A verdadeira ameaça da Computação Quântica à Blockchain: Por que o Algoritmo de Grover não é o destaque que você pensa

A narrativa em torno da computação quântica e blockchain tornou-se profundamente distorcida. Enquanto grandes empresas de tecnologia correm para desenvolver capacidades quânticas e os meios de comunicação alertam para um colapso criptográfico iminente, a realidade é muito mais complexa—e, em certos aspetos, muito menos urgente. O algoritmo de Grover, frequentemente citado como uma ameaça quântica à segurança do blockchain, na verdade representa apenas uma preocupação menor em comparação com as vulnerabilidades reais que as criptomoedas enfrentam hoje. Compreender quais ameaças são imediatas e quais estão a décadas de distância pode transformar a forma como os desenvolvedores priorizam os investimentos em segurança.

Para o blockchain especificamente, a ameaça quântica enquadra-se em duas categorias distintas: vulnerabilidades de encriptação imediatas que exigem ação agora, e riscos de falsificação de assinaturas que permitem um planeamento mais ponderado. Confundir estas duas tem criado pânico desnecessário e uma pressão de migração contraproducente. Este artigo explica o que é real, o que é exagerado e o que as equipas de crypto realmente devem fazer em 2026.

A Linha do Tempo Quântica que Ninguém Quer Ouvir: CRQC Ainda Está Muito Distante

Apesar das manchetes, um computador quântico relevante para criptografia (CRQC)—um capaz de executar o algoritmo de Shor para quebrar RSA ou criptografia de curvas elípticas em larga escala—ainda está a uma década ou mais de distância. Isto não é pessimismo; baseia-se nas limitações técnicas atuais.

Os sistemas quânticos de hoje, seja usando íons presos, qubits supercondutores ou abordagens de átomos neutros, ficam drasticamente aquém dos requisitos. Os sistemas atuais excedem 1.000 qubits físicos na teoria, mas este número é enganador. O que importa é a conectividade dos qubits, a fidelidade dos portões e a profundidade da correção de erros. Para executar o algoritmo de Shor contra RSA-2048 ou secp256k1, seriam necessários centenas de milhares a milhões de qubits físicos, e estamos longe disso.

A lacuna de engenharia é enorme. Sistemas recentemente aproximaram-se das taxas de erro físico onde a correção de erros quânticos começa a funcionar, mas demonstrar uma correção de erros persistente para mesmo um punhado de qubits lógicos—quanto mais milhares para análise criptográfica—ainda não foi alcançado. Todas as estimativas credíveis indicam que são necessárias várias ordens de magnitude de melhoria tanto no número de qubits quanto na fidelidade.

No entanto, comunicados de imprensa corporativos frequentemente anunciam avanços iminentes. Estas afirmações confundem conceitos distintos:

Demonstrações de “vantagem quântica”: Mostram acelerações quânticas em tarefas artificiais especificamente desenhadas para correr em hardware atual, não problemas do mundo real. A aceleração é real, mas pouco diz sobre o progresso em sistemas capazes de quebrar criptografia.

Reivindicações de qubits lógicos: Algumas empresas anunciam “qubits lógicos”, mas o termo foi severamente diluído. Algumas afirmações envolvem códigos de correção de erro de distância 2, que só podem detectar erros, não corrigi-los. Qubits lógicos verdadeiramente tolerantes a falhas para análise criptográfica requerem centenas a milhares de qubits físicos cada—não dois.

Confusão na roadmap: Muitas roadmaps quânticas prometem “milhares de qubits lógicos até ao ano X”, mas especificam apenas portas Clifford (que computadores clássicos podem simular eficientemente). Executar o algoritmo de Shor requer portas T não-Clifford, que são dramaticamente mais difíceis de implementar de forma tolerante a falhas.

Até investigadores otimistas como Scott Aaronson clarificaram as suas próprias declarações: quando sugeriu que um computador quântico tolerante a falhas a executar Shor poderia chegar antes da próxima eleição presidencial dos EUA, afirmou explicitamente que isso não significa uma implementação relevante para criptografia. Factorear 15 num computador quântico—uma “conquista” repetida nos últimos anos—é trivial por padrões clássicos.

Resumindo: espera-se ameaças quânticas criptográficas na década de 2030, no máximo, e mais realisticamente na década de 2040 ou mais tarde. Cinco a dez anos simplesmente não são suportados por evidências públicas. O prazo de migração do governo dos EUA para criptografia pós-quântica em 2035 é razoável para uma transição dessa escala—mas reflete prudência política, não a realidade técnica de quando o CRQC existirá.

Ataques HNDL: Porque São Relevantes (e Porque a Blockchain Evita a Maioria)

Ataques de Harvest-Now-Decrypt-Later (HNDL) representam a preocupação quântica mais legítima a curto prazo. O ataque é simples: adversários registam comunicações encriptadas hoje, sabendo que, quando os computadores quânticos chegarem daqui a décadas, poderão descriptografar tudo retroativamente. Para atores de nível estatal a arquivar comunicações governamentais encriptadas, isto é uma ameaça real.

Mas aqui está a distinção fundamental: os ataques HNDL só funcionam contra encriptação, não contra assinaturas digitais.

A encriptação oculta segredos. Um memorando classificado do governo encriptado hoje permanece secreto até que os computadores quânticos cheguem para quebrar a encriptação. É por isso que a implementação de encriptação pós-quântica é realmente urgente para quem precisa de confidencialidade duradoura de 10+ anos.

