Não existe ainda um computador quântico suficientemente poderoso para quebrar o blockchain Bitcoin. Ainda assim, os programadores já começaram a discutir uma vaga de atualizações para construir uma camada de defesa antes desta ameaça potencial — e isso tem total fundamento, porque este risco já não é uma hipótese puramente teórica.
Nesta semana, investigadores do Google publicaram um estudo que mostra que um computador quântico suficientemente potente poderia quebrar a criptografia central do Bitcoin em menos de 9 minutos — mais rápido em 1 minuto do que o tempo médio de confirmação de um bloco do Bitcoin. Alguns analistas consideram que uma ameaça deste tipo poderá tornar-se realidade em 2029.
O risco é muito elevado: cerca de 6,5 milhões de bitcoins, avaliados em centenas de milhares de milhões de dólares, estão em endereços que um computador quântico pode visar diretamente. Uma parte deles pertence a Satoshi Nakamoto, o fundador anónimo do Bitcoin. Além disso, se isto for comprometido, irá prejudicar os princípios centrais do Bitcoin — “confiança no código” e “moeda saudável”.
A seguir, veja como funciona esta ameaça e as propostas que estão a ser consideradas para a mitigar.
Duas formas de uma máquina quântica atacar o Bitcoin
Em primeiro lugar, é preciso compreender a vulnerabilidade antes de discutir as propostas.
A segurança do Bitcoin assenta numa relação matemática unidirecional. Quando cria uma carteira, é gerada uma chave privada e alguns segredos, a partir dos quais se deriva a chave pública.
Para gastar bitcoins, tem de provar que é o detentor da chave privada — não divulgando-a, mas usando-a para criar uma assinatura criptográfica que a rede consegue verificar.
Este sistema é seguro porque os computadores modernos precisariam de milhares de milhões de anos para quebrar a criptografia de curvas elípticas — concretamente, o algoritmo de assinatura digital de curvas elípticas (ECDSA) — para inferir a chave privada a partir da chave pública. Por isso, o blockchain é considerado praticamente impossível de ser comprometido do ponto de vista computacional.
Mas um computador quântico no futuro pode transformar este caminho unidirecional em bidirecional, ao inferir a chave privada a partir da chave pública e depois esvaziar o seu dinheiro.
A chave pública fica exposta de duas maneiras: a partir de moedas paradas na cadeia (ataque de exposição a longo prazo) ou de moedas em movimento, ou transações em espera na pool de transações (mempool) (ataque de exposição a curto prazo).
Os endereços Pay-to-Public-Key (P2PK) — usados por Satoshi e pelos primeiros mineradores — juntamente com o Taproot (P2TR), o formato de endereço atualmente ativado em 2021, são ambos vulneráveis ao tipo de ataque de exposição a longo prazo. As moedas nestes endereços não precisam de se mover para expor a chave pública; a exposição já ocorreu e qualquer pessoa no mundo pode lê-la, incluindo um atacante quântico no futuro. Cerca de 1,7 milhões de BTC estão em endereços P2PK antigos — incluindo as moedas de Satoshi.
O ataque de exposição a curto prazo envolve a mempool — “a sala de espera” das transações ainda não confirmadas. Enquanto a transação está lá para ser incluída num bloco, tanto a sua chave pública como a sua assinatura ficam visíveis para toda a rede.
Um computador quântico pode aceder a esses dados, mas apenas tem um período de tempo muito curto — antes de a transação ser confirmada e ficar enterrada nos blocos seguintes — para inferir a chave privada correspondente e agir.
Iniciativas
BIP 360: Remover a chave pública
Como foi dito acima, todos os novos endereços do Bitcoin criados hoje com Taproot ficam permanentemente a expor a chave pública na cadeia, dando ao computador quântico futuro um alvo que nunca desaparece.
A Proposta de Melhoria do Bitcoin (BIP) 360 remove a chave pública embutida permanentemente na cadeia e exibida a toda a gente, ao introduzir um novo tipo de output chamado Pay-to-Merkle-Root (P2MR).
Tenha em mente que o computador quântico irá estudar a chave pública, inverter exatamente a forma da chave privada e gerar uma cópia que possa funcionar. Se removemos a chave pública, o atacante já não tem nada em que se basear. Entretanto, todo o resto, incluindo pagamentos Lightning, configurações de multis assinatura e outras funcionalidades do Bitcoin, permanece igual.
