9 minutos para decifrar o Bitcoin? Os limites e mal-entendidos do white paper quântico do Google

文：Max He @ Safeheron Lab

Conclusão central deste artigo

• O white paper da Google impulsionou de forma significativa a avaliação de risco associada à computação quântica em termos de engenharia, mas não prova que a CRQC está perto de uma implementação realista

• A descida das estimativas de recursos ≠ as capacidades reais de ataque já estão prontas; ainda existem muitos desafios de engenharia que não foram ultrapassados

• A indústria precisa de construir não apenas a capacidade de «adoptar algoritmos pós-quânticos», mas sim a capacidade de «responder às mudanças contínuas na criptografia»

• 2030–2035 é a janela de referência crítica para a preparação de migração retrocedendo no tempo, e não um momento exacto em que chegarão ataques quânticos

Em 30 de Março de 2026, investigadores da Google Quantum AI, em conjunto com a Ethereum Foundation e a Universidade de Stanford, publicaram um white paper de grande impacto [1]. Este artigo, com 57 páginas, analisa de forma sistemática a ameaça da computação quântica às criptomoedas e apresenta até hoje as estimativas de recursos mais audazes: para quebrar a criptografia de curva elíptica de 256 bits que o Bitcoin e a Ethereum utilizam, são necessários menos de 500k qubits quânticos físicos — o que reduz quase 20 vezes face às melhores estimativas anteriores.

Em simultâneo, o artigo alarga a discussão dos ataques quânticos para todo o ecossistema de criptomoedas, para além do Bitcoin, e aponta ainda que, em mecanismos como os contratos inteligentes, o consenso de staking e a amostragem de disponibilidade de dados da Ethereum, também existem superfícies de ataque quântico potenciais. Isto significa que o que este white paper discute já não é apenas uma questão pontual — «se as chaves privadas do Bitcoin serão quebradas pela computação quântica» — mas sim que está a levar a indústria inteira a reavaliar: quando as capacidades dos sistemas de blockchain evoluem em termos quânticos, quais pressupostos de segurança existentes poderão precisar de ser reexaminados.

Este white paper causou um abalo evidente na indústria de blockchain. A afirmação de que «a computação quântica pode quebrar o Bitcoin em poucos minutos» espalhou-se rapidamente, levando muitos profissionais a reavaliar pressupostos de segurança existentes. A razão para ter provocado uma reacção tão forte não reside apenas no facto de a estimativa de recursos continuar a descer; deve-se, sobretudo, ao facto de ser a primeira vez que coloca a «possibilidade de um ataque à janela de transacções on-chain» e a «capacidade de o sistema de blockchain ter tempo suficiente para concluir a migração» no mesmo plano de discussão. A questão deixa de ser apenas académica — «será possível quebrar?» — e passa a ser «haverá tempo suficiente para preparar», do ponto de vista de engenharia e governação.

Mas por detrás destas emoções, há uma questão ainda mais digna de ser aprofundada: o que é que a Google, na prática, provou? E o que é que não provou? Em que medida este trabalho altera a nossa compreensão do risco quântico?

Note-se que o alcance do impacto discutido neste white paper não se limita ao problema de exposição de chaves do tipo Bitcoin, mas estende-se a superfícies de ataque de sistemas de criptomoeda de âmbito mais geral. Ainda assim, o que este artigo foca em particular é a mudança que este trabalho traz para a avaliação global do risco quântico, e não o desenvolvimento ponto a ponto dos impactos concretos dos diferentes mecanismos on-chain.

1 O que é que a Google fez desta vez, afinal?

1.1 ECDLP: o pressuposto básico da segurança do blockchain

A segurança das actuais criptomoedas mais utilizadas baseia-se no problema do logaritmo discreto em curvas elípticas (ECDLP) [2]. Por exemplo, no caso das curvas secp256k1 utilizadas pelo Bitcoin e pela Ethereum [3], o pressuposto central é: em condições de computação clássica, dadas a chave pública (um ponto na curva elíptica), não é possível deduzir a chave privada correspondente num tempo viável.

Este pressuposto foi amplamente aceito durante várias décadas e constitui a base de segurança de todo o sistema de blockchain. Contudo, o algoritmo de Shor [4] indica que, num modelo ideal de computação quântica, a ECDLP pode ser resolvida de forma eficiente, abalada teoricamente esta base de segurança.

