Será que não dá mesmo para ser muito otimista? Dois artigos sobre computação quântica publicados no mesmo dia reduzem a barreira de equilíbrio do Bitcoin em duas ordens de magnitude

Na tarde de 31 de março, o Bitcoin inverteu a tendência de alta registrada pela manhã, caindo rapidamente abaixo da marca de US$ 67.000, com o índice de medo e ganância do mercado caindo para 28. Uma imagem amplamente divulgada nas redes sociais mostrou que a quantidade de bits quânticos necessária para quebrar uma chave privada de Bitcoin com um computador quântico havia caído de um milhão para mil. Um pesquisador da Google Quantum AI alertou que um ataque quântico poderia sequestrar uma transação de Bitcoin que estivesse sendo transmitida em 9 minutos, com cerca de 41% de chance de concluir o roubo antes da confirmação. Cerca de 6,9 milhões de bitcoins com chaves públicas expostas estão atualmente inativos na blockchain, à espera que o poder computacional alcance o nível teórico.

O que desencadeou esse pânico foram dois artigos publicados quase simultaneamente no dia anterior. Um deles veio da equipe de IA Quântica do Google e o outro da Oratomic, empresa especializada em computação quântica com átomos neutros. Consideradas individualmente, cada uma delas representou um avanço significativo em seu respectivo campo. No entanto, quando analisadas em conjunto, elas visavam diferentes camadas da pilha de computação quântica, resultando em um efeito multiplicador direto.

Justin Drake, pesquisador do núcleo do Ethereum, chamou o dia de “um marco para a computação quântica e a criptografia” em um tuíte. Ele participou do artigo da equipe do Google que aprimorou o algoritmo de Shor, o algoritmo de ataque quântico mais famoso no mundo da criptografia, projetado especificamente para quebrar a criptografia RSA e de curvas elípticas. O algoritmo de assinatura secp256k1 utilizado pelo Bitcoin e pelo Ethereum faz parte da criptografia de curvas elípticas.

Por que foi realmente assustador quando os dois jornais foram colocados lado a lado? Porque a quantidade total de qubits físicos necessária para quebrar uma assinatura de curva elíptica = o número de qubits lógicos (quantas unidades de computação “limpas” são necessárias no nível algorítmico) × o número de bits físicos necessários por bit lógico (quanto hardware “redundante” é necessário no nível de correção de erros para manter uma unidade limpa). O artigo do Google compactou o primeiro, enquanto o artigo da Oratomic compactou o segundo. À medida que tanto o numerador quanto o denominador diminuem, o produto despenca.

De acordo com um artigo apresentado na EUROCRYPT 2026, o número de qubits lógicos necessários para quebrar uma curva elíptica de 256 bits caiu de 2.330 em 2017 (segundo o artigo de referência de Roetteler et al.) para 2.124 em 2020 (segundo o artigo de Haner et al.), e ainda para 1.098 em março de 2026. Ao longo de nove anos, os requisitos algorítmicos foram reduzidos em mais da metade. O artigo da equipe do Google foi além, otimizando-o para a curva secp256k1 usada pelo Bitcoin e pelo Ethereum, reduzindo os bits lógicos necessários para cerca de 1.000, com uma profundidade de circuito de apenas cerca de 100 milhões de portas de Toffoli (conforme descrito por Justin Drake, citando o CryptoBriefing), o que significa cerca de 1.000 segundos de tempo de execução do algoritmo de Shor em uma plataforma supercondutora.

Por outro lado, de acordo com os dados do artigo da Oratomic citados no tuíte, a abordagem de átomos neutros reduz o número de qubits físicos necessários por qubit lógico de cerca de 400, nos códigos de superfície tradicionais, para cerca de 10. O princípio dessa inovação é completamente diferente do do Google. O Google otimizou a eficiência do próprio algoritmo, enquanto a Oratomic otimizou a sobrecarga de correção de erros do hardware subjacente. Ambas as melhorias podem ser combinadas.

A multiplicação desses dois números: a estimativa em 2017 era de cerca de 7 milhões de bits quânticos físicos, enquanto a estimativa do roteiro do átomo neutro para março de 2026 é de cerca de 10.000. A demanda total caiu de milhões para milhares, uma redução de mais de duas ordens de magnitude.

Esse efeito multiplicador deu origem a duas estratégias de ataque completamente diferentes.

De acordo com as estimativas do artigo compilado a partir de tuítes, o roteiro de supercondutividade (a direção de pesquisa do Google) requer cerca de 500 mil qubits físicos, que levariam cerca de 9 minutos para quebrar uma chave privada — tempo suficiente para sequestrar transações em tempo real. O roteiro do átomo neutro (linha de pesquisa da Oratomic) requer apenas cerca de 10.000 qubits físicos, mas o tempo de execução se estende por cerca de 10 dias. Isso não é um problema, pois o alvo do ataque são carteiras inativas com chaves públicas expostas, e não transações urgentes.

Como entender essa lacuna? O processador Willow mais potente da Google atualmente possui 105 qubits supercondutores (de acordo com as especificações do Google Quantum AI), ainda a cerca de 4.762 vezes do limite de 500.000. No entanto, o sistema de computação tolerante a falhas no campo de átomos neutros já atingiu cerca de 500 qubits, estando a apenas cerca de 20 vezes do limite de 10.000. Se considerarmos a escala física da matriz, em vez da capacidade de tolerância a falhas, o laboratório já capturou mais de 6.100 átomos, reduzindo ainda mais a diferença para menos de duas vezes.

