À medida que os avanços em computação quântica forçam os criptógrafos a rever os fundamentos matemáticos da segurança digital, a indústria de criptomoedas enfrenta uma questão única e urgente: como migrar bilhões de dólares em ativos protegidos por criptografia de curva elíptica para esquemas de assinatura resistentes a quântica sem quebrar as redes que os protegem?
A Ameaça Quântica ao Crypto: Real, Mas Não Imediata
Bitcoin (BTC) e Ethereum (ETH) dependem de um algoritmo de assinatura chamado ECDSA, baseado na curva elíptica secp256k1, para provar a propriedade dos fundos. A segurança de cada transação depende de uma única suposição matemática: que derivar uma chave privada a partir de sua chave pública correspondente é computacionalmente inviável para computadores clássicos.
O algoritmo de Shor, publicado pela primeira vez pelo matemático Peter Shor em 1994, destrói essa suposição.
Executado em um computador quântico suficientemente poderoso, ele reduz o Problema do Logaritmo Discreto em Curvas Elípticas para tempo polinomial — o que significa que poderia extrair chaves privadas rápido o bastante para drenar qualquer carteira cuja chave pública tenha sido exposta on-chain.
O hardware para executar esse ataque ainda não existe. Estimativas atuais sugerem que quebrar a secp256k1 exigiria cerca de 2.330 a 2.500 qubits lógicos, o que se traduz em aproximadamente 13 milhões de qubits físicos para um ataque de um dia. Os processadores quânticos mais avançados de hoje operam com pouco mais de 100 qubits.
O algoritmo de Grover, a outra ameaça quântica comumente citada, atinge funções de hash em vez de assinaturas. Ele oferece apenas uma aceleração quadrática, reduzindo a segurança do SHA-256 de 256 bits para 128 bits — ainda exigindo 2 elevado a 128 operações, o que permanece firmemente no domínio do inquebrável.
O mecanismo de prova de trabalho do Bitcoin não está em risco por causa da computação quântica. Seu esquema de assinatura está.
O debate sobre o cronograma divide-se fortemente entre otimistas e pessimistas.
Jensen Huang, CEO da Nvidia, coloca computadores quânticos úteis como "provavelmente a vinte anos de distância."
Adam Back, CEO da Blockstream e cypherpunk, descartou os alertas de curto prazo, argumentando que cronogramas para 2028 são irrealistas.
Do outro lado, Shohini Ghose, CTO do Quantum Algorithms Institute, alertou que a comunidade não está alarmada o suficiente, apontando que o momento em que a computação quântica foi proposta foi o momento em que toda a criptografia de chave pública existente se tornou conceitualmente vulnerável.
A pesquisa de 2024 do Global Risk Institute com 32 especialistas atribuiu uma probabilidade de 19 a 34 por cento de um computador quântico criptograficamente relevante surgir em dez anos, acima dos 17 a 31 por cento em 2023. A maioria dos especialistas converge para o início–meados da década de 2030 como a janela mais provável.
Leia também: Detentores de Bitcoin Acumulam Silenciosamente US$ 23 Bi em BTC em 30 Dias
O Que Criptografia Pós-Quântica Realmente Significa
Criptografia pós-quântica, ou PQC, refere-se a uma família de algoritmos criptográficos projetados para resistir a ataques de computadores clássicos e quânticos.
Diferentemente da criptografia quântica, que depende da própria mecânica quântica para distribuição de chaves, a PQC roda inteiramente em hardware convencional. Essa distinção é crucial para blockchain, porque significa que nós e carteiras existentes podem adotar esses esquemas sem equipamento quântico especializado.
Cinco grandes famílias de algoritmos de PQC surgiram de décadas de pesquisa acadêmica.
Cada uma adota uma abordagem matemática fundamentalmente diferente para construir problemas que computadores quânticos não conseguem resolver de forma eficiente, e cada uma traz seu próprio conjunto de trade-offs em tamanho de assinatura, velocidade computacional e suposições de segurança.
Leia também: Operações Bilionárias Antes de Anúncio do Irã Geram Pedidos de Investigação da SEC
Criptografia Baseada em Redes: A Favorita
Esquemas baseados em redes (lattices) dominam o cenário pós-quântico. Os dois algoritmos mais proeminentes — CRYSTALS-Kyber (agora padronizado como ML-KEM) para encapsulamento de chaves e CRYSTALS-Dilithium (agora ML-DSA) para assinaturas digitais — derivam sua segurança do problema Module Learning With Errors. Em termos simplificados, isso envolve recuperar um vetor secreto a partir de um sistema de equações lineares ruidosas definidas sobre uma rede matemática estruturada.
