A crise quântica aproxima-se da blockchain: os seus ativos criptográficos estão a ser «desvendados» pelo «futuro»

Artigo: Centro de Investigação Web4

«O futuro já chegou, apenas não está distribuído de forma uniforme.» — William Gibson

Nove minutos: tempo suficiente para uma chávena de café arrefecer, e tempo suficiente para um computador quântico decifrar a chave privada dos teus activos criptográficos.

Imagina um cenário como este.

Acabaste de iniciar uma transferência, confirmaste o endereço e premiste enviar. Nos dez minutos seguintes, esta transacção fica silenciosamente no mempool, à espera de ser agrupada pelos mineradores. Achas que está tudo seguro — afinal, a criptografia de curvas elípticas (ECC) protegeu os activos digitais mais valiosos do mundo durante mais de uma década, sem nunca falhar.

Mas o que não sabes é que, num canto qualquer do planeta, um computador quântico já bloqueou a tua transacção. Ele capturou a tua chave pública na cadeia; depois, em nove minutos — mais rápido do que o tempo médio de bloco das principais criptomoedas — a tua chave privada foi deduzida e o teu dinheiro foi transferido para um endereço que desconheces.

Isto não é enredo de ficção científica, nem é guião de Hollywood.

É 31 de Março de 2026: as conclusões de investigação que a equipa de IA Quântica da Google escreveu, de forma clara e literal, no seu blogue técnico oficial.

De acordo com os dados de investigação divulgados pela Google, sob um modelo teórico em que o atacante faz pré-cálculos parciais antecipadamente, um computador quântico suficientemente avançado consegue decifrar uma chave privada de activos criptográficos em apenas cerca de 9 minutos, enquanto o tempo médio de bloco das principais criptomoedas é de 10 minutos. Isto significa que, na janela temporal em que uma transacção espera para ser incluída, o atacante tem cerca de 41% de probabilidade de conseguir interceptar e adulterar essa transacção.

A investigação da Google indica também que o atacante pode precisar de menos de 500.000 qubits para ter a oportunidade de lançar um ataque eficaz aos algoritmos criptográficos existentes; e, no caso de haver entre 1.200 e 1.450 qubits quânticos de alta qualidade, certos tipos de ataques reais, em teoria, já têm espaço para serem implementados. Este número é claramente inferior ao patamar de «serem necessários vários milhões de qubits», citado durante muito tempo pela indústria.

Esta é a «crise de confiança quântica» — um risco sistémico escondido por trás da curva de evolução do poder computacional, e que está em contagem decrescente. Não se dirige a uma única cadeia, nem a um único protocolo; aponta para o mundo inteiro de activos digitais que dependem de criptografia de curvas elípticas. Quando a confiança for destruída por um computador quântico, a partir dos fundamentos matemáticos, a proposta de valor central dos activos criptográficos — «certeza sem necessidade de confiança» — deixa de existir.

Mais importante ainda: neste blogue, a Google apresentou uma cronologia rígida sem precedentes. Antes de 2029, tem de ser concluída a migração para Criptografia Pós-Quântica (PQC). Não é um conselho, não é uma previsão: é um prazo, em termos de engenharia. A Google anunciou também que já está a colaborar com instituições como a Coinbase, o Stanford Blockchain Research Center e a Ethereum Foundation, para impulsionar em conjunto esta que pode ser a mais profunda transformação de segurança a nível de base da história desde o nascimento do mundo cripto.

Há uma frase no blogue particularmente desconcertante — «A urgência da acção está a aumentar cada vez mais».

Esta frase não está a exagerar. A tua janela de segurança para activos criptográficos está a fechar a uma velocidade visível a olho nu.

A crise quântica não é o fim do mundo cripto; é o seu baptismo de maioridade — obriga a indústria a sair de «brinquedos tecnológicos» e avançar para infra-estruturas de base ao nível das instituições.

I. A «calcanhar de Aquiles» do ECDLP-256: porque é que um computador quântico o rasga com facilidade?

Para compreender a essência desta crise, é necessário primeiro perceber uma questão básica: porque é que um computador quântico consegue quebrar o sistema criptográfico existente?

