À medida que os avanços em computação quântica obrigam os criptógrafos a rever os fundamentos matemáticos da segurança digital, a indústria de criptomoedas enfrenta uma questão única e urgente: como migrar bilhões de dólares em ativos protegidos por criptografia de curva elíptica para esquemas de assinatura resistentes a quântica sem quebrar as redes que os protegem?
A Ameaça Quântica ao Cripto: Real, mas Não Imediata
Bitcoin (BTC) e Ethereum (ETH) dependem de um algoritmo de assinatura chamado ECDSA, construído sobre a curva elíptica secp256k1, para provar a propriedade dos fundos. A segurança de cada transação depende de uma única suposição matemática: que derivar uma chave privada a partir de sua chave pública correspondente é computacionalmente inviável para computadores clássicos.
O algoritmo de Shor, publicado pela primeira vez pelo matemático Peter Shor em 1994, destrói essa suposição.
Executado em um computador quântico suficientemente poderoso, ele reduz o Problema do Logaritmo Discreto em Curvas Elípticas a tempo polinomial — o que significa que poderia extrair chaves privadas rápido o bastante para esvaziar qualquer carteira cuja chave pública tenha sido exposta on‑chain.
O hardware para executar esse ataque ainda não existe. Estimativas atuais sugerem que quebrar a secp256k1 exigiria cerca de 2.330 a 2.500 qubits lógicos, o que se traduz em aproximadamente 13 milhões de qubits físicos para um ataque de um dia. Os processadores quânticos mais avançados de hoje operam com pouco mais de 100 qubits.
O algoritmo de Grover, a outra ameaça quântica comumente citada, atua sobre funções de hash em vez de assinaturas. Ele oferece apenas uma aceleração quadrática, reduzindo a segurança do SHA‑256 de 256 bits para 128 bits — ainda exigindo 2 elevado a 128 operações, o que permanece firmemente no domínio do inquebrável.
O mecanismo de prova de trabalho do Bitcoin não está em risco pela computação quântica. Seu esquema de assinatura está.
O debate sobre o cronograma se divide fortemente entre otimistas e pessimistas.
Jensen Huang, CEO da Nvidia, coloca computadores quânticos úteis “provavelmente a vinte anos de distância”.
Adam Back, CEO da Blockstream e cypherpunk, descartou alertas de curto prazo, argumentando que previsões para 2028 são irreais.
Do outro lado, Shohini Ghose, CTO do Quantum Algorithms Institute, alertou que a comunidade não está alarmada o suficiente, apontando que o momento em que a computação quântica foi proposta foi o momento em que toda a criptografia de chave pública existente se tornou conceitualmente vulnerável.
A pesquisa de 2024 do Global Risk Institute com 32 especialistas estimou uma probabilidade de 19 a 34 por cento de surgir um computador quântico criptograficamente relevante em dez anos, acima dos 17 a 31 por cento em 2023. A maioria dos especialistas converge para o início‑a‑meados da década de 2030 como a janela mais provável.
Leia também: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
O Que Criptografia Pós-Quântica Realmente Significa
Criptografia pós‑quântica, ou PQC, refere‑se a uma família de algoritmos criptográficos projetados para resistir a ataques tanto de computadores clássicos quanto quânticos.
Diferentemente da criptografia quântica, que depende da própria mecânica quântica para distribuição de chaves, a PQC roda inteiramente em hardware convencional. Essa distinção é crucial para blockchain, porque significa que nós e carteiras existentes podem adotar esses esquemas sem equipamentos quânticos especializados.
Cinco grandes famílias de algoritmos PQC emergiram de décadas de pesquisa acadêmica.
Cada uma adota uma abordagem matemática fundamentalmente diferente para construir problemas que computadores quânticos não conseguem resolver de forma eficiente, e cada uma traz seu próprio conjunto de trade‑offs em tamanho de assinatura, velocidade computacional e suposições de segurança.
Leia também: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Criptografia Baseada em Redes: A Favorita
Esquemas baseados em redes (lattices) dominam o cenário pós‑quântico. Os dois algoritmos mais proeminentes — CRYSTALS‑Kyber (agora padronizado como ML‑KEM) para encapsulamento de chaves e CRYSTALS‑Dilithium (agora ML‑DSA) para assinaturas digitais — derivam sua segurança do problema Module Learning With Errors. Em termos simplificados, isso envolve recuperar um vetor secreto a partir de um sistema de equações lineares ruidosas definido sobre uma rede matemática estruturada.
