As travas criptográficas que protegem trilhões de dólares em ativos digitais foram projetadas para um mundo sem computadores quânticos.
Esse mundo está acabando mais rápido do que a maioria das pessoas em cripto percebe, e a resposta da indústria ainda é perigosamente fragmentada.
O NIST finalized seus três primeiros padrões de criptografia pós-quântica em agosto de 2024 e disse a todas as organizações que usam criptografia de chave pública para começarem a migração imediatamente.
O Bitcoin (BTC) sozinho detém aproximadamente US$ 1,57 trilhão em capitalização de mercado, e a grande maioria desse valor é protegida por algoritmos de assinatura digital de curva elíptica que um computador quântico suficientemente poderoso poderia quebrar. O relógio está correndo.
TL;DR
- Os padrões pós-quânticos do NIST em 2024 marcam um prazo rígido para projetos cripto começarem a migrar para longe da criptografia de curva elíptica ou enfrentarem risco existencial de segurança.
- Estima-se que 4 milhões de BTC em saídas P2PK expostas ou endereços reutilizados possam ficar diretamente vulneráveis quando computadores quânticos criptograficamente relevantes chegarem.
- A maioria dos principais blockchains não tem um roadmap vinculante de upgrade pós-quântico, criando um cenário de segurança fragmentado e sob forte pressão de tempo rumo ao fim da década de 2020.
1. A ameaça quântica ao blockchain é específica, não teórica
A expressão “ameaça quântica” é usada de forma vaga, mas, para blockchain especificamente, o perigo é preciso e bem documentado.
Dois algoritmos estão no núcleo da segurança da maioria dos blockchains: o Elliptic Curve Digital Signature Algorithm (ECDSA), usado para autorizar transações, e o SHA-256, usado na mineração de proof-of-work do Bitcoin. Eles enfrentam níveis de risco quântico muito diferentes.
O algoritmo de Shor, desenvolvido em 1994, pode fatorar grandes inteiros e resolver o problema do logaritmo discreto em tempo polinomial em um computador quântico.
Um artigo publicado no arXiv em 2023 por pesquisadores da University of Sussex estimou que quebrar a criptografia de curva elíptica de 256 bits do Bitcoin exigiria um computador quântico com cerca de 317 milhões de qubits físicos operando com baixas taxas de erro.
O algoritmo de Grover, por outro lado, oferece apenas uma aceleração quadrática contra funções de hash como o SHA-256, reduzindo efetivamente a segurança da mineração do Bitcoin de 256 bits para 128 bits, o que continua praticamente seguro no futuro previsível.
Essa assimetria importa enormemente.
Assinaturas ECDSA são o “ponto fraco” da segurança de blockchain, enquanto a mineração de proof-of-work sofre apenas uma redução modesta na margem de segurança devido ao hardware quântico.
A implicação é que a ameaça não é à capacidade da rede Bitcoin de produzir blocos. É à capacidade de usuários individuais comprovarem a propriedade de suas moedas. Andreas Antonopoulos e outros destacam há muito tempo que assinaturas digitais são o mecanismo por meio do qual fundos são autorizados, e é exatamente aqui que computadores quânticos atacariam primeiro.
Also Read: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. Os padrões de 2024 do NIST definem o relógio de migração da indústria
A dimensão regulatória e de padronização dessa história é, provavelmente, mais urgente do que a própria linha do tempo do hardware.
Após um processo de avaliação de seis anos envolvendo 82 algoritmos candidatos enviados por equipes de pesquisa do mundo todo, o NIST finalizou três padrões de criptografia pós-quântica em agosto de 2024: FIPS 203 (ML-KEM, antes CRYSTALS-Kyber), FIPS 204 (ML-DSA, antes CRYSTALS-Dilithium) e FIPS 205 (SLH-DSA, antes SPHINCS+).
Esses não são guias opcionais para consideração futura. O NIST explicitamente told que as organizações devem “começar a planejar a transição para criptografia pós-quântica agora”.
A US Cybersecurity and Infrastructure Security Agency (CISA) published orientações direcionando operadores de infraestrutura crítica a fazer inventário de suas dependências criptográficas e priorizar a migração. Empresas de serviços financeiros reguladas em estruturas federais já estão sendo pressionadas por reguladores a demonstrar preparo pós-quântico.
A finalização dos FIPS 203, 204 e 205 em agosto de 2024 removeu a última desculpa para atraso. Qualquer projeto de blockchain que não tenha iniciado uma avaliação de criptografia pós-quântica em 2026 está operando fora dos limites de uma prática de segurança responsável.
