Ecossistema
Carteira
yellow banner logo
TRADING
PLATAFORMA JÁ DISPONÍVEL
COMEÇAR AGORA
yellow shooting starsbackground stars

Como proteger o seu Bitcoin da ameaça quântica

profile-alexey-bondarev
Alexey Bondarevhá 1 hora
#Bitcoin #Computadores Quânticos
Como proteger o seu Bitcoin da ameaça quântica

Um whitepaper da Google Quantum AI publicado em 30 de março de 2026 identifica cerca de 6,9 milhões de Bitcoin (BTC) — cerca de um terço da oferta total — parados em endereços vulneráveis a ataques quânticos “em repouso”, incluindo uma estimativa de 1,1 milhão de moedas ligadas ao criador pseudônimo da rede, Satoshi Nakamoto.

TL;DR

  • A Google Quantum AI descobriu que quebrar a criptografia de curva elíptica de 256 bits do Bitcoin pode exigir menos de 500.000 qubits físicos — uma redução de 20 vezes em relação às estimativas anteriores.
  • Cerca de 6,9 milhões de BTC estão em tipos de endereço onde as chaves públicas ficam permanentemente expostas, tornando‑os alvos para futuros ataques quânticos em repouso.
  • Endereços P2PK da era Satoshi não podem ser atualizados por ninguém, levantando questões espinhosas de governança sobre congelar moedas dormentes ou deixá‑las vulneráveis.

O que o whitepaper do Google realmente diz

O artigo tem um título longo: “Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations.” Ele tem 57 páginas e representa a avaliação de ameaça criptográfica quântica mais detalhada já produzida por uma grande empresa de tecnologia.

Seis pesquisadores da Google Quantum AI — Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar e Hartmut Neven — coassinaram o artigo. Colaboradores externos incluíram Thiago Bergamaschi, da UC Berkeley, Justin Drake, da Ethereum Foundation, e Dan Boneh, de Stanford.

A principal contribuição técnica é um par de circuitos quânticos otimizados que implementam o algoritmo de Shor para o Problema do Logaritmo Discreto em Curvas Elípticas (ECDLP) em curvas de 256 bits.

Esse é exatamente o primitivo criptográfico que protege o Bitcoin.

Um circuito usa menos de 1.200 qubits lógicos e 90 milhões de portas Toffoli. O outro usa menos de 1.450 qubits lógicos e 70 milhões de portas Toffoli.

O Google estima que esses circuitos poderiam ser executados em um computador quântico supercondutor com menos de 500.000 qubits físicos em questão de minutos. Estimativas anteriores exigiam muito mais hardware. Um artigo amplamente citado de 2022 da University of Sussex projetava 317 milhões de qubits físicos para um ataque de uma hora e 1,9 bilhão para uma janela de dez minutos. A conclusão do Google comprime esse requisito em cerca de 20 vezes.

Em um passo incomum para um artigo de estimativa de recursos, o Google reteve as implementações reais dos circuitos. Em vez disso, publicou uma prova de conhecimento‑zero usando SP1 e o SNARK Groth16. Pesquisadores independentes podem verificar as alegações sem ter acesso aos detalhes do ataque em si.

Isso se baseia em marcos quânticos anteriores do Google.

O chip Willow, anunciado em dezembro de 2024 e publicado na Nature, demonstrou 105 qubits supercondutores com a primeira correção de erro quântico “abaixo do limiar” em um processador supercondutor. As taxas de erro foram reduzidas pela metade a cada etapa das grades de qubits 3x3 para 5x5 e 7x7. O Willow concluiu um benchmark em menos de cinco minutos que exigiria do supercomputador Frontier um tempo estimado de 10 septilhões de anos.

Ainda assim, o Google foi explícito ao afirmar que o Willow não representa hoje uma ameaça criptográfica.

Charina Chou, diretora e COO da Google Quantum AI, disse ao The Verge em dezembro de 2024 que o chip não consegue quebrar a criptografia moderna e que seriam necessários cerca de 4 milhões de qubits físicos para quebrar o RSA.

