Contagem regressiva para o apocalipse dos computadores quânticos? CEO da Blockstream: o Bitcoin ainda tem 20 anos de tempo de preparação.

O CEO da Blockstream, Adam Back, afirmou que o Bitcoin “pode” não enfrentar nenhum ataque de computadores quânticos relacionado à criptografia nos próximos 20 a 40 anos. Durante anos, os computadores quânticos têm sido o cenário apocalíptico mais discutido no campo das criptomoedas, e sempre que um laboratório anuncia um marco em qubits, essa ameaça tende a ressurgir periodicamente.

Pânico cíclico da teoria do apocalipse dos computadores quânticos

Durante anos, o cenário do apocalipse dos computadores quânticos tem sido a ameaça mais seguida no campo dos ativos de criptografia, um fenômeno distante, mas com uma ameaça à sobrevivência. Sempre que um laboratório anuncia um marco em qubits, essa ameaça surge periodicamente novamente. O desenvolvimento da história segue uma trajetória previsível: os pesquisadores fazem algumas conquistas progressivas, as previsões de “Bitcoin está morto” explodem nas redes sociais, e então o ciclo de notícias continua.

Mas o comentário de Adam Back sobre o X em 15 de novembro quebrou essa confusão, propondo algo que falta urgentemente neste campo: uma linha do tempo baseada na física e não no pânico. Back, CEO da Blockstream, afirmou que seu sistema de prova de trabalho Hashcash surgiu antes do próprio Bitcoin. Quando questionado sobre como acelerar a pesquisa quântica, ele fez uma avaliação franca: o Bitcoin “pode” não enfrentar nenhum ataque relacionado à criptografia de computadores quânticos nos próximos 20 a 40 anos.

Mais importante ainda, ele enfatizou que o Bitcoin não precisa esperar passivamente pela chegada desse dia. O NIST já padronizou esquemas de assinatura seguros contra quântica (como o SLH-DSA), e o Bitcoin pode adotar essas ferramentas através de atualizações de soft fork muito antes que qualquer máquina quântica represente uma ameaça real. Seus comentários redefiniram o risco do apocalipse dos computadores quânticos de um desastre insolúvel para um problema de engenharia que pode ser resolvido, com décadas disponíveis para resolvê-lo.

Esta distinção é crucial, pois a verdadeira vulnerabilidade do Bitcoin não é o que a maioria das pessoas pensa. A ameaça não vem da função hash SHA-256, que garante a segurança do processo de mineração, mas sim da ECDSA e das assinaturas Schnorr baseadas na curva elíptica secp256k1, que são as técnicas criptográficas usadas para provar a propriedade. Um computador quântico que execute o algoritmo de Shor pode resolver o problema do logaritmo discreto sobre a secp256k1, derivando a chave privada da chave pública, o que anularia todo o modelo de propriedade. No campo da matemática pura, o algoritmo de Shor torna a criptografia de curva elíptica obsoleta.

A enorme lacuna entre a teoria da engenharia e a realidade

Mas a matemática e a engenharia existem em diferentes áreas. Quebrar uma curva elíptica de 256 bits requer cerca de 1600 a 2500 qubits lógicos de correção de erros. Cada qubit lógico necessita de milhares de qubits físicos para manter a coerência e corrigir erros. De acordo com uma análise realizada com base no trabalho de Martin Roetteler e outros três pesquisadores, quebrar uma chave EC de 256 bits dentro de uma janela de tempo estreita relacionada a transações de Bitcoin, com uma taxa de erro real, requer aproximadamente 317 milhões de qubits físicos.