A indústria de blockchain ocupa uma posição estranha aqui. Ela é simultaneamente um sistema financeiro que gerencia mais valor do que a maioria dos bancos centrais nacionais e um ecossistema tecnológico amplamente autogovernado, sem um regulador externo que imponha upgrades criptográficos.
Essa combinação significa que a urgência do cronograma do NIST pode não se traduzir em ação sem consenso comunitário, algo historicamente difícil de alcançar.
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. O Bitcoin tem cerca de 4 milhões de BTC em endereços diretamente expostos
Nem todo Bitcoin (BTC) está igualmente em risco. A exposição depende fortemente de como os fundos são armazenados e se as chaves públicas foram reveladas on-chain. Pesquisadores identificaram três categorias de saídas de Bitcoin que enfrentam perfis de risco quântico materialmente diferentes.
Saídas pay-to-public-key (P2PK) expõem a chave pública diretamente on-chain.
Elas incluem as moedas do bloco gênese e muitas saídas da era Satoshi. Para saídas P2PKH (pay-to-public-key-hash) que nunca foram gastas, a chave pública fica escondida atrás de um hash e, portanto, não é diretamente vulnerável até que o endereço seja usado para enviar fundos.
Contudo, qualquer endereço que já tenha sido usado para enviar uma transação teve sua chave pública transmitida à rede e fica permanentemente exposto.
Um estudo de 2022 published por pesquisadores da Deloitte estimou que aproximadamente 4 milhões de BTC estão mantidos em endereços com chaves públicas expostas.
Aos preços atuais, cerca de US$ 315 bilhões em Bitcoin estão em endereços onde um computador quântico criptograficamente relevante poderia derive the private key diretamente a partir de dados on-chain, sem aviso e sem possibilidade de reparação.
A prática de reutilização de endereços amplifica significativamente esse problema.
Dados da Chainalysis data mostram de forma consistente que muitos holders de varejo e até institucionais reutilizam endereços em múltiplas transações, deixando sem saber suas chaves públicas permanentemente visíveis on-chain.
A boa notícia é que qualquer pessoa que siga a prática recomendada de longa data de usar cada endereço apenas uma vez reduz significativamente sua exposição quântica. A má notícia é que uma fração substancial da rede claramente não segue essa prática.
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. O modelo de contas do Ethereum cria uma exposição estruturalmente diferente
O Ethereum (ETH) enfrenta um perfil de risco quântico distinto em comparação ao Bitcoin, enraizado em sua arquitetura baseada em contas, em vez do modelo UTXO do Bitcoin.
No Ethereum, toda conta externamente controlada (EOA) expõe sua chave pública no momento em que qualquer transação de saída é assinada. Isso significa que praticamente toda carteira Ethereum ativa que já enviou uma transação tem uma chave pública permanentemente exposta.
A Ethereum Foundation tem sido uma das organizações de blockchain mais engajadas publicamente na questão quântica.
O cofundador do Ethereum, Vitalik Buterin, propôs na Ethereum Improvement Proposal 7560 um caminho em direção à account abstraction nativa, o que permitiria que carteiras usassem esquemas de assinatura resistentes a quântica sem exigir um hard fork para cada usuário.
Seu post de janeiro de 2024, “The Road to a Stateless Client”, também noted que substituir ECDSA por alternativas pós-quânticas é uma “prioridade de médio prazo” no roadmap de segurança do protocolo.
O roadmap de account abstraction do Ethereum, se executado, pode permitir uma migração relativamente suave para assinaturas pós-quânticas sem forçar cada usuário a agir manualmente, mas os cronogramas de execução permanecem vagos e nenhuma EIP vinculante foi finalizada.
O desafio é que, mesmo com a EIP-7560, EOAs existentes ainda precisariam migrar seus fundos para novas carteiras em contratos inteligentes usando esquemas pós-quânticos.
Para holders que perderam caminhos de recuperação da seed phrase, ou para fundos em contas dormentes, a migração pode ser praticamente impossível antes que uma ameaça quântica se materialize.
Also Read: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. Os algoritmos pós-quânticos candidatos têm trade-offs conhecidos para uso em blockchain
Substituir ECDSA não é uma troca simples e direta. Os algoritmos pós-quânticos padronizados pelo NIST trazem penalidades significativas de desempenho e tamanho que criam desafios reais de engenharia para sistemas blockchain otimizados em torno de dados de transação compactos.
CRYSTALS-Dilithium (ML-DSA), o principal esquema de assinatura padronizado pelo NIST, produz chaves públicas de 1.312 bytes e assinaturas de 2.420 bytes em seu nível de segurança mais baixo. Compare isso com ECDSA, em que chaves públicas têm 33 bytes (comprimidas) e assinaturas aproximadamente 72 bytes.
