Ameaça quântica para o Bitcoin: O que realmente está acontecendo além do otimismo de Michael Saylor

Michael Saylor, cofundador e CEO da MicroStrategy, em 16 de dezembro fez uma afirmação ousada: os computadores quânticos não destruirão o Bitcoin, mas o fortalecerão. A teoria parece atraente – migração para assinaturas pós-quânticas, congelamento de moedas ameaçadas, aumento da segurança, redução da oferta e, por consequência, uma rede mais forte. No entanto, ao analisarmos a realidade técnica e on-chain, a imagem torna-se muito mais complexa. Descobrimos que mais de 1,7 milhões de bitcoins já estão em perigo direto, e o sucesso da migração não é garantido.

O que é um qubit e por que representa uma ameaça ao Bitcoin?

Antes de analisarmos as preocupações de Saylor, é preciso entender exatamente o que é a ameaça quântica. Computadores quânticos, também chamados de máquinas quânticas, são dispositivos que utilizam as leis da mecânica quântica – superposição e entrelaçamento – para processar informações de uma forma fundamentalmente diferente dos computadores clássicos. Essa potência quântica não significa acelerar todos os cálculos; trata-se de acelerar tipos específicos de problemas – especialmente aqueles relacionados à fatoração de números e à inversão de funções criptográficas hash.

O Bitcoin protege as moedas por meio de dois mecanismos principais: proof-of-work baseado em SHA-256 e assinaturas digitais ECDSA e Schnorr na curva secp256k1. O algoritmo de Shor – um algoritmo quântico capaz de quebrar a criptografia de chave pública – representa uma ameaça direta ao segundo deles. Quando um computador quântico resistente a erros atingir cerca de 2.000 a 4.000 qubits lógicos, será capaz de extrair chaves privadas a partir de chaves públicas. Os dispositivos atuais operam muito abaixo desse limiar – o que indica que a ameaça real não acontecerá rapidamente. Estimativas do NIST e de especialistas do setor colocam essa janela de tempo pelo menos uma década no futuro.

A janela de segurança existe – mas os margens são estreitos

Saylor tem razão em um ponto: teoricamente, há tempo para se preparar. O NIST já aprovou ferramentas de defesa que o Bitcoin precisará. A agência publicou dois padrões de assinaturas digitais resistentes a ataques quânticos: ML-DSA (também conhecido como Dilithium) e SLH-DSA (SPHINCS+), aprovados como FIPS 204 e 205. Um terceiro candidato, FN-DSA (Falcon), está em processo de aprovação como FIPS 206. Esses esquemas poderiam ser integrados ao Bitcoin por meio de novos tipos de saídas ou assinaturas híbridas combinando proteção clássica e pós-quântica.

O Bitcoin Optech atualmente acompanha propostas de agregação de assinaturas pós-quânticas e construções baseadas no Taproot. Testes de desempenho indicam que o SLH-DSA pode operar sob cargas semelhantes às atuais da rede Bitcoin. Contudo – e aqui está uma ressalva importante – a migração traz custos ocultos que Saylor omite. Pesquisas indicam que uma migração realista implicaria compromissos significativos: a capacidade de bloco poderia cair cerca de metade, pois as assinaturas pós-quânticas são muito maiores. Os custos de verificação aumentam. As taxas de transação sobem. Não é uma atualização indolor – é uma troca de segurança por capacidade.

A ameaça real: 1,7 milhão de BTC já visíveis para atacantes

Aqui está o cerne do problema que Saylor ignora. Sua afirmação de que “moedas ativas migram, moedas perdidas permanecem congeladas” simplifica drasticamente a realidade do blockchain. A vulnerabilidade à ameaça quântica depende totalmente do tipo de endereço e de se a chave pública já foi revelada on-chain.

Moedas armazenadas em saídas early pay-to-public-key (P2PK) expõem a chave pública sem proteção na cadeia desde o início. Endereços P2PKH e SegWit P2WPKH padrão escondem a chave por meio de seu hash – até o momento em que as moedas são gastas. Nesse momento, a chave fica visível e vulnerável ao ataque. As novas saídas Taproot P2TR codificam a chave pública na saída desde o início, colocando esses UTXOs em risco mesmo antes de serem gastos.

Análises de dados on-chain, confirmadas por estudos da Deloitte e trabalhos recentes focados no Bitcoin, revelam uma realidade assustadora: cerca de 25% de todos os bitcoins já estão em saídas com chaves públicas reveladas. Estimativas indicam que aproximadamente 1,7 milhão de BTC vêm da era Satoshii e estão em saídas P2PK, além de centenas de milhares em saídas Taproot modernas com chaves expostas. Essas moedas não estão “congeladas” – estão expostas e aguardando o primeiro atacante com uma máquina quântica adequada.

