Um debate acirrado sobre o risco quântico do Bitcoin eclodiu, com vozes líderes da indústria discordando sobre cronogramas, ameaças e a rapidez com que os desenvolvedores devem reagir.
Por que Gabor Gurbacs diz que o Bitcoin não corre risco quântico
Durante o fim de semana, Gabor Gurbacs, fundador da Pointsville e consultor estratégico da Tether, argumentou no X que os temores de um iminente "apocalipse quântico" para o Bitcoin são "puro FUD".
Segundo ele, a criptografia do Bitcoin já é resiliente e flexível o suficiente para resistir aos avanços na tecnologia quântica e se adaptar quando necessário.
"Há muito FUD em torno do risco quântico do Bitcoin", escreveu Gurbacs. "O fato é que a segurança do Bitcoin está ancorada em prova de trabalho baseada em hash, que permanece resistente a ataques quânticos.
A computação quântica não quebra o Bitcoin." Além disso, ele enfatizou que as narrativas do mercado estão ultrapassando o estado real do hardware e dos algoritmos.
Como o design do Bitcoin aborda a computação quântica?
Gurbacs enfatizou a diferença entre o mecanismo de consenso baseado em hash do Bitcoin e seu esquema de assinatura. A camada de consenso, protegida pelo SHA-256, já é resistente a ataques quânticos porque o algoritmo de Grover oferece apenas uma aceleração quadrática. Essa melhoria, disse ele, não compromete fundamentalmente a prova de trabalho ou o custo econômico de atacar a rede.
A principal fraqueza, reconheceu Gurbacs, está nas assinaturas ECDSA do Bitcoin, que poderiam se tornar vulneráveis se computadores quânticos de grande escala capazes de executar efetivamente o algoritmo de Shor fossem construídos. No entanto, ele argumentou que a arquitetura do Bitcoin e as práticas dos usuários já mitigam grande parte dessa exposição teórica e deixam espaço para atualizações futuras.
Qual o papel dos endereços e assinaturas pós-quânticas?
Segundo Gurbacs, o principal alvo quântico no Bitcoin é o conjunto de chaves públicas ECDSA expostas. Esse risco é reduzido hoje através da não reutilização de endereços, o que mantém a maioria das chaves ocultas on-chain até serem gastas. Além disso, ele observou que a estrutura modular do Bitcoin permite que a camada de assinatura seja atualizada ao longo do tempo.
Ele apontou para o recém-padronizado FIPS-205 do NIST, que formaliza o Algoritmo de Assinatura Digital Baseado em Hash Sem Estado (SLH-DSA). "A camada de consenso é baseada em hash e resistente a ataques quânticos, e a camada de assinatura é modular, o que significa que esquemas pós-quânticos como SLH-DSA/SPHINCS+ podem ser integrados sem interromper a integridade monetária ou as regras de oferta", disse ele.
Por que veteranos de segurança estão desafiando Gurbacs?
A confiança de Gurbacs rapidamente atraiu resistência de veteranos de segurança cripto, incluindo Dan McArdle, cofundador da Messari, e Graeme Moore do Project Eleven. Ambos argumentaram que ele estava subestimando a complexidade e o cronograma de qualquer migração de rede completa para criptografia mais forte. Dito isso, eles concordaram que os mineradores e a prova de trabalho não estão em risco imediato.
McArdle destacou três preocupações estruturais que o Bitcoin ainda deve enfrentar: saídas P2PK legadas com chaves públicas já expostas, a possibilidade de sniping de mempool e o grande tamanho das assinaturas pós-quânticas. O último ponto poderia forçar um controverso aumento do tamanho do bloco, revivendo antigas batalhas de governança e escalabilidade dentro da comunidade.
O que é um ataque quântico de mempool e por que isso importa?
McArdle descreveu o sniping de mempool como o risco de que um adversário quântico suficientemente poderoso possa roubar fundos enquanto uma transação está se propagando pela rede. Durante essa curta janela, as chaves públicas podem estar visíveis, mas ainda não confirmadas on-chain. No entanto, ele admitiu que o hardware necessário precisaria ser excepcionalmente rápido e estável em comparação com os protótipos atuais.
"Considerando tudo isso", disse McArdle, "é melhor levar a sério a robustez quântica agora. Não é uma questão para adiar até que a ameaça seja iminente." Na sua opinião, construir e testar caminhos de migração muito antes de uma quebra se tornar possível é uma gestão de risco essencial.
Os riscos quânticos são "reais, mas remotos" para o Bitcoin?
Gurbacs rebateu rotulando essas preocupações como "reais, mas remotas". Ele argumentou que as saídas P2PK restantes são "pequenas e dispersas", reduzindo a exposição sistêmica. Além disso, ele disse que o tipo de computadores quânticos necessários para ataques de mempool teria que ser "incrivelmente rápido e estável — algo que estamos longe de alcançar". Essa lacuna nas capacidades, ele acredita, compra um tempo valioso para os desenvolvedores.