Um artigo publicado no IACR Cryptology ePrint Archive analisando assinaturas pós-quânticas para aplicações em blockchain constatou que uma substituição ingênua do ECDSA com o Dilithium aumentaria o tamanho das transações de Bitcoin em aproximadamente 20 vezes, com implicações severas para a capacidade de bloco e para os mercados de taxas.
Substituir as assinaturas ECDSA do Bitcoin por CRYSTALS-Dilithium mantendo o mesmo tamanho de bloco reduziria a taxa efetiva de processamento de transações em cerca de 80 a 90%, tornando uma simples troca economicamente disruptiva sem mudanças adicionais no tamanho ou na estrutura dos blocos.
Assinaturas baseadas em hash como SPHINCS+ (SLH-DSA) oferecem os pressupostos de segurança mais fortes (baseados apenas na segurança da função de hash), mas são ainda maiores, com assinaturas chegando a até 49.856 bytes no nível de segurança mais alto.
Esquemas baseados em reticulados oferecem o melhor equilíbrio entre tamanho e desempenho entre os padrões atuais do NIST, mas introduzem suposições sobre dureza matemática que são mais novas e menos testadas em batalha do que as décadas de criptoanálise por trás da criptografia de curva elíptica.
A comunidade Ethereum também explorou STARKs como um caminho potencial para autenticação de transações pós-quântica, aproveitando o investimento já existente em infraestrutura de ZK-STARK.
Also Read: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6. "Colher Agora, Decriptar Depois" Já É Uma Preocupação Ativa ** A dimensão mais subestimada da ameaça quântica é que os adversários não precisam esperar que computadores quânticos estejam amplamente disponíveis para começar seus preparativos de ataque.
A estratégia de “colher agora, decriptar depois” (HNDL, na sigla em inglês), que envolve registrar dados criptografados ou assinados hoje e decriptá-los quando o hardware quântico se tornar capaz, já é uma preocupação documentada de Estados-nação em contextos fora de cripto.
A Agência de Segurança Nacional dos EUA (NSA) publicou orientações alertando especificamente sobre ataques HNDL, observando que adversários estão ativamente arquivando comunicações interceptadas com a intenção de decriptá-las na próxima década.
Para sistemas de blockchain, o análogo é preocupante: cada transação já transmitida no Bitcoin ou no Ethereum está registrada permanentemente em livros-razão públicos acessíveis a qualquer pessoa. Qualquer parte que queira colher chaves públicas expostas para ataques quânticos futuros já teve 15 anos de dados com que trabalhar.
Cada transação de Bitcoin e Ethereum já transmitida é um registro público permanente. Adversários com motivação suficiente já colheram anos de dados de chaves públicas. A fase de coleta de um ataque de “colher agora, decriptar depois” contra cripto está estruturalmente completa.
Essa dinâmica significa que, mesmo que computadores quânticos ainda estejam a 10 ou 15 anos de distância da capacidade de quebrar o ECDSA, as comunidades de blockchain não podem esperar até essa fronteira se aproximar para começar a migração.
O tempo necessário para atualizações de protocolo orientadas por consenso, atualizações de software de carteiras, educação de usuários e migração efetiva de fundos é medido em anos, não em meses.
A CISA estima que grandes organizações devem esperar que a migração pós-quântica leve de cinco a dez anos em sistemas complexos.
Also Read: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. Vários Projetos de Blockchain Já Estão Construindo Infraestrutura Pós-Quântica ** O quadro não é uniformemente sombrio. Um grupo crescente de projetos de blockchain tratou a segurança pós-quântica como consideração central de design, e suas abordagens oferecem uma prévia de como podem ser os caminhos de migração para cadeias legadas.
A QRL (Quantum Resistant Ledger), lançada em 2018, foi construída desde o início usando o eXtended Merkle Signature Scheme (XMSS), um algoritmo de assinatura baseado em hash que o NIST também padronizou como SP 800-208.
Algorand (ALGO) publicou um roteiro de migração pós-quântica e conduziu pesquisas internas sobre Falcon, um esquema de assinatura baseado em reticulados que é candidato alternativo do NIST.
A vertente de pesquisa da Cardano (ADA), a IOHK, publicou trabalhos revisados por pares sobre protocolos de blockchain para a era pós-quântica por meio da biblioteca de pesquisa da IOHK.
Pelo menos três redes de blockchain em produção (QRL, Algorand e Cardano (ADA)) publicaram pesquisas ou roteiros pós-quânticos concretos até 2026, enquanto Bitcoin e Ethereum permanecem em fases iniciais de discussão, sem compromissos de protocolo vinculantes.
