A conclusão prática fica no meio do caminho: nada de pânico, mas também nada de empurrar com a barriga. Órgãos públicos já tratam a migração para criptografia pós-quântica como uma mudança tecnológica de vários anos, e esse é o enquadramento correto para blockchains também.
Um atacante futuro não precisaria “descriptografar a blockchain” nem reescrever todo o histórico do Bitcoin. O alvo de maior valor seria recuperar uma chave privada a partir de uma chave pública. Se uma chave pública do Bitcoin estiver exposta e um computador quântico conseguir resolver o problema de curva elíptica rápido o bastante, o atacante poderia derivar a chave privada e forjar uma transação válida.
Isso é diferente de dizer que um computador quântico venceria automaticamente todas as disputas de mineração. O Bitcoin também usa funções de hash, como SHA-256, na mineração e em partes do sistema de endereços, mas o risco mais forte discutido nas pesquisas de prontidão quântica está na camada de assinaturas de chave pública, não na mineração por SHA-256.
Nem todos os bitcoins têm o mesmo perfil de risco quântico. Chaves públicas podem ser reveladas quando moedas são gastas, e o reúso de endereços facilita catalogar e priorizar essa exposição.
Isso cria dois problemas. Primeiro, moedas ligadas a chaves públicas já expostas seriam candidatas óbvias para uma migração futura. Segundo, quando uma transação é transmitida, ela pode ficar por algum tempo na mempool — a fila de transações ainda não confirmadas. Nesse intervalo, a chave pública e a intenção de gasto podem ficar visíveis; se uma máquina quântica futura conseguisse recuperar a chave privada dentro dessa janela, um atacante poderia tentar publicar uma transação concorrente.
As estimativas atuais não mostram que isso seja possível hoje. Mas elas explicam por que desenho de carteiras, privacidade na transmissão de transações, funcionamento da mempool e tempo de confirmação precisam entrar na conversa sobre migração pós-quântica antes que a ameaça vire operacional.
O principal argumento para começar cedo é simples: criptografia pós-quântica já não é só assunto de paper acadêmico. Em agosto de 2024, o NIST — o instituto de padrões e tecnologia dos Estados Unidos — finalizou seus três primeiros padrões de criptografia pós-quântica e incentivou administradores de sistemas a iniciarem a transição o quanto antes.
Esses padrões incluem o FIPS 203 para encapsulamento de chaves ML-KEM, o FIPS 204 para assinaturas digitais ML-DSA e o FIPS 205 para assinaturas digitais hash-based sem estado SLH-DSA. O NIST também publicou material de planejamento para a transição de algoritmos vulneráveis a computadores quânticos para esquemas pós-quânticos de assinatura digital e estabelecimento de chaves.
No Reino Unido, o NCSC — centro nacional de cibersegurança britânico — descreve a migração para criptografia pós-quântica como uma mudança tecnológica em massa que levará anos, com marcos iniciais como definir objetivos de migração e concluir um levantamento completo do ambiente até 2028.
Para Bitcoin e outras blockchains, escolher um algoritmo é só uma parte do trabalho. Um caminho de assinatura pós-quântica também precisa caber em limites de tamanho de transação, custos de verificação, mercado de taxas, carteiras de hardware, sistemas de custódia, clientes leves, exchanges, bridges e, principalmente, consenso social.
Exchanges, custodiantes, desenvolvedores de carteiras, bridges, emissores de stablecoins, equipes de L2 e tesourarias relevantes deveriam mapear onde dependem de criptografia de chave pública vulnerável a computadores quânticos. Esse inventário deve cobrir fluxos de assinatura, hardware de armazenamento de chaves, formatos de backup, procedimentos de recuperação, políticas de multisig, contratos inteligentes, validadores de bridges e chaves públicas de longa duração.
A lógica é parecida com a orientação inicial do NCSC: definir metas e fazer o levantamento completo antes de uma emergência. No caso específico do Bitcoin, a prioridade deve incluir endereços reutilizados, chaves públicas já expostas, tipos antigos de saída, carteiras frias de alto valor e fluxos de hot wallets que revelam chaves públicas com frequência.
