Coin Metrics: Avaliação panorâmica do risco quântico das criptomoedas

Autor: Tanay Ved, Especialista Sênior de Pesquisa na Coin Metrics; Tradução: @金色财经xz

Resumo do artigo

• Apesar de os computadores quânticos atualmente não representarem uma ameaça real para os sistemas criptográficos das blockchains, avanços tecnológicos recentes reduziram significativamente a janela de tempo para resposta, impulsionando o setor a se preparar ativamente.

• Estima-se que cerca de 6,9 milhões de BTC estejam em risco de ataque quântico devido ao uso de endereços legados e reutilização de chaves, sendo que aproximadamente 1,7 milhão de BTC (9% da oferta) estão em tokens dormente da era Satoshi, difíceis de migrar.

• O risco quântico varia de acordo com a estrutura de endereços, esquemas de assinatura e modelos de consenso das blockchains, com ecossistemas promovendo propostas e roteiros pós-quânticos para adotar novos esquemas de assinatura.

1. Introdução

O rápido desenvolvimento da computação quântica está transformando possibilidades teóricas distantes em desafios concretos para a criptografia subjacente às blockchains. Pesquisas recentes da equipe de inteligência artificial quântica do Google mostram que os recursos e o tempo necessários para construir computadores quânticos capazes de quebrar a criptografia de curvas elípticas usadas pelo Bitcoin e outras blockchains estão diminuindo. O Comitê de Consultoria Quântica da Coinbase também aponta que, embora tais máquinas ainda não existam, o período de resposta para migrar para criptografia resistente a quânticos já começou.

À medida que esse risco se aproxima, desenvolvedores, participantes da rede, investidores e grandes detentores de tokens desempenharão papéis cruciais na condução do ecossistema descentralizado rumo a um futuro resistente a quânticos.

Neste artigo, analisaremos profundamente os riscos da computação quântica à criptografia das blockchains, com foco na exposição do Bitcoin, controvérsias sobre tokens dormentes e os caminhos atuais de Ethereum e Solana na preparação para o pós-quântico.

2. Compreendendo o risco quântico iminente

A segurança das blockchains depende de assinaturas criptográficas que são difíceis de serem quebradas por computadores tradicionais, mas potencialmente vulneráveis a computadores quânticos. Atualmente, o Bitcoin, Ethereum e a maioria das redes usam assinaturas de curvas elípticas (como ECDSA e BLS) para provar a posse de chaves privadas que autorizam transações. Em princípio, algoritmos quânticos como o Shor podem derivar a chave privada a partir da chave pública correspondente, o que significa que, uma vez esses computadores existirem, endereços com chaves públicas expostas poderão ser atacados.

Esse risco se manifesta de duas formas, dependendo de a chave pública já estar exposta na transação:

• Ataque estático (de longo prazo): dirigido a carteiras, chaves de validadores e contratos cujo endereço público já esteja visível na blockchain. Computadores quânticos futuros poderão derivar a chave privada sem qualquer ação adicional do proprietário, permitindo roubo de fundos.

• Ataque dinâmico (de curto prazo): realizado logo após a exposição da chave pública por uma transação, antes da confirmação da mesma. Computadores quânticos rápidos podem assinar transações conflitantes antes que a rede as detecte, especialmente em blockchains com tempos de bloco maiores, como o Bitcoin (~10 minutos), criando uma janela de risco maior do que redes mais rápidas como Ethereum (~12 segundos) ou Solana (com finalização em milissegundos).

3. Exposição do Bitcoin ao risco quântico

O risco quântico do Bitcoin está principalmente na camada de carteiras, dependendo do modelo UTXO e do tipo de endereço. Cada saída de transação não gasta (UTXO) é bloqueada por um script vinculado a uma chave pública. Enquanto a chave permanecer oculta, um atacante quântico terá dificuldades em comprometer a saída. Mas, ao ser revelada na blockchain, um computador quântico poderá derivar a chave privada e falsificar gastos válidos.

Assim, o risco do Bitcoin depende de a chave pública estar exposta, variando conforme o tipo de endereço e sua reutilização:

• P2PK (pay-to-public-key): inclui tokens da era Satoshi, mineradores iniciais e tokens de Satoshi. Esses endereços têm maior risco, pois a chave pública é visível na blockchain, tornando-se alvo de ataques estáticos.

• P2PKH (pay-to-public-key-hash) reutilizado: inicialmente, a chave pública está oculta, mas fica exposta ao gastar o endereço, aumentando o risco de qualquer saldo remanescente.

• P2SH (pay-to-script-hash) reutilizado: o script é oculto até o gasto, mas, com uso contínuo, várias chaves podem ser expostas ao longo do tempo.

• P2WPKH/P2WSH (Segregated Witness): antes do gasto, a chave pública fica oculta por hash, e endereços novos geralmente não são reutilizados, reduzindo o risco no curto prazo.

• P2TR (Taproot): oferece maior privacidade e flexibilidade, mas embute a chave pública ajustada na própria endereço, tornando-a um alvo visível desde o início.

A evolução do uso desses tipos de endereço na história do Bitcoin mostra uma transição gradual do uso de P2PK/P2PKH para Segregated Witness, transferindo novos tokens para endereços com menor risco quântico.

4. Quantos bitcoins estão em risco?

Segundo o white paper do Project Eleven e da Google, cerca de 6,9 milhões de BTC estão em endereços com chaves públicas expostas. Essa exposição ocorre por uso de endereços P2PK tradicionais (cuja chave pública é visível desde a criação) ou por reutilização de endereços, que revela a chave ao gastar.

