Os desenvolvedores de Bitcoin estão a caminhar para a falência como se estivessem a sonhar.

Autor: Nic Carter Traduzido por: LlamaC

“Mensagem recomendada: O sujeito deve saber: Nic Carter (sócio da Castle Island Ventures, uma figura conhecida no espaço cripto, critica diretamente a inércia na governança e os erros estratégicos dos desenvolvedores do Bitcoin Core). Este artigo discute as potenciais ameaças da computação quântica à segurança do Bitcoin, e os desenvolvedores do Bitcoin parecem ter uma atitude conservadora em relação aos potenciais impactos das ameaças das computadoras quânticas, mas na realidade, já é necessário começar a se preparar para os riscos de quebra quântica que podem surgir na próxima década.”

Texto

Recentemente, há muitas discussões sobre os riscos quânticos do Bitcoin. Já expus a minha opinião em um longo artigo, mas a maioria das pessoas não leu, apenas obteve alguns fragmentos de debates esparsos no X. Portanto, resumi a minha opinião neste breve texto. Não pretendo acumular uma grande quantidade de referências e detalhes neste artigo.

A segurança do Bitcoin - ou seja, a dificuldade de deduzir a chave privada a partir da chave pública - depende da tecnologia de criptografia de curva elíptica. É bem conhecido que a computação quântica (CQ) pode, teoricamente, quebrar isso, graças a um algoritmo inventado por David Shor na década de 90. Satoshi Nakamoto percebeu isso ao criar o Bitcoin e propôs que, se a computação quântica se tornasse suficientemente poderosa, uma atualização seria realizada. Para que um computador quântico implemente esse algoritmo, ele precisa de 1000 a 2000 chamados “qubits lógicos”, ou cerca de centenas de milhares a um milhão de “qubits físicos”. Como referência, os computadores quânticos mais avançados atualmente possuem cerca de 1000 qubits físicos e dezenas de qubits lógicos. Portanto, estamos a cerca de três ordens de magnitude de alcançar essa capacidade. Embora isso pareça distante, o famoso teórico quântico e acadêmico Scott Aaronson afirma que é apenas um “problema de engenharia extremamente difícil”, e não uma necessidade de novas descobertas fundamentais na física. Em outras palavras, a fase atual da computação quântica é comparável à fissão nuclear em 1939 - conhecida como viável e sem barreiras teóricas, mas ainda exigindo um enorme investimento em engenharia. De forma semelhante, devido ao imenso valor estratégico da computação quântica, os primeiros detentores dessa tecnologia podem ocultar suas capacidades ou atrasar sua divulgação. Impulsionada por interesses, a computação quântica pode surgir subitamente sem qualquer aviso. Para aqueles que acreditam que terão tempo de aviso e preparação suficientes, isso é uma má notícia. Assim como vimos no campo da inteligência artificial - e a surpresa demonstrada pela comunidade de IA quando a lei de escalabilidade foi desenvolvida e os LLMs se tornaram poderosos - o campo da tecnologia realmente experimenta um crescimento não linear. Eu hesito em apostar o futuro do Bitcoin na mera esperança de que “o desenvolvimento da tecnologia quântica não trará surpresas inesperadas”.

A probabilidade de uma quebra quântica ocorrer nos próximos dez anos é incerta. No entanto, 2025 será o ano mais ativo na história da computação quântica. No nível técnico, este ano a IONQ e o MIT fizeram avanços em “fidelidade” (ou seja, a frequência com que os qubits executam as operações esperadas). A correção quântica visa capturar e corrigir erros introduzidos pelos qubits físicos, criando qubits lógicos puros, e essa tecnologia começará a fazer progressos substanciais em 2025. Como esses erros tendem a aumentar à medida que a escala dos computadores quânticos cresce, a realização de correção em larga escala se tornará o mais significativo avanço no campo da computação quântica. A Google e a Quantinuum alcançaram resultados significativos em correção este ano.

Este ano, as startups de quantum levantaram pelo menos 6 mil milhões de dólares, estabelecendo um novo recorde histórico, com uma grande margem de liderança. Uma dessas startups, a PsiQuantum, levantou 1 mil milhões de dólares, com o objetivo de construir uma máquina de um milhão de qubits - acreditam que é viável utilizar a tecnologia existente. Muitas empresas que estão desenvolvendo computadores quânticos preveem claramente que, até o final da década de 2020 ou meados da década de 2030, serão capazes de fabricar computadores quânticos completos e em escala. Especialistas na Metaculus estimam, em média, que os computadores quânticos estarão disponíveis por volta de 2033.