Carteiras e exchanges deveriam tornar o reúso de endereços mais difícil e o uso de novos endereços mais natural. Endereços reutilizados e chaves públicas já expostas estão entre os pontos mais claros para priorizar em qualquer plano de prontidão quântica.
Equipes de infraestrutura também deveriam estudar privacidade na transmissão de transações. Se o modelo de ataque futuro for uma corrida entre a transação legítima e uma transação forjada, reduzir a visibilidade e encurtar a janela de exposição pode importar mesmo antes de uma migração completa para assinaturas pós-quânticas.
Blockchains precisam de propostas críveis para suporte a assinaturas pós-quânticas, incluindo os caminhos de consenso e implantação necessários para introduzi-las com segurança. O Google afirma que o objetivo da divulgação de sua pesquisa é ajudar a comunidade de criptomoedas a melhorar segurança e estabilidade antes que ataques quânticos se tornem possíveis, inclusive com trabalho de transição para criptografia pós-quântica.
Os padrões do NIST são um ponto de partida, não uma atualização automática do Bitcoin. FIPS 204 e FIPS 205 são padrões de assinatura digital, mas sistemas blockchain ainda precisam avaliar tamanho de assinatura, custo de verificação, uso de banda, impacto em taxas, experiência do usuário, suporte em carteiras de hardware e confiança criptanalítica de longo prazo.
Uma transição prática pode exigir um período em que assinaturas atuais e mecanismos pós-quânticos funcionem lado a lado. Isso reduziria o risco de depender imediatamente de um esquema novo e daria tempo para carteiras, nós, exchanges, custodiantes e usuários aprenderem o novo modelo operacional.
O custo é real: assinaturas maiores podem aumentar o peso das transações, fluxos de carteira podem ficar mais complexos e usuários sensíveis a taxas podem ser afetados. Melhor medir esses efeitos em pilotos do que descobri-los no meio de uma emergência.
A custódia tende a concentrar risco operacional. Exchanges, custodiantes institucionais, emissores de stablecoins, bridges e grandes tesourarias precisam testar se seus módulos de assinatura, HSMs, carteiras de hardware, motores de política, logs de auditoria e planos de recuperação conseguem lidar com migração pós-quântica ou em etapas.
Como a orientação pública trata a migração para criptografia pós-quântica como uma mudança de vários anos, esses sistemas devem ser testados enquanto a ameaça ainda é teórica, não às pressas depois que surgir uma capacidade de ataque crível.
Migração criptográfica também é governança. Redes descentralizadas precisam de normas para avisar usuários, apoiar a movimentação de fundos, lidar com chaves perdidas e decidir o que fazer — ou não fazer — com moedas associadas a chaves públicas expostas há muito tempo e que nunca são movidas.
O Google diz que sua meta ao divulgar a pesquisa é ajudar a comunidade de criptomoedas a melhorar segurança e estabilidade antes que a ameaça se torne possível. O pior momento para discutir regras de migração é depois que o mercado acreditar que uma janela real de ataque quântico foi aberta.
Não basta olhar apenas para manchetes sobre número de qubits físicos. Os sinais mais relevantes são qubits lógicos, taxas de erro, sobrecarga de correção de erros, profundidade de circuito, custo de portas Toffoli e demonstrações de computação tolerante a falhas em escala.
A adoção de padrões também importa. O NIST já finalizou padrões iniciais de criptografia pós-quântica, o planejamento de transição está em andamento e o NCSC publicou marcos graduais de migração. Redes cripto não deveriam presumir que poderão adiar indefinidamente o trabalho de consenso, carteira e infraestrutura.
O Bitcoin não está condenado até 2033, e as fontes citadas não mostram que exista hoje um computador quântico capaz de quebrá-lo. Mas o risco é plausível o bastante para equipes sérias se prepararem agora.
O gargalo não é só hardware quântico. É escolha de padrões, implantação em carteiras, atualização de custódia, suporte de exchanges, impacto em taxas e consenso social. Esperar até que um computador quântico esteja quase pronto para atacar a secp256k1 deixaria a indústria cripto com tempo demais para se preocupar e tempo de menos para migrar com segurança.