20 vezes e 4.762 vezes são duas ordens de magnitude completamente diferentes. O roteiro para o átomo neutro está mais próximo do que a maioria das pessoas imagina.

No que diz respeito ao Bitcoin, a situação está longe de estar preparada para enfrentar essa mudança.

De acordo com um relatório conjunto da Ark Invest e da Unchained, cerca de 7 milhões de Bitcoins (aproximadamente 33% do fornecimento total) estão expostos ao risco quântico, com um valor estimado entre US$ 440 e US$ 480 bilhões. Esses endereços vulneráveis se enquadram em três categorias. Cerca de 1,7 milhão estão em endereços P2PK antigos, com chaves públicas expostas diretamente na cadeia, e a maioria foi perdida, sem que ninguém consiga realizar a migração. Cerca de 1,1 milhão pertencem a Satoshi Nakamoto, distribuídos por cerca de 22.000 endereços, sendo que a identidade dos titulares é desconhecida. Os cerca de 4,2 milhões restantes estão em endereços reutilizados ou endereços P2TR, nos quais as chaves públicas também foram expostas, mas, teoricamente, os titulares podem transferi-las proativamente para endereços seguros.

Em outras palavras, cerca de 2,8 milhões de bitcoins (40% do frágil estoque total) estão irrecuperáveis. As chaves privadas foram perdidas ou os titulares nunca aparecerão. Este não é um problema que possa ser resolvido pela tecnologia, mas uma questão de governança: se a comunidade deve ou não congelar esses endereços inevitavelmente comprometidos. De acordo com uma reportagem publicada em fevereiro pela CoinDesk, a comunidade Bitcoin vem debatendo acaloradamente se deve congelar os 1,1 milhão de BTC detidos por Satoshi, sem que se tenha chegado a um consenso até o momento.

Mesmo para os 4,2 milhões de bitcoins que, em teoria, poderiam ser movimentados, a migração não é automática. Os titulares precisam transferir proativamente os ativos dos endereços antigos para endereços que utilizem um novo esquema de assinatura, e a experiência mostra que um grande número de titulares não tomará medidas antes do prazo final.

Diante da mesma ameaça, as estratégias de resposta das três principais blockchains divergiram significativamente.

De acordo com o site pq.ethereum.org, lançado pela Fundação Ethereum em 25 de março de 2026, o Ethereum vem se preparando há 8 anos, com um roteiro completo em várias etapas: a substituição do atual esquema de assinatura BLS por assinaturas de hash leanXMSS, com o objetivo de concluir a atualização do protocolo L1 até 2029. Mais de 10 equipes de clientes realizam testes semanais de interoperabilidade na rede de desenvolvimento pós-quântica, e os usuários podem migrar gradualmente por meio da abstração de contas, sem a necessidade de um hard fork. A própria Google estabeleceu o prazo de 2029 para concluir sua migração interna para a era pós-quântica (de acordo com o Blog de Segurança do Google), o que está em sintonia com o cronograma da Ethereum.

A Solana adota uma abordagem experimental. O Winternitz Vault, proposto por Dean Little, cientista-chefe da Zeus Network, no GitHub em dezembro de 2025, utiliza um mecanismo de cofre de seguro de uso único baseado em hash. No entanto, trata-se de uma solução opcional, que exige que os usuários optem por participar de forma proativa, e não há um cronograma oficial.

O Bitcoin enfrenta a situação mais grave. Não há um plano coordenado, nem financiamento específico por parte da fundação, nem um cronograma. O modelo de governança do Bitcoin exige um consenso descentralizado de toda a comunidade para promover mudanças no protocolo, e essa comunidade tem sido historicamente conhecida por sua lentidão. De acordo com o relatório “Quantum Threat Timeline 2026” do Global Risk Institute, é “bastante provável” que a computação quântica aplicada à criptografia surja dentro de 10 anos e “muito provável” que isso ocorra dentro de 15 anos. Se a meta da Ethereum para 2029 avançar conforme o planejado, a migração estará concluída antes do fim do prazo. O Bitcoin ainda está nos estágios iniciais de discussão.

Dois artigos publicados no mesmo dia atribuíram números concretos a uma ameaça iminente que há muito era apenas teórica: 10.000 quants físicos, 10 dias, a chave privada de uma carteira inativa.

É importante ressaltar, no entanto, que se trata ainda de uma redução significativa de um limiar teórico, e não de um ataque pontual iminente. Os sistemas de átomos neutros de última geração ainda estão a cerca de uma ordem de magnitude de distância dos 10.000 qubits tolerantes a falhas, com a abordagem supercondutora ficando várias ordens de magnitude atrás. Ainda existe uma janela de oportunidade de 10 a 15 anos, o que dá à comunidade Bitcoin uma chance de se recuperar. O Bitcoin já superou desafios de governança anteriores, como a disputa sobre o tamanho dos blocos e a ativação do SegWit — todos altamente controversos —, acabando por chegar a um consenso sob pressão. A natureza da ameaça quântica difere de uma disputa de governança; ela não envolve interesses conflitantes, mas constitui um risco comum enfrentado por toda a rede. Isso poderia, de fato, servir como uma força externa capaz de impulsionar uma ação acelerada dentro da comunidade Bitcoin.

A verdadeira questão não é se a computação quântica pode comprometer o Bitcoin, mas se a comunidade Bitcoin conseguirá se preparar a tempo, antes que a janela de oportunidade se feche.