As operações subjacentes se reduzem a aritmética de polinômios e avaliações de hash, o que torna esquemas de lattice rápidos e amplamente implementáveis em várias plataformas de hardware.
O ML-DSA, em seu nível de segurança mais baixo, produz assinaturas de aproximadamente 2.420 bytes com chaves públicas de 1.312 bytes, cerca de 38 vezes maiores que as compactas assinaturas de 64 bytes produzidas pelo ECDSA hoje.
Esse aumento de tamanho é administrável para a maioria das aplicações na internet. Para blockchains, onde cada byte em uma transação afeta diretamente throughput e taxas, ele representa uma séria restrição de engenharia.
Leia também: Hyperliquid Responde por 44% de Todo o Volume em DEXs de Perpétuos
Assinaturas Baseadas em Hash: Conservadoras, Mas Caras
A criptografia baseada em hash oferece as garantias de segurança mais conservadoras de qualquer família de PQC. SPHINCS+, agora padronizada como SLH-DSA, depende exclusivamente das propriedades das funções de hash, sem suposições algébricas que possam cair diante de um avanço matemático futuro.
O esquema constrói o que os criptógrafos chamam de "hiperárvore" — uma estrutura em camadas de assinaturas de uso único de Winternitz conectadas por árvores de Merkle — permitindo assinaturas sem estado ilimitadas a partir de um único par de chaves.
O trade-off é severo.
Assinaturas produzidas por SLH-DSA variam de cerca de 7.856 bytes a 49.856 bytes, dependendo do conjunto de parâmetros escolhido, e o processo de assinatura é aproximadamente 100 vezes mais lento que alternativas baseadas em lattice.
O XMSS, a variante com estado, gera assinaturas mais compactas, na faixa de 2.500 a 5.000 bytes, mas exige um controle rigoroso de quais chaves de uso único já foram utilizadas. Reutilizar uma chave destrói todas as garantias de segurança.
Para blockchain, esquemas baseados em hash apresentam um paradoxo. Suas suposições de segurança são as mais fortes de qualquer família de PQC, mas seus tamanhos de assinatura podem torná-los impraticáveis para cadeias de alta capacidade.
Leia também: Circle Quer que a UE Permita que Stablecoins Liquidem Negociações
Criptografia Baseada em Códigos e Outras Abordagens: Forças e Falhas
A criptografia baseada em códigos, exemplificada por Classic McEliece, baseia-se na dificuldade de decodificar códigos lineares aleatórios — um problema proposto pela primeira vez em 1978 que resistiu a quatro décadas de criptoanálise intensa.
Suas chaves públicas são enormes, variando de 261 KB a 1,3 MB, mas seus ciphertexts são minúsculos, de 128 a 240 bytes. HQC, um esquema mais recente baseado em códigos, foi selecionado pelo NIST em março de 2025 como mecanismo de encapsulamento de chaves de reserva.
A criptografia de polinômios multivariados depende da NP-dificuldade de resolver sistemas de equações quadráticas multivariadas sobre corpos finitos.
Rainbow, a candidata líder nessa família, foi quebrada de forma catastrófica em fevereiro de 2022 pelo pesquisador Ward Beullens, que recuperou chaves secretas em um laptop comum em 53 horas.
O esquema fundamental UOV sobrevive, e um derivado compacto chamado MAYO avançou para a competição adicional de assinaturas da segunda rodada do NIST em outubro de 2024.
A criptografia baseada em isogenias sofreu um colapso ainda mais dramático. SIKE, que oferecia os menores tamanhos de chave entre todos os candidatos de PQC, com cerca de 330 bytes, foi destruída em agosto de 2022 quando Wouter Castryck e Thomas Decru, da KU Leuven, publicaram um ataque clássico de recuperação de chave explorando um teorema de 1997 do matemático Ernst Kani.
A variante SIKEp434 caiu em uma hora em um único núcleo de CPU. A pesquisa continua com esquemas mais novos como SQISign e CSIDH, mas nenhum algoritmo baseado em isogenias permanece na competição principal de padronização do NIST.