Actualmente, incluindo a Ethereum e a maioria das principais blockchains, a dependência é do Algoritmo de Assinatura Digital de Curvas Elípticas (ECDSA) e do protocolo subjacente ECDLP-256. A base matemática deste sistema é o Problema do Logaritmo Discreto em Curvas Elípticas — resolvê-lo com computadores tradicionais requer um tempo na escala dos números astronómicos.

Podes imaginá-lo como uma questão de matemática extremamente difícil. Um computador tradicional só consegue testar respostas uma a uma; mesmo até à destruição do universo, não conseguiria chegar. Mas quando um computador quântico executa o algoritmo de Shor, a forma de resolver muda completamente. Não é «enumerar» respostas; é utilizar a capacidade de computação paralela do estado de superposição quântica, alterando fundamentalmente a complexidade do problema.

Na verdade, a principal ameaça dos ataques quânticos não recai sobre os algoritmos de hash, mas sim sobre o sistema criptográfico de chave pública. O algoritmo de Grover, nos hashes, proporciona apenas uma aceleração quadrática, e não uma aceleração exponencial; por isso, a parte dos hashes é relativamente segura. O risco real está no momento em que a chave pública é exposta.

O momento em que a chave pública é exposta é o ponto de partida dos ataques quânticos.

O relatório de investigação da Google revela duas descobertas-chave, que merecem ser levadas a sério por todos os detentores de activos criptográficos.

Primeiro: o limiar de quebra é muito mais baixo do que imaginas. No passado, a indústria assumia de forma generalizada que, pelo menos, seriam necessários vários milhões de qubits para ameaçar os sistemas criptográficos existentes. Mas a estimativa da Google reduz drasticamente este número — em cenários específicos de ataque, cerca de 1.200 a 1.450 qubits quânticos de alta qualidade podem constituir uma ameaça substancial. Esta é uma diferença em ordens de grandeza.

Segundo: a janela de ataque é muito menor do que imaginas. Como referido acima, durante os dez minutos de espera de uma transacção até ser confirmada, um computador quântico pode completar a decifração da chave pública. Isto significa que, mesmo que envies apenas uma transacção normal, podes ser alvo do ataque no processo — não é o teu endereço que está em mira; é a tua «operação desta vez» que está em mira.

A actualização Taproot desempenha um papel complexo nesta questão. A equipa de investigação da Google sublinhou especificamente que o Taproot, ao mesmo tempo que melhora a eficiência das transacções e a privacidade, em certos tipos de transacções «pré-configura» e expõe mais cedo e com maior frequência as informações de chave pública na cadeia; isso, por sua vez, torna tipos de endereços que antes eram mais protegidos mais fáceis de serem visados e bloqueados em cenários de ataque quântico.

Isto não está a alarmar sem fundamento. De acordo com a estimativa da Google, actualmente existem cerca de 6,9 milhões de chaves públicas dos principais activos criptográficos já completamente expostas na cadeia, o que corresponde a cerca de um terço da oferta total. Inclui cerca de 1,7 milhões de unidades obtidas com a mineração inicial. Outro relatório, publicado em conjunto pela ARK Invest e pela Unchained, apresenta dados semelhantes, mostrando que cerca de 35% da oferta está sujeita a risco potencial de ameaça quântica.

O responsável de investigação da Galaxy Digital, Alex Thorn, indicou ainda que o risco actual está principalmente limitado a endereços específicos cujas chaves públicas já foram expostas na cadeia, incluindo endereços reutilizados, endereços detidos por parte de instituições de custódia e activos em formatos de endereços de versões mais antigas. A análise da instituição de segurança Project Eleven mostra que cerca de 7 milhões de unidades (equivalentes a cerca de 470 mil milhões de dólares com base nos preços recentes) se encontram neste estado de «exposição prolongada».

Por trás destes números, há dinheiro a valer.

O que é verdadeiramente perigoso não é o computador quântico em si, mas sim todo o sector a fingir que este problema não existe.

II. 2029: não é um «objectivo distante», é um prazo-limite definitivo

O tempo é a variável mais cruel nesta história.

2029 não é «um futuro distante»; é um prazo-limite definitivo — a tua janela de segurança para activos criptográficos está a fechar.

Por que razão 2029? O roteiro da Google não foi inventado do nada. Nos últimos dois anos, o ritmo de progresso do hardware quântico superou as expectativas de muitas pessoas.