1.2 Estimativas de recursos: quanta capacidade de computação quântica é necessária para quebrar

O trabalho da Google desta vez não se centra em propor uma nova forma de ataque; centra-se em responder novamente a uma questão que existe há muito tempo: se no futuro for possível construir um computador quântico suficientemente grande, suficientemente estável e capaz de executar este tipo de algoritmo quântico, de que recursos computacionais seria necessária para quebrar a ECDLP?

O artigo constrói e optimiza circuitos quânticos destinados a secp256k1 e apresenta dois caminhos de implementação com diferentes direcções de optimização: um procura reduzir ao máximo o número de qubits quânticos lógicos, e o outro procura reduzir ao máximo o número de portas não-Clifford (como as portas Toffoli). Sob um conjunto claro de hipóteses de hardware e correcção de erros, estes circuitos podem ser executados com um tamanho inferior a 500k qubits quânticos físicos.

Comparado com as estimativas principais anteriores [5][6], este resultado melhora claramente um indicador composto conhecido como «volume espaço-tempo» (spacetime volume). Mais importante ainda, transforma discussões que antes eram mais teóricas numa série de parâmetros de engenharia que podem ser comparados e acompanhados.

1.3 «9 minutos»: como é que este número foi obtido

Para além das estimativas de recursos, o artigo também fornece uma ordem de grandeza intuitiva para o tempo do ataque.

Assumindo que o tempo de operação de uma porta quântica está na ordem dos microssegundos e considerando algum overhead de execução, a execução completa dos circuitos quânticos relevantes demoraria aproximadamente dezenas de minutos. Considerando que parte do cálculo do algoritmo quântico pode ser concluída antes de surgir a chave pública, o cálculo verdadeiramente relacionado com a chave pública alvo pode ser comprimido para cerca de metade do tempo, chegando-se assim a uma estimativa de «aprox. 9 minutos».

Este número atraiu uma atenção generalizada porque se aproxima do tempo médio de geração de blocos do Bitcoin, cerca de 10 minutos. Isto significa que, sob certas hipóteses, o atacante teoricamente poderia concluir a recuperação da chave privada antes da confirmação da transacção.

Importa salientar que esta estimativa temporal depende de um conjunto completo de premissas idealizadas; o seu significado está mais em fornecer uma referência de ordem de grandeza do que em representar directamente a capacidade real de ataque.

1.4 Prova de conhecimento zero: porque não publicar o circuito

Outra característica importante do artigo é que introduz uma forma de «divulgação verificável» [7], sem publicar os circuitos quânticos específicos.

A equipa de investigação compromete-se com o circuito através de um hash e, num procedimento de verificação público, verifica o comportamento do circuito num conjunto de entradas aleatórias, ao mesmo tempo que valida o seu limite superior em termos de recursos. Todo o processo de verificação é encapsulado como uma prova de conhecimento zero, permitindo que qualquer terceiro confirme a correcção das declarações relevantes sem contactar os detalhes do circuito.

Esta abordagem encontra um equilíbrio entre «proteger os detalhes do ataque» e «aumentar a credibilidade das conclusões», e faz com que as estimativas de recursos deixem de ser apenas uma afirmação dos investigadores e passem a ter verificabilidade em sentido criptográfico.

2 Como devemos interpretar este caso?

Antes de compreender melhor estes resultados, há um conceito que vale a pena clarificar primeiro.

O artigo menciona várias vezes CRQC (Cryptographically Relevant Quantum Computer）. Este termo traduz-se literalmente por «computador quântico relevante para a criptografia», mas não é uma designação genérica para computador quântico; refere-se a sistemas quânticos que já possuem capacidade real de análise criptográfica. Por outras palavras, o que realmente merece a atenção da indústria de blockchain não é se a computação quântica continua a evoluir, mas sim quando ela se desenvolve até um ponto em que possa quebrar, em condições reais, problemas criptográficos como a ECDLP.

Visto deste ângulo, o significado do trabalho da Google não é apenas demonstrar progresso na computação quântica por si, mas responder de forma mais concreta a uma questão: que escala de recursos, capacidade de execução e características temporais deve ter um computador quântico capaz de constituir uma ameaça para sistemas criptográficos reais?

Mais concretamente, esta questão pode ser entendida em três dimensões: as características de execução de sistemas de computação quântica, os diferentes caminhos que a evolução tecnológica pode permitir, e as formas de ataque que essas capacidades acabam por corresponder.

2.1 Relógio rápido e relógio lento: não existe apenas um tipo de computador quântico

Uma perspectiva importante proposta pelo artigo é a distinção entre diferentes tipos de arquitecturas de computação quântica.