O ecossistema Ethereum se beneficiou de um investimento prévio significativo em sistemas de prova baseados em STARK para ZK-rollups.
Projetos como StarkWare (STRK) demonstraram que provas STARK, que dependem apenas da segurança de funções de hash e, portanto, são resistentes a ataques quânticos, podem ser usadas para provas de validade de transações em escala. Se isso se traduzirá em autorização de transações resistente a quântica para a camada base do Ethereum é uma questão separada e ainda não resolvida, mas o investimento em infraestrutura não é desperdiçado.
Also Read: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. A Comunidade Bitcoin Enfrenta Um Dilema de Governança Sem Precedentes ** A migração do Bitcoin para criptografia pós-quântica não é primariamente um problema técnico. É um problema de governança. O protocolo Bitcoin muda apenas por meio de consenso aproximado entre desenvolvedores, mineradores, empresas e usuários, um processo que historicamente levou anos mesmo para atualizações pouco controversas e produziu divisões de cadeia em casos contenciosos.
A comunidade de desenvolvimento do Bitcoin Core iniciou discussões preliminares sobre abordagens pós-quânticas. Uma discussão em 2024 na lista de e-mails de desenvolvedores do Bitcoin explorou a possibilidade de introduzir um novo tipo de assinatura pós-quântica via soft fork, de forma análoga a como o Segregated Witness introduziu novos tipos de transação.
O desafio central é que qualquer esquema de assinatura pós-quântico exigiria ou um hard fork (que a comunidade Bitcoin historicamente rejeitou) ou um soft fork cuidadosamente projetado que permita novas saídas resistentes a quântica mantendo a compatibilidade retroativa com carteiras ECDSA existentes.
O modelo de governança do Bitcoin, que exige consenso aproximado em uma comunidade globalmente distribuída e ideologicamente diversa, pode ser estruturalmente incompatível com a urgência de uma migração criptográfica que especialistas acreditam precisar começar dentro dos próximos cinco anos. O elemento mais controverso de qualquer plano pós-quântico para o Bitcoin é o que acontece com moedas cujos donos não conseguirem migrar. Se computadores quânticos se tornarem capazes de quebrar o ECDSA, moedas em endereços expostos se tornam vulneráveis a roubo.
Alguns pesquisadores propuseram uma regra de protocolo que congelaria ou queimaria moedas em saídas P2PK após um prazo de migração, para evitar que fossem roubadas por adversários equipados com computadores quânticos.
Isso efetivamente confiscaria moedas pertencentes a detentores que não migrassem, incluindo potencialmente os estimados 1,1 milhão de BTC de Satoshi Nakamoto, e é considerado politicamente radioativo dentro da comunidade Bitcoin.
Also Read: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. Cronogramas de Hardware Quântico Estão Acelerando Mais Rápido Que as Estimativas de Consenso ** Prever a capacidade do hardware quântico é genuinamente difícil, e a comunidade de blockchain às vezes usou a incerteza nos cronogramas como motivo para inação. Mas a trajetória dos marcos reais de hardware nos últimos três anos torna a complacência cada vez mais difícil de justificar.
O Google anunciou em dezembro de 2024 que seu processador quântico Willow atingiu taxas de erro abaixo do limiar necessário para computação quântica tolerante a falhas, um marco que pesquisadores anteriormente estimavam ainda estar a anos de distância.
O Willow demonstrou 105 qubits físicos com taxas de erro abaixo do limiar, reduzindo erros exponencialmente à medida que qubits eram adicionados, em vez de permitir que erros se acumulassem, que é o desafio definidor da correção de erros quânticos.
O roadmap quântico da IBM projeta 100.000 qubits físicos até 2033, e a empresa vem cumprindo ou superando consistentemente seus marcos anuais desde 2020.
O chip Willow do Google alcançou correção de erros abaixo do limiar em dezembro de 2024, anos antes da maioria das projeções de especialistas. A distância de 105 qubits até os estimados 317 milhões necessários para quebrar o ECDSA do Bitcoin é grande, mas o avanço em correção de erros removeu a barreira mais fundamental à escala.
A distinção-chave é entre qubits físicos e qubits lógicos. Quebrar o ECDSA do Bitcoin requer qubits lógicos capazes de executar o algoritmo de Shor de forma confiável, e cada qubit lógico exige centenas a milhares de qubits físicos para correção de erros.
A estimativa da Universidade de Sussex de 317 milhões de qubits físicos assume a sobrecarga atual de correção de erros. Se as taxas de erro melhorarem significativamente, essa exigência de qubits físicos cai proporcionalmente.