Em Dezembro de 2024, a Google lançou o chip quântico Willow de 105 qubits, capaz de realizar, em menos de cinco minutos, um cálculo-padrão que um supercomputador tradicional demoraria cerca de 1.025 anos a concluir. Mais importante ainda, o Willow alcança «cálculo abaixo do limiar»: à medida que mais qubits são adicionados ao sistema, a taxa de erro diminui exponencialmente. Isto é um marco na área de correcção de erros quânticos.

Depois, outros grandes intervenientes, como a IBM e a PsiQuantum, também divulgaram gradualmente os seus roteiros de hardware, fixando, em simultâneo e sem concertação aparente, a meta de «qubits lógicos na escala dos milhares» no intervalo de 2028 a 2030. Estas datas não são coincidência — toda a indústria está a aproximar-se em simultâneo de um ponto crítico.

Mas o 2029 apresentado pela Google não significa que «um computador quântico vai quebrar os activos criptográficos nesse ano». O que a Google quer dizer é: planeia migrar toda a sua infra-estrutura para um sistema pós-quântico antes de 2029. Em outras palavras, 2029 não é o momento em que surge uma ameaça; é o momento em que a janela de segurança se fecha.

Porque é que este prazo é tão importante para o mundo cripto?

Porque uma hard fork mainstream de uma cadeia principal, do momento da proposta até à discussão na comunidade, passando pela implementação em testnets e pela activação na mainnet, normalmente requer entre 18 e 24 meses. A partir da data de publicação deste artigo até 2029, restam cerca de 34 meses. Isto significa que praticamente não há margem para tentativa e erro.

Se uma cadeia principal não iniciar a migração para PQC na testnet antes do final de 2027, o prazo-limite de 2029 torna-se quase impossível de cumprir a tempo. Para cadeias que elevam «a imutabilidade» a princípio máximo, este calendário é especialmente implacável.

Nic Carter fez críticas duras a este respeito. O parceiro-gerente fundador da Castle Island Ventures acusou publicamente alguns desenvolvedores de, durante muito tempo, ignorarem propostas relacionadas com o quântico, adoptando atitudes como «negação, efeito de gaslighting, definição de barreiras e mentalidade de avestruz». Ele apontou que a criptografia de curvas elípticas, amplamente utilizada, «está prestes a ficar ultrapassada; é apenas uma questão de tempo». Seja 3 anos ou 10 anos, já está ultrapassada. O único problema é a rapidez com que os desenvolvedores percebem que precisam de embutir variabilidade criptográfica na rede.

Este debate está a dividir o mundo cripto em dois campos: um que se posiciona proactivamente, colocando a segurança pós-quântica como «prioridade estratégica máxima»; e outro que avança lentamente, preso numa disputa de consenso longa e dolorosa.

O que é «lento» é, nesta janela de tempo, o custo mais caro.

III. Quem está a agir? Quem está a observar? — a divisão da indústria em curso

Perante ameaças quânticas, a velocidade de resposta de diferentes blockchains varia muito, e isso pode muito provavelmente tornar-se uma variável importante na mudança do panorama da indústria nos próximos anos.

A Ethereum está na frente.

Em Janeiro de 2026, a Ethereum Foundation tomou uma decisão com significado histórico: colocar a segurança pós-quântica como «prioridade estratégica máxima» e anunciar a criação de uma equipa especializada de segurança pós-quântica (PQ).

Esta equipa é liderada pelo engenheiro de criptografia da Ethereum Foundation, Thomas Coratger. Os membros incluem criptógrafos e engenheiros, que estão a testar sistemas de segurança quântica através do desenvolvimento de devnets. A Ethereum Foundation também investiu um total de cerca de 2 milhões de dólares: 1 milhão de dólares para melhorar a função de hash Poseidon e outros 1 milhão de dólares para apoiar investigação pós-quântica mais abrangente.

De acordo com as declarações do investigador da Ethereum, Justin Drake, após anos de investigação discreta, a gestão da Ethereum Foundation já elevou formalmente a segurança pós-quântica de um tema de pesquisa abstracto para um foco estratégico central. Já existe a rede de desenvolvimento para consenso pós-quântico multi-clientes; vários equipas estão a envolver-se e a colaborar através de reuniões semanais de compatibilidade. Também já foram iniciadas as reuniões quinzenais de programadores, lideradas pelo investigador Antonio Sanso, para transacções pós-quânticas.