As operações subjacentes se reduzem a aritmética polinomial e avaliações de hash, o que torna os esquemas de redes rápidos e amplamente implementáveis em diferentes plataformas de hardware.
O ML‑DSA em seu nível mínimo de segurança produz assinaturas de aproximadamente 2.420 bytes com chaves públicas de 1.312 bytes, cerca de 38 vezes maiores que as assinaturas compactas de 64 bytes que o ECDSA produz hoje.
Esse aumento de tamanho é administrável para a maioria das aplicações de internet. Para blockchains, onde cada byte em uma transação afeta diretamente a vazão e as taxas, ele representa uma restrição de engenharia séria.
Leia também: Hyperliquid Hits 44% Of All Perp DEX Volume
Assinaturas Baseadas em Hash: Conservadoras, porém Caras
A criptografia baseada em hash oferece as garantias de segurança mais conservadoras de qualquer família de PQC. SPHINCS+, agora padronizado como SLH‑DSA, depende exclusivamente das propriedades das funções de hash, sem suposições algébricas que possam cair diante de uma futura descoberta matemática.
O esquema constrói o que os criptógrafos chamam de “hiperárvore” — uma estrutura em camadas de assinaturas de uso único de Winternitz conectadas por árvores de Merkle — possibilitando assinaturas ilimitadas e sem estado (stateless) a partir de um único par de chaves.
O trade‑off é severo.
Assinaturas produzidas pelo SLH‑DSA variam de cerca de 7.856 bytes a 49.856 bytes, dependendo do conjunto de parâmetros escolhido, e o processo de assinatura é aproximadamente 100 vezes mais lento que alternativas baseadas em redes.
O XMSS, a variante com estado, gera assinaturas mais compactas na faixa de 2.500 a 5.000 bytes, mas exige rastreamento cuidadoso de quais chaves de uso único já foram utilizadas. Reutilizar uma chave destrói todas as garantias de segurança.
Para blockchain, esquemas baseados em hash apresentam um paradoxo. Suas suposições de segurança são as mais fortes de qualquer família de PQC, mas seus tamanhos de assinatura podem torná‑los impraticáveis para redes de alta vazão.
Leia também: Circle Wants The EU To Let Stablecoins Settle Trades
Criptografia Baseada em Códigos e Outras Abordagens: Forças e Falhas
A criptografia baseada em códigos, exemplificada pela Classic McEliece, se baseia na dificuldade de decodificar códigos lineares aleatórios — um problema proposto pela primeira vez em 1978 que resistiu a quatro décadas de criptoanálise intensa.
Suas chaves públicas são enormes, variando de 261 KB a 1,3 MB, mas seus criptogramas são minúsculos, com 128 a 240 bytes. O HQC, um esquema baseado em códigos mais recente, foi selecionado pelo NIST em março de 2025 como mecanismo de encapsulamento de chaves de reserva.
A criptografia de polinômios multivariados depende da dificuldade NP‑completa de resolver sistemas de equações quadráticas multivariadas sobre corpos finitos.
Rainbow, a principal candidata dessa família, foi quebrada de forma catastrófica em fevereiro de 2022 pelo pesquisador Ward Beullens, que recuperou chaves secretas em um laptop comum em 53 horas.
O esquema fundamental UOV sobrevive, e um derivado compacto chamado MAYO avançou para a competição adicional de assinaturas de segunda rodada do NIST em outubro de 2024.
A criptografia baseada em isogenias sofreu um colapso ainda mais dramático. SIKE, que oferecia os menores tamanhos de chave entre todos os candidatos de PQC, com cerca de 330 bytes, foi destruído em agosto de 2022 quando Wouter Castryck e Thomas Decru, da KU Leuven, publicaram um ataque clássico de recuperação de chave explorando um teorema de 1997 do matemático Ernst Kani.
SIKEp434 caiu em uma hora em um único núcleo de CPU. A pesquisa continua com esquemas mais novos como SQISign e CSIDH, mas nenhum algoritmo baseado em isogenias permanece na principal competição de padronização do NIST.
Leia também: A $30M Pharma Company Just Bought $147M Of One Crypto Token
A Maratona de Padronização de Oito Anos do NIST
O NIST lançou seu Processo de Padronização de Criptografia Pós‑Quântica em dezembro de 2016, recebendo 69 candidaturas até novembro de 2017. Três rodadas de criptoanálise pública se seguiram, expondo com sucesso falhas fatais em Rainbow e SIKE ao longo do caminho.
