Uma chave quebrada a cada nove minutos. As 1.000 principais carteiras de Ethereum esvaziadas em menos de nove dias. Um colapso de 20 vezes na contagem de qubits necessária para quebrar a criptografia que protege mais de US$ 100 bilhões em valor on-chain. Estas não são projeções de uma thread apocalíptica no Twitter — elas vêm de um whitepaper de 57 páginas que a Google Quantum AI publicou em 30 de março de 2026, em coautoria com o pesquisador da Ethereum Foundation, Justin Drake, e o criptógrafo de Stanford, Dan Boneh.
Durante uma década, o "risco quântico" viveu na mesma vizinhança intelectual que as quedas de asteroides — real, catastrófico, mas distante o suficiente para que ninguém precisasse agir. O artigo do Google realocou a ameaça. Ele mapeou cinco caminhos de ataque concretos contra o Ethereum, nomeou as carteiras, nomeou os contratos e deu aos engenheiros um número — menos de 500.000 qubits físicos — que mapeia diretamente os roteiros publicados da IBM, Google e meia dúzia de startups bem financiadas. O Q-Day, em outras palavras, acaba de ganhar um convite no calendário.
Um Artigo de 57 Páginas Que Muda o Modelo de Ameaça
O artigo, intitulado "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities" (Protegendo Criptomoedas de Curva Elíptica contra Vulnerabilidades Quânticas), é a primeira vez que um grande laboratório de hardware quântico realiza o trabalho de engenharia pouco glamoroso de traduzir o algoritmo de Shor de um ataque teórico de 1994 para um plano passo a passo contra o problema do logaritmo discreto de curva elíptica (ECDLP) que protege o Bitcoin, Ethereum e praticamente todas as redes que assinam transações com secp256k1 ou secp256r1.
Três coisas fazem o artigo ter um impacto maior do que as estimativas anteriores.
Primeiro, a contagem de qubits. Trabalhos acadêmicos anteriores estimavam o requisito de recursos para quebrar o ECDLP de 256 bits em vários milhões de qubits físicos. Os autores do Google reduzem isso para menos de 500.000 — uma redução de 20 vezes impulsionada pela síntese de circuitos aprimorada, melhor sobrecarga de correção de erros e roteamento mais preciso de estados mágicos. A IBM comprometeu-se publicamente com uma máquina de 100.000 qubits até 2029. O Google não publicou uma meta comparável, mas entende-se amplamente que seu roteiro interno tem uma inclinação semelhante. Meio milhão de qubits não é mais um número que exige especulações vagas voltadas para a década de 2050.
Segundo, o tempo de execução. O artigo estima que, uma vez que exista uma máquina suficiente, recuperar uma única chave privada a partir de uma chave pública leva cerca de nove minutos de tempo de execução quântica — não dias, nem horas. Esse número importa enormemente, porque determina quantos alvos de alto valor um invasor pode drenar dentro da janela entre a detecção e a resposta.
Terceiro, e mais consequente para o Ethereum especificamente, os autores não param no "ECDSA está quebrado". Eles percorrem a pilha do protocolo e identificam cinco superfícies de ataque distintas, cada uma com vítimas nomeadas.
Os Cinco Caminhos de Ataque Contra o Ethereum
O artigo organiza a exposição quântica do Ethereum em cinco vetores, evitando deliberadamente o enquadramento preguiçoso de que "toda a cripto morre no mesmo dia".
1. Comprometimento de Contas Externas (EOA). Assim que um endereço Ethereum assina sequer uma única transação, sua chave pública torna-se permanente e visível on-chain. Um invasor quântico deriva a chave privada em cerca de nove minutos e, em seguida, esvazia a carteira. A análise do Google identifica as 1.000 principais carteiras por saldo de ETH — que coletivamente detêm cerca de 20,5 milhões de ETH — como os alvos economicamente mais racionais. A nove minutos por chave, um invasor limpa a lista inteira em menos de nove dias.
2. Controle de contratos inteligentes administrados. A economia de stablecoins do Ethereum e a maioria dos protocolos DeFi de produção dependem de multisigs, chaves de atualização e funções de emissor controladas por EOAs. O artigo enumera mais de 70 contratos controlados por administradores, incluindo as chaves de atualização ou emissão por trás das principais stablecoins. Comprometer essas chaves não apenas rouba um saldo — permite que o invasor emita, congele ou reescreva a lógica do contrato. O Google estima que cerca de US$ 200 bilhões em stablecoins e ativos tokenizados estejam dependentes dessas chaves vulneráveis.
3. Comprometimento de chaves de validadores de Proof-of-Stake. A camada de consenso do Ethereum usa assinaturas BLS, que também se baseiam em suposições de curva elíptica e são igualmente quebradas pelo algoritmo de Shor. Um invasor que recupere chaves privadas de validadores suficientes pode, em princípio, equivocar-se, finalizar blocos conflitantes ou interromper a finalidade. A exposição aqui não é o ETH roubado — é a integridade da própria rede.