A NIST, a entidade oficial dos padrões do governo dos EUA, solicitou que as agências governamentais abandonem esquemas de criptografia vulneráveis a ataques quânticos, como o ECC256, até 2030 e terminem toda a dependência até 2035. Outros grandes países, como a União Europeia e o Reino Unido, também estão operando de acordo com um cronograma semelhante. Como vou explicar, essas datas devem incentivar os detentores de Bitcoin a agir hoje.

Se forem fabricados “computadores quânticos relacionados à criptografia” (QC) suficientemente potentes, eles podem representar uma ameaça ao Bitcoin, permitindo que atacantes consigam roubar chaves privadas a partir de chaves públicas expostas. Nem todos os tokens foram expostos até agora (algumas chaves públicas estão localizadas em endereços hash, e o SHA-256 não é considerado vulnerável a ataques quânticos), mas no momento da redação deste artigo, 6,7 milhões de BTC estão em risco - avaliados em 604 bilhões de dólares. Além disso, durante a breve janela entre o gasto dos tokens e a inclusão em um bloco, um computador quântico suficientemente poderoso poderia teoricamente reverter a engenharia da chave privada e redirecionar os gastos. Isso se aplica a tokens em qualquer tipo de endereço, independentemente de terem sido hashados ou não.

Teoricamente, o Bitcoin pode adotar um esquema de assinatura “pós-quântico” (PQ) através de um soft fork. De fato, existem algumas propostas de assinaturas criptográficas resistentes a quantum. Deixando de lado questões técnicas, como a significativa demanda de dados aumentada (que requer blocos maiores ou diminui a capacidade de processamento), a principal questão será determinar um esquema pós-quântico específico, organizar o soft fork e migrar arduamente dezenas de milhões de endereços com saldo. A adoção de novas técnicas criptográficas envolve riscos, que é outra questão. Não queremos recorrer ao criptografia PQ por pânico, apenas para descobrir mais tarde que ela pode ser quebrada por computadores clássicos. Desmembrar a criptografia central do sistema Bitcoin é uma grande empreitada, que deve ser realizada com cautela. Se você se lembrar de quão difícil foi para a comunidade Bitcoin chegar a um consenso e implementar os soft forks SegWit e Taproot (relativamente não controversos), você entenderá que a ação do Bitcoin não é ágil.

O fork pós-quântico do Bitcoin (ou, mais precisamente, múltiplos forks, pois pode ser necessário realizar vários) será mais invasivo e complexo do que qualquer atualização anterior deste protocolo. A criptografia é o núcleo deste protocolo, e a sua substituição forçará mudanças em quase todos os aspectos do sistema e na forma como os usuários interagem com ele. É evidente que o tempo necessário para o debate, desenvolvimento e teste de um fork desse tipo será maior do que o tempo que levou para o SegWit (dois anos desde a proposta até a ativação) ou o Taproot (três anos).

Na verdade, será mais difícil colocar o Bitcoin em um estado seguro após o fork. Os tokens em endereços suscetíveis a quantum devem ser rotacionados e enviados para novos tipos de endereços resistentes a quantum. No final, todos os tipos de endereços devem ser descartados e rotacionados. Mesmo que cada detentor de Bitcoin esteja ciente disso e tenha acesso a suas carteiras e chaves privadas a qualquer momento, essa transição levará meses, no melhor dos casos. A situação mais realista é que você precisa dar aos detentores de Bitcoin alguns anos de aviso para rotacionar seus tokens.

