A ameaça quântica colocará em risco pelo menos 6,26 milhões de BTC, equivalentes a aproximadamente US$ 650 bilhões, caso desenvolvedores, empresas, usuários e mineradores não se mobilizem em uma ação coordenada para mitigar vulnerabilidades na infraestrutura criptográfica da rede, alerta um relatório publicado em maio pelos pesquisadores Anthony Milton e Clara Shikhelman.

O estudo, intitulado “Bitcoin and Quantum Computing: Current Status and Future Directions”, estima que 30% do suprimento de Bitcoin em circulação está vulnerável a ataques de computadores quânticos criptograficamente relevantes (CRQCs). Ao alcançar capacidade suficiente para executar o algoritmo de Shor, esses dispositivos poderão quebrar a criptografia do Bitcoin (BTC) com eficiência computacional sem precedentes — um processo que, com computadores clássicos, levaria mais de 100 quadrilhões de anos.

Conforme apontam os autores, “um CRQC rodando o algoritmo de Shor poderia derivar uma chave privada a partir de uma chave pública em questão de horas ou dias”, comprometendo assinaturas digitais baseadas em ECDSA e Schnorr, atualmente utilizadas pela rede Bitcoin.

“A capacidade dos CRQCs de derivar uma chave privada a partir de uma chave pública representa a ameaça quântica mais significativa ao Bitcoin, pois um invasor pode usar essa chave derivada para criar e transmitir uma transação válida que gasta os UTXOs da vítima para um endereço que ele controla.”

As moedas sob maior risco são aquelas vinculadas a carteiras da era Satoshi, cujas chaves públicas já foram reveladas na blockchain, além de carteiras associadas a práticas de reutilização de endereços, comuns entre exchanges e grandes instituições. Segundo uma pesquisa citada no relatório, um terço dos especialistas globais consultados acredita que computadores quânticos serão capazes de quebrar a criptografia do Bitcoin entre 2030 e 2035.

Como a computação quântica ameaça o Bitcoin

A segurança do Bitcoin depende da dificuldade computacional de se derivar uma chave privada a partir de uma chave pública — um problema considerado insolúvel para computadores clássicos. No entanto, essa assimetria desaparece diante da capacidade dos computadores quânticos de executar o algoritmo de Shor.

De acordo com o relatório, tanto o ECDSA quanto o Schnorr — algoritmos de assinatura utilizados pelo Bitcoin — são baseados no problema do logaritmo discreto sobre curvas elípticas, cuja segurança é comprometida em um mundo pós-quântico.

Esse tipo de ataque permitiria que um agente malicioso assinasse transações em nome de qualquer endereço cuja chave pública já tenha sido exposta na blockchain, movimentando os fundos de forma ilegítima. O relatório classifica essas ameaças em dois vetores principais: ataques de longo alcance, direcionados a carteiras com chaves públicas já reveladas, e ataques de curto alcance, voltados a transações que expõem a chave pública no momento em que são transmitidas para a rede, antes de confirmadas em um novo bloco.

Além disso, práticas comuns como a reutilização de endereços ampliam consideravelmente o universo de chaves públicas vulneráveis a ataques. Uma vez exposta, a chave permanece registrada de forma permanente na blockchain, abrindo caminho para que qualquer agente com poder computacional suficiente possa explorá-la futuramente.

O relatório ainda alerta que “a blockchain do Bitcoin é um registro público de tais chaves públicas; quaisquer UTXOs correspondentes permanecem vulneráveis a ataques de longo alcance até que sejam gastos com tipos de script menos suscetíveis” a vulnerabilidades.

Quem está mais vulnerável: exchanges, Satoshi e fundos esquecidos

A exposição de chaves públicas na blockchain é o principal vetor de vulnerabilidade de um endereço do Bitcoin a ameaças quânticas. O relatório aponta três grupos sob maior risco de terem seus fundos violados: carteiras da era Satoshi, endereços reutilizados por exchanges, custodiantes e investidores institucionais, e fundos supostamente perdidos vinculados a scripts ultrapassados.