4. Comprometimento da liquidação de Layer 2. O artigo estende a análise aos principais rollups. Rollups otimistas dependem de chaves de propositor e desafiante assinadas por EOA; rollups ZK dependem de chaves de operador para sequenciamento e prova. Comprometer essas chaves não quebra as provas de validade subjacentes, mas permite que um invasor roube taxas do sequenciador, censure saídas ou — no pior dos casos — aplique um golpe (rug pull) na ponte que mantém os depósitos canônicos da L2.
5. Falsificação permanente de disponibilidade de dados históricos. Este é o caminho que os criptógrafos consideram mais perturbador. O setup confiável original do Ethereum (e a cerimônia KZG que alimenta os blobs da EIP-4844) baseia-se em suposições que uma máquina quântica suficientemente poderosa pode quebrar ao reconstruir segredos de configuração a partir de artefatos públicos. O resultado não é o roubo — é a capacidade permanente de forjar provas de estado históricas que pareçam válidas para sempre. Não há rotação que corrija dados já publicados.
Os cinco caminhos colocam coletivamente mais de US$ 100 bilhões em risco imediato, e uma ordem de magnitude a mais em risco estrutural se a confiança na integridade da rede colapsar.
O Ethereum está mais exposto do que o Bitcoin
Uma conclusão sutil, porém importante, do artigo: a exposição quântica do Ethereum é mais profunda que a do Bitcoin, apesar de ambas as redes utilizarem a mesma curva secp256k1.
O motivo é a abstração de conta ao contrário. O modelo UTXO do Bitcoin, particularmente após o Taproot, suporta endereços derivados de um hash da chave pública — o que significa que a chave pública só é revelada no momento do gasto. Um usuário que nunca reutiliza um endereço tem uma janela de exposição única medida em segundos entre a transmissão e a confirmação. Os fundos parados em endereços não gastos e intocados são quântico-seguros por construção.
O Ethereum não possui tal propriedade. No momento em que uma EOA assina sua primeira transação, sua chave pública fica na rede para sempre. Não existe um padrão de "endereço novo" que a esconda. Uma carteira que transacionou mesmo que uma única vez é um alvo estático cuja vulnerabilidade não diminui com o tempo. Os 20,5 milhões de ETH nas 1.000 principais carteiras não estão apenas teoricamente expostos — eles estão permanentemente identificados em um registro público à espera de uma máquina suficientemente potente.
Pior ainda, o Ethereum não pode rotacionar chaves sem abandonar a conta. Enviar fundos para um novo endereço cria uma nova conta com uma nova chave pública, mas qualquer coisa ainda associada ao endereço antigo — nomes ENS, permissões de contrato, posições de vesting, listas de permissão de governança — não se move com os fundos. O custo da migração não é apenas o gás para mover os tokens; é o custo de desfazer cada relacionamento que o endereço antigo acumulou.
O prazo de 2029 e o roteiro multi-fork do Ethereum
Em paralelo com o artigo do Google, a Ethereum Foundation lançou o pq.ethereum.org em março de 2026 como a central canônica para pesquisa pós-quântica, o roteiro, repositórios de clientes de código aberto e resultados semanais de devnets. Mais de 10 equipes de clientes estão agora executando devnets de interoperabilidade focadas em primitivas pós-quânticas, e a comunidade convergiu para uma meta de concluir as atualizações da camada de protocolo L1 até 2029 — o mesmo ano que o Google definiu para migrar seus próprios serviços de autenticação para fora do ECDSA.
O roteiro é dividido em quatro próximos hard forks, em vez de um único fork de grande impacto. Aproximadamente:
- Fork 1 — Registro de Chaves Pós-Quânticas. Um registro nativo que permite que as contas publiquem uma chave pública pós-quântica ao lado de sua chave ECDSA, permitindo a co-assinatura PQ opcional sem quebrar as ferramentas existentes.
- Fork 2 — Ganchos de Abstração de Conta. Com base na abstração "Frame Transaction" do EIP-8141, as contas podem especificar uma lógica de validação que não assume mais o ECDSA, fornecendo uma saída nativa para esquemas baseados em redes (lattices), como ML-DSA (Dilithium) ou SLH-DSA baseado em hash (SPHINCS+).
- Fork 3 — Consenso PQ. As assinaturas BLS dos validadores são substituídas por um esquema de agregação pós-quântica, o maior esforço de engenharia em todo o roteiro devido às implicações do tamanho da assinatura para a propagação de blocos.
- Fork 4 — Disponibilidade de Dados PQ. Uma nova configuração confiável ou configuração transparente para compromissos de blob que não dependa de suposições de ECC, fechando o vetor de falsificação histórica.
Vitalik Buterin sinalizou a urgência no final de fevereiro de 2026, quando escreveu que "assinaturas de validadores, armazenamento de dados, contas e provas precisam ser atualizados" — citando todos os quatro forks em uma única frase e admitindo implicitamente que atualizações fragmentadas não serão suficientes.
O desafio não é a criptografia. O NIST já padronizou ML-KEM, ML-DSA e SLH-DSA. O desafio é implementar essas primitivas em uma rede ativa de mais de $ 300B + sem quebrar milhares de dapps que codificam suposições de ECDSA e sem deixar bilhões de dólares de ETH inativo retidos em carteiras cujos proprietários nunca migraram.