A Ethereum planeia realizar «dias pós-quânticos» antes da conferência ETHCC em Março de 2026, e também organizar eventos pós-quânticos de maior escala em Outubro de 2026, para demonstrar progressos e planear os próximos passos.

Quanto às bolsas, a acção da Coinbase também é rápida.

Em Janeiro de 2026, a Coinbase revelou que criou um comité de consultoria quântica independente, cujos membros incluem os principais académicos da área de computação quântica Scott Aaronson, os criptógrafos Dan Boneh e vários especialistas de instituições como a Ethereum Foundation e o sector de segurança blockchain. O comité irá avaliar o impacto do progresso da computação quântica na criptografia de redes principais, incluindo a Ethereum, e publicará documentos de investigação e orientações abertas para programadores, instituições e utilizadores. Prevê-se que o primeiro documento de posição seja divulgado no início de 2027.

A Coinbase também publicou um roteiro de segurança pós-quântica com três pilares, cobrindo a actualização de produtos, reforço da gestão interna de chaves e investigação criptográfica de longo prazo — por exemplo, a integração de esquemas de assinatura pós-quântica com computação multipartidária segura. O CEO Brian Armstrong sublinhou que a segurança é a principal prioridade da Coinbase e incentivou uma preparação antecipada antes da maturidade do hardware quântico.

Por outro lado, para outra blockchain principal, a situação é muito mais complexa.

Uma proposta que inclui oficialmente, pela primeira vez, a resistência ao quântico no seu roteiro técnico de longo prazo remove as opções de despesas do caminho de chaves no Taproot, introduzindo um script Pay-to-Merkle-Root, minimizando assim ao máximo o risco de exposição de chaves públicas de curvas elípticas. Mas, na essência, trata-se de uma actualização cautelosa e incremental, e não de uma remodelação total do sistema criptográfico. Não actualiza o UTXO existente, nem substitui as assinaturas ECDSA/Schnorr por alternativas pós-quânticas. Os co-autores da proposta indicaram que o número de comentários que recebeu já ultrapassou o de qualquer outra proposta na história de propostas de melhoria. A profundidade da participação da comunidade é, por si só, a resiliência da rede — mas também significa que a formação de consenso é extremamente lenta.

Diante da crise quântica, a velocidade em si é uma forma de segurança.

IV. Três provas do caminho de actualização: porque é que a migração é tão difícil?

Mesmo com padrões, com equipas e com roteiros, o processo de migração de ECDSA para PQC continua repleto de armadilhas técnicas. Não é uma simples actualização de software; é uma reconfiguração completa da infra-estrutura criptográfica de base.

Primeira prova: compatibilidade. As assinaturas geradas pelos algoritmos de assinatura pós-quântica actualmente dominantes (como ML-DSA) têm um comprimento muito maior do que o ECDSA — de 32 bytes para mais de mil bytes. Esta diferença afecta directamente o espaço de bloco, o modelo de Gas e o throughput da rede. Na Ethereum, isso significa uma descida acentuada no número de transacções que cada bloco consegue acomodar; noutras redes, significa que a controvérsia sobre o tamanho dos blocos será reacendida.

Não existem escudos permanentes em criptografia; há apenas lanças e escudos que são constantemente actualizados.

Segunda prova: protecção de activos antigos. Como é que UTXOs ou contas que já existem em endereços antigos são migrados? Uma resposta simples seria: fazer com que os utilizadores transfiram voluntariamente os activos para novos endereços PQC. O problema é que aqueles endereços que ficaram inactivos durante muito tempo — incluindo muitos endereços adormecidos com chaves privadas perdidas, endereços de mineradores iniciais e endereços de alguns fundadores — nunca conseguirão completar a migração. Uma vez que estes «activos fantasma» sejam quebrados por um computador quântico, podem ser descarregados de forma concentrada no mercado, causando uma queda catastrófica de preços.

Terceira prova: governação. A migração pós-quântica quase certamente envolve uma hard fork. E, no mundo cripto, uma hard fork nunca é apenas um problema técnico; é também um problema político. Quando uma cadeia se divide em duas — uma com PQC actualizado e outra que mantém o sistema criptográfico original — como serão distribuídos o poder de computação, a comunidade e a liquidez? A história já deu avisos.