Ao analisar os primeiros 500 mil blocos do Bitcoin via sistema ATLAS da Coin Metrics, identificamos aproximadamente 2,3 milhões de BTC em endereços de alto risco, sendo cerca de 1,7 milhão provavelmente originados de tokens da era Satoshi e mineradores iniciais. Os restantes 4,6 milhões de BTC de risco elevado estão distribuídos em blocos posteriores a 2017. Como mostra a tendência de uso de endereços, a geração de P2PKH não cessou, e o uso de Segregated Witness e Taproot tem aumentado a reutilização de endereços antigos e novos.

5. O dilema das moedas dormentes

A principal controvérsia sobre risco quântico envolve as moedas dormentes e os fundos de Satoshi. Aproximadamente 1,7 milhão de BTC (9% da oferta total) permanecem inativos desde os primeiros dias, armazenados em endereços tradicionais com chaves públicas expostas ou que serão expostas ao serem gastos. Desses, cerca de 1,1 milhão de BTC estão associados a Satoshi, distribuídos em cerca de 22 mil contas (~50 BTC por conta), não em uma única carteira.

Esses tokens da era Satoshi representam um desafio único. Como não podem ser migrados ativamente, decidir se e como protegê-los é uma das questões mais polêmicas na coordenação da rede. Propostas incluem manter o status quo, congelar ativos, queimar tokens ou limitar a taxa de gastos.

A exposição dessas moedas dormentes não é uniforme. Como ilustrado, a maior parte está em saídas P2PK (aproximadamente 1,7 milhão de BTC em 34 mil endereços), com maior risco de ataque quântico. Outras estão dispersas em grandes endereços (mais de 100 BTC, cerca de 410 mil BTC em 550 endereços) ou em muitas contas menores (~200 mil BTC em 20 mil contas pequenas).

Assim, o risco quântico se divide em duas categorias: as de maior risco, como as saídas P2PK da era Satoshi, dispersas em muitos endereços pequenos, e as de maior valor, como carteiras de exchanges ou de grandes detentores, que podem ser mais facilmente migradas.

6. Risco quântico em outras blockchains

O risco quântico também varia conforme a estrutura de endereços, esquemas de assinatura e governança. Como visto, o Bitcoin tem maior exposição na camada de carteiras e UTXO — endereços tradicionais expõem chaves públicas, mas seu mecanismo de prova de trabalho (PoW) e funções hash permanecem seguros atualmente.

Ethereum, Solana e outras redes usam o modelo de contas, onde a chave pública de uma conta externa (EOA) é revelada ao iniciar uma transação, aumentando a vulnerabilidade de uma parcela maior de ativos. No entanto, muitas tokens ainda estão protegidas por hashes e menos reutilização de endereços. Além disso, redes PoS como Ethereum e Solana usam esquemas de assinatura de curvas elípticas para validadores, o que também apresenta riscos adicionais.

A velocidade de adoção de atualizações resistentes a quânticos dependerá da capacidade de governança e do grau de descentralização, com diferentes redes apresentando diferentes níveis de prontidão.

7. Propostas e caminhos de migração pós-quântica

Bitcoin

A proteção do Bitcoin contra ameaças quânticas passa por ativar assinaturas resistentes a quânticos e migrar tokens para endereços seguros. Isso envolve lidar com a grande quantidade de ativos “dormentes” difíceis de mover, um dilema central na governança do Bitcoin. Propostas atuais incluem:

• BIP-360: propõe um novo tipo de saída de pagamento ao Merkle root, removendo o caminho de chave para manter a chave pública fora da cadeia até o uso, reduzindo o risco de longo prazo.

• BIP-361 (de Jameson Lopp e outros): sugere eliminar gradualmente assinaturas vulneráveis nos próximos anos, proibindo depósitos em endereços de risco elevado e, eventualmente, congelando tokens não migrados, incluindo os de Satoshi.

• Para lidar com a controvérsia de congelar tokens dormentes (“problema de Satoshi”), a Paradigm propôs um esquema de prova de controle de endereço com carimbo de tempo, permitindo que os detentores gerem provas de controle sem mover os fundos, facilitando futuras atualizações de defesa quântica.

Ethereum e Solana

Ethereum e Solana adotam abordagens diferentes, mas igualmente proativas. Ethereum criou uma equipe dedicada à pesquisa pós-quântica, com um roteiro focado em assinaturas baseadas em hash ou em estruturas de grade (lattice), visando introduzir esquemas de assinatura resistentes a quânticos aos poucos.

Solana, por sua vez, está focada na implementação do esquema Falcon — uma assinatura baseada em grade, certificada pelo NIST — com um plano de três etapas: primeiro, ativar chaves resistentes a quânticos; depois, incentivar a rotação de chaves; e, por fim, migrar completamente quando o risco se tornar evidente.

8. Conclusão

Embora o impacto do computador quântico na criptografia das blockchains ainda seja incerto no tempo, sua influência está se tornando mais concreta. Apesar de ainda não existirem máquinas capazes de quebrar assinaturas de curvas elípticas em larga escala, avanços recentes aceleraram a discussão na indústria, que já passa de uma questão teórica para um planejamento ativo. Comunidades estão construindo rotas de migração, testando novos esquemas de assinatura e debatendo formas de proteger o valor dos ativos. Para investidores e participantes, o risco quântico é uma ameaça de cauda de longo prazo, não uma crise imediata, mas sua gravidade incentiva ações preventivas e coordenação antecipada.