Riscos quânticos: na Chaincode Labs avaliaram a ameaça para o bitcoin

Especialistas da organização de pesquisa Chaincode Labs publicaram um relatório detalhado sobre as potenciais ameaças dos computadores quânticos ao bitcoin. O documento de 55 páginas foi preparado pelos doutores Anthony Milton e Clara Schickelman em maio de 2025.

Quantos bitcoins estão em risco

Segundo os autores, entre 20% a 50% de todos os bitcoins em circulação (4-10 milhões de BTC) são potencialmente vulneráveis a ataques utilizando computadores quânticos criptograficamente relevantes (Computador quântico criptograficamente relevante, CRQC).

A estimativa mais precisa do Project Eleven de 17 de janeiro de 2025 indica 6 262 905 BTC. Os fundos estão distribuídos da seguinte forma:

• bitcoins da era Satoshi — de 600 000 a 1,1 milhão de BTC permanecem em endereços do tipo P2PK com chaves públicas totalmente expostas;
• moedas perdidas — de 2 a 3 milhões de BTC pertencem a usuários que perderam o acesso às chaves privadas. Nem todas elas são vulneráveis a ataques quânticos, mas uma parte significativa está sob ameaça;
• endereços com chaves expostas — milhões de bitcoins estão em endereços onde as chaves públicas foram expostas devido ao seu reuso.

Os pesquisadores prestaram especial atenção à concentração de fundos em endereços de exchanges. Alguns deles contêm centenas de milhares de bitcoins, o que os torna alvos prioritários para ataques quânticos potenciais.

«Quanto aos ativos com chaves públicas abertas, muitos grandes detentores, incluindo exchanges e custodiante institucionais, historicamente geriram os seus armazéns frios, reutilizando endereços por questões de simplicidade operacional. […]

Como resultado, é formado uma lista de objetivos economicamente prioritários para potenciais atacantes quânticos: a invasão de tais endereços pode garantir o máximo retorno pelo esforço investido, — diz o relatório.

Quando esperar o "Dia Q"

Em 2024, a organização canadense Global Risk Institute realizou uma pesquisa com 32 especialistas importantes da academia. Quase um terço de (10 dos 32) entrevistados acredita que há 50% ou mais de chance de ocorrer o CRQC nos próximos 10 anos.

Os autores do relatório destacaram as iniciativas governamentais que confirmam a gravidade da ameaça:

• Estados Unidos. A Nota de Segurança Nacional de maio de 2022 do presidente Joe Biden visa "mitigar possíveis riscos quânticos até 2035". O NIST estabeleceu 2030 como o prazo para a eliminação progressiva do RSA-2048 e do ECC-256, com uma proibição total até 2035;
• Reino Unido. O Centro Nacional de Cibersegurança lançou um plano de migração em três etapas: identificação de sistemas vulneráveis até 2028, atualizações prioritárias de 2028 a 2031, migração completa de 2031 a 2035;
• União Europeia. O ETSI coordena a abordagem através do grupo de trabalho sobre Criptografia Segura Quântica, embora prazos específicos ainda não estejam estabelecidos;
• China. Em vez de adotar os padrões NIST, a China lançou seu próprio programa "Next Generation Cryptographic Algorithms for Commercial Use" em fevereiro de 2025 através do Commercial Cryptography Standards Institute. Os prazos específicos para a implementação do programa não foram anunciados publicamente.

Os pesquisadores também observaram um avanço acelerado no campo da computação quântica. Em dezembro de 2024, o Google apresentou o processador Willow com 105 qubits físicos, alcançando um marco importante na correção de erros quânticos. A Microsoft apresentou em fevereiro de 2025 o Majorana 1 — o primeiro processador quântico com qubits topológicos.

Dois Tipos de Ataques Quânticos

Computadores quânticos ameaçam o bitcoin através da quebra de criptografia elíptica usando o algoritmo de Shor. Este algoritmo pode calcular a chave privada a partir da chave pública em horas ou dias, em vez dos quatrilhões de anos exigidos pelos computadores clássicos.

Ataques de longo prazo visam três tipos de scripts com chaves públicas conhecidas:

• Pay to Public Key (P2PK) — o tipo mais antigo, utilizado para recompensas de mineração iniciais. Constitui 0,025% do UTXO, mas contém 8,68% da oferta de bitcoin;
• Pagar a MultiSig (P2MS) — "multisig bruto", introduzido em 2011. Abrange 1,037% UTXO com aproximadamente 57 BTC;
• Pay to Taproot (P2TR) — introduzido em 2021, representa 32,5% do UTXO com 0,74% da oferta (146 715 BTC).

Ataques de curto prazo afetam todas as transações, mas ocorrem em uma janela de tempo restrita, quando o usuário revela a chave pública no mempool ( antes da confirmação ).

Queimar ou deixar

A questão do destino dos ativos quânticamente vulneráveis já dividiu a comunidade em dois campos.

