Roteiro de Quantum pós-Circle: Como trocar a fechadura antecipadamente para "quebrar a segurança quântica"?

Autor: KarenZ, Foresight News

Se um dia os computadores quânticos forem suficientemente poderosos, o primeiro desafio das blockchains provavelmente serão duas hipóteses de segurança mais fundamentais: as assinaturas ainda podem provar "sou eu", e os dados criptografados hoje podem ser decifrados no futuro.

O mais recente artigo da Circle, intitulado 《Circle’s Post-Quantum Security Roadmap》, discute exatamente essa questão. Sua conclusão central é bastante direta: a criptografia de curvas elípticas amplamente utilizada na blockchain hoje, incluindo ECDSA, Ed25519, BLS, deixará de ser segura assim que computadores quânticos suficientemente fortes forem disponíveis. Ainda mais problemático é que, nas cadeias baseadas em EVM, a chave pública geralmente é exposta na primeira transmissão de uma transação; em blockchains como Bitcoin, endereços que já foram gastos, reutilizados ou expostos em scripts também entram na zona de risco semelhante.

A composição dos autores também indica que este não é um artigo comum de divulgação científica. Entre eles estão Mira Belenkiy, engenheira-chefe de software da Circle; Duc V. Le, engenheiro de pesquisa da Circle; Gordon Liao, economista-chefe da Circle; Vipin Singh Sehrawat, engenheiro-chefe de segurança de produto da Circle; Dragos Rotaru, engenheiro de pesquisa; além do cofundador da Interop Labs, inicialmente responsável pelo desenvolvimento da rede Axelar, atualmente parte da Circle, Sergey Gorbunov, e também o renomado acadêmico de criptografia aplicada de Stanford, Dan Boneh.

O aspecto mais importante deste artigo não é a narrativa alarmista de "computadores quânticos vão destruir criptomoedas", mas sim a decomposição do problema em uma questão prática de migração tecnológica. A Circle acredita que a transição pós-quântica não será uma simples atualização com um clique, mas uma "longa mudança" envolvendo carteiras, contratos inteligentes, custódia, serviços em nuvem, validadores e regras regulatórias.

O artigo lista várias categorias de riscos que as blockchains enfrentam frente a ataques quânticos.

A primeira é a falsificação de contas. Assim que a chave pública de um endereço for exposta, um atacante quântico poderá recuperar a chave privada e falsificar transações. Segundo o projeto Bitcoin RisQ Metrics, há milhões de endereços com saldo expostos ao risco quântico, incluindo aproximadamente 14 milhões de endereços de Bitcoin.

A segunda categoria é o risco de "coletar agora, decifrar depois": o atacante armazena os dados criptografados hoje, esperando que, com o avanço da computação quântica, possa decifrá-los no futuro.

A terceira é o risco na camada de consenso: se as chaves de assinatura dos validadores forem recuperadas, podem ocorrer assinaturas duplas, censura ou até reescrita do histórico. A quarta é o risco na camada de rede: comunicações P2P, RPC sobre TLS, entre outros, que dependem de troca de chaves tradicional, também precisarão de atualização.

Roteiro de migração em três fases da Circle

A estratégia da Circle não é simplesmente trocar um algoritmo de assinatura por outro, mas dividir em três etapas: "preparação atual", "transição híbrida" e "troca final". Cada etapa apresenta diferentes prioridades de risco: dados de privacidade devem ser protegidos primeiro, contas e contratos inteligentes devem migrar gradualmente, enquanto consenso e infraestrutura só devem ser atualizados quando o ecossistema, hardware e padrões estiverem mais maduros.

_ Tipos de ataque e fases de resposta no roteiro Arc, origem: artigo "Circle’s Post-Quantum Security Roadmap"_

A primeira fase é a "fase de preparação atual". O objetivo aqui não é eliminar imediatamente o ECDSA, mas criar uma via de migração para desenvolvedores e usuários. O Arc suportará na mainnet a verificação de assinaturas pós-quânticas SLH-DSA-SHA2-128s, permitindo que contas inteligentes validem assinaturas quânticas na cadeia. Simplificando, o Arc instalará um sistema de controle de acesso capaz de reconhecer novas assinaturas, mas as assinaturas nativas ainda usarão ECDSA por enquanto, pois as assinaturas pós-quânticas são maiores e mais lentas, impactando throughput e experiência do usuário.

Simultaneamente, o Arc suportará o uso de criptografia X-Wing HPKE para encriptar memos de transação, protegendo o conteúdo, o estado do contrato e as pegadas de execução por ambientes de execução de privacidade. A decisão de priorizar essa etapa se deve ao fato de que "dados registrados hoje podem ser decifrados no futuro", uma vulnerabilidade irreversível; assinaturas podem ser atualizadas posteriormente, mas dados já vazados não podem ser tornados privados novamente.