O processo culminou em 13 de agosto de 2024 com a publicação dos três primeiros padrões finalizados.
O FIPS 203, baseado em Kyber, trata do encapsulamento de chaves sob o nome ML‑KEM. O FIPS 204, baseado em Dilithium, cobre assinaturas digitais como ML‑DSA. O FIPS 205, baseado em SPHINCS+, fornece um padrão alternativo de assinatura baseada em hash chamado SLH‑DSA.
Um quarto padrão, o FIPS 206, baseado no algoritmo FALCON, entrou em fase de aprovação em rascunho em agosto de 2025 e deve ser finalizado no fim de 2026 ou início de 2027.
O FALCON produz assinaturas de cerca de 666 bytes — aproximadamente dez vezes o tamanho do ECDSA, em vez das 38 vezes exigidas pelo Dilithium. — tornando-o o esquema de assinatura pós-quântica mais compacto e o candidato mais forte para aplicações em blockchain.
O líder de projeto da NIST, Dustin Moody, instou as organizações a começarem a transição o quanto antes.
O framework CNSA 2.0 da NSA exige o uso exclusivo de algoritmos pós-quânticos para assinatura de software até 2030 e para a infraestrutura web até 2033. A própria NIST planeja descontinuar totalmente a criptografia de curvas elípticas até 2035. O governo dos EUA projeta o custo total dessa migração em aproximadamente 7,1 bilhões de dólares.
Also Read: Polymarket Bans Insider Trading
BIP-360 do Bitcoin: Um Escudo Quântico com Obstáculos de Governança
A proposta de resistência quântica mais significativa do Bitcoin é a BIP-360, coassinada por Hunter Beast da MARA, Ethan Heilman e Isabel Foxen Duke.
Apresentada em jun. de 2024 e incorporada ao repositório oficial de BIPs no início de 2025, ela cria um novo tipo de output chamado Pay-to-Merkle-Root, ou P2MR, usando outputs SegWit versão 2 com endereços bc1z. O P2MR remove o gasto via key-path vulnerável a ataques quânticos do Taproot, estabelecendo uma base modular para futuros soft forks que adicionariam esquemas de assinatura pós-quântica específicos como ML-DSA ou SLH-DSA.
Em 20 de mar. de 2026, a BTQ Technologies implantou a primeira implementação funcional da BIP-360 em sua Bitcoin Quantum Testnet v0.3.0, com regras de consenso P2MR completas, cinco opcodes de assinatura pós-quântica Dilithium e ferramentas de carteira ponta a ponta.
A testnet atraiu mais de 50 mineradores e processou mais de 100.000 blocos.
A Chaincode Labs observou, em uma análise de maio de 2025, que as iniciativas de PQC no Bitcoin ainda estão em estágio inicial e exploratório.
O problema do tamanho das assinaturas é significativo. Uma transação típica do Bitcoin usa aproximadamente 225 bytes com ECDSA. Substituir a assinatura de cerca de 72 bytes pela assinatura de 2.420 bytes do Dilithium2, mais sua chave pública de 1.312 bytes, adiciona aproximadamente 3.700 bytes por input — cerca de 16 vezes todo o tamanho atual da transação.
Pesquisadores projetam uma degradação de throughput de 52 a 57 por cento em testnets permissionadas e provavelmente de 60 a 70 por cento em redes permissionless, com aumentos de taxas de duas a três vezes. As assinaturas mais compactas do FALCON-512 reduziriam o impacto para cerca de sete vezes por transação, tornando-o o candidato mais forte para implantação em blockchains.
A cultura de governança conservadora do Bitcoin agrava o desafio. O SegWit levou aproximadamente 8,5 anos para alcançar ampla adoção, e o Taproot levou 7,5 anos.
A polêmica proposta QRAMP, que definiria um prazo após o qual moedas em formatos de endereço antigos se tornariam ingastáveis, ilustra o campo minado de governança à frente.
Enquanto isso, aproximadamente 6,5 milhões de BTC estão em endereços vulneráveis a ataques quânticos, incluindo os estimados 1,1 milhão de BTC nos endereços P2PK expostos de Satoshi.
Also Read: Larry Fink Says Tokenization Is Where The Internet Was In 1996
A Abstração de Contas do Ethereum Oferece um Caminho Mais Limpo
O Ethereum avançou de forma decisiva no início de 2026.
