A ameaça dos computadores quânticos à segurança do BTC? Interpretação do mais recente estudo do Google: 6,9 milhões de BTC enfrentam risco

Em março de 2026, a equipa de Computação Quântica e IA da Google, em conjunto com a Universidade de Stanford e a Fundação Ethereum, publicou um white paper de 57 páginas que analisa de forma sistemática as ameaças à segurança da computação quântica para as criptomoedas. A conclusão central é a seguinte: para quebrar a criptografia de curvas elípticas (ECC-256) que sustenta o Bitcoin e o Ethereum, as necessidades de recursos de computação quântica são cerca de 20 vezes menores do que as melhores estimativas anteriores. Mais concretamente, na arquitetura de computadores quânticos supercondutores, bastam menos de 500k qubits físicos para executar o ataque, com o tempo de execução reduzido para cerca de 9 minutos.

O significado desta descoberta não está no facto de o computador quântico já conseguir quebrar o Bitcoin — o hardware atual ainda não está preparado — mas sim no facto de que o calendário do “Q-Day” (o momento em que os computadores quânticos conseguem quebrar a criptografia em vigor) é comprimido de um problema teórico distante para uma janela de engenharia calculável. A própria Google definiu como prazo para a migração dos seus sistemas internos para a criptografia pós-quantum (PQC) o ano de 2029. Justin Drake, investigador da Fundação Ethereum e coautor do artigo, estima que, até 2032, a probabilidade de computadores quânticos recuperarem chaves privadas secp256k1 a partir de chaves públicas já expostas seja pelo menos de 10%.

Como é que o algoritmo de Shor deriva a chave privada a partir de uma chave pública

A segurança do Bitcoin assenta no Algoritmo de Assinatura Digital com Curvas Elípticas (ECDSA), usando a curva secp256k1. A sua hipótese central é: sob condições de computação clássica, dadas chaves públicas, não é possível derivar a chave privada correspondente num prazo viável. Esta hipótese constitui a base de segurança de todo o sistema de cadeia de blocos.

O algoritmo de Shor indica que, no modelo de computação quântica, o problema do logaritmo discreto em curvas elípticas pode ser resolvido de forma eficiente. A contribuição central do trabalho da Google é a compilação direta de um circuito quântico do algoritmo de Shor especificamente para a secp256k1, apresentando estimativas concretas de recursos. O artigo apresenta duas opções: uma mantém os qubits lógicos sob 1.200 e os controlos de portas Toffoli sob 90M; outra aumenta os qubits lógicos para 1.450, mas reduz as portas Toffoli para 70M. Num computador quântico supercondutor, isto equivale a menos de 500k qubits físicos.

O aspeto mais simbólico é que a Google não publicou o circuito de ataque completo; em vez disso, usou provas de conhecimento zero para verificar a existência e a correção do circuito. Esta abordagem recorre ao princípio de “divulgação responsável” do domínio tradicional de segurança da informação, mostrando que a criptoanálise quântica entrou numa nova fase que exige prevenção antecipada, e não apenas remediação posterior.

Dois cenários de ataque: intercepção imediata e “colheita” offline

O white paper descreve dois cenários de ataque quântico, cujas naturezas de risco são radicalmente diferentes.

Primeiro, o “ataque imediato”, dirigido a transações que estão a ser transmitidas na mempool. Quando um utilizador inicia uma transação de Bitcoin, a chave pública fica exposta temporariamente na rede — exatamente a janela média de cerca de 10 minutos do tempo entre blocos do Bitcoin. Um computador quântico suficientemente rápido pode, em cerca de 9 minutos, reverter a chave privada a partir da chave pública, fazendo um contra-ataque com transação concorrente antes da confirmação da transação. O artigo estima que a probabilidade de uma máquina quântica em estado de pré-cálculo conseguir intercetar transações nesta janela seja de aproximadamente 41%.

Segundo, o “ataque estático”, dirigido a carteiras dormentes em que a chave pública já está permanentemente exposta na cadeia. Este tipo de ataque não tem limite temporal; o computador quântico pode quebrar ao ritmo que lhe for possível. O artigo estima que cerca de 6,9 milhões de Bitcoins (cerca de 33% da oferta total) têm chaves públicas que já se encontram expostas, incluindo aproximadamente 1,7 milhões de moedas da era de Satoshi Nakamoto, além de uma grande quantidade de fundos expostos devido à reutilização de endereços.

Uma descoberta digna de nota no white paper é que, apesar de a atualização Taproot de 2021 do Bitcoin ter melhorado a segurança e a privacidade tradicionais, por predefinição deixa chaves públicas expostas na cadeia, ampliando, na prática, a superfície de ataque quântico. O Taproot removeu a camada de proteção do formato de endereços antigo (P2PKH) de “hash antes da exposição”.

