Saltar para o conteúdo principal

ARK Invest Quantifica a Ameaça Quântica do Bitcoin: 34,6% da Oferta em Risco, mas o Relógio Ainda Não Está Correndo

· 11 min de leitura
Dora Noda
Dora Noda
Software Engineer

Um whitepaper conjunto da ARK Invest e da Unchained realizou algo que ninguém mais conseguiu nesta escala: ele atribui um número preciso a quanto de Bitcoin está exposto a ataques de computação quântica. A resposta — 34,6 % do fornecimento total, aproximadamente $ 240 bilhões aos preços atuais — é simultaneamente alarmante e tranquilizadora. Alarmante porque quantifica o que anteriormente era descartado como uma hipótese distante. Tranquilizadora porque o relatório também demonstra que os 65,4 % restantes de BTC estão protegidos com segurança atrás de hashing criptográfico que os computadores quânticos não conseguem quebrar, e que a indústria provavelmente tem uma década para se preparar.

As Cinco Fases da Ameaça Quântica

Em vez de tratar o risco quântico como um interruptor binário de ligar / desligar, a ARK e a Unchained introduzem uma estrutura de cinco fases que mapeia a progressão da computação quântica de uma curiosidade de laboratório a uma arma criptográfica.

Fase 1 — Utilidade Comercial (Hoje): Computadores quânticos resolvem problemas de otimização e simulação para a indústria farmacêutica, logística e ciência de materiais. Nenhuma relevância criptográfica. É aqui que estamos em 2026.

Fase 2 — Relevância Criptográfica (Aviso Antecipado): Máquinas quânticas começam a quebrar problemas criptográficos simples — pense em tamanhos de chave pequenos ou algoritmos obsoletos. A curva elíptica secp256k1 do Bitcoin permanece intocada, mas o destino parece traçado.

Fase 3 — Vulnerabilidade de ECC (Primeiro Risco Real): Um computador quântico executando o algoritmo de Shor pode derivar uma chave privada de uma chave pública conhecida — mas lentamente. Nesta fase, um invasor pode precisar de dias ou semanas para quebrar uma única chave. Endereços Bitcoin que expõem sua chave pública tornam-se vulneráveis, mas o ataque é impraticável para a maioria dos alvos.

Fase 4 — Quebra em Tempo Inferior ao Bloco (Limiar Crítico): A máquina quântica quebra uma chave privada mais rápido do que o tempo de bloco de 10 minutos do Bitcoin. Este é o ponto onde o sistema monetário do Bitcoin enfrenta um desafio existencial: um invasor poderia ver uma transação no mempool, extrair a chave pública do remetente, derivar a chave privada e transmitir uma transação concorrente antes que a original seja confirmada.

Fase 5 — Colapso Criptográfico: Computadores quânticos quebram chaves quase instantaneamente. Sem defesas pós-quânticas, o modelo de segurança do Bitcoin quebra inteiramente.

A ARK projeta que não chegaremos à Fase 3 antes de meados da década de 2030, no mínimo. Os processadores quânticos mais avançados de hoje — o chip Willow do Google com 105 qubits, o Kookaburra da IBM com 1.386 qubits — estão ordens de magnitude abaixo dos estimados 13 milhões de qubits lógicos necessários para quebrar a criptografia do Bitcoin em um dia.

O Que Exatamente Está Vulnerável?

A cifra de 34,6 % divide-se em três categorias de Bitcoin exposto, cada uma com um perfil de risco diferente:

Saídas P2PK Legadas (~ 1,7 milhão de BTC): As primeiras transações de Bitcoin usavam scripts Pay-to-Public-Key (P2PK), que armazenam a chave pública bruta diretamente na blockchain. Qualquer pessoa pode ler essas chaves públicas hoje. Esta categoria inclui os cerca de 1,1 milhão de BTC estimados de Satoshi Nakamoto — moedas mineradas entre 2009 e 2010 que nunca foram movidas. Estes são os endereços mais vulneráveis porque a chave pública está permanentemente visível, dando a um invasor quântico tempo ilimitado para trabalhar.

Endereços Reutilizados (~ 5 milhões de BTC): Quando um usuário gasta de um endereço, a transação revela a chave pública. Se esse endereço receber fundos adicionais posteriormente, essas novas moedas ficam atrás de uma chave exposta. A reutilização de endereços, desencorajada há muito tempo pelas melhores práticas do Bitcoin, representa a maior parte do fornecimento vulnerável ao processamento quântico.