Entender o estado atual do hardware quântico é crucial. O sistema de átomos neutros do Instituto de Tecnologia da Califórnia opera cerca de 6100 qubits quânticos físicos, mas esses qubits têm ruído e carecem de mecanismos de correção de erro. Sistemas baseados em portas mais maduros da Quantinuum e da IBM podem operar dezenas a centenas de qubits lógicos de qualidade. A lacuna entre as capacidades atuais e a relevância para a criptografia abrange várias ordens de magnitude, não sendo um pequeno avanço, mas uma grande lacuna que requer avanços fundamentais em qualidade de qubits, correção de erros e escalabilidade.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) afirmou claramente em sua explicação sobre criptografia pós-quântica: atualmente, não existe nenhum computador quântico relacionado à criptografia, e as previsões dos especialistas sobre quando isso ocorrerá variam consideravelmente. Alguns especialistas acreditam que é possível que isso aconteça “em menos de 10 anos”, enquanto outros afirmam que a chegada dos computadores quânticos deve esperar pelo menos até 2040. A opinião mediana concentra-se na metade da década de 2030, o que torna a janela de 20 a 40 anos proposta por Back parecer conservadora e não imprudente.

Da atual quantidade de 6100 qubits físicos para os necessários 317 milhões de qubits físicos, esse salto de ordem de magnitude requer não apenas otimização de engenharia, mas também uma ruptura na física fundamental. Os apocaliptistas da computação quântica frequentemente ignoram essa diferença exponencial, interpretando o crescimento gradual do número de qubits como uma ameaça iminente.

O roteiro de migração já existe e está a amadurecer

O comentário de Back sobre “o Bitcoin pode ser atualizado ao longo do tempo” aponta para propostas específicas que já circulam entre os desenvolvedores. O BIP-360, intitulado “Hash de pagamento resistente a qubits”, define um novo tipo de saída, onde as condições de gasto incluem assinaturas clássicas e assinaturas pós-quânticas. Um único UTXO pode ser utilizado em ambas as opções, permitindo uma migração gradual em vez de uma interrupção abrupta.

Jameson Lopp e outros desenvolvedores estabeleceram um plano de migração de vários anos baseado no BIP-360. Primeiro, através de um soft fork, será adicionado um novo tipo de endereço que suporta PQ. Em seguida, será incentivada ou subsidiada gradualmente a transferência de tokens de endereços de saída vulneráveis para endereços de saída protegidos por PQ, reservando um espaço de bloco específico em cada bloco para essas operações de “resgate”. Já em 2017, a academia havia proposto um plano de transição semelhante.

A análise do cliente revelou a importância disto. Cerca de 25% do Bitcoin (aproximadamente 4 a 6 milhões de moedas) está em endereços do tipo cuja chave pública foi divulgada na cadeia. Os pagamentos de Bitcoin com chave pública inicial (P2PKH), endereços P2PKH reutilizados e algumas saídas Taproot pertencem a esta categoria. Assim que o ataque de Shor baseado em secp256k1 se tornar viável, essas moedas se tornarão imediatamente o alvo do ataque.

Camadas de proteção do Bitcoin sob ameaças quânticas

Ativos de alto risco (25%): Endereços antigos com chaves públicas expostas, computadores quânticos podem atacar diretamente

Ativos de risco médio: Endereços modernos reutilizáveis, chaves públicas expostas após a primeira transação

Ativos de baixo risco: Endereço SegWit/Taproot novo e não utilizado, chave pública oculta após o hash

Ativos de risco zero: Endereços que adotam o esquema de assinatura PQ no futuro serão totalmente resistentes a ataques quânticos.

As melhores práticas modernas já proporcionaram um grau significativo de proteção. Usuários que utilizam novos endereços P2PKH, SegWit ou Taproot sem reutilização podem obter uma vantagem crucial em termos de tempo. Para essas saídas, a chave pública permanece oculta atrás do valor hash até o primeiro gasto, comprimindo a janela de tempo em que um atacante pode executar Shor durante o período de confirmação do pool de memórias, medido em minutos em vez de anos.