A situação piorou. Algumas bitcoins já foram perdidas ou abandonadas. Uma grande parte delas - 1,7 milhão de BTC - pertence a Satoshi Nakamoto e outros mineradores precoces, armazenadas em um tipo de endereço antigo chamado “pagar para chave pública” (pay to public key). Se essas bitcoins realmente estiverem perdidas, elas não podem ser transferidas para tipos de endereços resistentes a quânticos para garantir segurança. Elas são como moedas antigas espalhadas no fundo do mar entre os destroços de um navio afundado, que antes eram consideradas irrecuperáveis - até que alguém inventou submarinos melhores. Portanto, a comunidade de Bitcoin precisa decidir como lidar com elas. Congelá-las, participando assim de um roubo institucionalizado; ou deixá-las de lado, permitindo que um agente quântico desconhecido e possivelmente hostil se torne o maior detentor de bitcoins. Ambas as opções são indesejáveis, e atualmente não há consenso na comunidade. A comunidade de Bitcoin nunca votou para congelar ou fixar qualquer um dos bitcoins, não importa quão odiosos sejam. De fato, esse tipo de roubo coletivo (mesmo por razões justificáveis) é exatamente a razão pela qual muitos dos primeiros crentes do Bitcoin desprezaram o Ethereum. Se isso acontecer, os crentes do Bitcoin estarão indicando que não são mais sábios do que os adversários que odeiam. Isso também enviará um sinal para futuros detentores: em uma emergência, a expropriação coletiva é uma opção. A expropriação criará um precedente perigoso. Portanto, o destino das bitcoins P2PK abandonadas deve ser debatido, e deve ser implementado e implantado um conjunto de soluções (por exemplo, através de um fork para congelá-las ou expropriá-las). Isso não é uma tarefa fácil e será completamente sem precedentes na história do Bitcoin.

Se você fizer as contas, descobrirá que o cronograma de alívio necessário pode levar até quase dez anos. Precisamos de tempo para discutir estratégias, resolver divergências, chegar a um consenso sobre os acordos e o roteiro dos tokens ameaçados, escrever código, testar a criptografia e, de fato, executar a migração. Isso significa que, mesmo que o dia do julgamento quântico (o chamado “Q-day”) chegue em dez anos, devemos começar a nos preparar hoje. Um Q-day que chegue antecipadamente ou inesperadamente será catastrófico. Teremos que decidir às pressas se congelamos os tokens ameaçados, implementando apressadamente um esquema de assinatura pós-quântica e torcendo para que esse esquema seja seguro, além de esperar que a confiança no sistema possa ser restaurada. A principal empresa de desenvolvimento do Bitcoin, a Chaincode, estima que até mesmo as medidas de emergência “de curto prazo” levarão dois anos. Mudar o Bitcoin é como pilotar um porta-aviões.

A reação de pânico a danos repentinos, e não ao próprio dano, pode destruir o Bitcoin. As visões opostas sobre se esses tokens vulneráveis devem ser destruídos ou reivindicados podem provocar um fork, como vimos na guerra do tamanho do bloco. Os forks competitivos pelo nome do Bitcoin podem ter conseguido se manter em 2017, quando o Bitcoin ainda estava longe de ser maduro e as apostas eram baixas, mas hoje essa situação faria com que as grandes fontes de capital institucionais que o Bitcoin depende perdessem a confiança no protocolo. A computação quântica fura a promessa de inviolabilidade do Bitcoin. Não é de admirar que a maioria dos detentores de Bitcoin nem se atreva a admitir isso. Eles sabem que reconhecer a existência do risco é questionar a narrativa central de que o Bitcoin é “indelével”. Do ponto de vista dos alocadores de capital, você não gostaria que seu ativo de armazenamento de valor de proteção final estivesse sujeito a riscos de cauda. Assim, os detentores de Bitcoin optam por jogar um grande jogo do dilema do prisioneiro, onde todos permanecem em silêncio e não se delatam. Mas eles não previram que haveria alguns detentores de Bitcoin intelectualmente honestos dispostos a revelar ao mundo uma verdade impopular - mesmo que isso prejudique nossos próprios interesses.

Alguns apoiadores do Bitcoin acreditam que a legislação americana impedirá qualquer pessoa que possua CRQC de usá-lo para atacar o Bitcoin. No entanto, confiar a proteção do Bitcoin apenas na esperança de que os adversários cumpram as regras legais é um consolo ínfimo. Não podemos esperar que os primeiros detentores da tecnologia quântica sejam benevolentes. Embora eles não admitam publicamente, há razões para que várias empresas de computação quântica sejam discretas ao redor das conferências de Bitcoin: se conseguirem criar hardware suficiente para acessar essa riqueza, há centenas de bilhões de dólares em recompensas esperando por eles. A China está investindo enormes recursos nacionais em computação quântica, e eles não têm lealdade ao Bitcoin ou à legislação americana. Além disso, se o governo dos EUA acreditar que a China está prestes a agir, não seria impossível que confiscassem proativamente o Bitcoin em risco.

