O Google Quantum AI publicou um whitepaper que altera de forma significativa o debate sobre a segurança das criptomoedas frente à computação quântica. O artigo, intitulado Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations, demonstra que os recursos computacionais necessários para quebrar a criptografia que protege o Bitcoin, o Ethereum e outras blockchains são consideravelmente menores do que as estimativas anteriores indicavam. A publicação foi acompanhada de um post no blog do Google Research detalhando a política de divulgação responsável adotada pela equipe.
A pesquisa foi conduzida pelo Google em parceria com coautores de instituições de destaque, incluindo Craig Gidney (Google Quantum AI), Dan Boneh (Stanford University) e Justin Drake (Ethereum Foundation), conferindo ao estudo um caráter colaborativo incomum entre academia, setor privado e a comunidade de desenvolvimento de blockchain.
O problema: a criptografia de curva elíptica e o algoritmo de Shor
Para compreender o impacto da descoberta, é necessário entender a base criptográfica sobre a qual as principais criptomoedas estão construídas. O Bitcoin, o Ethereum e a grande maioria das blockchains utilizam o ECDSA (Elliptic Curve Digital Signature Algorithm, ou Algoritmo de Assinatura Digital de Curva Elíptica) para proteger as chaves privadas dos usuários e autorizar transações.
A segurança do ECDSA repousa sobre um problema matemático chamado ECDLP (Elliptic Curve Discrete Logarithm Problem, ou Problema do Logaritmo Discreto de Curva Elíptica). Em termos simples: dado um ponto público em uma curva elíptica, é computacionalmente inviável, para qualquer computador clássico, recuperar o número inteiro (a chave privada) que gerou aquele ponto. Essa assimetria entre facilidade de geração e dificuldade de reversão é o que garante a segurança dos fundos nas carteiras digitais.
Computadores quânticos, contudo, são capazes de executar o algoritmo de Shor, desenvolvido pelo matemático Peter Shor em 1994. Esse algoritmo resolve o ECDLP de forma exponencialmente mais eficiente do que qualquer algoritmo clássico. O problema, até agora, era o tamanho: estimativas anteriores indicavam que seriam necessários milhões de qubits físicos para executar esse ataque contra chaves de 256 bits, colocando a ameaça em um horizonte temporal distante. O novo whitepaper do Google reduz drasticamente essa barreira.
O que o whitepaper descobriu
A equipe do Google compilou dois circuitos quânticos otimizados que implementam o algoritmo de Shor contra o ECDLP de 256 bits (o mesmo utilizado pelo Bitcoin e pelo Ethereum, via curva secp256k1):
- Circuito 1 (baixo número de qubits): menos de 1.200 qubits lógicos e aproximadamente 90 milhões de portas Toffoli.
- Circuito 2 (baixo número de portas): menos de 1.450 qubits lógicos e aproximadamente 70 milhões de portas Toffoli.
Ambos os circuitos poderiam ser executados em um computador quântico supercondutor com menos de 500.000 qubits físicos, em questão de minutos. Isso representa uma redução de aproximadamente 20 vezes em relação às estimativas anteriores, que apontavam para a necessidade de vários milhões de qubits físicos. A diferença entre qubits lógicos e físicos é relevante: qubits físicos são imperfeitos e sujeitos a erros. Para garantir confiabilidade, são necessários múltiplos qubits físicos por qubit lógico, por meio de técnicas de correção de erros quânticos.
Um computador com 500.000 qubits físicos de alta qualidade ainda não existe. Os melhores sistemas disponíveis em 2026 operam na casa de milhares de qubits, com qualidade crescente, mas ainda insuficiente para esse tipo de ataque. No entanto, a redução de 20 vezes no número de qubits necessários comprime significativamente o horizonte temporal dentro do qual a ameaça se tornará concreta.
Dois tipos de ataques
O whitepaper distingue dois modelos de ataque quântico com implicações práticas diferentes para o ecossistema de criptomoedas:
Ataque em trânsito (on-spend attack): quando um usuário transmite uma transação de Bitcoin para a rede, sua chave pública fica brevemente exposta antes de ser confirmada em um bloco. Um atacante com um computador quântico suficientemente poderoso poderia, nessa janela, derivar a chave privada a partir da chave pública e redirecionar os fundos. De acordo com os pesquisadores, esse ataque levaria aproximadamente nove minutos para ser executado. Dado que o tempo médio entre blocos no Bitcoin é de dez minutos, isso implica uma probabilidade estimada de 41% de o atacante conseguir interceptar e redirecionar uma transação antes de sua confirmação.
Ataque em repouso (at-rest attack): afeta carteiras cujas chaves públicas já estão expostas permanentemente na blockchain. Esse é o caso de endereços antigos do tipo Pay-to-Public-Key (P2PK), amplamente usados nos primeiros anos da rede Bitcoin, incluindo blocos minerados por Satoshi Nakamoto. Nesse modelo, o atacante teria dias ou semanas para derivar a chave privada sem qualquer urgência temporal.
A atualização Taproot do Bitcoin, implementada em 2021 com o objetivo de aumentar privacidade e eficiência, introduziu inadvertidamente uma vulnerabilidade adicional: ela expõe chaves públicas diretamente na blockchain por padrão, aumentando a superfície de ataque no modelo at-rest.
