Saltar para o conteúdo principal

O Relógio Quântico de $ 1,3T do Bitcoin: A Quebra do ECDSA em 9 Minutos e a Corrida BIP-360 para Salvar 6,9M BTC

· 13 min de leitura
Dora Noda
Dora Noda
Software Engineer

Nove minutos. Esse é o intervalo que um artigo de 57 páginas da Google Quantum AI afirma que um futuro computador quântico precisaria para realizar engenharia reversa em uma chave privada do Bitcoin a partir de uma chave pública exposta — curto o suficiente para caber dentro de uma única confirmação de bloco, longo o suficiente para reescrever o perfil de risco de toda a rede de US$ 1,3 trilhão. O artigo, em coautoria com pesquisadores de Stanford e da Fundação Ethereum e publicado em 30 de março de 2026, fez algo mais sutil do que prever o apocalipse. Ele reduziu o número que importa. Os recursos necessários para quebrar o ECDSA caíram por um fator de 20 em comparação com estimativas anteriores. O Google agora visa internamente a migração pós-quântica até 2029.

O Bitcoin não tem tanto tempo assim. Não se quiser migrar de forma suave. E os desenvolvedores da rede sabem disso — razão pela qual abril de 2026 se tornou o mês mais consequente para a criptografia do Bitcoin desde a ativação do SegWit. O BIP-360 está ativo na testnet. Uma proposta de acompanhamento para congelar endereços legados está circulando em formato de rascunho. Adam Back, Jameson Lopp e os mantenedores do Bitcoin Core estão se dividindo em grupos que discordam não sobre se a ameaça é real, mas sobre quem paga quando o relógio parar.

O Mapa de Exposição: 6,9 Milhões de BTC, 34% do Suprimento e as Moedas de Satoshi

O número mais citado do artigo do Google é nove minutos. Seu número mais inquietante é 6,9 milhões. Esse é o limite superior do suprimento de bitcoin cujas chaves públicas já estão visíveis na rede (on-chain) — o que significa que um invasor quântico não precisa disputar uma transação através do mempool. Eles podem derivar a chave privada no seu próprio ritmo e gastar as moedas quando desejarem.

A exposição ocorre em níveis:

  • Endereços Pay-to-Public-Key (P2PK): Aproximadamente 1,7 milhão de BTC, incluindo mais de 1,1 milhão de BTC atribuídos às recompensas de coinbase mineradas precocemente por Satoshi Nakamoto. As chaves públicas são armazenadas diretamente no scriptPubKey. Nada as esconde.
  • Endereços reutilizados em todos os tipos de script: Quando um endereço P2PKH, P2WPKH ou Taproot gasta sequer uma vez, sua chave pública é revelada na transação de gasto. Pesquisadores estimam que isso eleva o suprimento vulnerável para bem além de 6 milhões de BTC.
  • Endereços inativos: Em 1º de março de 2026, mais de 34 % do suprimento circulante tinha chaves públicas expostas em algum momento. Moedas que ficaram intocadas por uma década não estão mais seguras — elas estão mais expostas, porque não podem ser rotacionadas sem revelar a chave de qualquer maneira.

Este é o problema do "colha agora, decifre depois" em sua forma mais nua e crua. Cada reutilização de endereço dos últimos 15 anos já está registrada na blockchain. Não há como revogar. A única defesa é a migração — mover moedas para formatos de endereço pós-quânticos antes que uma máquina suficientemente poderosa surja.

BIP-360: Pay-to-Merkle-Root e os Primeiros Blocos da Testnet

O BIP-360, coautorado por Ethan Heilman e lançado em fevereiro de 2026, é a primeira Proposta de Melhoria do Bitcoin (Bitcoin Improvement Proposal) concreta a oferecer um formato de endereço compatível com o futuro. Ele introduz o Pay-to-Merkle-Root (P2MR), que se compromete com uma árvore Merkle de esquemas de assinatura possíveis, em vez de incorporar qualquer chave pública única na rede.