Se você entendeu minha lógica, perceberá que devemos começar a nos preparar hoje. O consenso entre especialistas e governos indica que questões quânticas podem surgir entre 2030 e 2035, e considerando o cronograma de resposta, isso significa que devemos começar a nos preparar hoje. Se não estivermos preparados, os danos causados pelo colapso quântico serão catastróficos - a confiança em todo o sistema será completamente perdida. Portanto, o risco quântico em comparação com o valor esperado do Bitcoin é um valor significativamente negativo. Para aqueles que ignoram essa ameaça, investidores ou desenvolvedores, eu pergunto: qual a probabilidade que vocês estão dispostos a assumir de um colapso total? 10%? 5%? 1%? As pessoas compram seguros para eventos de baixa probabilidade que podem causar danos catastróficos. Mesmo que o risco de uma inundação perigosa ocorra apenas 1% das vezes, você pode ter comprado um seguro contra inundações e estará feliz por ter feito isso. Na verdade, o custo de se assegurar contra riscos quânticos é muito baixo, pois a maioria dos desenvolvedores está se engajando em uma autorreflexão sem sentido. Na última década, o foco principal dos desenvolvedores tem sido o modelo de escalabilidade baseado na Lightning Network, mas esse modelo se mostrou um fracasso. Debates internos sobre filtros e se o Bitcoin deve suportar dados arbitrários atraíram a atenção dos desenvolvedores. Na última década, o protocolo Bitcoin teve apenas duas atualizações. Embora eventualmente façam atualizações, os desenvolvedores não podem justificar a afirmação de que estão ocupados com outras questões importantes e não têm tempo para se preocupar com essa crescente ameaça à sobrevivência.

Que ações a comunidade Bitcoin tomou em relação a isso? Infelizmente, muito pouco. Embora haja alguns esforços esporádicos explorando soluções de assinatura pós-quântica e algumas ideias iniciais de mitigação, propostas concretas são escassas. A única Proposta de Melhoria do Bitcoin (BIP) listada - BIP360, é liderada por um relativamente forasteiro, em vez de um dos “grandes sacerdotes” que normalmente têm uma palavra decisiva em atualizações significativas do Bitcoin. E o que BIP360 realmente faz neste estágio é corrigir um erro significativo cometido pelos desenvolvedores do Bitcoin, que introduziram o tipo de endereço Taproot vulnerável a ataques quânticos em 2021. Embora o desenvolvedor principal Pieter Wuille tenha reconhecido publicamente na época que os endereços Taproot enfrentavam riscos quânticos, eles ainda assim procederam. Mesmo até 2025, Wuille ainda acredita que não há “urgência” em proteger o Bitcoin contra ameaças quânticas.

O que mais me irrita é a indiferença surpreendente dos desenvolvedores de Bitcoin em relação ao risco cada vez mais próximo da computação quântica. Normalmente, a cultura de desenvolvimento do Bitcoin é extremamente cautelosa, quase ao ponto do ridículo. Os desenvolvedores, para evitar a introdução de vulnerabilidades, não hesitam em pagar um preço elevado, reduzindo ao máximo a dependência de bibliotecas de terceiros. É bem conhecido que o Bitcoin rejeitou a pilha de curvas elípticas padrão da indústria e evitou a implementação ECC do OpenSSL, optando pela secp256k1 como padrão e mantendo seu próprio código personalizado. E esse é apenas um exemplo. Muitas pessoas devem se lembrar que até mesmo um pequeno aumento no tamanho do bloco foi discutido por anos, visto como uma ameaça potencial à sobrevivência. Os desenvolvedores alertaram que aumentar algumas megabytes poderia levar ao colapso da rede ou prejudicar a descentralização. A linguagem de script do sistema também foi deliberadamente limitada — não por falta de imaginação, mas por medo de ataques de negação de serviço e comportamentos imprevisíveis. Essas escolhas têm um viés ideológico, enraizadas em uma autossuficiência extrema, resistência a ameaças atuais e futuras, e uma cultura de paranoia que é amplamente prevalente. No entanto, é inconcebível que hoje o Bitcoin enfrente a eliminação total da moderna tecnologia de criptografia de chave pública, e a reação dos desenvolvedores seja de complacência.