O consenso entre pesquisadores acadêmicos citado em um relatório de 2023 da RAND Corporation era de que computadores quânticos relevantes para criptografia provavelmente estão a 10 a 20 anos de distância, mas a faixa de incerteza é ampla o suficiente para que uma descoberta em 2030 não possa ser descartada.
Also Read: CHIP Volume Now Outpaces Market Cap As Traders Pile In **10. O Que Detentores de Cripto Devem Fazer Agora Para Reduzir a Exposição Quântica ** Para detentores individuais e instituições participantes, a ameaça quântica não é um motivo para pânico. É um motivo para uma higiene informada e proativa. Várias ações concretas reduzem de forma significativa a exposição mesmo antes que upgrades pós-quânticos em nível de protocolo sejam implementados.
A ação individual mais impactante é parar de reutilizar endereços e migrar fundos para longe de saídas P2PK e de endereços que já assinaram transações anteriormente.
Mover Bitcoin para um endereço P2WPKH (SegWit nativo) novo, que nunca foi usado para enviar fundos, oculta a chave pública por trás de um hash SHA-256 e RIPEMD-160, fornecendo uma proteção significativa no curto prazo.
Uma análise de 2022 published no IACR ePrint Archive confirmou que chaves públicas não-hashadas representam a principal superfície de ataque quântico de curto prazo para detentores de Bitcoin.
Para usuários de Ethereum, a transição para carteiras de abstração de conta ERC-4337, que podem ser atualizadas para esquemas de assinatura pós-quânticos quando estiverem disponíveis, posiciona os detentores de forma favorável para futuras migrações de protocolo.
Mover Bitcoin para um endereço SegWit nativo novo, nunca utilizado e que nunca assinou uma transação de saída oculta a chave pública e fornece uma proteção significativa contra qualquer ameaça quântica que provavelmente se materialize na próxima década.
Detentores institucionais enfrentam obrigações adicionais.
O relatório de desenvolvedores da Electric Capital consistentemente finds que equipes de infraestrutura de segurança em empresas cripto-nativas são menores, em relação aos ativos sob gestão, do que em empresas de finanças tradicionais comparáveis.
Construir um inventário criptográfico interno, entender quais soluções de custódia usam ECDSA versus alternativas e engajar com fabricantes de hardware wallets sobre seus roadmaps pós-quânticos são todos passos defensáveis de gestão de risco que podem ser colocados em prática hoje.
Fabricantes de hardware wallets, incluindo Ledger e Trezor, ambos acknowledged a ameaça quântica em documentação pública, mas ainda não lançaram suporte a assinaturas pós-quânticas em firmware de produção.
Read Next: BTC Tops $79,000 For First Time In 11 Weeks As Volume Surges
Conclusão
A criptografia pós-quântica não é uma preocupação teórica distante para a indústria de blockchain. É um desafio ativo de engenharia e governança, com um relógio regulatório já em contagem regressiva e uma trajetória de hardware que vem surpreendendo especialistas repetidamente para cima.
Os padrões do NIST finalizados em agosto de 2024 representam o sinal mais claro possível, da principal autoridade mundial em criptografia, de que a migração não é opcional e de que o momento de planejar é agora.
A tensão central é estrutural. Bitcoin e Ethereum foram projetados para os modelos de ameaça de 2008 e 2015, respectivamente, e atualizar seus fundamentos criptográficos exige navegação por processos de governança que se movem em escalas de tempo medidas em anos, não em meses.
Os 4 milhões de BTC em endereços expostos, o registro público permanente de todas as transações já transmitidas e o ritmo acelerado do desenvolvimento de hardware quântico apontam para uma janela cada vez menor para uma migração ordenada.
Projetos que se envolvem seriamente com padrões pós-quânticos hoje, construindo expertise interna, participando de discussões de protocolo e migrando suas holdings para configurações de exposição reduzida, estarão em posição muito melhor do que aqueles que esperam por certeza antes de agir.
A história das transições criptográficas na computação tradicional oferece uma lição preocupante. Migrar de MD5 para SHA-2, ou de RSA-1024 para RSA-2048, levou anos de esforço contínuo da indústria, mesmo com forte pressão regulatória e sem disputas de governança.
O modelo de governança descentralizada do blockchain torna transições comparáveis mais difíceis em uma ordem de grandeza.
A indústria que se orgulha de ser o próprio banco agora precisa provar que também pode ser o seu próprio órgão de definição de padrões criptográficos — e fazer isso antes que o hardware alcance.
Read Next: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates