo, como também introduz novos factores de incerteza para o mercado: o risco técnico (quântico) passa a estar lado a lado com o risco de mercado e com o risco de políticas.
• Impacto na configuração do ecossistema: O artigo indica que o Ethereum, devido ao seu modelo de conta, contratos inteligentes e à dependência do Proof-of-Stake na assinatura BLS e nas compromissos KZG, tem uma área de exposição ao risco quântico muito superior à do Bitcoin. Isso pode levar a que a competitividade de diferentes cadeias públicas (como Solana, Algorand, XRP Ledger, etc., que já começaram experiências com PQC) mude durante a vaga de migração para PQC. As cadeias públicas que tenham um roadmap claro para PQC, ou que já tenham capacidade “anti-quântica”, poderão atrair mais atenção e capital no futuro.
• Impacto na evolução tecnológica: A indústria será certamente acelerada na pesquisa e adopção de PQC. As soluções de assinaturas pós-quânticas já normalizadas pela NIST, como ML-DSA (originalmente Crystals-Dilithium) e SLH-DSA (originalmente SPHINCS+), bem como as provas de conhecimento zero baseadas em hashing (zk-STARKs), entrarão numa fase mais pragmática de implementação. As bifurcações (soft/hard forks) das cadeias públicas, as actualizações de carteiras e a migração de activos tornar-se-ão um projecto sistémico que pode durar anos, ou até uma década.

Projecção de evolução em múltiplos cenários: possíveis caminhos no futuro

Face a esta vaga tecnológica lenta mas certa, podem surgir vários cenários:

Conclusão

Com esta publicação, a Google — mais do que uma condenação final técnica — oferece ao sector um relatório de avaliação do risco baseado em análises rigorosas de matemática e engenharia. Ela deixa claro que o mundo dos activos criptográficos que dependem do ECDLP está num cruzamento entre o presente dominado por computadores clássicos e um futuro definido por computadores quânticos. O risco teórico de 6,7M de Bitcoins é um número grande, mas assemelha-se mais a um rastilho: o que é realmente activado é um amplo debate sobre a velocidade de evolução tecnológica, a definição de segurança dos activos, a sabedoria da governação da comunidade e a capacidade de resposta a nível de políticas. Para todos os participantes da indústria das criptomoedas, o mais importante neste momento talvez não seja prever a data exacta em que a computação quântica chegará, mas sim começar a compreender, discutir e apoiar a evolução do ecossistema de blockchain para a “era pós-quântica”. Esta é uma corrida de revezamento que decide os alicerces de confiança do mundo digital nas próximas décadas; e neste momento, o tiro de partida já foi disparado.