A equipa de Quantum AI da Google publicou investigação em 30 de março de 2026 indicando que quebrar a criptografia de curvas elípticas do Bitcoin e do Ethereum poderá exigir menos de 500.000 qubits físicos e aproximadamente 1.200 a 1.450 qubits lógicos de alta qualidade, significativamente inferior às estimativas anteriores, na ordem dos milhões.
O artigo alerta que ataques quânticos em tempo real poderiam sequestrar transações do Bitcoin em aproximadamente nove minutos, potencialmente superando a confirmação cerca de 41% do tempo, e observa que a atualização Taproot do Bitcoin, que torna as chaves públicas visíveis por predefinição, alargou o conjunto de carteiras vulneráveis para um valor estimado de 6,9 milhões de bitcoin.
As estimativas de recursos quânticos mostram uma redução de 20 vezes no número de qubits necessários
Os investigadores da Google compilaram dois circuitos quânticos que implementam o algoritmo de Shor para o problema do logaritmo discreto em curva elíptica de 256 bits (ECDLP-256), que constitui a base criptográfica para o Bitcoin, o Ethereum e muitas outras redes blockchain. Um circuito utiliza menos de 1.200 qubits lógicos e 90 milhões de portas Toffoli, enquanto o segundo utiliza menos de 1.450 qubits lógicos e 70 milhões de portas Toffoli.
Os investigadores estimam que estes circuitos poderiam ser executados num computador quântico criptograficamente relevante de qubits supercondutores (CRQC) com menos de 500.000 qubits físicos em poucos minutos, assumindo capacidades de hardware consistentes com alguns dos processadores quânticos de topo da Google. A descoberta representa uma redução de aproximadamente 20 vezes no número de qubits físicos necessários para resolver o ECDLP-256 em comparação com estimativas anteriores, continuando uma tendência de otimização gradual na compilação de algoritmos quânticos para circuitos tolerantes a falhas.
A Google tem apontado previamente 2029 como um possível marco para sistemas quânticos úteis, e as atualizadas estimativas de recursos sugerem que a diferença entre a tecnologia atual e um ataque viável pode ser menor do que se assumia anteriormente. A empresa tem liderado esforços para a migração para criptografia pós-quântica desde 2016.
Ataques a transações em tempo real podem ultrapassar a confirmação 41% do tempo
A investigação descreve dois métodos de ataque potenciais que visam transações do Bitcoin em trânsito. Quando uma transação do Bitcoin é transmitida, a chave pública do emissor é revelada por breves instantes antes de a transação ser confirmada. Um computador quântico suficientemente rápido poderia calcular a chave privada correspondente a partir dessa chave pública e redirecionar os fundos antes de a transação original assentar.
No modelo da Google, um sistema quântico poderia preparar parte do cálculo com antecedência e, depois, concluir o ataque em aproximadamente nove minutos assim que uma transação aparecer na rede. As transações do Bitcoin normalmente demoram cerca de 10 minutos a confirmar, dando ao atacante uma probabilidade aproximada de 41% de redirecionar com sucesso os fundos antes de a transferência original ser finalizada.
O Ethereum poderá estar menos exposto a este risco específico porque os seus tempos de bloco mais rápidos deixam menos tempo para um ataque. No entanto, ambas as redes dependem da mesma base de criptografia de curvas elípticas e exigiriam migração para a pós-quântica para permanecerem seguras contra futuras ameaças quânticas.
A atualização Taproot expõe mais carteiras a um potencial ataque quântico
O artigo estima que aproximadamente 6,9 milhões de bitcoin, cerca de um terço do fornecimento total, já estão em carteiras onde a chave pública foi exposta de alguma forma. Isto inclui aproximadamente 1,7 milhões de bitcoin dos primeiros anos da rede, fundos afetados pela reutilização de endereços e bitcoin detido em carteiras que utilizam o formato de endereço Taproot introduzido em 2021.
Taproot, a atualização de 2021 do Bitcoin concebida para melhorar a privacidade e a eficiência, tornou as chaves públicas visíveis na blockchain por predefinição, removendo uma camada de proteção utilizada em formatos de endereços mais antigos. Os investigadores da Google afirmam que esta opção de conceção poderia expandir o número de carteiras vulneráveis a futuros ataques quânticos, já que as chaves públicas expostas eliminam a necessidade de os atacantes quebrarem a função de hash que protege os endereços legados.
