A equipe de Quantum AI do Google disse no início desta semana que um futuro computador quântico poderia derivar uma chave privada de bitcoin a partir de uma chave pública em aproximadamente nove minutos. O número se espalhou pelas redes sociais e assustou os mercados.
Mas, o que isso significa na prática?
Vamos começar entendendo como funcionam as transações de bitcoin. Quando você envia bitcoin, sua carteira assina a transação com uma chave privada, um número secreto que comprova que você é o dono das moedas.
Essa assinatura também revela sua chave pública, um endereço compartilhável, que é transmitido para a rede e fica em uma área de espera chamada mempool até que um minerador a inclua em um bloco. Em média, essa confirmação leva cerca de 10 minutos.
Sua chave privada e sua chave pública estão ligadas por um problema matemático chamado problema do logaritmo discreto da curva elíptica. Computadores clássicos não conseguem reverter essa matemática em qualquer período de tempo útil, enquanto um computador quântico futuramente suficientemente poderoso executando um algoritmo chamado Shor's poderia.
Aqui é onde entra a parte dos nove minutos. O artigo do Google descobriu que um computador quântico poderia ser "preparado" antecipadamente, pré-computando as partes do ataque que não dependem de nenhuma chave pública específica.
Assim que sua chave pública aparecer no mempool, a máquina precisa apenas de cerca de nove minutos para concluir o trabalho e derivar sua chave privada. O tempo médio de confirmação do bitcoin é de 10 minutos. Isso dá ao atacante uma chance aproximada de 41% de derivar sua chave e redirecionar seus fundos antes que a transação original seja confirmada.
Pense nisso como um ladrão que passa horas construindo uma máquina universal de arrombamento de cofres (pré-computação). A máquina funciona para qualquer cofre, mas cada vez que um novo cofre aparece, só são necessários alguns ajustes finais — e esse último passo leva cerca de nove minutos.
Esse é o ataque ao mempool. É alarmante, mas exige um computador quântico que ainda não existe. O artigo do Google estima que tal máquina precisaria de menos de 500.000 qubits físicos. Os maiores processadores quânticos atuais têm cerca de 1.000.
A preocupação maior e mais imediata são os 6,9 milhões de bitcoin, cerca de um terço da oferta total, que já estão em carteiras onde o public key has been permanently exposed.
Isso inclui endereços de bitcoin antigos dos primeiros anos da rede que usavam um formato chamado pay-to-public-key, onde a chave pública é visível na blockchain por padrão. Também inclui qualquer carteira que tenha reutilizado um endereço, já que gastar de um endereço revela a chave pública para todos os fundos restantes.
Essas moedas não precisam da corrida de nove minutos. Um atacante com um computador quântico suficientemente poderoso poderia quebrá-las com calma, analisando as chaves expostas uma por uma, sem qualquer pressão de tempo.
A atualização Taproot do bitcoin em 2021 piorou isso, conforme relatado pela CoinDesk na terça-feira. Taproot alterou o funcionamento dos endereços, tornando as chaves públicas visíveis na cadeia por padrão, ampliando acidentalmente o conjunto de carteiras vulneráveis a um futuro ataque quântico.
A própria rede bitcoin continuaria funcionando. A mineração usa um algoritmo diferente chamado SHA-256, que os computadores quânticos não conseguem acelerar significativamente com abordagens atuais. Os blocos ainda seriam produzidos.
O livro-razão ainda existiria. Mas se as chaves privadas puderem ser derivadas das chaves públicas, as garantias de propriedade que tornam o bitcoin valioso se desfazem. Qualquer pessoa com chaves expostas corre risco de roubo, e a confiança institucional no modelo de segurança da rede colapsa.
A solução é a criptografia pós-quântica, que substitui a matemática vulnerável por algoritmos que computadores quânticos não conseguem quebrar. O ethereum gastou oito anos construindo em direção a essa migração. O bitcoin nem começou.