Os autores destacam que os endereços do tipo pay-to-public-key (P2PK), usados nos primeiros anos do Bitcoin, são altamente vulneráveis a ataques quânticos porque armazenam diretamente a chave pública no script da transação. Apesar de representarem apenas 0,025% dos UTXOs existentes, esses endereços concentram cerca de 8,68% de todo o capital da rede — aproximadamente 1,72 milhão de BTC, equivalentes a US$ 180,6 bilhões, a maioria associado a carteiras inativas desde a era Satoshi.

Outro vetor crítico são os endereços reutilizados, prática ainda comum entre exchanges, custodiantes e plataformas que operam grandes volumes de transação. Embora scripts como o pay-to-public-key-hash (P2PKH) ocultem a chave pública até o momento da transação, a reutilização de um endereço expõe a chave em transações anteriores, tornando os fundos vulneráveis a ataques de longo alcance, afirma o relatório:

“A reutilização de endereços transforma scripts normalmente vulneráveis apenas a ataques de curto alcance em alvos permanentemente expostos a ataques de longo alcance.”

Além disso, fundos que foram movimentados em redes derivadas do Bitcoin, como Bitcoin Cash (BCH) ou Bitcoin Gold (BTG), podem ter exposto suas chaves públicas mesmo sem atividade on-chain na rede original. Isso amplia o alcance potencial de ataques, mesmo para endereços aparentemente inativos.

Os autores estimam que até 6,26 milhões de BTC estejam imediatamente vulneráveis — cerca de 30% do suprimento total. A maior parte desse valor está concentrada em UTXOs com chaves públicas já reveladas, seja por design (como nos scripts P2PK), por reutilização de endereços ou por gastos em redes paralelas.

A corrida por uma versão pós-quântica do Bitcoin

A comunidade de desenvolvedores e pesquisadores do Bitcoin têm se mobilizado para propor a implementação de algoritmos resistentes à computação quântica. As principais soluções giram em torno da substituição do ECDSA e do Schnorr por sistemas de assinatura pós-quânticos, além da criação de novos tipos de script e rotas de migração para os fundos em risco.

Uma das propostas em estágio mais avançado é a BIP-360, que sugere a introdução de um novo tipo de saída de transação chamado Pay-to-Quantum-Resistant-Hash (P2QRH). Essa estrutura combina assinaturas Schnorr com assinaturas pós-quânticas como FALCON, CRYSTALS-Dilithium e SPHINCS+, padronizadas pelo NIST (Instituto Nacional de Padrões e Tecnologia dos EUA). O objetivo é criar um mecanismo híbrido de transição, compatível com o sistema atual, mas protegido contra CRQCs.

Outra proposta envolve a reativação do opcode OP_CAT, que permitiria a implementação de assinaturas Lamport diretamente em scripts Taproot. Apesar de ineficientes em termos de tamanho, assinaturas baseadas em hash — como Lamport e SPHINCS+ — são consideradas resistentes à computação quântica, afirmam os autores do estudo:

“Os esquemas baseados em hash receberam a maior avaliação e escrutínio de todos os métodos de criptografia pós-quântica [...] há confiança significativa na comunidade criptográfica quanto à sua segurança contra ataques clássicos e quânticos.”

Ainda assim, a introdução desses recursos enfrenta obstáculos tanto técnicos quanto políticos. Um dos problemas é o tamanho significativamente maior das assinaturas pós-quânticas, que afetaria diretamente o custo e a capacidade das transações processadas na rede.

Apesar dos avanços, o relatório aponta que todas as propostas ainda estão em estágio inicial de desenvolvimento:

“Todos esses esforços — inclusive os de visibilidade pública — permanecem em estágio exploratório, com grande parte da pesquisa ainda ocorrendo de forma informal e privada.”

Ainda não há consenso sobre qual abordagem deve ser adotada, nem sobre o momento certo para sua implementação.