Quantos fundos estão em risco
O whitepaper estima que aproximadamente 6,9 milhões de BTC, equivalentes a cerca de um terço de todo o suprimento circulante de Bitcoin, estão em endereços onde as chaves públicas já foram expostas e, portanto, poderiam ser alvos de um ataque quântico no modelo at-rest. Desse total, cerca de 1,7 milhão de Bitcoin provém dos anos iniciais da rede, incluindo endereços associados ao período de mineração de Satoshi Nakamoto.
No caso do Ethereum, pesquisadores apontam que as mil maiores carteiras da rede poderiam ser comprometidas em questão de dias por um computador quântico suficientemente avançado. A boa notícia para o Ethereum é que seu tempo de confirmação de transações é consideravelmente menor do que o do Bitcoin, reduzindo a janela de vulnerabilidade no modelo de ataque em trânsito.
O Project Eleven, organização de pesquisa em computação quântica que colabora com protocolos de blockchain em estratégias de preparação pós-quântica, descreveu a publicação do Google como um alerta formal para o setor: a ameaça quântica às criptomoedas deixou de ser hipotética e passou a ter parâmetros técnicos concretos.
Divulgação responsável: zero-knowledge e coordenação com governos
Um aspecto metodológico central do trabalho é a abordagem adotada para a divulgação das descobertas. A equipe do Google se deparou com um dilema ético característico da pesquisa em segurança ofensiva: como publicar resultados que demonstram uma vulnerabilidade real sem fornecer um roteiro de exploração para agentes mal-intencionados?
A solução foi o uso de zero-knowledge proofs (provas de conhecimento zero), uma técnica criptográfica que permite a uma parte demonstrar que conhece uma determinada informação sem revelar o conteúdo dessa informação. Dessa forma, os pesquisadores conseguiram validar e publicar os resultados de forma verificável pela comunidade científica, sem expor os detalhes dos circuitos quânticos que poderiam ser usados em um ataque real.
Adicionalmente, o Google coordenou a divulgação com o governo dos Estados Unidos e seguiu os padrões internacionais de divulgação responsável de vulnerabilidades (ISO/IEC 29147:2018), fornecendo ao ecossistema de criptomoedas recomendações para a migração para criptografia pós-quântica antes de tornar os resultados públicos.
O prazo de 2029 e a migração para criptografia pós-quântica
O Google estabeleceu 2029 como prazo interno para migrar toda a sua infraestrutura para algoritmos de criptografia pós-quântica (PQC), resistentes a ataques de computadores quânticos. A empresa afirmou que, dado seu papel de liderança no desenvolvimento de hardware quântico, considera ser sua responsabilidade dar o exemplo. A IBM, outro ator central no campo, também projeta sistemas quânticos tolerantes a falhas para o mesmo período.
Para as criptomoedas, a migração é consideravelmente mais complexa do que para uma empresa privada. O Bitcoin, por exemplo, não possui uma estrutura centralizada de governança. Qualquer mudança no protocolo requer consenso entre mineradores, desenvolvedores, exchanges e usuários. O especialista em segurança Jameson Lopp estimou que migrar toda a rede Bitcoin para endereços resistentes a quântica levaria entre cinco e dez anos.
O Ethereum, por sua vez, encontra-se em posição mais avançada: a Ethereum Foundation relata oito anos de investimento em infraestrutura de migração, incluindo devnets semanais e um roteiro público que mapeia marcos técnicos ao longo de quatro hard forks, abordando registros de chaves pós-quânticas e mecanismos de consenso resistentes a ataques quânticos.
No nível do protocolo Bitcoin, a proposta BIP 360 introduz um novo formato de endereço resistente a quântica denominado Pay-to-Merkle-Root, que foi recentemente integrado ao repositório formal de propostas de melhoria da rede. Contudo, a adoção em escala permanece incerta.
Contexto e perspectiva crítica
É fundamental contextualizar adequadamente o alcance do estudo. O whitepaper do Google não anuncia que computadores quânticos já podem quebrar o Bitcoin. O que ele demonstra é que o limiar de recursos necessários para tal feito é significativamente menor do que se pensava, e que a aceleração do hardware quântico nos últimos cinco anos, com um crescimento aproximado de dez vezes em poder computacional, torna esse cenário plausível dentro de uma janela de tempo relevante para a infraestrutura atual.
A diferença entre os 500.000 qubits físicos estimados no artigo e os sistemas disponíveis hoje ainda é substancial. Contudo, a história da tecnologia é repleta de exemplos em que avanços exponenciais superaram projeções conservadoras. O próprio Google, com seu chip Willow anunciado em dezembro de 2024, demonstrou progressos relevantes em correção de erros quânticos, reduzindo a taxa de erros em escala.
O que o estudo torna inequívoco é que a migração para criptografia pós-quântica não é uma questão de décadas, mas potencialmente de anos. Dado o tempo necessário para implementar mudanças de protocolo em sistemas descentralizados como o Bitcoin, o horizonte de preparação efetiva já pode estar se estreitando.
A divulgação responsável adotada pelo Google representa um modelo de maturidade institucional que o ecossistema de segurança digital deveria seguir: identificar vulnerabilidades reais, quantificá-las com precisão, coordenar com as partes afetadas e publicar os resultados de forma que promova a defesa sem facilitar o ataque. A pergunta que o setor de criptomoedas agora precisa responder é se conseguirá agir com a mesma urgência e coordenação que o tema exige.