Leia também: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking

Google quantum research raises new concerns over Bitcoin and Ethereum encryption vulnerability (Image: Shutterstock)

Por que as moedas de Satoshi são as mais expostas

A vulnerabilidade no centro da análise do Google remonta a uma escolha de design feita nos primeiros dias do Bitcoin. Quando Satoshi Nakamoto lançou a rede em 3 de janeiro de 2009, o software de mineração enviava as recompensas de bloco para saídas P2PK (Pay‑to‑Public‑Key). Nesse formato, a chave pública completa fica permanentemente visível na blockchain desde o momento em que as moedas chegam.

O script de bloqueio é simplesmente a chave pública seguida por um comando OP_CHECKSIG. Isso significa que a chave pública descomprimida de 65 bytes ou comprimida de 33 bytes fica exposta a qualquer pessoa que leia a cadeia.

Não há uma camada de hash protegendo essa chave.

Satoshi também implementou o P2PKH (Pay‑to‑Public‑Key‑Hash), que armazena apenas um hash da chave pública. Endereços P2PKH — os conhecidos que começam com “1” — apareceram na blockchain dentro de duas semanas após o bloco gênese.

O design foi deliberado. Satoshi reconhecia que a criptografia de curvas elípticas poderia cair diante de uma versão modificada do algoritmo de Shor executada em um futuro computador quântico.

Apesar dessa consciência, o software de mineração continuou usando P2PK como padrão para recompensas de coinbase durante 2009 e 2010. A pesquisa marcante do padrão Patoshi, de Sergio Demian Lerner, apresentada pela primeira vez em 2013, identificou que uma única entidade minerou aproximadamente 22.000 blocos entre janeiro de 2009 e meados de 2010. Essa entidade acumulou cerca de 1,0 a 1,1 milhão de BTC.

O comportamento de mineração era distinto do cliente lançado publicamente. Ele usava varredura de nonce multithread e parecia limitar intencionalmente a produção para proteger a estabilidade da rede.

Apenas cerca de 907 BTC desse estoque foram gastos. A transação mais famosa enviou 10 BTC para Hal Finney na primeira transferência pessoa‑a‑pessoa de Bitcoin em 12 de janeiro de 2009.

Como essas moedas nunca se moveram, suas chaves públicas permanecem permanentemente expostas. Um computador quântico executando o algoritmo de Shor poderia derivar as chaves privadas correspondentes sem qualquer pressão de tempo. Esse é o principal vetor de ataque “em repouso”.

Leia também: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud

Três vetores de ataque e a exposição de 6,9 milhões de BTC

O whitepaper do Google formaliza uma taxonomia de ataques quânticos a criptomoedas que esclarece a escala dos diferentes vetores de ameaça.

Ataques em repouso visam chaves públicas que ficam permanentemente expostas na blockchain. O atacante tem tempo ilimitado — dias, meses ou anos — para derivar a chave privada. Essa categoria cobre três principais tipos de endereço:

  • Endereços P2PK, em que a chave pública é visível no script de bloqueio a partir do momento em que as moedas chegam
  • Endereços P2PKH reutilizados, em que a chave pública foi revelada após a primeira transação de saída
  • Endereços P2TR/Taproot, que armazenam uma chave pública ajustada diretamente on‑chain por design

O Google identifica o Taproot como uma regressão de segurança sob a ótica quântica. Mesmo arquiteturas quânticas mais lentas, como sistemas de átomos neutros ou armadilhas de íons, poderiam executar ataques em repouso, já que não há restrição de tempo. A análise on‑chain encontra cerca de 1,7 milhão de BTC em scripts P2PK e aproximadamente 6,9 milhões de BTC no total em todos os tipos de endereços vulneráveis, quando a reutilização e a exposição Taproot são consideradas.

Ataques em gasto, anteriormente chamados de ataques “em trânsito”, visam transações no mempool.

