Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Michael Saylor diz que o quantum irá “endurecer” o Bitcoin, mas está ignorando os 1,7 milhão de moedas já em risco
Michael Saylor apresentou uma abordagem caracteristicamente ousada em 16 de dezembro sobre o Bitcoin e o salto quântico:
“O salto quântico do Bitcoin: a computação quântica não quebrará o Bitcoin – ela o fortalecerá. As atualizações da rede, as moedas ativas migram, as moedas perdidas permanecem congeladas. A segurança aumenta. A oferta diminui. O Bitcoin fica mais forte.”
A declaração captura o caso otimista para o futuro pós-quântico do Bitcoin. Ainda assim, o registo técnico revela um quadro mais confuso, onde a física, a governação e o timing determinam se a transição fortalece a rede ou desencadeia uma crise.
Quantum não quebrará o Bitcoin (se a migração acontecer a tempo)
Saylor’s reivindicação principal baseia-se na noção de verdade direcional. Principal do Bitcoin vulnerabilidade quântica fica em suas assinaturas digitais, não na prova de trabalho.
A rede usa ECDSA e Schnorr em secp256k1. O algoritmo de Shor pode derivar chaves privadas de chaves públicas quando um computador quântico tolerante a falhas atinge cerca de 2.000 a 4.000 qubits lógicos.
Os dispositivos atuais operam em ordens de magnitude abaixo desse limite, colocando os computadores quânticos criptograficamente relevantes pelo menos uma década atrás.
NIST já finalizou as ferramentas defensivas Bitcoin precisaria. A agência publicou dois padrões de assinatura digital pós-quântica, o ML-DSA (Dilithium) e o SLH-DSA (SPHINCS+), como FIPS 204 e 205, com FN-DSA (Falcon) progredindo como FIPS 206.
Esses esquemas resistem a ataques quânticos e podem ser integrados ao Bitcoin por meio de novos tipos de saída ou assinaturas híbridas. Bitcoin Optech rastreia propostas ao vivo para agregação de assinatura pós-quântica e construções baseadas em Taproot, com experimentos de desempenho mostrando que SLH-DSA pode funcionar em cargas de trabalho semelhantes a Bitcoin.
O que Saylor’s enquadramento omite é o custo. Pesquisa do Journal of British Blockchain Association argumenta que uma migração realista é uma degradação defensiva: a segurança melhora contra ameaças quânticas, mas a capacidade dos blocos pode cair aproximadamente para metade.
Os custos dos nós aumentam porque as assinaturas pós-quânticas atuais são maiores e mais caras para verificar. As taxas de transação aumentam à medida que cada assinatura consome mais espaço em bloco.
A parte difícil é a governança. O Bitcoin não tem autoridade central para exigir atualizações. Um soft fork pós-quântico exigiria um consenso esmagador entre desenvolvedores, mineradores, exchanges e grandes detentores, todos agindo antes que um computador quântico criptograficamente relevante apareça.
A16z análise recente sublinha que a coordenação e o timing representam riscos maiores do que a própria criptografia.
Moedas expostas tornam-se alvos, não ativos congelados
A afirmação de Saylor de que “as moedas ativas migram, as moedas perdidas permanecem congeladas” simplifica demais a realidade da rede. A vulnerabilidade depende inteiramente do tipo de endereço e se a chave pública já está visível.
Os primeiros resultados de pagamento para chave pública colocam a chave pública bruta diretamente na cadeia e a expõem permanentemente.
Os endereços padrão P2PKH e SegWit P2WPKH ocultam a chave pública atrás de hashes até que as moedas sejam gastas, momento em que a chave se torna visível e pode ser roubada quântica.
As saídas Taproot P2TR codificam uma chave pública na saída desde o primeiro dia, expondo esses UTXOs antes mesmo de serem movidos.
As análises estimam que cerca de 25% de todo o Bitcoin já está em saída com chaves reveladas publicamente. Deloitte discriminação e trabalhos recentes focados em Bitcoin convergem para esse número, abrangendo grandes saldos iniciais de P2PK, atividade de custódia e uso moderno de Taproot.