No entanto, se for implementada, esta proposta só protege as moedas novas no futuro. 1,7 milhões de BTC que já estão em endereços que expuseram chaves são um problema separado, que será tratado com outras propostas abaixo.
SPHINCS+ / SLH-DSA: Assinaturas pós-quânticas baseadas em hash
SPHINCS+ é um mecanismo de assinatura pós-quântica construído sobre funções de hash, que evita os riscos quânticos que a criptografia de curvas elípticas, usada pelo Bitcoin, enfrenta. Enquanto o algoritmo de Shor ameaça o ECDSA, as construções baseadas em hash como o SPHINCS+ não são vistas como vulneráveis de forma semelhante.
Este esquema foi padronizado pelo Instituto Nacional de Normas e Tecnologia dos EUA (NIST) em agosto de 2024, sob o nome FIPS 205 (SLH-DSA), após vários anos de análise pública.
Como contrapartida por uma camada de segurança mais elevada, vem um tamanho maior. Enquanto as atuais assinaturas do Bitcoin têm apenas 64 bytes, as assinaturas SLH-DSA têm 8 kilobytes (KB) ou mais. Por isso, se for adotado o SLH-DSA, a necessidade de espaço em blocos aumentará de forma significativa e as taxas de transação também serão mais altas.
Assim, foram introduzidas propostas como SHRIMPS (outro esquema de assinatura pós-quântica baseado em hash) e SHRINCS para reduzir o tamanho das assinaturas sem sacrificar a segurança pós-quântica. Ambos são construídos sobre o SPHINCS+, mas procuram manter as suas garantias de segurança de um modo mais prático, economizando mais espaço para a blockchain.
Sistema Commit/Reveal da Tadge Dryja: travagem de emergência para a mempool
Esta proposta, uma soft fork apresentada pelo cofundador do Lightning Network Tadge Dryja, pretende proteger as transações na mempool de um atacante quântico futuro. Faz isso separando a execução da transação em duas fases: Commit e Reveal.
Imagine que diz ao seu parceiro que vai enviar-lhe um email e, só depois, realmente envia o email. A primeira frase é a fase commit, e o envio do email é a fase reveal.
Na blockchain, isso significa que primeiro publica um “fingerprint” selado da sua intenção — apenas uma função hash, sem revelar nada sobre a transação. A blockchain carimba esse “fingerprint” de forma permanente. Depois, quando emitir a transação real, a chave pública fica exposta — e, sim, um computador quântico que esteja a monitorizar a rede pode inferir a chave privada a partir daí e criar uma transação concorrente para roubar o seu dinheiro.
Mas essa transação falsificada será rejeitada imediatamente. A rede verifica: esta transação de gasto tem um compromisso prévio que foi registado na cadeia? A sua transação tem. A do atacante não — ele acabou de a criar alguns minutos antes. O “fingerprint” registado anteriormente é a sua prova de álibi.
O problema é que o custo aumentará, porque a transação será dividida em duas fases. Por isso, é vista como uma ponte intermédia, suficientemente pragmática para ser implementada enquanto a comunidade continua a construir medidas de defesa quântica.
Hourglass V2: abrandar o ritmo de venda dos endereços antigos
Proposto pelo programador Hunter Beast, o Hourglass V2 ataca uma vulnerabilidade quântica relacionada com cerca de 1,7 milhões de BTC que estão em endereços antigos e que foram expostos publicamente.
A proposta reconhece que essas moedas podem ser roubadas num ataque quântico futuro e procura abrandar o processo de perda ao limitar a venda a um bitcoin por bloco, para evitar uma onda de liquidações em massa durante a noite que possa fazer o mercado colapsar.
Um exemplo semelhante é um levantamento de dinheiro em massa: não é possível impedir que toda a gente levante dinheiro, mas pode limitar a velocidade do levantamento para que o sistema não colapse numa noite. A proposta é controversa porque até essa limitação mínima é vista por algumas pessoas na comunidade do Bitcoin como uma violação da regra de que ninguém deve interferir no seu direito de gastar as suas moedas.
Conclusão
Estas propostas ainda não foram ativadas, e o mecanismo de governação descentralizado do Bitcoin — incluindo programadores, mineradores e operadores de nodes — significa que qualquer atualização precisa de tempo para se tornar realidade.
Ainda assim, a vaga de propostas que surge regularmente antes do relatório do Google nesta semana mostra que o problema está há muito tempo no radar dos programadores, o que pode ajudar a aliviar as preocupações do mercado.