Custos técnicos e dilemas de governação no combate às ameaças quânticas

O caminho para responder às ameaças quânticas já está claro, mas o custo também é igualmente explícito. O Instituto Nacional de Normas e Tecnologia dos EUA (NIST) concluiu, em agosto de 2024, a normalização da primeira vaga de padrões de criptografia pós-quantum, incluindo FIPS 203, 204 e 205. Do ponto de vista técnico, alternativas viáveis incluem assinaturas pós-quantum baseadas em reticulados (como ML-DSA, originalmente CRYSTALS-Dilithium), assinaturas baseadas em hash (como SLH-DSA, originalmente SPHINCS+) e outras.

No entanto, o modelo de governação descentralizada do Bitcoin torna a migração criptográfica excecionalmente complexa. A introdução de esquemas de assinatura pós-quantum exige implementação através de soft fork ou hard fork, o que requer consenso da comunidade, coordenação de programadores e a sincronização de fornecedores de carteiras e de bolsas. A comunidade do Bitcoin apresentou a proposta BIP-360, com o objetivo de introduzir opções de assinaturas resistentes ao pós-quântico, mas a proposta ainda se encontra em fase de discussão. Programadores principais do Bitcoin, como Adam Back, defendem que a ameaça quântica ainda está “para lá de dezenas de anos” e que uma atualização em larga escala demasiado cedo poderá introduzir vulnerabilidades criptográficas sem validação suficiente.

O problema real por trás desta controvérsia é o seguinte: a incerteza da ameaça quântica faz com que “quando iniciar a migração” seja, por si só, um jogo. Uma atualização demasiado precoce pode desperdiçar recursos de desenvolvimento; demasiado tarde pode implicar uma perda irreversível de ativos.

Como a ameaça quântica altera a lógica de avaliação da segurança dos ativos criptográficos

A ameaça da computação quântica redefine a “margem de segurança” dos ativos criptográficos. As hipóteses tradicionais de segurança — que a chave pública não pode ser invertida e derivada para a chave privada num prazo viável — estão a ser recalibradas. As chaves públicas de 6,9 milhões de Bitcoins (avaliadas, pelo valor de mercado atual, em mais de 500k de dólares) já estão totalmente expostas; a segurança destes ativos depende apenas do facto transitório de que a computação quântica ainda não atingiu maturidade.

O mercado está a reagir a este risco de várias formas. A utilização de endereços Taproot caiu de 42% em 2024 para cerca de 20%, sugerindo que alguns utilizadores evitam proativamente formatos de endereços que expõem chaves públicas. Matthew Kimmell, estratega de investimentos da CoinShares, referiu que a função do estudo é “encurtar a janela de tempo necessária para a indústria avançar a investigação e chegar a um plano de ação”.

Numa perspetiva mais macro, a indústria de cripto está mais exposta a ameaças quânticas do que os sistemas financeiros tradicionais, devido à publicidade e à irreversibilidade do livro-razão da cadeia de blocos. Instituições financeiras tradicionais podem resistir a ataques quânticos através de atualizações em lote de certificados e chaves; porém, quando a chave pública de um ativo em cadeia é exposta, ela passa a existir permanentemente, não sendo possível “retirá-la”. Esta diferença estrutural significa que a indústria cripto precisa de construir não apenas a capacidade de “adotar algoritmos pós-quânticos”, mas sim um quadro institucional para “lidar com a evolução contínua da criptografia”.

Até que ponto vai da estimativa de recursos ao ataque real

Embora as estimativas de recursos do white paper tenham sido significativamente reduzidas, isso não significa que a capacidade de ataque esteja já ao virar da esquina. Os sistemas quânticos atualmente mais avançados — incluindo o chip Willow da Google — têm apenas cerca de 100 qubits físicos e ainda não implementam operação com tolerância a falhas. Do hardware existente até a 500k qubits físicos estáveis e com correção de erros, ainda há muitos desafios de engenharia que não foram ultrapassados.

Alguns especialistas consideram que as preocupações atuais são prematuras. Adam Back, da Blockstream, aponta que a camada base da rede Bitcoin não depende de criptografia tradicional; o impacto da ameaça quântica não está em intercetar transações na rede, mas sim em quebrar as chaves privadas de utilizadores específicos. Além disso, a função hash SHA-256 usada no mecanismo de prova de trabalho é relativamente mais robusta contra ataques quânticos; o algoritmo de Grover só consegue elevar a eficiência de quebra de hashes para o nível da raiz quadrada, muito aquém da ameaça “exponencial” que Shor representa para a criptografia de chaves públicas.