Algumas dessas moedas “perdidas” realmente têm proprietários desconhecidos e podem ser alvo de roubo. Mas outras pertencem a carteiras inativas, instituições fiduciárias ou pessoas que esqueceram de seus Bitcoins. Quando uma máquina quântica capaz de ataques for criada, esses detentores podem perder tudo – a menos que migrem antes. Não é um cenário hipotético; é matemática e realidade on-chain.

Três cenários concorrentes: a oferta realmente vai diminuir?

Saylor afirma que “a segurança aumenta, a oferta diminui”. Isso é pura especulação, não uma garantia. A dinâmica da oferta em um mundo de ataques quânticos não é automática – existem pelo menos três cenários concorrentes, cada um com implicações diferentes para o preço.

Cenário 1 – “Redução por abandono”: Moedas em endereços vulneráveis, cujo proprietário nunca fará a atualização, são consideradas perdidas ou explicitamente colocadas na blacklist. Nesse caso, a oferta efetiva em circulação poderia realmente diminuir. Este é um cenário otimista, mas requer consenso político na rede – e consenso no Bitcoin é notoriamente difícil de alcançar.

Cenário 2 – “Distorção por roubo”: Atacantes quânticos encontram carteiras vulneráveis e as esvaziam antes que os proprietários possam migrar. Essas moedas entram no mercado, e a oferta em circulação não diminui – ao contrário, há uma redistribuição caótica. O preço pode permanecer neutro ou até cair, diante de uma percepção de roubo em massa.

Cenário 3 – “Pânico pré-físico”: A simples percepção de possibilidades quânticas futuras – mesmo antes do surgimento de uma máquina – provoca vendas, divisões na cadeia ou tentativas de “forks” preventivos para resetar endereços vulneráveis. Os resultados seriam imprevisíveis.

Nenhum desses cenários garante uma redução limpa na oferta. Cada um traz complicações políticas, técnicas e econômicas que Saylor ignora. A oferta real pode diminuir, mas também pode ser distorcida por roubo, venda ou conflito interno na rede.

Gestão, política e tempo: desafios reais maiores que a criptografia

O ponto mais forte do artigo original, muitas vezes negligenciado nas discussões sobre ameaças quânticas, é a gestão do Bitcoin. O Bitcoin não possui uma autoridade central que possa impor uma migração pós-quântica. Um soft fork exigiria consenso esmagador entre desenvolvedores, mineradores, exchanges e grandes detentores – todos ao mesmo tempo, antes que um computador quântico criptograficamente relevante apareça.

Análises recentes da A16z destacam: coordenação e tempo representam riscos maiores do que a própria criptografia. O Bitcoin funcionou por mais de 15 anos por meio de consenso, mas também por impasses e controvérsias (veja as guerras de tamanhos de blocos). A migração pós-quântica será ainda mais complexa – combina consenso técnico com estímulo econômico e resistência geopolítica. Se a rede esperar demais, algumas moedas podem ser roubadas. Se tentar migrar rápido demais, pode ficar presa em disputas sobre regras especiais para endereços antigos.

Há ainda um risco menos discutido: o “sign-and-steal” no mempool. Quando uma transação que gasta moedas de um endereço com chave hash é enviada ao mempool, a chave pública é revelada enquanto aguarda mineração. Atacantes quânticos observando o mempool podem rapidamente recuperar a chave privada e competir por uma transação com taxa maior. Isso não exige um computador quântico completo – apenas velocidade e capacidade de monitorar a rede.

O que a matemática e os dados realmente mostram

A matemática diz claramente: o Bitcoin não vai cair de um dia para o outro. Existe uma janela, talvez de uma década ou mais, na qual a rede pode realizar uma migração pós-quântica planejada. O NIST e o Bitcoin Optech já trabalham em soluções. O proof-of-work baseado em SHA-256 é relativamente resistente, pois o algoritmo de Grover oferece apenas uma quadrática aceleração – que pode ser compensada pelo aumento dos parâmetros.

Por outro lado, os dados on-chain também são claros: cerca de 25% de todos os bitcoins já estão em saídas com chaves públicas reveladas, e 1,7 milhão de BTC estão em endereços vulneráveis da era Satoshii. Essa oferta não está “congelada”. Está à espera.

Saylor tem razão ao dizer que o Bitcoin pode emergir mais forte após os ataques quânticos – mas somente se a gestão cooperar, os proprietários migrarem a tempo e os atacantes nunca explorarem a janela de oportunidade. Não é uma garantia. É uma aposta na coordenação política da rede, que não possui uma autoridade central.

O Bitcoin vai se fortalecer? Depende menos do cronograma dos computadores quânticos e mais de se os desenvolvedores e grandes detentores reagirão cedo, coordenarão a migração e a executarão sem pânico ou roubos em massa. A confiança de Saylor baseia-se na suposição de que a rede conseguirá fazer uma atualização difícil, custosa e politicamente complexa antes que a física a alcance. A matemática apoia seu otimismo – mas a gestão do Bitcoin coloca essa certeza sob forte dúvida.