Leia também: Farmacêutica de US$ 30 Mi Acaba de Comprar US$ 147 Mi de Um Único Token
A Maratona de Padronização de Oito Anos do NIST
O NIST lançou seu Processo de Padronização de Criptografia Pós-Quântica em dezembro de 2016, aceitando 69 propostas de candidatos até novembro de 2017. Três rodadas de criptoanálise pública se seguiram, expondo com sucesso falhas fatais em Rainbow e SIKE ao longo do caminho.
O processo culminou em 13 de agosto de 2024, com a publicação dos três primeiros padrões finalizados.
O FIPS 203, baseado em Kyber, trata do encapsulamento de chaves sob o nome ML-KEM. O FIPS 204, baseado em Dilithium, cobre assinaturas digitais como ML-DSA. O FIPS 205, baseado em SPHINCS+, fornece um padrão alternativo de assinaturas baseadas em hash chamado SLH-DSA.
Um quarto padrão, o FIPS 206, baseado no algoritmo FALCON, entrou em aprovação preliminar em agosto de 2025 e deve ser finalizado no fim de 2026 ou início de 2027.
O FALCON produz assinaturas de cerca de 666 bytes — aproximadamente dez vezes o tamanho do ECDSA, em vez das 38 vezes exigidas pelo Dilithium — tornando-o o esquema de assinatura pós-quântico mais compacto e o candidato mais forte para aplicações em blockchain.
O líder de projeto da NIST, Dustin Moody, urged as organizações a começarem a transição o mais rápido possível.
O framework CNSA 2.0 da NSA exige o uso exclusivo de algoritmos pós-quânticos para assinatura de software até 2030 e para a infraestrutura web até 2033. A própria NIST planeja descontinuar totalmente a criptografia de curva elíptica até 2035. O governo dos EUA projeta o custo total dessa migração em aproximadamente 7,1 bilhões de dólares.
Also Read: Polymarket Bans Insider Trading
BIP-360 do Bitcoin: Um Escudo Quântico com Desafios de Governança
A proposta mais significativa de resistência quântica do Bitcoin é a BIP-360, co-authored por Hunter Beast da MARA, Ethan Heilman e Isabel Foxen Duke.
Introduzida em junho de 2024 e integrada ao repositório oficial de BIPs no início de 2025, ela cria um novo tipo de saída chamado Pay-to-Merkle-Root, ou P2MR, usando saídas SegWit versão 2 com endereços bc1z. O P2MR remove o gasto pelo caminho da chave, vulnerável a ataques quânticos, do Taproot, estabelecendo uma base modular para futuros soft forks que acrescentariam esquemas específicos de assinaturas PQC como ML-DSA ou SLH-DSA.
Em 20 de março de 2026, a BTQ Technologies deployed a primeira implementação funcional da BIP-360 em sua Bitcoin Quantum Testnet v0.3.0, com regras completas de consenso P2MR, cinco opcodes de assinaturas pós-quânticas Dilithium e ferramentas de carteira de ponta a ponta.
A testnet atraiu mais de 50 mineradores e processou mais de 100.000 blocos.
Chaincode Labs observou, em uma análise de maio de 2025, que as iniciativas de PQC no Bitcoin ainda estão em um estágio inicial e exploratório.
O problema do tamanho das assinaturas é significativo. Uma transação típica do Bitcoin usa aproximadamente 225 bytes com ECDSA. Substituir a assinatura de cerca de 72 bytes pela assinatura Dilithium2 de 2.420 bytes mais sua chave pública de 1.312 bytes adiciona aproximadamente 3.700 bytes por input — cerca de 16 vezes o tamanho atual de toda a transação.
Pesquisadores projetam uma degradação de 52 a 57 por cento na vazão em testnets permissionadas e provavelmente de 60 a 70 por cento em redes permissionless, com aumento de taxas de duas a três vezes. As assinaturas mais compactas do FALCON-512 reduziriam o impacto para cerca de sete vezes por transação, fazendo dele o candidato mais forte para implantação em blockchain.
A cultura de governança conservadora do Bitcoin agrava o desafio. O SegWit levou aproximadamente 8,5 anos para alcançar adoção ampla, e o Taproot levou 7,5 anos.
A controversa proposta QRAMP, que estabeleceria um prazo após o qual moedas em formatos de endereço antigos se tornariam impossíveis de gastar, ilustra o campo minado de governança à frente.
Enquanto isso, aproximadamente 6,5 milhões de BTC sit em endereços vulneráveis a ataques quânticos, incluindo os estimados 1,1 milhão de BTC nos endereços P2PK expostos de Satoshi.
