Os touros do Bitcoin enfrentam risco de roubo de assinatura quântica em 6,7 milhões de BTC expostos

Os computadores quânticos não conseguem decifrar o Bitcoin, mas podem forjar assinaturas a partir de chaves públicas expostas, colocando cerca de 6,7 milhões de BTC em risco, a menos que as carteiras migrem para caminhos pós-quânticos antes da chegada de máquinas tolerantes a falhas de grande escala.
Resumo

• O Bitcoin não armazena segredos encriptados na cadeia; a ameaça quântica crítica é a recuperação de chaves habilitada por Shor a partir de chaves públicas expostas, permitindo falsificação de autorização em UTXOs vulneráveis.
• A Bitcoin Risq List do Project Eleven estima cerca de 6,7 milhões de BTC em endereços que atendem aos seus critérios de exposição de chave pública, com o Taproot mudando, mas não eliminando, o risco se as máquinas quânticas escalarem.
• Estimativas atuais sugerem que aproximadamente 2.330 qubits lógicos e milhões de qubits físicos são necessários para quebrar ECC de 256 bits, dando tempo para que saídas pós-quânticas a nível de BIP (, por exemplo, P2QRH) e esquemas padrão NIST, sejam integradas, apesar de assinaturas maiores e mais caras em taxas.

Os computadores quânticos representam uma ameaça ao Bitcoin (BTC) através da potencial exploração de assinaturas digitais, e não do decriptar de dados encriptados, segundo pesquisadores e desenvolvedores de segurança de criptomoedas.

Tecnologia comprovada para Quantum e Bitcoin?

O Bitcoin não armazena segredos encriptados na sua blockchain, tornando a narrativa generalizada de “computadores quânticos decifrando a encriptação do Bitcoin” tecnicamente imprecisa, segundo Adam Back, um desenvolvedor de Bitcoin há muito tempo e inventor do Hashcash. A segurança da criptomoeda baseia-se em assinaturas digitais e compromissos baseados em hash, e não em cifragem.

“Bitcoin não usa encriptação”, afirmou Back na plataforma social X, acrescentando que o erro de terminologia serve como indicador de uma compreensão equivocada dos fundamentos da tecnologia.

O risco quântico real envolve falsificação de autorização, onde um computador quântico suficientemente potente, executando o algoritmo de Shor, poderia derivar uma chave privada a partir de uma chave pública na cadeia e produzir uma assinatura válida para gastar uma transação concorrente, de acordo com documentação técnica.

Os sistemas de assinatura do Bitcoin, ECDSA e Schnorr, provam controle sobre um par de chaves. A exposição de chaves públicas representa a principal preocupação de segurança, com vulnerabilidade dependendo das informações que aparecem na cadeia. Muitos formatos de endereço comprometem um hash de uma chave pública, mantendo a chave pública bruta oculta até que uma transação seja gasta.

O Project Eleven, uma organização de pesquisa em segurança de criptomoedas, mantém uma “Bitcoin Risq List” de código aberto que rastreia a exposição de chaves públicas ao nível de script e reutilização de endereços. O rastreador público da organização mostra aproximadamente 6,7 milhões de BTC que atendem aos seus critérios de exposição, de acordo com sua metodologia publicada.

Os outputs Taproot, conhecidos como P2TR, incluem uma chave pública ajustada de 32 bytes no programa de saída, em vez de um hash de chave pública, conforme descrito na Proposta de Melhoria do Bitcoin 341. Isso altera o padrão de exposição de maneiras que só importariam se máquinas quânticas tolerantes a falhas de grande escala se tornarem operacionais, segundo a documentação do Project Eleven.

Pesquisas publicadas em “Estimativas de recursos quânticos para cálculo de logaritmos discretos em curvas elípticas” por Roetteler e co-autores estabelecem um limite superior de no máximo 9n + 2⌈log2(n)⌉ + 10 qubits lógicos necessários para calcular um logaritmo discreto em uma curva elíptica sobre um campo primo de n bits. Para n = 256, isso equivale a aproximadamente 2.330 qubits lógicos.

Uma estimativa de 2023 por Litinski coloca o cálculo de uma chave privada de curva elíptica de 256 bits em aproximadamente 50 milhões de portas Toffoli. Sob essas suposições, uma abordagem modular poderia calcular uma chave em cerca de 10 minutos usando cerca de 6,9 milhões de qubits físicos. Um resumo no Schneier on Security citou estimativas em torno de 13 milhões de qubits físicos para quebrar a encriptação em um dia, com aproximadamente 317 milhões de qubits físicos necessários para atingir uma janela de uma hora.

O algoritmo de Grover, que oferece uma aceleração de raiz quadrada para buscas exaustivas, representa a ameaça quântica às funções de hash. Pesquisas do NIST indicam que, para pré-imagens SHA-256, o alvo permanece na ordem de 2^128 operações após aplicar o algoritmo de Grover, o que não se compara a uma quebra de logaritmo discreto de criptografia de curva elíptica.

Assinaturas pós-quânticas geralmente medem em kilobytes, e não dezenas de bytes, afetando a economia de peso das transações e a experiência do usuário na carteira, segundo especificações técnicas.

O NIST padronizou primitivas pós-quânticas incluindo ML-KEM (FIPS 203) como parte de um planejamento de migração mais amplo. Dentro do ecossistema Bitcoin, o BIP 360 propõe um tipo de saída “Pay to Quantum Resistant Hash”, enquanto o qbip.org defende um fim de assinatura legada para forçar incentivos de migração.

A IBM discutiu avanços em componentes de correção de erros em uma declaração recente à Reuters, reiterando um caminho de desenvolvimento rumo a um sistema quântico tolerante a falhas por volta de 2029. A empresa também relatou que um algoritmo de correção de erro quântico pode rodar em chips AMD convencionais, segundo um relatório separado da Reuters.

Os fatores mensuráveis incluem a proporção do conjunto UTXO com chaves públicas expostas, mudanças no comportamento das carteiras em resposta a essa exposição e a velocidade de adoção da rede para caminhos de gasto resistentes a quânticos, mantendo as restrições de validação e mercado de taxas, segundo a análise do Project Eleven.