Saídas Taproot P2TR (~ 200.000 BTC): O mecanismo de gasto por caminho de chave (key-path spending) do Taproot também expõe chaves públicas de uma forma que um computador quântico suficientemente poderoso poderia explorar. Embora o Taproot seja o formato de endereço mais novo do Bitcoin, seu design priorizou eficiência e privacidade em detrimento da resistência quântica.

O Que Permanece Seguro

Os 65,4 % restantes do fornecimento de Bitcoin estão em formatos de endereço com hash — principalmente P2PKH (Pay-to-Public-Key-Hash) e P2SH (Pay-to-Script-Hash) — onde a chave pública permanece oculta atrás de um hash SHA-256 e RIPEMD-160 até o momento em que os fundos são gastos. Computadores quânticos são excelentes para quebrar criptografia de curva elíptica via algoritmo de Shor, mas oferecem apenas um aumento de velocidade quadrático contra funções de hash via algoritmo de Grover. Quebrar o SHA-256 com o de Grover ainda exigiria cerca de 2^128 operações — um número tão vasto que permanece efetivamente impossível, mesmo para máquinas quânticas.

O insight fundamental: se você possui Bitcoin em um endereço com hash padrão e nunca gastou dele, suas moedas estão seguras contra ataques quânticos em todos os cronogramas realistas.

BIP-360: A Primeira Proposta de Defesa Quântica do Bitcoin

O whitepaper destaca o BIP-360 — agora renomeado para Pay-to-Merkle-Root (P2MR) — como o primeiro passo concreto do Bitcoin em direção à resistência quântica. Originalmente proposto como P2QRH (Pay-to-Quantum-Resistant-Hash) antes de ser renomeado para fins de generalidade, o BIP-360 introduz um novo tipo de saída que remove a vulnerabilidade de gasto por caminho de chave do Taproot.

Aqui está o que o BIP-360 faz e não faz:

O que ele faz:

  • Remove o gasto por caminho de chave que expõe chaves públicas em transações Taproot
  • Introduz saídas Pay-to-Merkle-Root (P2MR) que mantêm todas as condições de gasto atrás de compromissos de árvore de Merkle
  • Cria uma estrutura onde esquemas de assinatura pós-quântica podem ser inseridos via futuros soft forks
  • Pode ser implantado como um soft fork compatível com versões anteriores, seguindo o padrão de adoção do SegWit e Taproot

O que ele não faz:

  • Não adiciona assinaturas digitais pós-quânticas por si só — isso requer uma atualização separada
  • Não protege endereços P2PK já expostos e endereços reutilizados
  • Não força a migração; os tipos de endereços existentes continuam funcionando

A implicação prática: o BIP-360 é uma infraestrutura necessária, não uma solução completa. Ele prepara a arquitetura de endereços do Bitcoin para assinaturas pós-quânticas sem obrigar qual algoritmo específico (ML-DSA, SLH-DSA ou outros) será finalmente adotado.

A Corrida pelas Assinaturas Pós-Quânticas

O NIST finalizou os seus primeiros três padrões de criptografia pós-quântica em agosto de 2024:

  • ML-KEM (FIPS 203): Encapsulamento de chaves baseado em redes (lattice-based), derivado do CRYSTALS-KYBER
  • ML-DSA (FIPS 204): Assinaturas digitais baseadas em redes, derivadas do CRYSTALS-Dilithium
  • SLH-DSA (FIPS 205): Assinaturas baseadas em hash sem estado (stateless), derivadas do SPHINCS+

Para o Bitcoin, os padrões de assinatura são os que mais importam. O whitepaper da ARK e da Unchained recomenda a integração do ML-DSA ou SLH-DSA através de uma atualização por soft fork. Cada um apresenta compromissos (trade-offs):

O ML-DSA oferece assinaturas menores (~ 2,4 KB) e verificação mais rápida, tornando-o mais prático para as restrições de largura de banda do Bitcoin. No entanto, a criptografia baseada em redes é mais recente e as suas suposições de segurança a longo prazo foram menos testadas em condições reais.

O SLH-DSA baseia-se em funções de hash — a mesma primitiva matemática que já protege 65,4% da oferta de Bitcoin. É conservador e bem compreendido, mas as assinaturas são muito maiores (~ 8-40 KB, dependendo dos parâmetros), o que poderia inflar significativamente as transações de Bitcoin.

A BTQ Technologies já demonstrou uma prova de conceito da implementação do Bitcoin usando ML-DSA, substituindo as assinaturas ECDSA vulneráveis no seu "Bitcoin Quantum Core Release 0.2". Mas passar de uma demonstração em testnet para um consenso em toda a rede exige anos de revisão, testes e coordenação social.