A elegância do P2MR é que ele permite que a rede adote assinaturas resistentes a computação quântica sem escolher um vencedor hoje. Uma saída P2MR pode revelar um caminho de assinatura SLH-DSA (SPHINCS+) no momento do gasto, ou um caminho Falcon, ou um caminho híbrido ECDSA-mais-pós-quântico. A chave pública nunca é escrita no próprio UTXO — apenas um compromisso (commitment). Os observadores não aprendem nada sobre a chave de assinatura até que a moeda se mova e, mesmo assim, apenas o caminho específico usado é divulgado.

Em 20 de março de 2026, a BTQ Technologies ativou a primeira implantação de produção do BIP-360 v0.3.0 em uma testnet do Bitcoin. Mais de 50 mineradores aderiram ao experimento, produzindo mais de 100.000 blocos sob as novas regras. A testnet não é a mainnet do Bitcoin, e a ativação não está nem perto. Mas ela respondeu à pergunta que os críticos levantaram por anos: o P2MR pode realmente lidar com o rendimento (throughput) e os tamanhos das assinaturas? Os resultados iniciais dizem que sim, a um custo.

O Problema do Tamanho: de 64 Bytes para 8 Kilobytes

Aqui está a taxa de engenharia. Uma assinatura atual de Bitcoin em ECDSA ou Schnorr tem 64 bytes. A alternativa pós-quântica padronizada pelo NIST, SLH-DSA (anteriormente SPHINCS+, finalizada como FIPS 205 em agosto de 2024), pesa aproximadamente 8 kilobytes por assinatura. Isso é um aumento de 125 vezes.

O espaço de bloco é um jogo de soma zero. O limite de peso de um bloco de Bitcoin não muda apenas porque as assinaturas cresceram. Se cada assinatura se tornasse 8 KB da noite para o dia, o rendimento efetivo das transações colapsaria em mais de duas ordens de grandeza, e os mercados de taxas excluiriam todas as transferências, exceto as de maior valor. Isso não é um problema menor de UX — é a razão pela qual o Bitcoin ainda não migrou.

Duas direções de pesquisa estão tentando resolver essa taxa:

  • SHRIMPS e SHRINCS: Esquemas baseados em hash sem estado (stateless) que mantêm as garantias de segurança do SPHINCS+, visando tamanhos de assinatura mais próximos de 2 KB.
  • Assinaturas de reticulados (lattice) da família Falcon: Menores que o SPHINCS+ (cerca de 700 bytes), mas carregam mais suposições sobre a dificuldade de problemas de reticulados — um perfil de risco diferente da família puramente baseada em hash.
  • Esquemas de compromisso / revelação usando o Bitcoin Script existente: Codificam de forma inteligente compromissos pós-quânticos hoje a um custo de aproximadamente US$ 200 por transação, sem qualquer atualização de protocolo. Caro, mas disponível agora para armazenamento a frio (cold storage) de alto valor.

Nenhuma opção isolada é obviamente correta. O design de compromisso de Merkle do BIP-360 é uma proteção contra a necessidade de escolher um agora.

BIP-361: A Proposta para Congelar as Moedas de Satoshi

Em 14 de abril de 2026, Jameson Lopp e cinco co-pesquisadores enviaram um rascunho do BIP-361 — "Migração Pós-Quântica e Pôr do Sol de Assinaturas Legadas" — ao repositório de BIPs do Bitcoin. É a proposta de Bitcoin mais politicamente explosiva desde as guerras de tamanho de bloco de 2017, e está estruturada em três fases progressivas:

  • Fase A (ativação + ~3 anos): Novas transações não podem mais enviar fundos para tipos de endereços legados vulneráveis ao quantum. As moedas ainda podem sair de endereços vulneráveis, mas carteiras e serviços são pressionados para o P2MR por padrão.
  • Fase B (ativação + ~5 anos): A camada de consenso invalida todas as assinaturas legadas. Qualquer moeda não migrada até esta altura de bloco torna-se não gastável. Congelada.
  • Fase C (sob pesquisa): Um mecanismo de recuperação limitado usando provas de conhecimento zero vinculado a frases-semente BIP-39. Os usuários poderiam provar a propriedade de UTXOs congeladas sem revelar chaves privadas, mas apenas se ainda controlarem a semente original. Moedas de sementes perdidas permanecem perdidas.