Quando um usuário transmite uma transação, a chave pública é revelada na entrada. Um atacante precisa derivar a chave privada antes que a transação seja confirmada — cerca de 10 minutos no Bitcoin.

O artigo do Google indica que um computador quântico supercondutor com clock rápido poderia resolver o ECDLP em aproximadamente nove minutos, resultando em cerca de 41% de probabilidade de sucesso em bater a confirmação.

Ataques na configuração visam parâmetros fixos de protocolo, como cerimônias de trusted setup. O Bitcoin é imune a esse vetor. Mas o Ethereum (ETH) com Data Availability Sampling e protocolos como Tornado Cash podem ser vulneráveis.

O ponto crítico é que a mineração por prova de trabalho não está ameaçada. O algoritmo de Grover oferece apenas uma aceleração quadrática contra o SHA‑256, reduzindo a segurança efetiva de 256 bits para 128 bits — ainda muito além do viável. Um artigo de março de 2026 de Dallaire‑Demers et al. demonstrou que a mineração quântica exigiria cerca de 10²³ qubits e 10²⁵ watts de potência, aproximando‑se de exigências de energia em escala de civilização.

Leia também: Bitcoin Faces Six Bearish Months But ETF Demand Grows

Quão distante está o Q‑Day para o Bitcoin?

A distância entre o hardware quântico atual e a relevância criptográfica ainda é grande, mas está diminuindo mais rápido do que se esperava.

Os processadores de ponta hoje incluem o Willow do Google, com 105 qubits supercondutores, o Nighthawk da IBM, com 120 qubits e fidelidade aprimorada, o Helios da Quantinuum, com 98 qubits aprisionados por íons, e a matriz recorde de 6.100 qubits de átomos neutros do Caltech.

O maior sistema de uso geral continua sendo o Condor, da IBM, com 1.121 qubits. Em relação à meta revisada do Google de menos de 500.000 qubits físicos, a lacuna varia de cerca de 80 a 5.000 vezes, dependendo da arquitetura.

Vários desenvolvimentos in 2025 e 2026 têm cronogramas acelerados:

  • Microsoft unveiled o Majorana 1 em fev. de 2025 — o primeiro processador usando qubits topológicos, projetado para escalar para 1 milhão de qubits em um chip do tamanho da palma da mão, embora estudos de replicação independentes tenham questionado se os efeitos topológicos foram demonstrados de forma conclusiva
  • O chip Ocelot da Amazon, também de fev. de 2025, uses “cat qubits” que reduzem a sobrecarga de correção de erros em até 90%
  • Um artigo acompanhante lançado junto com o whitepaper do Google afirmou que arquiteturas de átomos neutros poderiam quebrar ECC-256 com apenas 10.000 qubits físicos sob hipóteses otimistas

As estimativas de cronograma de especialistas abrangem uma ampla faixa. O Google definiu um prazo interno para 2029 para migrar seus próprios sistemas para criptografia pós-quântica.

O pesquisador da Ethereum Justin Drake estimates ao menos 10% de chance de que, até 2032, um computador quântico consiga recuperar uma chave privada ECDSA secp256k1. O roadmap da IonQ mira 80.000 qubits lógicos até 2030.

No lado cético, o CEO da Blockstream, Adam Back, descarta cronogramas para 2028 como não credíveis. O CEO da NVIDIA, Jensen Huang, coloca computadores quânticos úteis entre 15 e 30 anos no futuro. O NIST recomenda concluir a migração para criptografia pós-quântica até 2035.

A tendência de melhorias algorítmicas adiciona urgência. Os requisitos de qubits físicos para quebrar criptografia de curva elíptica caíram de quatro a cinco ordens de magnitude entre 2010 e 2026. Os circuitos mais recentes do Google representam uma redução adicional de 20 vezes em relação às melhores estimativas anteriores.

Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime

A Corrida para Blindar o Protocolo do Bitcoin contra a Computação Quântica

A comunidade de desenvolvedores do Bitcoin se mobilized em torno de várias propostas, embora desafios fundamentais de governança persistam.

A BIP-360 (Pay-to-Merkle-Root), escrita por Hunter Beast, da MARA/Anduro, Ethan Heilman e Isabel Foxen Duke, foi incorporada ao repositório oficial de BIPs em fev. de 2025. Ela introduces um novo tipo de saída SegWit versão 2, com prefixo bc1z, que se compromete apenas com a raiz de Merkle da árvore de scripts. Isso remove o gasto via key-path vulnerável a quântica do Taproot. A BIP-360 não introduz, por si só, assinaturas pós-quânticas, mas cria a estrutura para elas.

A BTQ Technologies deployed uma implementação funcional da BIP-360 em sua testnet Bitcoin Quantum. Mais de 50 mineradores e 100.000 blocos foram produzidos até mar. de 2026.

A proposta Lopp/Papathanasiou, unveiled no Quantum Bitcoin Summit em julho de 2025, descreve um soft fork em três fases.

A Fase A proíbe o envio para endereços ECDSA legados três anos após a ativação da BIP-360. A Fase B torna todas as assinaturas legadas inválidas, congelando permanentemente moedas vulneráveis à quântica dois anos depois disso. A Fase C oferece um caminho opcional de recuperação por meio de prova de conhecimento zero de posse da seed BIP-39.

A proposta QRAMP, de Agustin Cruz, adota uma postura mais rígida. Ela proposes um prazo de migração obrigatório via hard fork, após o qual moedas não migradas tornam-se impossíveis de gastar. A proposta Hourglass, de Hunter Beast e Michael Casey, da Marathon Digital, oferece um caminho intermediário — limitando a taxa de movimentação de moedas expostas à quântica a um UTXO por bloco, estendendo um possível ataque de horas para cerca de oito meses.

No front de padronização, o NIST finalized seus três primeiros padrões de criptografia pós-quântica em ago. de 2024: ML-KEM (baseado em CRYSTALS-Kyber) para encapsulamento de chaves, ML-DSA (baseado em CRYSTALS-Dilithium) para assinaturas digitais e SLH-DSA (baseado em SPHINCS+) como padrão de assinatura de backup.

Um quinto algoritmo, HQC, foi selected em mar. de 2025 como mecanismo de encapsulamento de chaves de backup.

O principal desafio para integração ao Bitcoin é o tamanho das assinaturas. Assinaturas Dilithium têm aproximadamente 2.420 bytes, contra cerca de 72 bytes do ECDSA — um aumento de 33 vezes que pressionaria o espaço em bloco e elevaria significativamente os custos de transação.

Além do Bitcoin, o ecossistema mais amplo está se movendo rapidamente.

A Ethereum Foundation designated a segurança pós-quântica como prioridade central em jan. de 2026, lançando um roadmap de hard forks em quatro fases com meta de médio prazo de resistência quântica até 2029. A Coinbase formed um Conselho Consultivo Independente sobre Computação Quântica com Scott Aaronson, Dan Boneh e Justin Drake.

Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat

O Que os Detentores de Bitcoin Devem Fazer Agora

Para titulares individuais de Bitcoin, as orientações práticas são diretas, mesmo enquanto o debate em nível de protocolo continua. Moedas armazenadas em endereços P2WSH (SegWit witness script hash, bc1q com 62 caracteres) ou P2WPKH (SegWit, bc1q com 42 caracteres) que nunca foram usados para transações de saída offer a proteção mais forte atualmente disponível.

Apenas o hash da chave pública é visível on-chain.

Endereços P2TR/Taproot (bc1p) devem ser evitados para holdings grandes ou de longo prazo. Eles expõem a chave pública por design.