Em 23 de jan., a Ethereum Foundation elevou formalmente a segurança pós-quântica a principal prioridade estratégica, criando uma equipe dedicada de PQ liderada pelo engenheiro criptográfico Thomas Coratger.
O pesquisador sênior Justin Drake anunciou que, após anos de pesquisa e desenvolvimento discretos, a diretoria havia declarado oficialmente a segurança PQ como a principal prioridade estratégica da Fundação, acrescentando que os cronogramas estavam sendo acelerados e que era hora de ir “full PQ”. A Fundação apoiou o esforço com 2 milhões de dólares em financiamento, divididos entre o Poseidon Prize e o Proximity Prize para pesquisas em PQC.
Vitalik Buterin apresentou um roadmap abrangente de resistência quântica em 26 de fev. de 2026, visando quatro áreas de vulnerabilidade ao longo do stack do Ethereum: assinaturas BLS na camada de consenso a serem substituídas por assinaturas baseadas em hash com agregação via STARK, compromissos KZG a serem substituídos por STARKs resistentes a ataques quânticos, assinaturas ECDSA de contas externamente controladas a serem tratadas por meio de abstração nativa de contas, e provas de conhecimento zero na camada de aplicação a serem migradas de Groth16 para STARKs.
O mecanismo habilitador crítico é a EIP-8141, conhecida como “Frame Transactions”, coassinada por Buterin e outros. Ela desacopla as contas do Ethereum de assinaturas ECDSA fixas, permitindo que cada conta defina sua própria lógica de validação — seja isso assinaturas resistentes a ataques quânticos, multisig ou rotação de chaves.
Ao contrário da possível necessidade de hard fork no Bitcoin, a EIP-8141 alcança isso por meio de abstração nativa de contas, oferecendo uma rota de saída da criptografia de curvas elípticas para sistemas seguros pós-quânticos sem forçar uma migração em toda a rede de uma só vez. A proposta está planejada para o hard fork Hegotá no fim de 2026.
Also Read: Strategy Opens $44B In New ATM Capacity
Algorand e QRL Lideram Entre as Blockchains Preparadas para o Quântico
A Algorand (ALGO) executou a primeira transação pós-quântica em uma blockchain pública em produção em 3 de nov. de 2025, usando assinaturas FALCON-1024 selecionadas pela NIST na mainnet.
Fundada pelo vencedor do Prêmio Turing Silvio Micali, a equipe da Algorand inclui Chris Peikert, coautor do framework GPV subjacente ao FALCON, e Zhenfei Zhang, colaborador direto da proposta FALCON apresentada à NIST. Os State Proofs da rede usam assinaturas FALCON desde 2022, tornando todo o histórico da blockchain seguro contra ataques quânticos para verificação cross-chain.
A Algorand demonstra que 10.000 transações por segundo com tempos de bloco de 2,8 segundos podem coexistir com assinaturas pós-quânticas.
A QRL (Quantum Resistant Ledger), lançada em jun. de 2018, é resistente a ataques quânticos desde seu bloco gênese, usando assinaturas baseadas em hash XMSS.
Após sete anos de operação sem incidentes de segurança, a QRL 2.0 (Project Zond) está migrando para SPHINCS+ sem estado e adicionando compatibilidade com EVM.
A Solana (SOL) introduziu um Winternitz Vault opcional em jan. de 2025, e a Solana Foundation fez parceria com o Project Eleven em dez. de 2025 para abrir uma testnet pública substituindo Ed25519 por Dilithium. A IOTA notavelmente se afastou da resistência quântica em 2021, trocando assinaturas Winternitz por Ed25519 por razões de desempenho — uma decisão que ilustra a tensão prática entre preparação para o quântico e as demandas atuais de throughput.
Also Read: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
“Colete Agora, Decripte Depois” É Real — Mas com Nuances para Blockchain
A estratégia de “coletar agora, decriptar depois” — em que adversários coletam dados criptografados hoje com a intenção de decriptá-los quando computadores quânticos se tornarem poderosos o suficiente — é uma ameaça reconhecida que impulsiona a urgência em governos e agências de inteligência. Rob Joyce, diretor de cibersegurança da NSA, alertou que a transição para criptografia segura contra ataques quânticos será um esforço longo e intenso para toda a comunidade.