As assinaturas digitais, por outro lado, não escondem segredos que possam ser “colhidos e descriptografados mais tarde”. Uma assinatura prova que você autorizou uma mensagem; ela não oculta informações para futura extração. Transações Bitcoin e Ethereum usam assinaturas digitais para autorizar transferências—não encriptação para esconder dados. O livro público já é visível. A ameaça quântica aqui é falsificação de assinatura (derivando chaves privadas), não descriptografia retroativa.

Esta distinção tem sido mal compreendida de forma catastrófica. Até fontes credíveis como a Federal Reserve afirmaram incorretamente que o Bitcoin enfrenta ataques HNDL—um erro fundamental que inflaciona a urgência na migração de assinaturas. O Bitcoin enfrenta riscos quânticos (discutidos abaixo), mas não por cenários de colheita e descriptografia.

Blockchains de privacidade são a exceção. Monero, Zcash e cadeias similares encriptam detalhes de transações ou escondem destinatários e montantes. Quando os computadores quânticos quebrarem a criptografia de curvas elípticas, essa confidencialidade será retroativamente comprometida. Para o Monero especificamente, o livro público poderia ser usado para reconstruir todo o gráfico de gastos. Estas cadeias realmente precisam de transições antecipadas para pós-quântico se protegerem a confidencialidade histórica for importante.

A infraestrutura da internet já internalizou esta distinção. Chrome, Cloudflare, o iMessage da Apple e Signal estão a implementar esquemas híbridos de encriptação combinando algoritmos clássicos e pós-quânticos—protegendo contra HNDL para dados que requerem segredo a longo prazo. Isto faz sentido. A transição de assinaturas digitais, por outro lado, é deliberadamente mais lenta porque o modelo de ameaça difere fundamentalmente.

Algoritmo de Grover e Prova de Trabalho: Uma Pequena Preocupação Disfarçada de Problema

O algoritmo de Grover merece atenção específica porque é frequentemente invocado como uma ameaça quântica ao consenso do blockchain. A ameaça é exagerada.

A Prova de Trabalho baseia-se em funções hash, que o algoritmo de Grover pode acelerar quadraticamente—uma aceleração de 2x na prática. Isto é trivial comparado com a velocidade exponencial de Shor contra criptografia de chave pública. Um minerador quântico com velocidade de Grover poderia resolver blocos um pouco mais rápido que os mineiros clássicos, criando uma vantagem. Mas essa vantagem:

1. Não quebra exponencialmente o sistema (ao contrário de Shor contra RSA)
2. Não compromete fundamentalmente a segurança económica (mineradores quânticos maiores teriam vantagens, mas também os atuais grandes mineiros clássicos)
3. Continua a ser extremamente dispendioso de implementar na escala necessária para competir de forma significativa

O overhead prático de implementar o algoritmo de Grover em qualquer escala relevante torna altamente improvável que computadores quânticos possam alcançar até uma modesta aceleração no PoW do Bitcoin. O perfil de ameaça é categoricamente diferente de ataques baseados em assinatura—não é uma ameaça existencial, apenas uma mudança competitiva. É por isso que o algoritmo de Grover raramente aparece em discussões sérias de segurança quântica sobre blockchain: não é onde está o risco.

O Verdadeiro Problema Quântico do Bitcoin Não é Tecnologia—É Governação

A vulnerabilidade quântica do Bitcoin é menos sobre computadores quânticos e mais sobre as limitações da própria infraestrutura do Bitcoin. Os utilizadores não podem migrar passivamente as suas moedas vulneráveis; devem ativamente mover os fundos para endereços seguros contra quânticos. Isto cria um problema de coordenação complexo sem uma solução técnica direta.

As primeiras transações do Bitcoin usaram outputs pay-to-public-key (P2PK), colocando a chave pública na cadeia. Com a reutilização de endereços e carteiras que usam Taproot (que também expõem chaves), fica uma superfície potencialmente enorme de Bitcoin vulnerável à ameaça quântica—estimativas sugerem milhões de BTC, avaliado em dezenas de bilhões de dólares—provavelmente abandonados por proprietários inativos.

Quando os computadores quânticos chegarem, os ataques não serão simultâneos. Em vez disso, os atacantes irão selecionar alvos de alto valor e expostos. Os utilizadores que evitarem reutilizar endereços e permanecerem fora do Taproot terão proteção adicional: as suas chaves públicas permanecem ocultas por funções hash até serem gastas, criando uma corrida em tempo real entre gastos legítimos e atacantes equipados com quânticos. Mas moedas verdadeiramente obsoletas com chaves expostas não oferecem essa proteção.

O desafio de governação supera o técnico. O Bitcoin evolui lentamente. Implementar uma estratégia de migração coordenada, obter consenso da comunidade e processar bilhões de dólares em transações numa rede com throughput limitado leva anos de planeamento. Algumas propostas sugerem uma abordagem de “marcar e queimar”, onde moedas vulneráveis não migradas se tornam propriedade comunitária. Outras questionam se atores equipados com quânticos, ao invadir carteiras sem chaves legítimas, poderiam enfrentar responsabilidade legal.

Estes não são problemas de computação quântica; são problemas sociais, legais e logísticos que requerem resolução agora, mesmo que os computadores quânticos ainda estejam a décadas de distância. A janela do Bitcoin para planear e implementar soluções está a fechar muito mais rápido do que a linha do tempo de ameaça da tecnologia quântica.