A computação quântica vai decifrar o Bitcoin? 2030 será realmente o ano de crise

Google divulgou o chip quântico Willow causando pânico na comunidade de criptografia, com KOLs gritando “Bitcoin chegará a zero em 2026”. Mas a verdade é: quebrar Bitcoin requer 2.300 a 2.600 qubits lógicos, sob arquitetura tradicional são necessários 2 a 20 milhões de qubits físicos. Willow tem apenas 105 qubits, uma diferença de 4 ordens de magnitude, Bitcoin é relativamente seguro antes de 2030.

O cronograma real da ameaça quântica: 2030 é o ano crítico

Ao falar sobre a ameaça da computação quântica, é essencial esclarecer o enorme abismo entre “poder quebrar” e “quebrar na prática”. A criptografia de curva elíptica secp256k1 do Bitcoin depende da complexidade computacional; os computadores quânticos que executam o algoritmo de Shor teoricamente podem quebrar isso, mas a chave é “quantos qubits são necessários”.

Quebrar Bitcoin requer aproximadamente 2.300 a 2.600 qubits lógicos, bem como dezenas de bilhões de operações de porta quântica. No entanto, qubits quânticos são extremamente susceptíveis a ruído e requerem mecanismos de correção de erros. Sob a arquitetura tradicional de código de superfície, criar um qubit lógico pode exigir 1.000 qubits físicos. Calculando, quebrar Bitcoin pode exigir de 2 a 20 milhões de qubits físicos.

O chip Willow tem apenas 105 qubits físicos, ficando 4 ordens de magnitude abaixo do limiar de ameaça. Isso é equivalente ao salto do rádio de cristal para um smartphone moderno. Embora fabricantes como IBM, IonQ e QuEra tenham roteiros agressivos, mesmo as previsões mais otimistas indicam que atingir o limiar de milhares de qubits lógicos levará até 2029 a 2033. IonQ planeja atingir aproximadamente 1.600 qubits lógicos em 2028, e IBM planeja implementar um computador quântico tolerante a falhas com 200 qubits lógicos em 2029.

A verdadeira janela de perigo é de 2030 a 2035. Como o computador quântico relevante para criptografia (CRQC) pode surgir durante esse período, Bitcoin deve concluir a atualização do protocolo antes disso. A versão melhorada do algoritmo de Shor proposta por Oded Regev da Universidade de Nova York em 2023 reduz as etapas quânticas em aproximadamente 20 vezes, mas a quantidade de qubits lógicos necessários ainda é contada em milhares. Uma variável ainda mais importante é o código de paridade de baixa densidade quântica (qLDPC), que teoricamente pode reduzir o custo de correção de erros de 1.000:1 para 10:1, mas requer uma arquitetura de hardware completamente nova.

Seu Bitcoin está seguro? Diferenças vida-morte entre dois tipos de endereço

A ameaça da computação quântica não trata todos os bitcoins igualmente. Para entender o risco, é necessário distinguir entre dois tipos de endereço, cuja diferença de segurança é abismal.

Endereços Bitcoin modernos (P2PKH, começando com 1, 3, bc1) usam hash dupla da chave pública (SHA-256 + RIPEMD-160). A chave pública em si não é públic até o usuário iniciar uma transação, quando é transmitida para a rede. Os atacantes têm apenas 10 minutos entre a transação entrar no pool de memória e ser embalada em um bloco para interceptar a chave pública, executar o algoritmo quântico para calcular a chave privada e construir uma transação de substituição com taxa mais alta para roubar os fundos. Mesmo com CRQC, este “ataque em trânsito” é extremamente desafiador.

No entanto, em 2009 a 2010, Satoshi Nakamoto e os primeiros mineradores usavam script P2PK, que expunha diretamente a chave pública bruta nos dados de bloco. Os atacantes não precisam esperar por uma transação, podem verificar diretamente o histórico de blockchain, extrair as chaves públicas brutas de milhões de BTC e executar offline o algoritmo de Shor em computadores quânticos para calcular as chaves privadas. Este é um cenário típico de “coletar agora, descriptografar depois”.

