Um whitepaper publicado em 30 de março pelo Google Quantum AI comprimiu dramaticamente a estimativa de tempo para que computadores quânticos quebrem a criptografia de curva elíptica que protege praticamente todas as principais blockchains — e a indústria de cripto está se esforçando para avaliar as consequências.
O artigo foi coescrito pelos pesquisadores do Google Ryan Babbush e Hartmut Neven, juntamente com o pesquisador da Ethereum Foundation Justin Drake e o criptógrafo de Stanford Dan Boneh. Ele conclui que quebrar o problema do logaritmo discreto da curva elíptica de 256 bits que sustenta as assinaturas de transações de bitcoin e ethereum exigiria menos de 500.000 qubits físicos, uma redução de aproximadamente 20 vezes em relação às estimativas anteriores, que situavam o limiar em milhões.
“Queremos aumentar a conscientização sobre esse problema e estamos fornecendo à comunidade de criptomoedas recomendações para melhorar a segurança e a estabilidade antes que isso seja possível”, escreveram os pesquisadores do Google wrote em um post de blog acompanhante.
Três Classes de Ataque
O whitepaper distingue entre três classes de ataques quânticos em blockchains, cada uma visando diferentes pontos de vulnerabilidade no ciclo de vida da transação.
Primeiro, ataques "on-spend" visam transações em trânsito. Quando um usuário transmite uma transação de bitcoin, a chave pública se torna visível no mempool. Em uma arquitetura quântica de relógio rápido usando qubits supercondutores ou fotônicos, o artigo estima que derivar a chave privada correspondente poderia levar cerca de nove minutos. O tempo médio de confirmação de bloco do bitcoin é de 10 minutos, fornecendo a um atacante uma janela estreita, mas viável, para assinar uma transação de substituição fraudulenta e front-run a original.
Em segundo lugar, ataques "em repouso" visam carteiras dormentes onde as chaves públicas já estão permanentemente expostas na cadeia. As saídas iniciais de bitcoin usavam scripts Pay-to-Public-Key que incorporavam as chaves públicas diretamente, e a reutilização de endereços agravou a exposição. O artigo estima que aproximadamente 6,9 milhões de BTC estão atualmente vulneráveis a esse tipo de ataque, incluindo cerca de 1,7 milhão de moedas da era Satoshi. Ao contrário dos ataques durante a despesa, não há restrição de tempo — qualquer máquina quântica poderia trabalhar na criptografia no seu próprio ritmo.
"A aceleração da mineração por meio de quantum é principalmente um show secundário. O roubo de chaves privadas é o verdadeiro vetor existencial," disse Cais Manai, CPO e co-fundador da TEN Protocol, told The Defiant em fevereiro.
Finalmente, ataques "on-setup" aplicam-se especificamente a cerimônias criptográficas que sustentam sistemas como a Amostragem de Disponibilidade de Dados do Ethereum. O esquema de compromisso polinomial KZG usado na verificação dos dados de blob do Ethereum depende de uma configuração confiável única que gera um escalar secreto, que se destina a ser destruído após isso. Um computador quântico poderia recuperar esse segredo a partir de parâmetros publicamente disponíveis, criando o que o artigo chama de uma exploração permanente e reutilizável que pode falsificar provas de disponibilidade de dados sem necessidade de mais computação quântica.
Exposição do Ethereum
O whitepaper identifica pelo menos cinco classes distintas de ataques apenas para o ethereum.
Além do risco ao nível da carteira — o artigo aponta cerca de 20,5 milhões de ETH mantidos em contas com chaves públicas expostas — as chaves de administração que governam a autoridade de cunhagem de stablecoins dependem das mesmas assinaturas vulneráveis. O artigo estima que aproximadamente US$ 200 bilhões em stablecoins e ativos tokenizados no ethereum dependem dessas chaves de administração.
A camada de consenso de proof-of-stake do ethereum enfrenta sua própria exposição. Cerca de 37 milhões de ETH em staking são autenticados por assinaturas digitais que o artigo considera vulneráveis à computação quântica. O artigo alerta que, se a concentração de staking em grandes pools for explorada, o limiar para interromper o consenso se reduz significativamente.
As redes de camada 2 apresentam riscos adicionais. O artigo estima que pelo menos 15 milhões de ETH em principais rollups e pontes intercadeias estão expostos. Os autores observam que o StarkNet, que utiliza criptografia baseada em hash em vez de criptografia de curva elíptica, destaca-se como resistente à computação quântica.