Na camada de contas, a Circle propõe várias ferramentas de transição. Como a abstração de contas via EIP-4337, que permitirá que contas inteligentes usem assinaturas pós-quânticas após validação; o esquema hash-and-rotate, que armazena apenas o hash da chave pública na cadeia, minimizando o tempo de exposição da chave pública; e o registro de chaves públicas pós-quânticas, permitindo que os usuários vinculem seus endereços às chaves públicas com antecedência. O objetivo comum dessas estratégias é permitir que os usuários se preparem para a migração sem precisar esperar a completa reformulação do protocolo subjacente.

A segunda fase é a "transição híbrida". Essa é a etapa mais prática e complexa. O contrato inteligente USDC, por exemplo, suportará assinaturas tradicionais e pós-quânticas simultaneamente por um período, e, após a preparação do ecossistema, as assinaturas clássicas serão desativadas por mecanismos de reserva. A Circle também planeja migrar fundos de armazenamento frio para contratos inteligentes multiassinatura, para compatibilidade com diferentes blockchains e algoritmos pós-quânticos. Como o USDC está implantado em mais de 30 cadeias, o desafio não é apenas uma atualização de uma única cadeia, mas a fragmentação causada por diferentes escolhas de algoritmos e cronogramas.

O artigo destaca especialmente o problema do ecrecover. Muitos contratos EVM usam ecrecover para verificar assinaturas ECDSA, mas muitos desses contratos não podem ser atualizados. Desativar ecrecover facilmente quebraria aplicações existentes; mantê-lo ativo deixaria vulnerabilidades quânticas. Uma solução promissora seria uma hard fork que altere o comportamento do ecrecover na camada de protocolo, mantendo a compatibilidade ABI antiga, mas suportando assinaturas pós-quânticas. Essa abordagem é importante porque não serve apenas novos contratos, mas também tenta oferecer uma rota de migração para contratos antigos, difíceis de modificar.

A fase de transição também inclui atualizações na infraestrutura subjacente. A Circle precisa revisar sua pilha criptográfica, avaliar se provedores de nuvem, HSMs, KMS, TEE, libp2p, TLS, entre outros, estão preparados para o pós-quântico, e trocar chaves na ordem correta. O artigo alerta que, se a chave A proteger a chave B, e a chave B proteger a C, deve-se trocar A primeiro, depois B, e por último C. Uma troca na ordem errada pode expor materiais criptografados antigos a riscos futuros, mesmo com algoritmos pós-quânticos.

A terceira fase é a "troca final". Quando o ecossistema, regulamentações, carteiras de hardware, provedores de nuvem e infraestrutura blockchain estiverem prontos, a Circle executará a mudança definitiva. Nessa etapa, o Arc e os contratos USDC poderão rejeitar assinaturas ECDSA, e os validadores migrarão para esquemas pós-quânticos; se algumas cadeias que suportam USDC não atingirem segurança pós-quântica suficiente, a Circle pode até considerar pausar ou retirar suporte a certos contratos, para evitar que ativos dos usuários fiquem vulneráveis a falsificações quânticas.

O que fazer com contas antigas é o maior desafio

Porém, a maior dificuldade da troca final será o que fazer com os ativos de contas que não migraram. A postura da Circle é que congelar contas inseguras é uma medida para evitar roubos, e não uma confiscação automática de ativos. Em outras palavras, "parar o controle por assinatura antiga" e "negar os direitos econômicos do detentor" devem ser tratados separadamente. Assim, o artigo destaca a importância de estratégias de recuperação de contas, incluindo migração para Arc, recuperação via seed phrase e provas de conhecimento zero, uso de TEE, além de procedimentos legais, custódia, exchanges ou documentos de herança, em casos limitados.

Isso levanta uma questão política central: a recuperação de contas. Com a chegada da era quântica, assinaturas tradicionais não poderão mais provar propriedade, e KYC pode não ser suficiente para identificar a quem pertence um endereço anônimo. A Circle acredita que as autoridades regulatórias devem definir com antecedência: como comunicar aos usuários antes do prazo de migração, quais evidências são necessárias para comprovar propriedade, quanto tempo de inatividade leva à presunção de abandono, e como aplicar regras de herança, sanções, combate à lavagem de dinheiro, ordens judiciais, etc. A previsão é que o setor tenha de 5 a 10 anos para estabelecer essas regras.

Outro ponto importante do artigo é a avaliação de risco: uma migração rápida demais pode gerar riscos maiores. Por exemplo, empresas que usam HSMs para proteger chaves privadas podem, na pressa de adotar assinaturas pós-quânticas, exportar chaves para CPUs comuns, aumentando a vulnerabilidade a ataques tradicionais. A postura da Circle é que a transição pós-quântica deve ser bem planejada, mas sem comprometer a segurança atual por uma pressa desnecessária.

De forma simples, a Circle não está dizendo que "computadores quânticos vão invadir a blockchain amanhã", mas sim que: a infraestrutura financeira não pode esperar até que as fechaduras sejam comprovadamente vulneráveis para trocar as chaves. Especialmente no caso do USDC, que opera em mais de 30 cadeias, o verdadeiro desafio não é apenas escolher um novo algoritmo, mas fazer com que carteiras, contratos, custódia, validadores, provedores de nuvem, reguladores e usuários migrem juntos.

Embora ataques quânticos ainda não tenham se concretizado, os custos de migração já estão à vista.