A prática mais crítica é nunca reutilizar endereços. Uma vez que o Bitcoin é gasto a partir de qualquer endereço, a chave pública é revelada e fundos remanescentes ou futuros nesse endereço tornam-se vulneráveis à quântica. Usuários podem verificar sua exposição usando a lista aberta Bitcoin Risq List do Project Eleven, que tracks todo endereço de Bitcoin vulnerável à quântica na rede.

Mover fundos de um endereço exposto para um endereço novo, nunca usado e baseado em hash elimina a vulnerabilidade em repouso.

Como a Unchained, uma empresa de custódia de Bitcoin, alerta: cuidado com golpistas que podem usar o medo da quântica para pressionar transferências apressadas. Nenhuma ação emergencial imediata é necessária.

O problema mais profundo permanece: aproximadamente 1,7 milhão de BTC em endereços P2PK — incluindo os estimados 1,1 milhão de Satoshi — cujas chaves estão irreversivelmente expostas e cujos proprietários quase certamente são incapazes de migrá-los. Decidir se essas moedas devem ser congeladas, ter seu movimento limitado ou permanecer expostas à futura “apropriação quântica” está se configurando como um dos debates de governança mais consequentes da história do Bitcoin.

Como Jameson Lopp frames, permitir a recuperação quântica de Bitcoin equivale a redistribuição de riqueza em favor daqueles que vencerem a corrida tecnológica para adquirir computadores quânticos.

Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree

Conclusão

O whitepaper do Google de mar. de 2026 não revelou uma ameaça iminente. Nenhum computador quântico hoje consegue quebrar a criptografia do Bitcoin. O que ele fez foi comprimir dramaticamente os requisitos de recursos estimados e formalizar um cronograma que torna a preparação urgente, não mais apenas teórica.

A redução para menos de 500.000 qubits físicos, combinada com a queda de quatro a cinco ordens de magnitude nas estimativas ao longo dos últimos 15 anos, significa que a margem entre a capacidade atual e a relevância criptográfica está se estreitando em uma trajetória que converge com os roadmaps da indústria para o fim da década de 2020 e início da década de 2030. A vulnerabilidade em repouso de 6,9 milhões de BTC é um risco conhecido e quantificado, sem correção retroativa para endereços P2PK com chaves perdidas.

A ameaça quântica ao Bitcoin não é, principalmente, um problema de hardware. É um problema de governança e migração. As atualizações de protocolo e os processos de consenso social exigidos historicamente levaram five to 10 years in Bitcoin's ecosystem. O relógio começou a correr no momento em que o Google publicou esses números.

Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares

Disclaimer e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e baseiam-se na opinião do autor. Não constituem aconselhamento financeiro, de investimento, legal ou fiscal. Os ativos de criptomoeda são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou deter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou executivos. Sempre conduza a sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Artigos Relacionados de Aprendizado
Como proteger seu Bitcoin de ameaças quânticas agora mesmo
Mar 17, 2026
Como reduzir riscos quânticos para Bitcoin com boas práticas de endereços, UTXOs seguros e preparo antecipado.
Criptografia Pós-Quântica Explicada: Nova Matemática Para Proteger o Bitcoin
Visão geral da criptografia pós-quântica, padrões do NIST e impactos na segurança de Bitcoin e Ethereum diante de computadores quânticos.
What Are Quantum-Resistant Tokens? How They Secure Crypto from Quantum Computing Threats
Explore como tokens resistentes a quantum estão se preparando para defender o mercado de criptomoedas de $2.7 trilhões.
Perdeu Dinheiro em Cripto? Como Se Recuperar Depois de um Mau Trade
Como lidar com perdas em cripto, o impacto psicológico e financeiro, e por que a recuperação depende mais das reações após o prejuízo.
7 sinais de alerta de fraude em cripto que a indústria de golpes de US$ 17 bi espera que você ignore
Mar 16, 2026
Guia forense dos 7 golpes cripto mais letais em 2026 com casos reais, dados confiáveis e técnicas práticas de detecção para proteger seu dinheiro.
Como proteger o seu Bitcoin da ameaça quântica | Yellow.com