Algumas plataformas (como qubits supercondutores ) têm velocidades de operação base mais rápidas, ciclos de correcção de erros mais curtos e conseguem executar circuitos profundos em períodos mais curtos; outras plataformas (como armadilhas de iões [14] ou átomos neutros ) têm velocidades de operação mais lentas, mas podem ter vantagens noutros aspectos.

Estas diferenças implicam que a «capacidade de computação quântica» não é um indicador único. Sistemas quânticos com a mesma escala, em arquitecturas diferentes, podem apresentar diferenças de várias ordens de grandeza na capacidade real de ataque a problemas criptográficos.

A diferença nas características de execução afecta directamente o modo e a estrutura temporal em que a CRQC se forma: alguns sistemas ficam mais próximos de concluir cálculos dentro de janelas de tempo curtas, enquanto outros são mais adequados para execuções longas.

2.2 Dois possíveis caminhos de evolução

Com base na diferença de arquitecturas acima referida, podemos também considerar caminhos de evolução da capacidade de computação quântica.

Num cenário, sistemas quânticos com capacidade de execução mais rápida atingem primeiro o nível de tolerância a falhas; nesse caso, os ataques em tempo real a transacções on-chain (por exemplo, recuperar a chave privada antes da confirmação da transacção) tornam-se o principal risco. No outro cenário, sistemas mais lentos mas mais estáveis obtêm primeiro um breakthrough; nesse caso, o ataque é mais provável de se concentrar em chaves públicas expostas a longo prazo, como endereços históricos ou chaves reutilizadas.

Estes dois caminhos não são mutuamente exclusivos, mas estão associados a estruturas temporais de risco e prioridades de defesa claramente diferentes.

Visto deste ângulo, o surgimento da CRQC não corresponde necessariamente a um momento exacto, e é mais provável que se manifeste como um processo em que diferentes capacidades vão ficando disponíveis gradualmente.

2.3 Três tipos de ataques

Com base na estrutura acima, os ataques quânticos podem ser agrupados, de forma aproximada, em três categorias.

O primeiro tipo é o «ataque during spending» (on-spend attack), isto é, recuperar a chave privada dentro da janela de tempo em que a transacção está no mempool, antes de ser escrita no bloco. O segundo tipo é o «ataque em repouso» (at-rest attack), dirigido a chaves públicas já expostas há muito tempo na cadeia, em que o atacante pode dispor de um tempo computacional mais folgado. O terceiro tipo é o «ataque de configuração» (on-setup attack), dirigido a certos protocolos que dependem de parâmetros públicos, obtendo uma backdoor reutilizável através de uma computação quântica efectuada uma única vez.

O ponto em comum entre estas três categorias é que todas dependem de uma capacidade base — resolver a ECDLP dentro de um tempo aceitável — mas diferem na dependência da janela temporal e da estrutura do sistema.

Em termos de resultados, estas três categorias são apenas diferentes manifestações da mesma coisa: quando a capacidade de computação quântica atinge o nível representado pela CRQC, o impacto específico sobre diferentes condições do sistema e restrições temporais.

3 A que distância estamos dos ataques quânticos reais?

3.1 Este white paper não prova nada do que é importante

É necessário enfatizar que, apesar de este white paper impulsionar de forma significativa a avaliação de risco quântico em termos de engenharia, ele não prova que a CRQC está perto de uma implementação realista, nem prova que os actuais sistemas de blockchain enfrentarão, a curto prazo, ataques quânticos reais e exequíveis.

O que o artigo realmente faz é, sob um conjunto de hipóteses bem definidas, comprimir ainda mais as estimativas de recursos necessárias para quebrar secp256k1, e mover a discussão do risco — que antes era mais abstracta — para uma posição mais adequada à avaliação de engenharia. O que ele prova é: o problema relevante é mais concreto do que se pensava no passado e é ainda mais digno de acompanhamento contínuo; mas ele não prova que o grande sistema de tolerância a falhas quânticas necessário para suportar estes ataques esteja já à vista.

3.2 As necessidades de recursos estão a diminuir, mas a distância de engenharia ainda é evidente

Mais além, de «os algoritmos quânticos conseguem teoricamente quebrar a ECDLP» para «no mundo real surge efectivamente uma capacidade de computação quântica suficiente para ameaçar sistemas criptográficos», o intervalo não é apenas uma questão simples de aumento de escala em engenharia. O que realmente determina se um ataque quântico se tornará realidade não são apenas os números das estimativas de recursos em papel, mas também a capacidade total do sistema necessária para arquitectura tolerante a falhas, correcção de erros, descodificação em tempo real, sistemas de controlo e execução estável de circuitos quânticos profundos durante longos períodos.