Chris Ware, da Iniciativa de Segurança Quântica do Fórum Econômico Mundial, identificou a China como um Estado-nação posicionado para perseguir esse tipo de ataque em larga escala.
Para blockchain, porém, o enquadramento de “coletar agora” exige uma nuance cuidadosa. Como Justin Thaler, da a16z crypto, argumentou em uma análise de dez. de 2025, a ameaça quântica às blockchains públicas é a falsificação de assinaturas, e não a decriptação.
O ledger do Bitcoin já é público. Não há dados criptografados para serem coletados.
O perigo real é a derivação direta de chaves: uma vez que exista um computador quântico criptograficamente relevante, qualquer endereço cuja chave pública tenha sido exposta on-chain se tornará imediatamente vulnerável, independentemente de quando ocorreu essa exposição.
O registro permanente e imutável da blockchain torna essa exposição irreversível. Moedas focadas em privacidade como a Monero (XMR) e a Zcash (ZEC), que criptografam detalhes de transações, enfrentam o risco mais tradicional de “coletar agora, decriptar depois”.
Also Read: Fed Hawkish Tone Triggers $405M Crypto Outflows
O Hardware Quântico Atual Ainda Está Muito Aquém de Quebrar a Criptografia
O chip Willow do Google, revelado em dez. de 2024 com 105 qubits, alcançou a primeira demonstração de correção de erros quânticos abaixo do limiar, reduzindo erros exponencialmente à medida que mais qubits são adicionados ao sistema. Ele completou um benchmark computacional específico em menos de cinco minutos que levaria supercomputadores clássicos a um tempo estimado de 10 elevado à potência de 25 anos.
Ainda assim, como observou Winfried Hensinger, da Universidade de Sussex, o chip permanece pequeno demais para realizar cálculos úteis do tipo necessário para ameaçar sistemas criptográficos.
O roadmap da IBMtargets 200 qubits lógicos até 2029 com seu processador Starling. O chip Majorana 1 topológico da Microsoft, revelado em fevereiro de 2025, promete uma correção de erros radicalmente mais eficiente por meio de uma nova arquitetura de qubits.
Mas mesmo projeções otimistas colocam essas conquistas muito aquém dos milhões de qubits físicos necessários para executar o algoritmo de Shor contra ECDSA em escala.
Um artigo de maio de 2025 de Craig Gidney, do Google, compressed os requisitos de recursos estimados para fatorar RSA-2048 de 20 milhões para menos de 1 milhão de qubits ruidosos — uma redução de vinte vezes que tornou as estimativas de cronograma consideravelmente mais precisas. O Metaculus, a plataforma de previsões, alterou sua projeção de 2052 para 2034 para quando o algoritmo de Shor poderia fatorar RSA em escala prática.
O conceito de “Dia-Q” — o momento em que um computador quântico quebra com sucesso a criptografia de chave pública atual — continua sendo um alvo móvel. O teorema do matemático Michele Mosca captures a urgência de forma simples: se o tempo necessário para migrar somado ao tempo de vida útil dos seus dados exceder o tempo restante até o Dia-Q, você já está atrasado.
Also Read: What Will It Take For Solana To Reclaim $90?
Closing Thoughts
Os algoritmos pós-quânticos funcionam. Os padrões do NIST estão publicados, o FALCON oferece tamanhos de assinatura práticos para implantação em blockchain, e a Algorand comprovou transações PQC em escala em uma rede ativa. O problema difícil não é criptográfico, mas social e estrutural: a governança descentralizada do Bitcoin torna mudanças rápidas de protocolo extraordinariamente difíceis, assinaturas de 10 a 38 vezes maiores que ECDSA vão comprimir a capacidade de processamento (throughput) e elevar as taxas, e os aproximadamente 6,5 milhões de BTC em endereços vulneráveis a ataques quânticos criam um desafio de coordenação sem precedentes.
A janela para ação é definida não por quando computadores quânticos criptograficamente relevantes chegam, mas por quanto tempo a própria migração leva.
Com atualizações do Bitcoin historicamente exigindo de sete a oito anos e mandatos governamentais mirando 2030 a 2035, o cronograma da indústria de criptomoedas para estar pronta para o mundo quântico já é desconfortavelmente apertado. Os projetos que começarem a migrar agora estarão seguros quando o Dia-Q chegar. Aqueles que esperarem não estarão.
Read Next: Resolv USR Crashes 72% After $25M Exploit