Os defensores da "queima" liderados por Jameson Lopp afirmam que a remoção de moedas vulneráveis preservará a integridade do bitcoin. Na opinião deles, permitir que computadores quânticos retirem fundos é equivalente a redistribuir a riqueza de quem perdeu o acesso aos bitcoins para aqueles que vencerem a corrida tecnológica pelos computadores quânticos.

Lopp comparou a vulnerabilidade quântica a um bug no nível do protocolo que precisa ser corrigido. A queima proporcionará certeza e limitará a volatilidade do mercado.

Os opositores veem a queima como uma confiscacão e uma violação do direito de propriedade dos detentores de moedas. Na opinião deles, o bitcoin foi criado como um sistema onde os usuários mantêm plena soberania sobre seus fundos, com a possibilidade de acessá-los a qualquer momento.

Uma alteração que torna certos UTXOs permanentemente indisponíveis representa uma intervenção de terceiros, contra a qual o bitcoin foi criado. Isso se tornará uma verdadeira confiscação para os proprietários que, por algum motivo, simplesmente não estão cientes da ameaça quântica ou não conseguem transferir suas moedas a tempo para endereços resistentes a quânticos.

A decisão afetará a oferta total de bitcoins ( em caso de queima ) ou levará a uma redistribuição em larga escala de riqueza ( em caso de "roubo quântico" ). Também surgem questões jurídicas sobre a responsabilidade potencial dos desenvolvedores e dos membros da comunidade por qualquer decisão tomada.

Soluções propostas

Os desenvolvedores estão considerando várias abordagens para a proteção quântica, cada uma com suas vantagens e compromissos.

OP_CAT no Tapscript (BIP-347). Ethan Heilman e Armin Sabouri propuseram a devolução do opcode OP_CAT, desativado por Satoshi em 2010. Isso permitirá a criação de assinaturas de Lamport - assinaturas baseadas em hash, resistentes a ataques quânticos.

QuBit (BIP-360). Um desenvolvedor sob o pseudônimo Hunter Beast apresentou a proposta mais elaborada após meses de discussões. O P2QRH introduz um novo tipo de saída usando o algoritmo FALCON aprovado pelo NIST, bem como CRYSTALS-Dilithium e SPHINCS+.

Scripts Taproot protegidos por quantum. Matt Corallo propôs adicionar um opcode OP_SPHINCS para verificar assinaturas pós-quânticas. Isso permitirá que as carteiras criem saídas Taproot com um caminho de gastos protegido por quantum. Luke Dash Jr. observou que as carteiras podem começar a implementação imediatamente após a finalização da especificação, sem esperar pela ativação do soft fork.

Compactação de assinaturas através do STARK. Ethan Heilman propôs agregar assinaturas pós-quânticas em uma única prova compacta STARK. Isso pode aumentar a capacidade do Bitcoin ao mesmo tempo que melhora a privacidade.

Estratégia de Transição

Os autores do relatório propuseram uma abordagem em duas etapas, reconhecendo a incerteza nos prazos da ameaça quântica.

• medidas de curto prazo (dois anos) — criação de uma solução mínima viável para aplicação de emergência;
• O plano a longo prazo (семь лет) é desenvolver um protocolo quântico resistente ideal. Com base em precedentes históricos SegWit (8.5 anos do conceito ao принятия) e Taproot (7.5 лет).

Segundo as suas estimativas, a migração de todos os UTXO para endereços quânticos resistentes levará entre 76 a 568 dias, dependendo do espaço disponível nos blocos.

Mineração sob proteção

Os computadores quânticos provavelmente não irão comprometer a mineração de bitcoin no futuro próximo devido a limitações fundamentais.

*"Ao contrário dos ataques quânticos às assinaturas digitais, a mineração quântica tem que competir com a mineração clássica. No caso das assinaturas Bitcoin baseadas em curvas elípticas, quando os computadores quânticos tiverem atingido um nível suficiente de desenvolvimento, uma única máquina (CRQC) será capaz de comprometer fundos quebrando a criptografia usada. A mineração quântica, por outro lado, exigiria um grande número de máquinas quânticas rápidas para corresponder ao desempenho dos ASICs atuais. Ao contrário da mineração clássica, a mineração quântica é difícil de paralelizar, o que a torna muito mais difícil de escalar e a torna muito menos eficiente na prática", diz o relatório.

O que fazer para os detentores

Os investigadores recomendam:

• interromper o reuso de endereços;
• transferir fundos de tipos de script vulneráveis (P2PK, P2MS, P2TR) para (P2PKH mais seguros, P2SH, P2WPKH, P2WSH);
• as bolsas devem alterar suas abordagens na gestão de carteiras frias para minimizar os riscos quânticos.

O relatório destaca: embora a ameaça quântica não seja atual no momento, a janela para a preparação irá se estreitar à medida que as tecnologias evoluírem. Ações proativas hoje são necessárias para a sobrevivência a longo prazo do bitcoin.

Anteriormente, o Project Eleven ofereceu 1 BTC por um ataque quântico à criptografia do bitcoin.