Risco extremo enfrentado por endereços P2PK

Escala de exposição: Estima-se de 2 a 4 milhões de BTC, incluindo aproximadamente 1,1 milhão de BTC na carteira de Satoshi Nakamoto

Tipo de ataque: Quebra offline, sem necessidade de esperar por transações, preparação possível anos antes

Janela de tempo: Uma vez que CRQC surge, esses fundos podem ser roubados em horas

Dilema de governação: Se Satoshi não reaparecer, a comunidade pode ser forçada a congelar ou destruir esse ativos através de um soft fork

Os 1,1 milhão de BTC de Satoshi Nakamoto se tornam o maior risco crescente do Bitcoin. Após a implantação da atualização anti-quântica, a rede deve tomar uma decisão sobre essas moedas antigas P2PK que nunca foram movidas. Se os detentores da chave privada não assinarem ativamente e migrarem para novos endereços, uma vez que CRQC surja, hackers roubarão essas moedas e as despejarão no mercado. A comunidade pode ser forçada a violar o princípio de “propriedade privada inviolável”, congelando esses ativos, causando uma divisão ainda mais grave que BCH/BTC.

O sistema de defesa tripla do Bitcoin já está a caminho

Diante de ameaças potenciais, a comunidade de desenvolvedores do Bitcoin não está de braços cruzados. A tecnologia anti-quântica está evoluindo de teoria para prática de engenharia, com um sistema de defesa tripla em construção.

A primeira camada de defesa é P2TSH (Pay-to-Tapscript-Hash), é um novo tipo de saída de transação proposto por BIP-360. Este esquema aproveita a arquitetura Taproot existente, remove o “caminho de chave” vulnerável a ataques quânticos e mantém apenas o “caminho de script”. Como o caminho de script é hashed, computadores quânticos não podem ver a estrutura interna. Esta atualização é compatível com versões anteriores e pode ser implementada através de soft fork.

A segunda camada de defesa é o mecanismo de emergência Commit-Delay-Reveal (Comprometer-Atrasar-Revelar). Se um computador quântico aparecer de repente, o usuário envia uma transação contendo o hash do novo endereço seguro contra quântica, mas não contém a chave pública antiga e a assinatura. O protocolo força essa transação a permanecer na cadeia por vários blocos (por exemplo, 144 blocos, aproximadamente 1 dia). Após o período de atraso, o usuário envia uma segunda transação revelando a chave pública antiga e a assinatura para desbloquear fundos e transferir para o novo endereço. Mesmo que o atacante quântico veja a chave pública na fase de “revelação”, o “compromisso” da primeira etapa já estabeleceu um timestamp na cadeia, impedindo o atacante de reverter a blockchain e inserir sua própria transação.

A terceira camada de defesa é baseada em hash, usando Lamport signature e Winternitz One-Time Signature (WOTS). Com apelos crescentes da comunidade Bitcoin para restaurar o opcode OP_CAT, desenvolvedores podem, sem necessidade de hard fork, escrever diretamente lógica em scripts Bitcoin para validar assinaturas WOTS, alcançando atualização anti-quântica sem permissão. Algoritmos criptográficos pós-quânticos padronizados pelo NIST (como SPHINCS+) também foram inclusos no escopo de discussão de propostas de melhoria do Bitcoin.

A chegada da computação quântica não é o fim do Bitcoin, mas uma contagem regressiva para atualização tecnológica. De 2030 a 2035 é uma janela de período altamente perigoso, Bitcoin deve concluir a atualização de protocolo antes disso. A história sempre avança em crises, se o Bitcoin pode sobreviver na era quântica depende se a comunidade pode completar essa atualização sem volta antes que a ameaça realmente chegue.