Os resultados contrastam com estimativas recentes da CoinShares, que argumentaram que apenas cerca de 10.200 bitcoin estão concentrados o suficiente para mover significativamente os mercados caso sejam roubados. A análise da Google sugere que o conjunto de bitcoin em risco é substancialmente maior.
A Google divulga vulnerabilidades usando provas de conhecimento zero para evitar roadmaps de ataque
A Google desenvolveu um novo método para divulgar investigação de vulnerabilidade quântica sem fornecer um roadmap para maus agentes. Em vez de publicar detalhes passo a passo sobre como quebrar sistemas criptográficos, a equipa utilizou uma prova de conhecimento zero para demonstrar que as suas conclusões são precisas sem expor o método subjacente. Isto permite que terceiros verifiquem os resultados, limitando ao mesmo tempo o risco de a investigação poder ser mal utilizada.
A empresa envolveu-se com o governo dos EUA no desenvolvimento desta abordagem de divulgação e instou outras equipas de investigação a adotar práticas semelhantes. A Google observou que a divulgação de vulnerabilidades de segurança em tecnologias blockchain é complicada pelo facto de as criptomoedas derivarem valor tanto da segurança digital como da confiança pública, e que estimativas de recursos não científicas podem, elas próprias, representar um ataque através do medo, da incerteza e da dúvida.
A investigação foi conduzida em colaboração com o Stanford Institute for Blockchain Research, a Ethereum Foundation e a Coinbase, como parte de esforços mais vastos da indústria para fazer a transição para criptografia pós-quântica.
Recomendações para a migração para criptografia pós-quântica
O artigo da Google fornece recomendações para a comunidade de criptomoedas melhorar a segurança e a estabilidade antes de os ataques quânticos se tornarem viáveis. A recomendação principal é a transição das blockchains para criptografia pós-quântica, que é resistente a ataques quânticos e representa um caminho bem compreendido para a segurança de blockchains pós-quânticas.
As recomendações adicionais incluem abster-se de expor ou reutilizar endereços de carteira vulneráveis, acelerar a adoção de formatos de endereço que não revelem chaves públicas até os fundos serem gastos e considerar opções de política para lidar com criptomoedas abandonadas que possam tornar-se vulneráveis.
Os investigadores notaram que, embora existam soluções pós-quânticas viáveis, elas vão demorar a ser implementadas em redes descentralizadas, aumentando a urgência de agir. O calendário da Google para 2029 relativo a sistemas quânticos úteis representa um objetivo para migração em vez de uma ameaça iminente, mas as atualizadas estimativas de recursos sugerem que o horizonte de planeamento pode ser mais curto do que se compreendia anteriormente.
FAQ
Quantos qubits seriam necessários para quebrar a criptografia do Bitcoin?
Os investigadores da Google estimam que quebrar a criptografia de curvas elípticas utilizada pelo Bitcoin e pelo Ethereum exigiria menos de 500.000 qubits físicos e aproximadamente 1.200 a 1.450 qubits lógicos de alta qualidade. Isto representa uma redução de 20 vezes em relação a estimativas anteriores que iam até aos milhões.
Como é que a atualização Taproot do Bitcoin afeta a vulnerabilidade quântica?
Taproot, a atualização de 2021 do Bitcoin, torna as chaves públicas visíveis na blockchain por predefinição, removendo uma camada de proteção usada em formatos de endereços mais antigos. A Google estima que isto tenha alargado o conjunto de carteiras vulneráveis para aproximadamente 6,9 milhões de bitcoin, incluindo cerca de 1,7 milhões de bitcoin dos primeiros anos da rede.
Como funcionaria um ataque quântico em tempo real ao Bitcoin?
Um atacante poderia visar transações em trânsito, usando a chave pública revelada durante a transmissão para calcular a chave privada correspondente com um computador quântico suficientemente rápido. No modelo da Google, um ataque poderia ser concluído em cerca de nove minutos, potencialmente ultrapassando a janela de confirmação de 10 minutos aproximadamente 41% do tempo.