Also Read: Larry Fink Says Tokenization Is Where The Internet Was In 1996
A Abstração de Contas da Ethereum Oferece um Caminho Mais Limpo
A Ethereum moved de forma decisiva no início de 2026.
Em 23 de janeiro, a Ethereum Foundation elevou formalmente a segurança pós-quântica a principal prioridade estratégica, criando uma equipe dedicada de PQ liderada pelo engenheiro criptográfico Thomas Coratger.
O pesquisador sênior Justin Drake anunciou que, após anos de pesquisa e desenvolvimento discretos, a diretoria havia declarado oficialmente a segurança PQ como a principal prioridade estratégica da Fundação, acrescentando que os cronogramas estavam se acelerando e que era hora de ir “full PQ”. A Fundação apoiou o esforço com 2 milhões de dólares em financiamento divididos entre o Poseidon Prize e o Proximity Prize para pesquisa em PQC.
Vitalik Buterin unveiled um roteiro abrangente de resistência quântica em 26 de fevereiro de 2026, abrangendo quatro áreas de vulnerabilidade na stack da Ethereum: assinaturas BLS na camada de consenso serão substituídas por assinaturas baseadas em hash com agregação via STARK, compromissos KZG serão substituídos por STARKs resistentes a ataques quânticos, assinaturas ECDSA de contas externamente controladas (EOAs) serão tratadas por meio de abstração nativa de contas, e provas de conhecimento zero na camada de aplicação migrarão de Groth16 para STARKs.
O mecanismo crítico que viabiliza isso é o EIP-8141, conhecido como “Frame Transactions”, coautorado por Buterin e outros. Ele desacopla as contas da Ethereum de assinaturas ECDSA fixas, permitindo que cada conta defina sua própria lógica de validação — seja isso assinaturas resistentes a ataques quânticos, multisig ou rotação de chaves.
Ao contrário da possível necessidade de hard fork no Bitcoin, o EIP-8141 achieves isso por meio de abstração nativa de contas, oferecendo uma saída da criptografia de curvas elípticas para sistemas pós-quânticos seguros sem forçar uma migração em toda a rede de uma só vez. A proposta está prevista para o hard fork Hegotá no fim de 2026.
Also Read: Strategy Opens $44B In New ATM Capacity
Algorand e QRL Lideram Entre as Blockchains Prontas para o Quantum
A Algorand (ALGO) executed a primeira transação pós-quântica em uma blockchain pública ao vivo em 3 de novembro de 2025, usando assinaturas FALCON-1024 selecionadas pela NIST em mainnet.
Fundada pelo vencedor do Prêmio Turing Silvio Micali, a equipe da Algorand inclui Chris Peikert, coautor do framework GPV que fundamenta o FALCON, e Zhenfei Zhang, colaborador direto da proposta FALCON da NIST. As State Proofs da chain usam assinaturas FALCON desde 2022, tornando todo o histórico da blockchain resistente a ataques quânticos para verificação cross-chain.
A Algorand demonstra que 10.000 transações por segundo com tempos de bloco de 2,8 segundos podem coexistir com assinaturas pós-quânticas.
A QRL (Quantum Resistant Ledger), launched em junho de 2018, é resistente a ataques quânticos desde seu bloco gênese usando assinaturas hash-based XMSS.
Após sete anos de operação sem incidentes de segurança, a QRL 2.0 (Project Zond) está migrando para SPHINCS+ sem estado e adicionando compatibilidade com EVM.
A Solana (SOL) introduziu um Winternitz Vault opcional em janeiro de 2025, e a Solana Foundation fez parceria com o Project Eleven em dezembro de 2025 para abrir uma testnet pública substituindo Ed25519 por Dilithium. A IOTA notavelmente se afastou da resistência quântica em 2021, trocando assinaturas Winternitz por Ed25519 por motivos de desempenho — uma decisão que ilustra a tensão prática entre preparo quântico e exigências atuais de throughput.
Also Read: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
“Coletar Agora, Decriptar Depois” é Real — Mas com Nuances para Blockchain
A estratégia de “harvest now, decrypt later” — na qual adversários coletam dados criptografados hoje com a intenção de decriptá-los quando computadores quânticos se tornarem poderosos o suficiente — é uma ameaça reconhecida que impulsiona a urgência em governos e agências de inteligência. Rob Joyce, diretor de Cibersegurança da NSA, alertou que a transição para criptografia segura contra ataques quânticos será um esforço longo e intenso de toda a comunidade.
