Ganha Bitcoin: por que o otimismo de Saylor pode ser prematuro

Michael Saylor, chefe da MicroStrategy, nos últimos meses de 2024 apresentou uma visão otimista do futuro do Bitcoin na era dos computadores quânticos: a rede não será quebrada, mas fortalecida. Essa perspetiva gerou entusiasmo em parte da comunidade cripto. No entanto, ao analisar o cenário técnico e económico real, a imagem torna-se muito mais complexa. Qual é exatamente a ameaça que o Bitcoin enfrentará? E a migração para esquemas pós-quânticos será realmente tão suave quanto a narrativa otimista sugere? A análise técnica revela lacunas neste cenário, especialmente no que diz respeito a 1,7 milhões de bitcoins já expostos a ataques quânticos.

O que é a ameaça quântica ao Bitcoin e como ela evolui?

Quântico – no contexto da segurança das criptomoedas – refere-se ao potencial dos computadores quânticos, que utilizam propriedades da mecânica quântica para realizar cálculos impossíveis para computadores clássicos. Para o Bitcoin, a principal ameaça não são ataques ao mecanismo proof-of-work, mas às assinaturas digitais que protegem as chaves privadas.

A rede Bitcoin baseia-se nos algoritmos ECDSA e Schnorr no padrão secp256k1. O algoritmo de Shor, conhecido na teoria da computação quântica, pode potencialmente extrair chaves privadas de chaves públicas quando o computador quântico atingir um estado suficientemente avançado. Estimativas atuais indicam que serão necessários cerca de 2000–4000 qubits lógicos para representar uma ameaça real. Os dispositivos atuais estão longe desse limiar, o que significa que computadores quânticos criptograficamente relevantes estão a pelo menos 10–15 anos de distância.

Importa salientar que o NIST (Instituto Nacional de Padrões e Tecnologia) já desenvolveu e aprovou ferramentas de defesa. A agência publicou padrões de assinaturas digitais resistentes a ataques quânticos: ML-DSA (Dilithium) e SLH-DSA (SPHINCS+) como FIPS 204 e 205, enquanto FN-DSA (Falcon) aguarda aprovação como FIPS 206. Teoricamente, esses sistemas poderiam ser integrados ao Bitcoin através de novos tipos de outputs ou assinaturas híbridas. O Bitcoin Optech já acompanha essas propostas.

1,7 milhões de BTC já expostos a ataques quânticos

Porém, aqui surge um problema crucial que Saylor não considerou devidamente. A vulnerabilidade a ataques quânticos depende inteiramente do tipo de endereço Bitcoin e de se a chave pública já foi revelada na blockchain.

Os primeiros outputs pay-to-public-key (P2PK) da era inicial de Satoshi colocam a chave pública crua diretamente na cadeia. Esses endereços permanecem irremediavelmente expostos. Endereços padrão P2PKH e os modernos SegWit P2WPKH escondem a chave pública por meio de um hash, mas apenas até o momento em que as moedas são gastas – aí a chave torna-se visível. Com o aumento da popularidade do Taproot, surgiu uma nova categoria de risco: outputs P2TR codificam a chave pública desde o início, expondo UTXOs antes mesmo de serem gastos.

Análises recentes, incluindo estudos da Deloitte, indicam que cerca de 25% de toda a oferta de Bitcoin já está em outputs com chaves públicas reveladas. Isso corresponde a aproximadamente 1,7 milhões de BTC de épocas iniciais, além de centenas de milhares em outputs Taproot modernos. Algumas dessas moedas estiveram inativas por muito tempo – seus proprietários podem estar indisponíveis, mortos ou simplesmente esqueceram-se do acesso. Essas moedas “perdidas” não ficarão congeladas, mas podem se tornar alvo de um atacante com uma máquina quântica suficientemente avançada.

Moedas que nunca revelaram a chave pública (como as de endereços P2PKH ou P2WPKH) estão protegidas por endereços hash. Para elas, o algoritmo de Grover oferece apenas um quadrático de aceleração, que teoricamente pode ser neutralizado por ajustes nos parâmetros de segurança. Contudo, essa parcela da oferta representa uma minoria.