Quando confrontados com os riscos trazidos pela computação quântica, os detentores de Bitcoin (Bitcoiners) costumam responder que essa ameaça se aplica igualmente a todas as tecnologias financeiras (e qualquer outro sistema que dependa de criptografia). O que se implica é que, já que o apocalipse está chegando, não vale a pena se preocupar. Mas isso é não apenas absurdo (é óbvio que, mesmo em uma situação caótica, ainda esperamos que o Bitcoin funcione normalmente), mas também não é verdadeiro. O “Dia Quântico” (Q-day), se ocorrer, estará quando os governos e principais instituições financeiras estiverem preparados em geral, será muito semelhante ao problema do “bug do milênio” (Y2K), onde a preparação foi suficiente para que tudo seguisse tranquilo. Assinaturas pós-quânticas já existem e podem ser facilmente implementadas por qualquer entidade centralizada. O principal problema reside nas blockchains, devido à sua inércia de governança e dificuldades de atualização. A Cloudflare já oferece proteção de criptografia pós-quântica para a maior parte do seu tráfego. A AWS já implantou criptografia pós-quântica em serviços críticos. A NordVPN agora oferece funcionalidade de navegação pós-quântica. Embora a atualização da infraestrutura possa ser dolorosa, todas as instituições financeiras, empresas de software e governos são altamente centralizados e podem simplesmente ordenar a atualização diretamente. (Há uma pequena parte dos sistemas que não podem ser atualizados, como dispositivos de hardware que estão fixados e não podem ser atualizados. Mas isso se refere àqueles hardwares de longa duração, que de qualquer forma deveriam ser gradualmente aposentados. Satélites artificiais são uma exceção, pois também estão em desvantagem ao enfrentar o “Dia Quântico”).

Blockchains descentralizados como o Bitcoin não conseguem se atualizar de forma ágil como os operadores de bancos de dados centralizados. Desde 2017, o Bitcoin avançou apenas duas atualizações, e mesmo essas duas atualizações só foram realizadas após enormes desavenças e conflitos internos. Além disso, uma grande parte dos tokens vulneráveis está armazenada em endereços abandonados, e os proprietários desses endereços não podem ser forçados a transferir seus tokens. Portanto, mesmo que o Bitcoin realmente faça a atualização para assinaturas pós-quânticas, ele ainda enfrenta o risco de 1,7 milhão de tokens serem repentinamente tomados por atacantes quânticos. O Bitcoin não só precisa ser atualizado de forma ordenada e oportuna, como os detentores de Bitcoin também devem concordar coletivamente em confiscar esses 1,7 milhão de tokens para mitigar esse risco - o que é completamente sem precedentes na história do Bitcoin.

O Bitcoin é também mais vulnerável do que outras blockchains. No que diz respeito à proporção de oferta, presume-se que a proporção de tokens perdidos ou abandonados seja maior. O Ethereum realmente enfrenta alguns dos mesmos riscos, mas sua abstração de contas e funcionalidades de contratos inteligentes significam que, com algumas manobras, o Ethereum pode até implementar assinaturas pós-quânticas (PQ) sem a necessidade de um hard fork. Um hard fork pós-quântico ainda será necessário, mas sob o processo de governança mais ativo do Ethereum, isso é mais provável de ser alcançado. O Ethereum também se beneficia de ter um líder que reconhece a ameaça quântica e já propôs soluções para enfrentá-la. Outro concorrente, Solana, já começou a testar assinaturas pós-quânticas. Redes de camada dois, como a Starkware, têm a resistência quântica como proposta de valor central. Os fiéis do Bitcoin podem se sentir irritados com essas comparações, mas quando chegar o “dia quântico” (Q-day), é muito provável que o Bitcoin se torne a única blockchain exposta a riscos.

Portanto, essa é a dura verdade. Poucos crentes em Bitcoin estão dispostos a admitir isso. Em comparação com outros sistemas que dependem da criptografia de chave pública, a blockchain parece particularmente vulnerável frente à computação quântica, e o Bitcoin é o mais vulnerável dentro da blockchain. A computação quântica passou de uma possibilidade teórica distante para um desafio puramente de engenharia, podendo chegar em dez anos ou até menos. Se isso for verdade, os apoiadores do Bitcoin precisam começar a se preparar agora.