Em março de 2026, a equipa de Quantum AI da Google, em colaboração com a Universidade de Stanford e a Ethereum Foundation, publicou um white paper de 57 páginas que analisa sistematicamente as ameaças de segurança que a computação quântica representa para as criptomoedas. A principal conclusão: os recursos de computação quântica necessários para quebrar a criptografia de curva elíptica de 256 bits (ECC-256), que sustenta o Bitcoin e o Ethereum, são cerca de 20 vezes inferiores às melhores estimativas anteriores. Especificamente, numa arquitetura de computação quântica supercondutora, menos de 500 000 qubits físicos poderiam executar tal ataque, reduzindo o tempo de execução para cerca de 9 minutos.
A relevância desta descoberta não reside no facto de os computadores quânticos já conseguirem quebrar o Bitcoin — o hardware atual está longe de ser capaz disso — mas sim no facto de deslocar o "Q-Day" (o momento em que computadores quânticos conseguem quebrar a criptografia atual) de uma preocupação teórica distante para uma janela de engenharia calculável. Internamente, a Google definiu 2029 como prazo para migrar os seus sistemas para criptografia pós-quântica (PQC). Justin Drake, investigador da Ethereum Foundation e coautor do artigo, estima que, até 2032, a probabilidade de um computador quântico recuperar uma chave privada secp256k1 a partir de uma chave pública exposta seja de pelo menos 10%.
Como o Algoritmo de Shor Deriva Chaves Privadas a partir de Chaves Públicas
A segurança do Bitcoin assenta no Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA), utilizando a curva secp256k1. O pressuposto central é que, com computadores clássicos, é inviável derivar uma chave privada a partir de uma chave pública num prazo prático. Este é o fundamento da segurança de todo o sistema blockchain.
O algoritmo de Shor demonstra que, num computador quântico, o problema do logaritmo discreto em curva elíptica pode ser resolvido de forma eficiente. A principal contribuição da Google neste trabalho foi compilar um circuito quântico para o algoritmo de Shor, especificamente direcionado à secp256k1, e fornecer estimativas concretas de recursos. O artigo apresenta duas abordagens: uma mantém os qubits lógicos abaixo de 1 200 e os portões Toffoli abaixo de 90 milhões; a outra aumenta os qubits lógicos para 1 450, mas reduz os portões Toffoli para 70 milhões. Num computador quântico supercondutor, isto equivale a menos de 500 000 qubits físicos.
Simbolicamente, a Google não divulgou o circuito completo do ataque. Em vez disso, utilizou provas de conhecimento zero para verificar a existência e correção do circuito. Esta abordagem, inspirada no princípio de "divulgação responsável" da cibersegurança tradicional, sinaliza que a criptoanálise quântica entrou numa nova fase — uma que exige defesa proativa, em vez de respostas reativas.
Dois Cenários de Ataque: Interceção em Tempo Real e Colheita Offline
O white paper descreve dois cenários de ataque quântico, cada um com perfis de risco distintos.
O primeiro é o "ataque em tempo real", que visa transações transmitidas no mempool. Quando um utilizador inicia uma transação Bitcoin, a sua chave pública é brevemente exposta na rede — cerca de 10 minutos, correspondendo ao tempo médio de bloco do Bitcoin. Um computador quântico suficientemente rápido poderia derivar a chave privada a partir da chave pública em aproximadamente 9 minutos, permitindo a um atacante submeter uma transação concorrente e roubar os fundos antes da confirmação. O artigo estima que uma única máquina quântica num estado pré-computado teria cerca de 41% de probabilidade de interceptar uma transação durante esta janela.
O segundo é o "ataque estático", que visa carteiras dormentes cujas chaves públicas estão permanentemente expostas na blockchain. Aqui, não existe restrição temporal; um computador quântico pode operar ao seu ritmo. O artigo estima que cerca de 6,9 milhões de bitcoins — aproximadamente 33% do total em circulação — têm chaves públicas expostas, incluindo cerca de 1,7 milhões de moedas da era Satoshi e uma grande quantidade de fundos expostos devido à reutilização de endereços.
Uma conclusão relevante do white paper é que a atualização Taproot do Bitcoin em 2021, apesar de ter melhorado a segurança e privacidade tradicionais, aumentou a superfície de ataque quântico ao expor por defeito as chaves públicas na blockchain. O Taproot eliminou a camada de proteção "hash-then-expose" presente no antigo formato de endereço P2PKH.