A aritmética é nua e crua. A Fase B congelaria 170.000 BTC bloqueados em scripts P2PK e aproximadamente 1,1 milhão de BTC atribuídos a Satoshi. A US95.000porBTC,issorepresentamaisdeUS 95.000 por BTC, isso representa mais de US 120 bilhões em moedas extintas por consenso — a maior expropriação forçada de propriedade privada na história de qualquer rede digital.

A Divisão: Adam Back vs. Lopp, Pureza Ideológica vs. Pensamento Adversarial

A resposta da comunidade chegou em poucas horas e se dividiu em linhas de falha previsíveis.

Contra o congelamento:

  • Adam Back defendeu publicamente atualizações pós-quânticas opcionais sem extinção forçada, argumentando que congelar moedas viola a promessa central do Bitcoin de posse sem permissão (permissionless).
  • Marty Bent (TFTC) chamou a proposta de "ridícula".
  • Brian Trollz, da Bitcoin Magazine, rejeitou-a categoricamente.
  • Phil Geiger (Metaplanet) resumiu a oposição: "Temos que roubar o dinheiro das pessoas para evitar que seu dinheiro seja roubado."

A favor do congelamento:

  • Lopp enquadrou o rascunho como "pensamento adversarial sobre potenciais ameaças futuras", observando que ele não acredita atualmente que as medidas precisem de ativação imediata.
  • Custodiantes institucionais apoiam discretamente a extinção (sunset), porque qualquer pool de moedas pré-quânticas sobrevivente torna-se um risco sistêmico permanente — um honeypot gigante que atacantes quânticos podem visar sem pressão de tempo.

O desdobramento filosófico é real. A promessa do Bitcoin era que as moedas não poderiam ser confiscadas por decreto (fiat). O BIP-361 inverte isso: as moedas podem ser confiscadas por inação. Os oponentes argumentam que permitir que moedas perdidas / dormentes sejam roubadas por um futuro atacante quântico é simplesmente o custo da promessa original. Os proponentes argumentam que esperar pelo roubo legitimaria um precedente que o Bitcoin não pode sobreviver.

A Pista de 7 Anos e o que Acontece se a Migração Estagnar

Ethan Heilman, coautor do BIP-360, estima que uma migração completa leva pelo menos sete anos mesmo se iniciada imediatamente. O cronograma divide-se aproximadamente em:

  • Ano 1: Ativação da mainnet do BIP-360 e lançamento do suporte a carteiras.
  • Anos 2–3: Integração de exchanges, custodiantes e comerciantes. Atualizações de firmware de carteiras de hardware com caminhos de assinatura pós-quântica.
  • Anos 4–5: Execução em nível de consenso das restrições da Fase A, se o BIP-361 ou um sucessor for adotado.
  • Anos 6–7: Extinção de assinaturas legadas, resolução de endereços congelados e implantação de mecanismos de recuperação.

O prazo interno do Google de 2029 situa-se dentro dessa janela. Analistas da Bernstein esperam uma transição de 3 a 5 anos antes que o quântico se torne operacionalmente relevante. A Ark Invest argumenta que a ameaça é de longo prazo, não iminente. O abismo entre "não iminente" e "migração de 7 anos" é onde a governança do Bitcoin passará o resto da década.

Comparação entre Cadeias: Ethereum, Solana e as Novatas Nativas de Quantum

O Bitcoin não é a única rede correndo contra o mesmo relógio, mas é a que tem a governança mais restrita.

