O mito do "criptografia quebrada": Por que o Bitcoin enfrenta um desafio de logaritmo quântico, não uma ameaça imediata de encriptação

Durante anos, a narrativa tem sido alarmista: “Os computadores quânticos irão quebrar a criptografia do Bitcoin”. Mas esta afirmação popular contém um erro conceitual fundamental. O Bitcoin nunca dependente da criptografia para proteger os seus fundos. O que realmente está sob escrutínio são as assinaturas digitais, e especificamente, a possibilidade de que máquinas quânticas possam resolver o problema do logaritmo discreto de curva elíptica muito mais rápido do que os computadores clássicos.

A confusão terminológica: Criptografia vs. Assinaturas Digitais

A blockchain do Bitcoin é um livro-razão completamente público. Não há segredos cifrados armazenados na cadeia, não há informações ocultas que precisem ser protegidas por criptografia. Cada transação, cada endereço, cada quantidade está visível para todos.

O Bitcoin utiliza assinaturas digitais — especificamente ECDSA e Schnorr — para demonstrar o controle sobre fundos. Quando realizas uma transação, não estás a decifrar nada; estás a produzir uma assinatura matemática que prova que possuis a chave privada associada a esse endereço. Esta é uma distinção crítica que muitos comentadores deixam passar.

Adam Back, desenvolvedor do Bitcoin e inventor do Hashcash, foi claro a esse respeito. Em redes sociais advertiu: “Bitcoin não utiliza criptografia. Certifica-te de conhecer o básico ou será evidente que não sabes do que estás a falar.” A confusão surge porque as pessoas equiparam “segurança criptográfica” com “criptografia”, quando na realidade referem-se a problemas matemáticos completamente diferentes.

O verdadeiro vetor de ataque: A exposição de chaves públicas

Se um computador quântico suficientemente potente chegasse a existir, a sua arma não seria decifrar mensagens. Seria resolver o logaritmo discreto da criptografia de curva elíptica, permitindo que um atacante derive uma chave privada a partir de uma chave pública exposta na cadeia.

Aqui está o detalhe crucial: nem todas as endereços do Bitcoin expõem as suas chaves públicas da mesma forma.

Muitas endereços Bitcoin comprometem-se apenas com um hash da chave pública. A chave pública raw não é revelada até que se gaste essa saída. Isto cria uma janela temporal limitada onde um atacante teria a oportunidade de calcular a chave privada e publicar uma transação conflitante.

Outros formatos de script, no entanto, expõem a chave pública mais cedo. E se reutilizares um endereço, essa exposição torna-se num objetivo permanente. O Project Eleven, uma análise de código aberto, identifica e mapeia exatamente quais outputs mantêm chaves públicas visíveis e quais estão protegidas por hashes.

Medindo o risco: 6,7 milhões de BTC potencialmente vulneráveis

Embora os computadores quânticos criptograficamente relevantes ainda não existam, o risco é completamente mensurável na atualidade. O Project Eleven executa escaneamentos semanais automatizados identificando todas as endereços de Bitcoin com chaves públicas expostas na cadeia.

O resultado: aproximadamente 6,7 milhões de BTC cumprem os critérios de exposição quântica. Isso não significa que esses fundos estejam em perigo hoje, mas que são suscetíveis se a tecnologia quântica evoluir o suficiente.

Para contextualizar os requisitos computacionais: resolver o logaritmo discreto de 256 bits (usado no Bitcoin) requer, segundo estimativas académicas, cerca de 2.330 qubits lógicos. O problema é que converter qubits lógicos em máquinas que corrijam erros e executem circuitos profundos introduz uma sobrecarga massiva de qubits físicos.

As estimativas variam consoante a arquitetura:

• 10 minutos: aproximadamente 6,9 milhões de qubits físicos
• 1 dia: aproximadamente 13 milhões de qubits físicos
• 1 hora: aproximadamente 317 milhões de qubits físicos

A IBM comunicou recentemente uma folha de rota para um sistema tolerante a falhas por volta de 2029, embora os componentes de correção de erros continuem a ser o principal gargalo.

Taproot mudou a equação, mas apenas para o futuro

A atualização Taproot (P2TR) modificou a forma como as chaves públicas são expostas por padrão. As saídas Taproot incluem diretamente uma chave pública de 32 bytes no programa de saída, em vez de um hash.

Isto não cria uma vulnerabilidade quântica hoje, mas altera o panorama de exposição se a recuperação de chaves baseada em logaritmo quântico se tornar viável. Significa que a população de endereços “vulneráveis a lo quântico” continuará a crescer automaticamente com cada nova transação que utilize Taproot, a menos que se implemente resistência quântica.

O algoritmo de Grover: Uma ameaça secundária

Enquanto que o algoritmo de Shor se foca no logaritmo discreto (ameaça principal), o algoritmo de Grover oferece uma aceleração quadrática para buscas por força bruta. Isto afeta teoricamente o hashing SHA-256.

No entanto, a sobrecarga quântica e os requisitos de correção de erros fazem com que um ataque ao estilo Grover contra SHA-256 seja ordens de magnitude mais dispendioso do que resolver o logaritmo de curva elíptica. Não é uma ameaça de prioridade equivalente.

As alavancas estão nas mãos dos utilizadores e dos protocolos

Dado o horizonte temporal realista, o risco quântico é fundamentalmente um desafio de migração, não uma emergência imediata. Os elementos disponíveis estão distribuídos entre vários níveis:

A nível de utilizador:

• Evitar reutilizar endereços reduz a janela de exposição permanente
• Utilizar carteiras que minimizem a exposição de chaves públicas
• Migrar para scripts resistentes a lo quântico quando estiverem disponíveis

A nível de protocolo:

• O BIP 360 propõe um novo tipo de output “Pay to Quantum Resistant Hash”
• Propostas como qbip.org defendem a retirada de assinaturas herdadas para forçar uma migração incentivada
• A padronização NIST de primitivas pós-quânticas (ML-KEM FIPS 203) fornece componentes de construção

A nível de infraestrutura: As assinaturas pós-quânticas tipicamente têm um tamanho de quilobytes, comparadas com os dezenas de bytes das assinaturas atuais. Isso mudaria a economia de peso das transações e as comissões, mas é um problema de engenharia resolvível, não de segurança fundamental.

O calendário realista: Infraestrutura, não emergência

A distinção correta é que o Bitcoin não está sob uma ameaça quântica imediata, mas também não pode ignorar o risco indefinidamente. Os elementos que importam hoje são:

1. Quanto do UTXO tem chaves públicas expostas (medível: 6,7M BTC)
2. Como evoluem os comportamentos das carteiras em resposta a essa exposição
3. Quão rápido pode a rede adotar padrões pós-quânticos sem comprometer validação e mercados de comissões

Reenquadrar “a computação quântica quebra a criptografia do Bitcoin” como “a computação quântica poderia permitir a falsificação de assinaturas se isso acontecer, o que requer uma migração de protocolo gerida” é mais preciso e útil.

O Bitcoin já enfrentou mudanças de protocolo antes. Esta será uma migração técnica planeada, não uma crise de segurança surpresa. E, ao contrário de outros sistemas, a exposição é completamente rastreável, quantificável e mitigável até hoje.