"A comunidade em breve enfrentará decisões difíceis e sem precedentes sobre o destino desses ativos, forçando escolhas entre a imutabilidade dos direitos de propriedade criptográfica e a estabilidade econômica da rede", alerta o artigo.
Divulgação por meio de Prova de Conhecimento Zero
Nos termos dos autores do artigo, como uma primeira para a criptoanálise quântica, o Google não publicou os circuitos quânticos reais utilizados para alcançar suas estimativas otimizadas de recursos. Em vez disso, a equipe executou seu simulador de circuito por meio da Máquina Virtual Zero-Knowledge SP1 e publicou uma prova Groth16 zkSNARK, permitindo que terceiros verifiquem as reduções de recursos reivindicadas sem ter acesso às técnicas específicas necessárias para executar um ataque.
“Para compartilhar esta pesquisa de forma responsável, nos engajamos com o governo dos EUA e desenvolvemos um novo método para descrever essas vulnerabilidades por meio de uma prova de conhecimento zero, para que possam ser verificadas sem fornecer um roteiro para agentes mal-intencionados”, escreveram os pesquisadores.
O documento surge uma semana após a Ethereum Foundation lançar um hub de recursos públicos consolidando oito anos de pesquisa pós-quantum em um plano de migração em fases. O plano da EF visa atualizações principais do protocolo Layer 1 até 2029 por meio de quatro forks duros sequenciais, começando com a equipagem dos validadores com chaves de backup resistentes a quantum e substituindo progressivamente o esquema atual de assinatura BLS por alternativas baseadas em hash.
O BIP-360 do bitcoin, que propõe um tipo de saída Pay-to-Merkle-Root resistente à computação quântica para substituir o gasto por caminho de chave vulnerável do Taproot, foi integrado ao repositório oficial BIP em fevereiro. Mas a proposta não introduz assinaturas pós-quânticas — ela apenas remove uma categoria de exposição de chave pública. Uma migração criptográfica completa exigiria uma mudança muito maior no protocolo.
O próprio Google definiu uma data-limite para 2029 para migrar seus próprios serviços de autenticação e assinatura digital para a criptografia pós-quantum.
Dilema da Moeda Inativa
Talvez a implicação mais politicamente carregada do artigo envolva ativos que não podem ser migrados — moedas travadas em carteiras cujas chaves privadas foram perdidas, incluindo os aproximadamente 1,1 milhão de BTC de Satoshi Nakamoto em saídas P2PK antigas. Essas moedas não podem ser movidas voluntariamente para endereços seguros contra quantum.
O artigo apresenta um framework de "salvamento digital", traçando uma analogia com a lei de salvamento marítimo, como um modelo de governança potencial para lidar com a recuperação quântica desses ativos. As escolhas políticas diante da indústria são claras: whether to hard fork and burn unmigrated coins, impose migration deadlines with rate-limited withdrawal periods, or allow quantum-equipped actors to claim dormant assets.
O que vem a seguir
O artigo não afirma que o hardware quântico atual pode executar esses ataques hoje — o processador mais avançado do Google, Willow, opera com apenas 105 qubits físicos, conforme The Defiant observou quando o chip foi anunciado em dezembro de 2024.
Mas a trajetória de otimização é o argumento central: as estimativas de recursos para quebrar a criptografia de curva elíptica caíram em aproximadamente uma ordem de grandeza apenas por meio de melhorias algorítmicas, independentemente do aumento de hardware.
Para Bitcoin e Ethereum — as duas redes que detêm a grande maioria da capitalização de mercado de criptomoedas — a questão já não é se migrar, mas se os processos de governança que definem esses protocolos conseguem avançar rápido o suficiente.
“Este artigo refuta diretamente todos os argumentos usados pela indústria de criptomoedas para descartar a ameaça quântica”, disse Alex Pruden, CEO e co-fundador da Project Eleven, uma empresa de migração pós-quântica, ao The Defiant por e-mail.
“A solução para proteger essas redes existe; a questão é se o resto da indústria e os desenvolvedores principais dos protocolos começarão a construir agora ou esperarão e sofrerão as consequências”, concluiu ele.
Este artigo foi escrito com a assistência de fluxos de trabalho de IA. Todas as nossas histórias são curadas, editadas e verificadas por um ser humano.