  • Ethereum: Vitalik Buterin publicou um roteiro pós-quântico em fevereiro de 2026. O EIP-8141 introduz um envelope de "transação de moldura" (frame transaction) que carrega assinaturas ECDSA e pós-quânticas simultaneamente, permitindo que as contas migrem tipos de assinatura sem alterar os endereços. As assinaturas resistentes ao quantum custam até 66 vezes mais gas, exigindo soluções de processamento em lote para permanecerem economicamente viáveis. A Ethereum Foundation visa a resistência quântica total antes de 2030.
  • Solana: Em dezembro de 2025, a Solana Foundation fez uma parceria com o Project Eleven para lançar uma testnet substituindo cada assinatura Ed25519 pelo CRYSTALS-Dilithium. As medições iniciais sustentaram aproximadamente 3.000 TPS, embora testes independentes anteriores tivessem relatado degradação de desempenho de até 90% com assinaturas 40 vezes maiores. O Firedancer, cliente validador alternativo da Jump Crypto, suporta múltiplos backends de assinatura, tornando a Solana capaz de migração quântica antes que o Ethereum finalize o EIP-8141.
  • L1s nativas de quantum: Circle Arc, Algorand e várias redes mais recentes foram lançadas com primitivas pós-quânticas desde a gênese, ignorando totalmente o problema da migração. O marketing delas em 2027 será óbvio.

A desvantagem do Bitcoin não é técnica — é política. O Ethereum tem uma Fundação. A Solana tem a Anza e a equipe Firedancer. O Bitcoin tem mantenedores do Core e um modelo de consenso bruto que levou quase quatro anos para lançar o Taproot, uma atualização muito menos controversa.

O Que Isso Significa para Desenvolvedores e Detentores

Três implicações práticas se destacam para qualquer pessoa que esteja construindo ou detendo Bitcoin hoje:

  1. As práticas de armazenamento a frio importam mais do que nunca. A reutilização de endereços sempre foi um antipadrão de privacidade. Agora, é um risco criptográfico. Novos endereços por transação ganham tempo mesmo antes da ativação do BIP-360, porque saídas P2WPKH e Taproot não gastas com chaves públicas nunca reveladas permanecem seguras sob o modelo "colher agora, descriptografar depois" até que sejam gastas.
  2. Caminhos de script multi-sig e Taproot também precisarão de planos de migração. Scripts complexos com caminhos de gasto revelados possuem o mesmo problema de exposição que endereços de chave única. Serviços de custódia devem começar a auditar quais de suas construções de armazenamento a frio sobrevivem a um mundo pós-quântico e quais exigirão migração forçada durante o prazo da Fase A.
  3. Os provedores de infraestrutura carregarão a carga operacional. Quando o BIP-360 for ativado, carteiras, exchanges e provedores de RPC passarão dois anos realizando um trabalho de base pouco glamoroso: suporte a novos formatos de endereço, gerenciamento de verificação de assinatura híbrida e auxílio aos usuários na migração de UTXOs sem perder fundos para picos de taxas ou bugs. A qualidade dessa infraestrutura determinará se a migração será suave ou caótica.

O relógio quântico não está correndo na velocidade das manchetes. Ele está correndo na velocidade dos comitês de padrões, implantações em testnet e ativações de BIP — que é precisamente por que abril de 2026 importa. O primeiro BIP está ativo na testnet. O segundo está em fase de rascunho. A comunidade está debatendo. É exatamente assim que uma migração funcional se parece no ano zero.

A alternativa — esperar até que uma máquina de 500.000 qubits realmente exista — é a opção que não funciona.

A BlockEden.xyz fornece infraestrutura de nós e APIs de nível empresarial para Bitcoin, Ethereum, Solana e mais de 20 redes que enfrentam decisões de migração pós-quântica. Explore nosso marketplace de APIs para construir em uma infraestrutura projetada para evoluir com a fronteira criptográfica.

Fontes

Share on Twitter