Pesquisa na rede sugere aproximadamente 1,7 milhão de BTC em saídas P2PK da “era Satoshi” e centenas de milhares mais em saídas Taproot com chaves expostas.
Algumas moedas “perdidas” não estão congeladas, mas sim sem dono e podem se tornar uma recompensa para o primeiro invasor com uma máquina capaz.
As moedas que nunca revelaram uma chave pública (P2PKH ou P2WPKH de uso único) são protegidas por endereços com hash, para os quais o algoritmo de Grover fornece apenas uma aceleração de raiz quadrada, que os ajustes de parâmetros podem compensar.
A fatia da oferta de maior risco são precisamente as moedas inativas bloqueadas em chaves públicas já expostas.
Os efeitos da oferta são incertos, não automáticos
A afirmação de Saylor de que “a segurança aumenta, a oferta diminui” divide-se claramente em mecânica e especulação.
Assinaturas pós-quânticas, como ML-DSA e SLH-DSA, são projetadas para permanecerem seguras contra computadores quânticos grandes e tolerantes a falhas e agora fazem parte dos padrões oficiais.
As ideias de migração específicas do Bitcoin incluem resultados híbridos que exigem assinaturas clássicas e pós-quânticas, bem como propostas de agregação de assinaturas para reduzir o inchaço da cadeia.
Mas a dinâmica da oferta não é automática e existem três cenários concorrentes.
A primeira é a “redução da oferta por abandono”, em que as moedas em produtos vulneráveis, cujos proprietários nunca atualizam, são tratadas como perdidas ou explicitamente colocadas na lista de bloqueio. A segunda é a “distorção da oferta por meio de roubo”, em que os invasores quânticos drenam carteiras expostas.
O cenário restante é o do “pânico diante da física”, onde a percepção da capacidade quântica iminente desencadeia vendas ou divisões da cadeia antes que qualquer máquina real exista.
Nada disso garante uma redução líquida na oferta circulante que seja claramente otimista. Eles poderiam facilmente produzir uma reavaliação confusa, bifurcações controversas e uma onda única de ataques a carteiras legadas.
A “diminuição” da oferta depende das escolhas políticas, das taxas de adesão e das capacidades do atacante.
A prova de trabalho baseada em SHA-256 é relativamente robusta porque o algoritmo de Grover fornece apenas uma aceleração quadrática.
O risco mais sutil está no mempool, onde uma transação realizada a partir de um endereço de chave com hash revela sua chave pública enquanto espera para ser extraída.
Análises recentes descrevem um ataque hipotético de “assinar e roubar” em que um invasor quântico observa o mempool, recupera rapidamente uma chave privada e executa uma transação conflitante com uma taxa mais alta.
O que a matemática realmente diz
O roteiro da física e dos padrões concorda que o quantum não quebra automaticamente o Bitcoin da noite para o dia.
Há uma janela, possivelmente de uma década ou mais, para uma migração pós-quântica deliberada. No entanto, essa migração é dispendiosa e politicamente difícil, e uma parte não trivial da oferta atual já reside em resultados expostos ao quantum.
Saylor está direcionalmente certo ao dizer que o Bitcoin pode endurecer. A rede pode adotar assinaturas pós-quânticas, atualizar resultados vulneráveis e emergir com garantias criptográficas mais fortes.
No entanto, a alegação de que “as moedas perdidas permanecem congeladas” e “a oferta diminui” pressupõe uma transição limpa em que a governação coopera, os proprietários migram ao longo do tempo e os atacantes nunca exploram o atraso.
O Bitcoin pode sair mais forte, com assinaturas atualizadas e possivelmente alguma oferta efetivamente queimada, mas apenas se os desenvolvedores e os grandes detentores agirem antecipadamente, coordenarem a governança e gerenciarem a transição sem provocar pânico ou roubo em grande escala.
O fortalecimento do Bitcoin depende menos dos cronogramas de capacidade quântica do que da capacidade da rede de executar uma atualização confusa, cara e politicamente carregada antes que a física o alcance. A confiança de Saylor é uma aposta na coordenação, não na criptografia.
Mencionado neste artigo