Migração tecnológica não é só questão de criptografia

Saylor afirma que “a segurança aumentará, a oferta diminuirá”. Essa afirmação simplifica a complexidade da situação real. A migração para esquemas de assinatura pós-quânticos não é uma vitória automática – envolve custos reais.

Pesquisas publicadas em fontes revisadas indicam que uma migração realista implicaria compromissos significativos. Assinaturas pós-quânticas são muito maiores do que as atuais assinaturas ECDSA. Isso significaria uma redução de cerca de 50% na capacidade dos blocos. Os custos operacionais dos nós aumentariam, pois a verificação dessas assinaturas exige mais poder de processamento. As taxas de transação provavelmente aumentariam, já que cada assinatura ocuparia mais espaço no bloco.

Ainda mais difícil é a questão da gestão. O Bitcoin não possui uma autoridade central que possa impor mudanças. Qualquer soft fork pós-quântico exigiria um consenso esmagador entre desenvolvedores, mineradores, exchanges e grandes detentores. Todos precisariam agir de forma coordenada e com antecedência suficiente – antes que um computador quântico realmente ameaçador seja descoberto. Uma análise recente da A16z destaca que a coordenação e o timing representam riscos maiores do que a própria criptografia.

Três cenários: encolhimento, roubo ou pânico?

A dinâmica da oferta no cenário pós-quântico não é automática. Existem três possibilidades concorrentes, cada uma com resultados diferentes para o mercado.

Primeiro cenário – “Encolhimento por abandono”: moedas em outputs vulneráveis, cujo proprietário nunca atualiza suas carteiras (por estar morto, incapaz ou esquecer-se do acesso), são consideradas permanentemente perdidas. A oferta efetivamente diminui, mas de forma caótica – não por migração segura, mas por inação.

Segundo cenário – “Distorção por roubo”: atacantes com computadores quânticos avançados começam a esvaziar carteiras antigas com chaves públicas reveladas. Assim, as moedas não desaparecem de circulação – passam a estar nas mãos de ladrões. Ataques do tipo “sign-and-steal”, onde o atacante observa o mempool, rapidamente recupera a chave privada e disputa a transação com uma taxa maior, tornam-se possíveis.

Terceiro cenário – “Pânico antes da física”: a simples perspectiva de computadores quânticos iminentes pode desencadear vendas em massa ou até dividir a blockchain em forks concorrentes, antes mesmo de uma máquina real surgir. A história mostra que o medo do mercado é tão perigoso quanto a ameaça técnica real.

Nenhum desses cenários garante uma redução limpa na oferta, que seja claramente otimista para o preço. Podem, na verdade, levar a mudanças caóticas na avaliação e a conflitos sociais.

O Bitcoin realmente se tornará mais forte?

Saylor tem razão em um ponto-chave: o Bitcoin pode tecnicamente se fortalecer. A rede dispõe de tempo suficiente para implementar esquemas de assinatura pós-quânticos, que já estão em padrões aprovados pelo NIST. Pode atualizar outputs vulneráveis e alcançar um nível de segurança criptográfica com o qual computadores quânticos representarão uma ameaça mínima.

Porém, essa visão otimista depende de uma série de suposições que não são garantidas. Assume que:

• Desenvolvedores e detentores agirão de forma coordenada e antecipada
• A migração ocorrerá sem gerar pânico ou divisão na comunidade
• Ataques quânticos não explorarão a janela de oportunidade entre descoberta e implementação
• A comunidade aceitará taxas mais altas e menor capacidade em nome da segurança

A confiança de Saylor baseia-se, em grande parte, na capacidade da rede de coordenar-se, e não na força da criptografia em si. O Bitcoin pode, de fato, sair da era quântica mais forte – com assinaturas aprimoradas e moedas parcialmente queimadas. Mas somente se a rede conseguir realizar uma atualização custosa, politicamente difícil e tecnicamente complexa antes que o avanço quântico seja uma ameaça real. Em tempos em que até soft forks geram debates acalorados na comunidade Bitcoin, essa visão depende mais de acreditar na gestão descentralizada do que na física.