O dilema entre congelamento ou roubo
Tanto o Ethereum quanto o Bitcoin enfrentam uma questão de governança que nenhum roteiro puramente técnico resolve: o que acontece com as moedas em endereços vulneráveis cujos proprietários nunca migram?
O próprio FAQ da Ethereum Foundation apresenta a escolha em termos claros: não fazer nada ou congelar. Não fazer nada significa que, no Dia-Q, um invasor drena todos os endereços inativos com uma chave pública conhecida — incluindo as carteiras da era gênese, os compradores legados da ICO, os detentores de chaves perdidas e uma parcela significativa das próprias contribuições históricas de Vitalik para o financiamento de bens públicos. Congelar significa uma ação de consenso social para invalidar saques de qualquer endereço que não tenha migrado até um prazo determinado.
O BIP 361 do Bitcoin, "Post Quantum Migration and Legacy Signature Sunset", apresenta o mesmo trilema em uma estrutura de três fases. O coautor Ethan Heilman estimou publicamente que uma migração completa do Bitcoin para um esquema de assinatura resistente ao quantum levaria sete anos a partir do dia em que o consenso aproximado for formado — o que significa que o BIP 361 precisa ser substantivamente fundido em 2026 para atingir o horizonte de 2033, e provavelmente muito antes para atingir 2029.
Nenhuma das redes tem um precedente para a invalidação em massa de moedas. O Ethereum reverteu o ataque à DAO em 2016, mas foi uma reversão de evento único, não o congelamento deliberado de milhões de carteiras não relacionadas com base em sua postura criptográfica. A decisão será inevitavelmente interpretada como um referendo sobre se a imutabilidade ou a solvência é o compromisso mais profundo da rede.
O que isso significa para os desenvolvedores agora
O prazo de 2029 pode parecer confortavelmente distante, mas as decisões que determinam se um projeto está pronto ou em pânico serão tomadas em 2026 e 2027. Algumas implicações práticas surgem imediatamente.
Arquitetos de contratos inteligentes devem auditar suposições de ECDSA. Qualquer contrato que codifique rigidamente (hard-code) ecrecover, incorpore um endereço de assinante imutável ou dependa de chaves de proponente assinadas por EOA precisa de um caminho de atualização. Contratos implantados sem chaves de administrador hoje parecem elegantes; em um mundo pós-quântico, eles podem parecer irrecuperáveis.
Custodiantes precisam começar a higiene de rotação de chaves agora. Um provedor de custódia com bilhões sob gestão não pode rotacionar todas as carteiras em um único fim de semana de Dia Q. Rotação, segregação por nível de exposição e armazenamento a frio (cold storage) pré-posicionado pronto para PQ são problemas de 2026, não de 2028.
Operadores de pontes (bridges) enfrentam a maior urgência. As bridges concentram valor por trás de um pequeno número de chaves multifirma (multisig). O primeiro ataque quântico economicamente racional não visará uma carteira escolhida aleatoriamente — ele visará a chave individual mais valiosa do ecossistema. As bridges devem ser as primeiras a implementar assinaturas híbridas PQ + ECDSA.
As equipes de aplicativos devem acompanhar o roteiro (roadmap) de quatro forks. Cada hard fork do Ethereum na sequência PQ introduzirá novos tipos de transação e semânticas de validação. Carteiras, indexadores, exploradores de blocos e operadores de nós que ficarem para trás na janela de atualização degradarão graciosamente se planejaram para isso e quebrarão catastroficamente se não o fizeram.
BlockEden.xyz opera infraestrutura de RPC e indexação de produção no Ethereum, Sui, Aptos e uma dúzia de outras redes, e acompanha o roteiro de migração pós-quântica de cada rede para que os desenvolvedores de aplicativos não precisem se preocupar. Explore nosso marketplace de APIs para construir em uma infraestrutura projetada para sobreviver à próxima década de transições criptográficas, não apenas à atual.
A Revolução Silenciosa na Modelagem de Ameaças
A contribuição mais profunda do artigo do Google pode ser sociológica em vez de técnica. Por dez anos, "resistente ao quantum" foi uma alegação de marketing que se aplicava principalmente a projetos que ninguém usava. As redes sérias tratavam a migração PQ como um problema para a próxima geração de pesquisadores. As 57 páginas do Google, Justin Drake e Dan Boneh mudaram essa postura em uma única publicação.
Três artigos sobre criptografia quântica foram lançados em três meses. Formou-se um consenso de que a lacuna de recursos entre o hardware quântico atual e uma máquina criptograficamente relevante está se fechando mais rápido do que a lacuna entre os protocolos de rede atuais e a prontidão pós-quântica. A interseção dessas duas curvas — em algum momento entre 2029 e 2032, dependendo de qual estimativa se mostre correta — é o prazo mais importante que a infraestrutura cripto já enfrentou.
As redes que tratarem 2026 como um ano de trabalho de engenharia sério, e não apenas de garantias vagas, ainda estarão de pé do outro lado. Aquelas que esperarem pela primeira manchete sobre uma carteira roubada do Vitalik não terão tempo para reagir.
Fontes