Caixa de ferramentas pós-quântica está pronta

Back mencionou que o SLH-DSA não é mencionado aleatoriamente. Em agosto de 2024, o NIST finalmente determinou o primeiro lote de padrões pós-quânticos: FIPS 203 ML-KEM para empacotamento de chaves, FIPS 204 ML-DSA para assinaturas digitais baseadas em redes, e FIPS 205 SLH-DSA para assinaturas digitais de hash sem estado. O NIST também padronizou o XMSS e o LMS como esquemas de hash com estado, enquanto o esquema Falcon baseado em redes também está em desenvolvimento.

Os desenvolvedores de Bitcoin agora podem escolher entre uma variedade de algoritmos aprovados pelo NIST, enquanto também podem consultar as implementações e bibliotecas correspondentes. A implementação centrada no Bitcoin já suporta o BIP-360, o que indica que a caixa de ferramentas pós-quântica já existe e está em constante maturação. O protocolo não requer a invenção de novas matemáticas, podendo adotar padrões estabelecidos que foram analisados criptograficamente ao longo de muitos anos.

Mas isso não significa que o processo de implementação seja sem dificuldades. Um artigo publicado em 2025 estudou o SLH-DSA e descobriu que ele é suscetível a ataques de falhas do tipo Rowhammer, enfatizando que, embora a segurança dependa de funções de hash comuns, o processo de implementação ainda precisa de reforço. As assinaturas pós-quânticas também consomem mais recursos do que as assinaturas clássicas, o que levantou questões sobre a escalabilidade das transações e a viabilidade econômica. Mas esses são problemas de engenharia com parâmetros conhecidos, e não enigmas matemáticos não resolvidos.

A diferença entre o cenário do apocalipse dos computadores quânticos e os desafios práticos de engenharia é que: o primeiro é uma ameaça física incontrolável, enquanto o último é um problema que pode ser resolvido por meio de atualizações de software, coordenação da comunidade e gestão do tempo.

A ameaça de 2025 é a governança e não a física quântica

O fundo iShares Bitcoin Trust (IBIT) da BlackRock alterou seu prospecto em maio de 2025, incluindo uma quantidade significativa de informações sobre os riscos de computadores quânticos, e advertiu que computadores quânticos suficientemente avançados poderiam comprometer a tecnologia de criptografia do Bitcoin. Os analistas imediatamente perceberam que isso era uma divulgação padrão de fatores de risco, apresentada na linguagem de formato listada junto com riscos tecnológicos e regulatórios, e não um sinal de que a BlackRock esperava um ataque quântico iminente. A ameaça recente reside no sentimento dos investidores, e não na tecnologia dos computadores quânticos em si.

A pesquisa do SSRN de 2025 descobriu que notícias relacionadas a computadores quânticos podem levar parte dos fundos a se direcionar para moedas de criptografia voltadas especificamente para a computação quântica. No entanto, as moedas de criptografia tradicionais apresentaram apenas leves retornos negativos e um aumento no volume de negociações antes e depois da divulgação desse tipo de notícia, em vez de uma reavaliação estrutural. Ao investigar os verdadeiros fatores que impulsionam o desempenho do Bitcoin em 2024 e 2025, o fluxo de fundos via ETF, dados macroeconômicos, regulamentação e ciclos de liquidez, a computação quântica raramente é vista como uma causa direta.

A questão de determinar a resiliência quântica do Bitcoin é: os desenvolvedores conseguirão chegar a um consenso em torno do BIP-360 ou propostas semelhantes; a comunidade conseguirá incentivar a migração de moedas tradicionais sem se dividir; e a comunicação poderá manter um nível de racionalidade suficiente para evitar que o pânico ultrapasse as leis físicas. Até 2025, os computadores quânticos apresentarão desafios de governança, exigindo a elaboração de um roteiro de 10 a 20 anos, em vez de ser um catalisador que determina a tendência de preços desta rodada. O desenvolvimento da física é lento, mas seu roteiro de desenvolvimento é claramente visível. O papel do Bitcoin é adotar ferramentas prontas para PQ antes que o hardware chegue, e fazer isso não deve resultar em um impasse de governança, evitando assim transformar um problema solucionável em uma crise auto-infligida.