Algumas destas condições são de facto questões de implementação em engenharia; mas não podem ser interpretadas de forma simples como «basta continuar a investir e mais cedo ou mais tarde será naturalmente resolvido». A correcção quântica de erros e a computação tolerante a falhas fornecem, teoricamente, vias escaláveis; no entanto, ainda existe uma incerteza clara sobre se o mundo real consegue integrar verdadeiramente estas condições numa CRQC que seja sustentável e capaz de ameaçar sistemas criptográficos reais.

Visto deste ângulo, o significado mais preciso do white paper da Google não é anunciar que os ataques quânticos estão iminentes, mas sim permitir que a indústria, pela primeira vez, discuta este risco com parâmetros de engenharia mais concretos — e, ao mesmo tempo, lembrar-nos que não devemos equiparar directamente a redução das estimativas de recursos à prontidão da capacidade real de ataque.

3.3 Não é uma questão adequada para prever com precisão um ano

E é precisamente por isso que a chegada dos ataques quânticos não deve ser entendida como um ponto no tempo que se consegue prever com exactidão. Para a indústria de blockchain, o que realmente importa não é «em que ano certamente surgirá uma CRQC», mas se as capacidades relevantes estão a evoluir para um rumo cada vez mais digno de preocupação.

Por um lado, avanços críticos podem alterar significativamente as necessidades de recursos num curto espaço de tempo. Por outro lado, rotas tecnológicas que parecem estar próximas também podem ficar por muito tempo bloqueadas antes de ultrapassar certos gargalos fundamentais. Isto significa que é difícil, com extrapolação linear do tipo «quantos qubits este ano, quantos no próximo», estimar quando surgirá a capacidade real de ataque.

Assim, uma compreensão mais prudente não é apostar num ano exacto, mas sim reconhecer a incerteza forte do calendário e concentrar a atenção nos sinais de base que realmente mudam a avaliação do risco.

3.4 O mais preocupante pode ser que os sinais de alerta não sejam óbvios

Isto implica também que a comunidade não deve esperar obter um sinal claro de alerta através de uma «demonstração pública de um ataque quântico».

Muitas pessoas têm a tendência de ver uma demonstração pública como um sinal de maturidade tecnológica: parece que, enquanto não virmos demonstrações no mundo real, isso significa que a distância para a ameaça ainda é grande. Contudo, neste problema de análise criptográfica quântica, esta intuição pode não ser válida. Quando algumas demonstrações emblemáticas aparecerem de facto, a capacidade relevante pode já ter sido acumulada durante um longo período nos níveis mais profundos da tecnologia, e a janela de defesa pode já ter ficado visivelmente mais estreita.

Para a indústria de blockchain, isto é precisamente o ponto mais difícil de lidar: a mudança realmente importante pode não se desenrolar de uma forma clara, gradual e visível para o exterior.

4 Como avaliar o progresso quântico?

4.1 Não olhe apenas para a quantidade de qubits

Se o Capítulo 3 responde à questão «em que ponto estamos aproximadamente agora», então a questão seguinte é: o que se deve observar no futuro para avaliar de forma mais precisa o progresso quântico.

O indicador mais fácil de se divulgar e também o mais fácil de ser mal interpretado é a quantidade de qubits. É suficientemente intuitivo e suficientemente chamativo, mas para capacidade de análise criptográfica, está muito longe de ser o único indicador e nem sequer é o mais importante. A mera adição de qubits físicos não significa automaticamente que o sistema esteja mais perto de capacidades reais de ataque.

O que verdadeiramente merece atenção é se esses qubits conseguem ser organizados de forma eficaz sob condições de tolerância a falhas, se conseguem suportar de forma estável a execução de circuitos profundos, e se se integram num ciclo fechado com o algoritmo e os sistemas de controlo. Para a indústria, «quantos qubits» pode no máximo indicar variações de escala; não é capaz, por si só, de explicar o quão perto está a ameaça real.

4.2 O que vale a pena observar, na verdade, são três tipos de sinais

Se quiser criar um enquadramento relativamente operacional para julgar o progresso quântico, pode concentrar-se em três tipos de sinais.