Burn ou steal? O dilema ético que divide a comunidade

O risco quântico não impõe apenas desafios técnicos à comunidade do Bitcoin, mas também um dilema ético e moral: o que fazer com os fundos vulneráveis? Duas opções vêm sendo discutidas.

A primeira propõe a queima dos fundos supostamente esquecidos e irrecuperáveis (burn), enquanto a outra defende que os fundos devem ser mantidos em suas carteiras originais e, consequentemente, acessíveis para quem tiver um computador quântico plenamente funcional (steal).

A opção de queimar os fundos vulneráveis é defendida como uma forma de preservar a integridade do protocolo e evitar uma redistribuição arbitrária de riqueza. Os adeptos desta proposta consideram a exposição das chaves públicas uma falha de segurança que deve ser corrigida coletivamente, como explicam os pesquisadores:

“A abordagem burn trata a vulnerabilidade quântica como um bug em nível de protocolo que exige uma correção conservadora.”

Por outro lado, tornar fundos inacessíveis pode ser visto como uma violação dos direitos de propriedade, um princípio central do Bitcoin. Críticos da proposta argumentam que essa ação equivale a um confisco, afetando inclusive usuários que desconhecem os riscos ou perderam o acesso às suas carteiras. Segundo o relatório, “não congelar fundos de usuários é uma das propriedades invioláveis do Bitcoin”, e um hard fork para eliminar esses UTXOs poderia minar a confiança no sistema.

O relatório reconhece que optar pelo steal equivale, na prática, a uma omissão deliberada: “Essa abordagem equivale a não fazer nada, deixando que qualquer entidade com capacidade técnica suficiente reivindique os fundos.” Já o burn, embora exija consenso, teria o mérito de oferecer previsibilidade e limitar choques futuros de oferta.

Os pesquisadores ressaltam que “a maioria das considerações ainda precisa ser resolvida antes que uma decisão sobre burn ou steal possa ser tomada”. A resolução desse dilema será um dos maiores testes à governança descentralizada do Bitcoin, pois envolve equilibrar princípios fundamentais com medidas preventivas em um cenário de risco sistêmico.

Qual o prazo para salvar o Bitcoin? Linha do tempo da ameaça quântica

Embora ainda não existam computadores quânticos capazes de quebrar a criptografia do Bitcoin, o consenso entre especialistas é que essa realidade pode se concretizar nos próximos dez anos. O relatório cita uma pesquisa realizada em 2024 com 32 especialistas globais, segundo a qual “quase um terço dos entrevistados indicou uma probabilidade de 50% ou mais de que CRQCs capazes de quebrar a criptografia usada atualmente apareçam entre 2030 e 2035.”

Segundo o relatório, a transição do Bitcoin para criptografia pós-quântica envolve dois pontos-chave. Primeiro, a ativação de esquemas de assinatura resistentes a ataques quânticos, permitindo mover fundos vulneráveis para proteção permanente — embora isso possa ser custoso e nem todos os fundos possam ser migrados. Segundo, a implementação de um mecanismo de migração, que define regras para acessar fundos ainda vulneráveis, resolvendo o dilema entre “queimar” ou “roubar” esses fundos.

Para isso, o relatório propõe uma estratégia de ação em duas frentes: medidas de contingência de curto prazo, com horizonte de até dois anos, e um plano abrangente de transição para proteção total contra ameaças quânticas em um período estimado de sete anos. Essas linhas de ação paralelas permitiriam que a comunidade do Bitcoin reaja com agilidade caso ocorra uma aceleração inesperada no desenvolvimento de computadores quânticos.

Linha do tempo da ameaça quântica ao Bitcoin
Linhas do tempo de curto e longo prazo para mitigação da ameaça quântica ao Bitcoin. Fonte: Bitcoin and Quantum Computing: Current Status and Future Directions

Conforme noticiado recentemente pelo Cointelegraph Brasil, a BlackRock apresentou um relatório detalhado sobre os riscos que a computação quântica impõe ao Bitcoin e o potencial comprometimento da integridade da rede em futuro pós-quântico.