Como o Bitcoin se Compara à Abordagem da Ethereum

Enquanto o Bitcoin está a construir metodicamente a resistência quântica através do BIP-360 e de futuras atualizações de assinatura, a Ethereum está a adotar um cronograma mais agressivo. Vitalik Buterin revelou um roteiro de defesa quântica em fevereiro de 2026 com vários caminhos paralelos:

  • EIP-8141 permite que as contas troquem esquemas de assinatura — incluindo os resistentes a quântica — sem mudar de carteiras. Buterin confirmou que será lançado com o hard fork Hegotá no final de 2026.
  • Uma equipa dedicada à Segurança Pós-Quântica, estabelecida em janeiro de 2026, está a pesquisar substitutos baseados em hash para as assinaturas de validadores BLS.
  • O roteiro ETH2030 visa a resistência quântica total com seis esquemas de assinatura e agregação recursiva de STARKs.

A diferença na abordagem reflete a filosofia de cada rede. O Bitcoin prioriza a cautela e a retrocompatibilidade — qualquer alteração deve alcançar um consenso esmagador e ser implementável como um soft fork. A Ethereum avança mais rapidamente, aproveitando a sua cultura de hard fork e a abstração de conta para trocar primitivas criptográficas de forma mais agressiva.

Nenhuma das abordagens é estritamente melhor. O caminho conservador do Bitcoin reduz o risco de introduzir novas vulnerabilidades através de atualizações precipitadas. A cadência mais rápida da Ethereum significa que a proteção quântica chega mais cedo, mas acarreta mais risco de implementação.

O que os Detentores de Bitcoin Devem Fazer Hoje

O whitepaper da ARK/Unchained, embora soe um alarme, é fundamentalmente otimista. A ameaça quântica é real, mas distante, e o processo de desenvolvimento de código aberto do Bitcoin tem tempo para implementar defesas. Ainda assim, os detentores individuais podem tomar medidas agora:

  1. Pare de reutilizar endereços. Sempre que gasta a partir de um endereço, expõe a chave pública. Utilize um novo endereço de receção para cada transação — isto já é uma boa prática.

  2. Mova moedas de outputs P2PK legados. Se possui Bitcoin em formatos de endereço muito antigos (aqueles que começam com "04" ou chaves públicas não comprimidas), transfira-os para endereços P2SH ou P2WPKH modernos.

  3. Monitorize o desenvolvimento do BIP-360. Quando a atualização for ativada, migre para outputs P2MR. Isto não é urgente hoje, mas tornar-se-á cada vez mais importante à medida que o hardware quântico avança.

  4. Não entre em pânico com as moedas de Satoshi. Os 1,1 milhões de BTC em endereços P2PK antigos não podem ser movidos (assumindo chaves perdidas). Se os computadores quânticos algum dia decifrarem essas chaves, a comunidade enfrentará uma questão de governança — não técnica.

O Contexto Geral

O whitepaper da ARK/Unchained chega num momento em que o discurso sobre computação quântica passou da ficção científica para o planeamento estratégico. O chip Willow da Google provou a correção de erros abaixo do limiar em 2024. Os sistemas quânticos multiprocessadores da IBM estão a ultrapassar os 4.000 qubits. Os padrões pós-quânticos do NIST estão a ser implementados em toda a infraestrutura da internet, com o Chrome e o Android a adotarem o TLS pós-quântico por padrão até meados de 2026.

A janela de vulnerabilidade de 34,6% do Bitcoin é suficientemente grande para exigir ação, mas pequena o suficiente para ser resolúvel. A estrutura de cinco estágios fornece ao ecossistema um vocabulário partilhado para acompanhar o progresso. O BIP-360 fornece a base arquitetónica. Os padrões do NIST oferecem as ferramentas criptográficas.

A questão não é se o Bitcoin se tornará resistente a quântica — é se a comunidade coordenará as atualizações necessárias antes que o Estágio 3 chegue. Dado o histórico do Bitcoin de evolução metódica e baseada em consenso através de SegWit, Taproot e outros, as probabilidades favorecem a preparação em vez da catástrofe.

O relógio ainda não está a correr. Mas, pela primeira vez, sabemos exatamente para o que estamos a fazer a contagem decrescente.

BlockEden.xyz fornece serviços de API de blockchain de nível empresarial e infraestrutura de nós em múltiplas redes. À medida que a indústria se prepara para a transição pós-quântica, uma infraestrutura fiável torna-se ainda mais crítica. Explore o nosso marketplace de APIs para construir em bases concebidas para durar.

Share on Twitter