Ele acrescentou que o Bitcoin poderia absorver esquemas de assinatura maiores ou mesmo uma atualização do tamanho do bloco "antes que qualquer ameaça realista apareça". "Concordo que devemos levar a sério o endurecimento quântico", escreveu Gurbacs. "Eu simplesmente não acredito na ideia de que estamos perto de uma quebra — e os golpistas tendem a abusar da narrativa quântica. O maior risco agora são as pessoas entrando em pânico em vez de olhar para os cronogramas reais."
Quais questões abertas de governança enfrentam os desenvolvedores do Bitcoin?
Moore rebateu que a complacência, não o pânico, é a maior ameaça. Citando a pesquisa do Project Eleven, ele disse que uma migração coordenada para assinaturas pós-quânticas poderia levar seis meses ou mais, mesmo em condições ideais. Além disso, ele alertou que "poderíamos ter um CRQC em alguns anos", aumentando a pressão para preparar estruturas de governança e técnicas com antecedência.
Ele questionou se a comunidade Bitcoin poderia realisticamente convergir para padrões aprovados pelo NIST, como SLH-DSA ou ML-DSA. Satoshi Nakamoto intencionalmente evitou curvas NIST ao selecionar secp256k1, em parte devido à desconfiança da definição centralizada de padrões. Essa história poderia complicar qualquer decisão de adotar futuros algoritmos apoiados pelo NIST.
O que acontece com moedas perdidas ou não migradas em uma atualização quântica?
Moore também levantou a questão controversa do que acontece com moedas não migradas ou "perdidas" durante uma transição, incluindo participações iniciais atribuídas a Satoshi Nakamoto. "Você é a favor de congelar as moedas de Satoshi?" ele perguntou a Gurbacs. "Por que sim ou por que não?" A pergunta sublinhou como mudanças técnicas nas assinaturas poderiam se cruzar com debates econômicos e éticos sensíveis.
Gurbacs respondeu que as escolhas de governança deveriam se aplicar igualmente a todas as chaves não migradas e rejeitou quaisquer "regras especiais". "Veremos sistemas criptográficos mais fracos caírem primeiro", disse ele. "Isso compra anos de aviso para escolher esquemas, implementar e testar, e permitir a rotação gradual opt-in antes do momento 'oh merda'."
Outros sistemas criptográficos falhariam antes do Bitcoin?
Enquanto Moore insistia que "já estamos no momento 'oh merda'", Gurbacs discordou. Ele argumentou que se um computador quântico criptograficamente relevante (CRQC) existisse no nível necessário para quebrar o secp256k1, os primeiros sinais não apareceriam no Bitcoin. Em vez disso, as falhas apareceriam primeiro em TLS, PGP, PKI governamental e sistemas de curva elíptica mais fracos.
"Isso simplesmente não aconteceu", observou ele. Na sua visão, a ausência de tais falhas em sistemas adjacentes em 2024 indica que a computação quântica ainda está longe de minar as suposições criptográficas fundamentais do Bitcoin, mesmo que o trabalho de preparação deva continuar em paralelo.
Como Adam Back vê a prontidão quântica do Bitcoin?
A posição de Gurbacs recebeu apoio do cypherpunk OG Adam Back. No X, Back escreveu que "o Bitcoin pode simplesmente adicionar um novo tipo de assinatura e criar um método alternativo de gasto de folha taproot 'pronto para quântico', sob taproot/schnorr." Nesse design, os usuários poderiam optar por novos métodos sem que todos arcassem imediatamente com o custo.
Dessa forma, argumentou Back, a rede pode ser preparada "sem pagar o custo de grandes assinaturas até que se torne relevante". Ele apontou que o NIST padronizou o SLH-DSA apenas em agosto de 2024, implicando que padrões robustos ainda estão emergindo. Além disso, esse cronograma sugere que os desenvolvedores têm tempo para estudar compensações antes de qualquer migração completa.
Back acrescentou que se computadores quânticos criptograficamente relevantes forem desenvolvidos, "meu palpite é que os métodos de assinatura schnorr e ECDSA seriam descontinuados (tornar-se-iam não gastáveis). Na minha opinião, isso está muito mais longe do que 2030, então as pessoas deveriam ter tempo para migrar e estar prontas para o quântico muito antes." Seus comentários se alinham com a visão de Gurbacs de que o planejamento é necessário, mas o pânico não.
A computação quântica é uma ameaça iminente ao Bitcoin?
Por enquanto, Gurbacs mantém que a computação quântica representa um desafio de coordenação e engenharia de longo prazo, em vez de um cenário de colapso iminente. "O pânico quântico está fora de lugar", disse ele. "A arquitetura do Bitcoin é adaptável, conservadora e matematicamente robusta. O quântico não quebra o Bitcoin." Enquanto isso, o mercado parece imperturbável: no momento da publicação, o BTC era negociado a $85.984.
Em resumo, os principais desenvolvedores e analistas concordam que uma transição para assinaturas mais fortes eventualmente será necessária, mas discordam fortemente sobre quão urgente é o trabalho. Os próximos anos de pesquisa, padronização e debate comunitário determinarão como, e com que rapidez, o Bitcoin se fortalecerá contra futuras máquinas quânticas.
Fonte: https://en.cryptonomist.ch/2025/11/24/bitcoin-quantum-risk/