Mas isto não significa que a indústria possa esperar passivamente. A estratégia de segurança da informação “recolher primeiro, decifrar depois” significa que os atacantes poderão estar a recolher dados da cadeia de blocos na fase atual, aguardando que os computadores quânticos futuros se tornem capazes para então efetuar a quebra. Esta assimetria temporal obriga a indústria a concluir a implementação de defesas antes de o computador quântico estar construído.

Do calendário de 2029 da Google ao roadmap de regulação internacional

A Google definiu 2029 como meta para a migração dos seus sistemas internos para a PQC, e este calendário não é um acontecimento isolado. A estrutura CNSA 2.0 da National Security Agency dos EUA exige que todos os novos sistemas de segurança nacional adotem algoritmos de segurança quântica antes de janeiro de 2027; a aplicação completa da migração deve ser concluída antes de 2030; e a migração total das infraestruturas deve ser concluída antes de 2035. A pressão dupla do calendário de normas do NIST e da supervisão da NSA está a levar empresas e instituições a transformar a migração para a PQC de um tema de investigação num requisito de conformidade.

Neste contexto, coloca-se à indústria de cripto um desafio mais direto. Ciclos de atualização de redes descentralizadas como Bitcoin e Ethereum tendem a levar anos. A Fundação Ethereum investiu muitos anos a investigar roadmaps pós-quânticos e a executar esquemas de assinatura pós-quântica na rede de testes. Em contraste, o Bitcoin ainda não formulou um roadmap pós-quântico claro e um mecanismo de fundos coordenado; enquanto a governação descentralizada lhe confere legitimidade, torna também a migração de criptografia a nível de protocolo excecionalmente lenta.

Resumo

O white paper da equipa de Quantum AI da Google não anunciou o fim do Bitcoin; em vez disso, transformou a ameaça quântica de uma hipótese distante e vaga num conjunto de parâmetros de engenharia quantificáveis. Os 500k qubits físicos necessários para a quebra, a janela de ataque de cerca de 9 minutos e os 6,9 milhões de Bitcoins com chaves públicas já expostas — estes números definem em conjunto uma janela de segurança real que existe e está a estreitar.

Os desafios para a indústria não são apenas técnicos — o NIST já resolveu os problemas de algoritmo; o que é verdadeiramente difícil é a coordenação ao nível da governação. Em redes descentralizadas, estabelecer consenso leva tempo, e o progresso da computação quântica não vai esperar que o consenso se forme. Nos próximos cinco a sete anos, a indústria cripto terá de fazer um equilíbrio entre dois tipos de risco: uma atualização demasiado cedo pode introduzir esquemas criptográficos não devidamente validados; uma atualização demasiado tarde pode implicar perdas irreversíveis de ativos. Independentemente do caminho final, a computação quântica deixou de ser um conceito teórico e passou a ser uma variável prática que precisa de ser incorporada no quadro de segurança dos ativos criptográficos.

FAQ

P: Um computador quântico consegue quebrar o Bitcoin já agora?

R: Não. Os sistemas quânticos mais avançados atualmente têm apenas cerca de 100 qubits físicos, enquanto quebrar o Bitcoin com ECC-256 requer cerca de 500k qubits físicos com correção de erros; ainda existe uma diferença de várias centenas de vezes.

P: O que significa “quebrar em 9 minutos”?

R: É o cenário de “ataque imediato” descrito no white paper — quando o computador quântico está em estado de pré-cálculo, do aparecimento da chave pública até à conclusão da quebra leva cerca de 9 minutos, ligeiramente menos do que os cerca de 10 minutos do intervalo médio de geração de blocos do Bitcoin, existindo teoricamente uma taxa de sucesso de cerca de 41% na interceção.

P: Quais Bitcoins são os mais perigosos?

R: O maior risco diz respeito aos endereços em que a chave pública está exposta permanentemente na cadeia, incluindo os endereços do formato inicial P2PK (cerca de 1,7 milhões), os endereços expostos devido à reutilização de endereços e os endereços Taproot. O artigo estima que cerca de 6,9 milhões de Bitcoins se encontram neste tipo de exposição.

P: O Bitcoin pode ser atualizado para se defender de ataques quânticos?

R: Pode. O NIST concluiu padrões de criptografia pós-quântica (como ML-DSA e SLH-DSA), e o Bitcoin pode introduzir opções de assinaturas resistentes ao pós-quântico através de propostas como BIP-360. O problema é que a atualização requer consenso da comunidade e o processo pode durar vários anos.

P: O que é que os utilizadores devem fazer agora?

R: Evitar a reutilização de endereços; usar um novo endereço em cada transação; guardar ativos de maior valor em carteiras frias; acompanhar o progresso da comunidade em relação à atualização pós-quântica e migrar proativamente os ativos para formatos de endereços mais seguros.