O Custo Técnico e o Dilema de Governação na Resposta às Ameaças Quânticas
O caminho para combater as ameaças quânticas é claro, mas também o são os custos. O Instituto Nacional de Normas e Tecnologia dos EUA (NIST) concluiu a normalização do primeiro conjunto de padrões de criptografia pós-quântica em agosto de 2024, incluindo FIPS 203, 204 e 205. Do ponto de vista técnico, alternativas viáveis incluem assinaturas pós-quânticas baseadas em reticulados (como ML-DSA, anteriormente CRYSTALS-Dilithium) e assinaturas baseadas em hash (como SLH-DSA, anteriormente SPHINCS+).
No entanto, o modelo de governação descentralizada do Bitcoin torna a migração criptográfica excecionalmente complexa. A introdução de esquemas de assinatura pós-quântica exigiria um soft ou hard fork, requerendo consenso comunitário, coordenação entre programadores e atualizações sincronizadas de fornecedores de carteiras e plataformas de troca. A comunidade Bitcoin propôs o BIP-360 para adicionar opções de assinatura resistentes a ataques quânticos, mas permanece em discussão. O programador principal Adam Back e outros defendem que a ameaça quântica ainda está "a décadas de distância" e que atualizações prematuras e de grande escala podem introduzir vulnerabilidades criptográficas não validadas.
O verdadeiro problema por detrás deste debate é que a incerteza da ameaça quântica transforma o "quando migrar" num problema de teoria dos jogos. Atualizar demasiado cedo pode desperdiçar recursos de desenvolvimento, enquanto esperar demasiado pode resultar em perdas irreversíveis de ativos.
Como as Ameaças Quânticas Estão a Redefinir a Avaliação da Segurança dos Ativos Cripto
As ameaças da computação quântica estão a redefinir a "margem de segurança" dos ativos cripto. O pressuposto tradicional — de que as chaves públicas não podem ser revertidas para chaves privadas num prazo exequível — está a ser recalibrado. Os 6,9 milhões de bitcoins (avaliados em mais de 450 mil milhões $ aos preços atuais) com chaves públicas totalmente expostas dependem apenas do facto temporário de que os computadores quânticos ainda não estão maduros.
Os mercados já estão a reagir a este risco de várias formas. A taxa de utilização de endereços Taproot caiu de 42% em 2024 para cerca de 20%, indicando que alguns utilizadores estão deliberadamente a evitar formatos de endereço que expõem chaves públicas. Matthew Kimmell, estratega de investimento da CoinShares, observou que esta investigação "encurta a janela para o setor avançar na investigação e desenvolver um plano de ação".
Numa perspetiva mais ampla, o setor cripto é mais vulnerável às ameaças quânticas do que a finança tradicional, principalmente porque os registos blockchain são públicos e irreversíveis. As instituições financeiras tradicionais podem atualizar em massa certificados e chaves para se defenderem contra ataques quânticos, mas, uma vez que uma chave pública é exposta na blockchain, é permanente — não pode ser "revogada". Esta diferença estrutural significa que o setor cripto precisa não só da capacidade de "adotar algoritmos pós-quânticos", mas também de um quadro institucional para "adaptar-se à evolução contínua da criptografia".
Quão Próximos Estamos dos Ataques Reais Face às Estimativas de Recursos?
Embora as estimativas de recursos do white paper tenham diminuído significativamente, a capacidade de ataque real ainda está longe. Os sistemas quânticos mais avançados atualmente — incluindo o chip Willow da Google — têm apenas cerca de 100 qubits físicos e não atingiram correção de erros. Ultrapassar o fosso entre o hardware atual e 500 000 qubits físicos estáveis e corrigidos implica superar obstáculos de engenharia de grande escala.
Alguns especialistas consideram que as preocupações atuais são prematuras. Adam Back, da Blockstream, salienta que a camada de rede do Bitcoin não depende da criptografia tradicional; a ameaça quântica não consiste em interceptar tráfego de rede, mas sim em quebrar as chaves privadas dos utilizadores. Além disso, a função hash SHA-256 usada no proof-of-work é relativamente robusta contra ataques quânticos — o algoritmo de Grover apenas melhora a eficiência da quebra de hashes para a raiz quadrada, muito menos ameaçador do que o impacto "exponencial" do algoritmo de Shor na criptografia de chave pública.