O primeiro tipo ésinal de hardware. Aqui, o que é verdadeiramente importante não é apenas a quantidade de qubits físicos, mas se começam a aparecer qubits lógicos estáveis, se a correcção de erros entra numa fase escalável, e se o sistema consegue continuar a funcionar de forma estável sob condições de correcção.

O segundo tipo ésinal de algoritmos. O white paper da Google desta vez é um exemplo típico. Para a indústria de blockchain, o que é mais valioso observar não é um único número em si, mas se este tipo de estimativa de recursos continua a descer: se o número de qubits lógicos está a diminuir, se o número de operações das portas chave está a diminuir, e se o volume espaço-tempo global continua a convergir.

O terceiro tipo ésinal de sistema. Este é muitas vezes ignorado com mais facilidade. Mesmo que hardware e algoritmos melhorem, ainda é preciso ver se a capacidade a nível de sistema está a amadurecer gradualmente; por exemplo, a capacidade de executar circuitos profundos de forma estável por longos períodos, a escalabilidade do sistema de controlo e se várias condições-chave começam a existir em simultâneo. A capacidade real de ataque no mundo real depende, no fim, não de um indicador isolado, mas de se estas condições conseguem convergir numa rota de engenharia fechada.

4.3 Demonstrações públicas podem servir de referência, mas não podem ser o único sinal

Muitas pessoas esperam naturalmente algum tipo de «momento de referência»: por exemplo, uma plataforma experimental demonstrou publicamente a execução do algoritmo relevante numa curva de pequena escala, e então todos vêem isso como um sinal de que o risco começa a surgir de forma real.

Este tipo de sinal tem, obviamente, valor como referência, mas não é adequado como base única de avaliação. Do ponto de vista da evolução tecnológica, uma demonstração pública é muitas vezes apenas um resultado, e não a própria mudança mais precoce. O que é verdadeiramente mais importante é se as condições de base mencionadas anteriormente já estão a ser preenchidas de forma gradual.

Para a indústria, uma abordagem mais realista não é esperar um momento dramático, mas sim criar o hábito de acompanhar de forma contínua: observar se o hardware entrou numa nova fase, se os recursos do algoritmo continuam a ser comprimidos, e se a capacidade do sistema está a evoluir de «melhoria distribuída» para «formação global». Em vez de perguntar «quando veremos uma demonstração», vale mais perguntar: antes de vermos a demonstração, já conseguimos compreender a direcção do progresso tecnológico?

5 Como avaliar o progresso quântico?

5.1 Não é um «problema actual», mas é preciso começar a preparar agora

Do ponto de vista da realidade de engenharia, a computação quântica ainda não tem capacidade para iniciar ataques contra os actuais sistemas de criptomoedas existentes. Quer em escala de hardware, controlo de erros ou capacidade de executar circuitos profundos de forma estável durante longos períodos, ainda existe uma diferença clara face às condições assumidas no artigo.

Mas isto não significa que a indústria possa continuar a adiar indefinidamente este problema. Em comparação com o passado, uma mudança importante é que as rotas tecnológicas relevantes se tornaram cada vez mais claras e que as estimativas de recursos estão a convergir continuamente. Para os sistemas de blockchain, o que é realmente necessário não é um momento específico, mas sim se já foi reservado tempo e espaço suficientes para a migração futura.

A actualização da infra-estrutura criptográfica geralmente não é uma simples substituição de software. Envolve protocolos, implementação, coordenação do ecossistema, migração de activos e mudanças nos hábitos dos utilizadores; o seu horizonte temporal é normalmente medido em anos, e não em meses ou trimestres. Visto deste ângulo, não é um problema que «vai explodir agora», mas é um problema que já precisa de ser colocado em planeamento o quanto antes.

5.2 Os algoritmos vão mudar, mas o desenho dos sistemas de blockchain não precisa ser derrubado

O que a computação quântica afecta directamente são as hipóteses criptográficas subjacentes em que o sistema de blockchain se baseia — por exemplo, esquemas de assinatura baseados em curvas elípticas — e não o problema em si que um sistema de blockchain como um sistema de segurança enfrenta.

Isto significa que muitos mecanismos de segurança que já foram comprovados eficazes não perderão valor devido ao surgimento da computação quântica. Para a indústria de blockchain e de activos digitais, quer seja gestão de chaves, computação multipartidária (MPC), isolamento de hardware (TEE), controlo de permissões, mecanismos de auditoria, ou a arquitectura global de segurança construída em torno de sistemas de contas, aprovação de transacções, controlo de risco e governação, continua a resolver problemas reais como exposição de chaves, falhas de ponto único, riscos internos e erros operacionais. Estes problemas não desaparecem com a mudança dos primitivos criptográficos subjacentes.