Chris Ware, da Iniciativa de Segurança Quântica do Fórum Econômico Mundial, identificou a China como um Estado-nação posicionado para perseguir tais ataques em escala.
Para blockchain, porém, o enquadramento de harvest-now exige uma nuance cuidadosa. Como Justin Thaler, da a16z crypto, argued em uma análise de dezembro de 2025, a ameaça quântica para blockchains públicas é a falsificação de assinaturas, não a decriptação.
O ledger do Bitcoin já é público. Não há dados criptografados a serem coletados.
O perigo real é a derivação direta de chaves: uma vez que exista um computador quântico criptograficamente relevante, qualquer endereço cujo chave pública tenha sido exposta on-chain se torna imediatamente vulnerável, independentemente de quando a exposição ocorreu.
O registro permanente e imutável da blockchain torna essa exposição irrevogável. Moedas com foco em privacidade como Monero (XMR) e Zcash (ZEC), que criptografam detalhes de transações, de fato enfrentam o risco mais tradicional de harvest-now.
Also Read: Fed Hawkish Tone Triggers $405M Crypto Outflows
O Hardware Quântico Atual Ainda Está Muito Longe de Quebrar a Criptografia
O chip Willow do Google, unveiled em dezembro de 2024 com 105 qubits, alcançou a primeira demonstração de correção de erros quânticos abaixo do limiar, reduzindo erros exponencialmente à medida que mais qubits são adicionados ao sistema. Ele completou um cálculo de benchmark específico em menos de cinco minutos que levaria supercomputadores clássicos a um tempo estimado de 10 elevado à potência de 25 anos.
Ainda assim, como observou Winfried Hensinger, da Universidade de Sussex, o chip ainda é pequeno demais para realizar cálculos úteis do tipo necessário para ameaçar sistemas criptográficos.
O roadmap da IBMtargets 200 qubits lógicos até 2029 com seu processador Starling. O chip Majorana 1 topológico da Microsoft, revelado em fevereiro de 2025, promete uma correção de erros radicalmente mais eficiente por meio de uma nova arquitetura de qubits.
Mas mesmo projeções otimistas colocam esses marcos muito aquém dos milhões de qubits físicos necessários para executar o algoritmo de Shor contra ECDSA em escala.
Um artigo de maio de 2025 de Craig Gidney, do Google, compressed os requisitos de recursos estimados para fatorar RSA-2048 de 20 milhões para menos de 1 milhão de qubits ruidosos — uma redução de vinte vezes que tornou as estimativas de cronograma consideravelmente mais precisas. O Metaculus, plataforma de previsões, alterou sua projeção de 2052 para 2034 para o momento em que o algoritmo de Shor poderia fatorar RSA em escala prática.
O conceito de “Dia Q” — o momento em que um computador quântico rompe com sucesso a criptografia de chave pública atual — continua sendo um alvo móvel. O teorema do matemático Michele Mosca captures a urgência de forma simples: se o tempo necessário para migrar mais a vida útil dos seus dados exceder o tempo restante até o Dia Q, você já está atrasado.
Also Read: What Will It Take For Solana To Reclaim $90?
Considerações Finais
Os algoritmos pós-quânticos funcionam. Os padrões do NIST foram publicados, o FALCON oferece tamanhos de assinatura práticos para implantação em blockchain, e a Algorand comprovou transações PQC em escala em uma rede ativa. O problema difícil não é criptográfico, mas social e estrutural: a governança descentralizada do Bitcoin torna mudanças rápidas de protocolo extraordinariamente difíceis, assinaturas de 10 a 38 vezes maiores que ECDSA vão comprimir a capacidade de throughput e aumentar as taxas, e aproximadamente 6,5 milhões de BTC em endereços vulneráveis a ataques quânticos criam um desafio de coordenação sem precedentes.
A janela de ação é definida não por quando computadores quânticos criptograficamente relevantes chegarão, mas por quanto tempo a própria migração leva.
Com upgrades do Bitcoin historicamente exigindo de sete a oito anos e mandatos governamentais mirando entre 2030 e 2035, o cronograma da indústria de criptomoedas para preparação quântica já é desconfortavelmente apertado. Os projetos que começarem a migrar agora estarão seguros quando o Dia Q chegar. Aqueles que esperarem, não estarão.
Read Next: Resolv USR Crashes 72% After $25M Exploit