No entanto, isto não significa que o setor possa esperar. Na cibersegurança, a estratégia "colecionar agora, decifrar depois" implica que os atacantes podem já estar a reunir dados da blockchain, aguardando que os computadores quânticos amadureçam para os quebrar. Esta assimetria temporal exige que o setor implemente defesas antes de os computadores quânticos se tornarem uma realidade.
Do Roteiro da Google para 2029 aos Prazos Regulamentares Internacionais
O objetivo da Google de migrar os seus sistemas internos para PQC até 2029 não é um movimento isolado. O quadro CNSA 2.0 da Agência de Segurança Nacional dos EUA exige que todos os novos sistemas de segurança nacional utilizem algoritmos resistentes a ataques quânticos até janeiro de 2027, migração total até 2030 e migração completa da infraestrutura até 2035. A dupla pressão dos padrões NIST e dos prazos regulatórios da NSA está a levar empresas e instituições a tratar a migração para PQC como um requisito de conformidade, e não apenas um tema de investigação.
Este contexto coloca um desafio mais direto ao setor cripto. A atualização de redes descentralizadas como o Bitcoin e o Ethereum demora frequentemente anos. A Ethereum Foundation tem dedicado anos à investigação de roteiros pós-quânticos e já está a testar esquemas de assinatura pós-quântica em testnets. Em contraste, o Bitcoin continua sem um roteiro pós-quântico claro e sem um mecanismo coordenado de financiamento. Embora a governação descentralizada conceda legitimidade, também torna a migração criptográfica ao nível do protocolo excecionalmente lenta.
Conclusão
O white paper da equipa de Quantum AI da Google não decreta o fim do Bitcoin. Pelo contrário, transforma a ameaça quântica de hipótese vaga e distante em parâmetros de engenharia quantificáveis. Os 500 000 qubits físicos necessários para um ataque, a janela de ataque de cerca de 9 minutos e os 6,9 milhões de bitcoins com chaves públicas expostas — tudo isto define uma margem de segurança real e cada vez mais estreita.
O desafio do setor não é apenas técnico — o NIST já resolveu o problema algorítmico. A verdadeira dificuldade reside na coordenação de governação. Em redes descentralizadas, construir consenso demora tempo, mas o progresso da computação quântica não espera. Nos próximos cinco a sete anos, o setor cripto terá de equilibrar dois riscos: atualizar demasiado cedo e introduzir criptografia não testada, ou atualizar demasiado tarde e enfrentar perdas irreversíveis de ativos. Independentemente do caminho escolhido, a computação quântica deixou de ser um conceito teórico para se tornar uma variável prática que deve ser integrada nos quadros de segurança dos ativos cripto.
FAQ
Q: Os computadores quânticos conseguem quebrar o Bitcoin neste momento?
A: Não. Os sistemas quânticos mais avançados atualmente têm apenas cerca de 100 qubits físicos. Quebrar o ECC-256 do Bitcoin exige cerca de 500 000 qubits físicos com correção de erros — um fosso de várias centenas de vezes.
Q: O que significa uma quebra em 9 minutos?
A: Refere-se ao cenário de "ataque em tempo real" descrito no white paper. Se um computador quântico estiver num estado pré-computado, seriam necessários cerca de 9 minutos desde a exposição da chave pública até à quebra bem-sucedida — ligeiramente menos do que o tempo médio de bloco do Bitcoin, de 10 minutos. Teoricamente, isto dá cerca de 41% de probabilidade de interceptar uma transação.
Q: Que bitcoins estão mais em risco?
A: Endereços com chaves públicas permanentemente expostas estão mais vulneráveis, incluindo os primeiros endereços P2PK (cerca de 1,7 milhões de moedas), endereços expostos devido à reutilização e endereços Taproot. O artigo estima que cerca de 6,9 milhões de bitcoins estão neste estado exposto.
Q: O Bitcoin pode ser atualizado para se defender contra ataques quânticos?
A: Sim. O NIST finalizou padrões de criptografia pós-quântica (como ML-DSA e SLH-DSA). O Bitcoin poderia introduzir opções de assinatura resistentes a ataques quânticos através de propostas como o BIP-360. O desafio é que as atualizações exigem consenso comunitário, o que pode demorar anos.
Q: O que devem os utilizadores fazer agora?
A: Evitar reutilizar endereços — utilizar um endereço novo para cada transação. Armazenar grandes quantidades em carteiras frias. Acompanhar o progresso comunitário nas atualizações resistentes a ataques quânticos e migrar proativamente os ativos para formatos de endereço mais seguros.