Portanto, uma compreensão mais racional não é «a era quântica exige que se derrube e refaça todo o sistema de segurança do blockchain», mas sim: o que precisa de ser actualizado em primeiro lugar são os componentes criptográficos de base; o que deve ser mantido e reforçado são os princípios de desenho que o sistema de blockchain já formou em protecção de chaves, estratificação de permissões, isolamento de risco e controlo de governação. O verdadeiramente importante não é apenas substituir um algoritmo de assinatura; é fazer com que todo o sistema tenha capacidade de suportar esta migração criptográfica.

5.3 Da «escolha do algoritmo» para «se é possível migrar de forma suave»

A criptografia pós-quântica já entrou na fase de normalização e implementação em engenharia. As primeiras normas PQC lideradas pela NIST foram oficialmente publicadas em 2024 [12], mas diferentes propostas ainda apresentam diferenças claras em desempenho, tamanho das assinaturas, complexidade de implementação e hipóteses de segurança, e a prática de engenharia e as rotas de adopção pela indústria continuam a evoluir.

Neste contexto, em vez de apostar demasiado cedo num algoritmo específico, o problema mais importante está a mudar: se o sistema tem capacidade para migrar de forma suave.

Esta capacidade inclui vários níveis: se é possível introduzir novos esquemas de assinatura sem afectar a continuidade do negócio; se consegue suportar um período de modos híbridos; e se, à medida que a normalização e as práticas de engenharia continuem a evoluir, ainda é possível ajustar e manter compatibilidade.

A longo prazo, o que a indústria de blockchain realmente precisa de construir não é apenas a capacidade de «adoptar algoritmos pós-quânticos», mas sim a capacidade de «responder à mudança contínua da criptografia». A primeira é uma migração; a segunda é uma concepção de sistema sustentável no longo prazo.

6 Conclusão: um sinal técnico importante

Do ponto de vista da realidade de engenharia de hoje, a computação quântica ainda não é suficiente para constituir uma ameaça real aos actuais sistemas de criptomoedas. Quer em escala de hardware, em controlo de erros, ou na capacidade tolerante a falhas necessária para executar circuitos profundos de forma estável durante longos períodos, continua a existir uma diferença clara face às condições assumidas no artigo. Em outras palavras, a CRQC não é uma tecnologia que «assim que o tempo chegar, simplesmente se concretiza»; a sua implementação ainda depende de um conjunto de desafios de engenharia que ainda não foram ultrapassados por completo.

Mas, ao mesmo tempo, este problema já deixou de ser adequado para ser encarado como uma discussão abstracta do futuro distante. A Google, em Março de 2026, definiu explicitamente a sua linha temporal de migração pós-quântica para 2029[8]; o NCSC britânico apresentou três marcos críticos de migração — 2028, 2031 e 2035 [9]; embora o roadmap do G7 Cyber Expert Group para o sistema financeiro não estabeleça deadlines regulatórios, também considera 2035 como um objectivo de referência para a migração global e recomenda que os sistemas-chave concluam a migração, tanto quanto possível, entre 2030 e 2032 [10].

Em simultâneo, é também necessário evitar uma interpretação excessiva. Pelos dados públicos actualmente mais difundidos, mesmo que por julgamentos públicos mais agressivos, o risco é em grande medida deslocado para o período de 2030, e não para uma conclusão consensual do tipo «a CRQC será implementada de forma clara antes de 2030». Um inquérito de especialistas do Global Risk Institute, em 2025, indica que a probabilidade de surgir CRQC nos próximos 10 anos é «quite possible (28%–49%)», e nos próximos 15 anos entra no intervalo «likely (51%–70%)» [11].

Portanto, o significado mais importante do white paper da Google não é anunciar que os ataques quânticos já chegaram, mas sim fazer com que este problema se torne, pela primeira vez, suficientemente concreto: é possível discuti-lo, avaliá-lo e é preciso começar a preparar-se. Para a indústria de blockchain e de activos digitais, 2030–2035 é uma janela crítica que deve ser levada a sério e na qual deve ser reservados espaço para a migração. Pode não corresponder ao ano exacto em que os ataques quânticos realmente chegarão, mas é muito provável que decida se, até lá, a indústria ainda terá margem para responder com tranquilidade.