A discussão dos caminhos técnicos continua. Para além da migração directa para PQC, os programadores propuseram também alternativas, como o mecanismo «ampulheta» — restringir gradualmente as permissões de gasto de endereços em que a chave pública já foi exposta, reduzindo o risco sistémico sem forçar a migração. Estas soluções têm os seus prós e contras, mas todas exigem tempo para validação e consenso da comunidade.

Reabilitar uma ponte não implica desmontar os pilares enquanto ela continua em circulação. A migração tem de ser faseada, verificável e com mecanismos de retorno.

V. A tua janela de segurança de activos está a fechar — lista de acções

Perante esta crise que se aproxima, o que devem fazer os detentores de activos criptográficos?

Não entres em pânico para vender. Os ataques quânticos ainda não se tornaram uma ameaça real. Como disse Alex Thorn, responsável de investigação da Galaxy Digital, os investidores não devem interpretar este desafio técnico de longo prazo como uma razão para evitar imediatamente. Mas «não entrar em pânico» não é o mesmo que «não agir».

Precisas de compreender a classificação de risco. Perante ameaças quânticas, diferentes tipos de endereços enfrentam níveis de risco diferentes. Os mais perigosos são os endereços antigos e já inactivos há muito tempo — especialmente os criados antes de 2019 — e aqueles endereços que reutilizam chaves públicas (como endereços de levantamento de parte das exchanges). Os endereços de carteiras normais apresentam um risco relativamente mais baixo — se o teu endereço nunca gastou activos (ou seja, a chave pública não foi divulgada), o computador quântico, por enquanto, não consegue atacá-lo. O risco mais baixo, actualmente, é daqueles endereços que já migraram para protocolos PQC, mas tais protocolos ainda praticamente não existem nas principais blockchains.

No que toca à segurança, esperar passivamente é um risco activo.

As acções concretas que podes tomar incluem: armazenar de forma dispersa, distribuindo activos de grande valor por múltiplos endereços, para reduzir o impacto de uma quebra num único ponto; acompanhar sinais de migração, dando prioridade a exchanges e carteiras que publiquem de forma clara roteiros PQC — a Coinbase já está à frente; para quem tem aversão extrema ao risco, pode considerar converter parte dos activos em projectos com roteiros pós-quânticos claramente definidos, mas com a consciência lúcida de que — neste momento, não existe nenhum produto de blockchain PQC validado em combate.

Não confies em qualquer marketing de tokens que afirme «já ser anti-quântico». Ainda é uma área que está a ser continuamente validada em laboratório e em testnets.

Thorn, da Galaxy Digital, oferece uma conclusão que vale a pena recordar: «O risco quântico deve ser monitorizado, mas não deve ser usado como desculpa para evitar tudo em absoluto.» E, nas palavras da ARK Invest, a ameaça da computação quântica não é um «ponto singular» súbito que aparece do nada; é um processo incremental que pode ser acompanhado e que evolui por etapas.

Num relatório publicado em conjunto em Março de 2026 pela Ark Invest e pela Unchained, ao construir uma estrutura de cinco fases, os autores fornecem ferramentas de análise estruturada para que o mercado compreenda este risco de longo prazo e clarificam que, neste momento específico, o chamado «Q-Day» não constitui uma ameaça urgente. O relatório também indica que milhões de activos criptográficos podem já ter sido perdidos de forma permanente, e que muitos outros activos podem ser migrados para endereços mais seguros quando surgirem ameaças técnicas — desde que a comunidade já tenha começado a agir.

A tua janela de segurança não ficará aberta para sempre. Está a fechar, dia após dia, de forma mais estreita.

A crise quântica faz-nos perceber que o verdadeiro desafio da blockchain não é desempenho, nem escalabilidade, mas sim — se conseguirá tornar-se efectivamente infra-estrutura de confiança da civilização humana. Quando a criptografia pode ser desfeita por computadores quânticos, o único que é verdadeiramente confiável são mecanismos de governação submetidos a testes de esforço.

VI. Do «brinquedo tecnológico» à «infra-estrutura ao nível das instituições»: um baptismo de maioridade inevitável

Há um ditado de historiadores: os seres humanos tendem sempre a sobrestimar o impacto de curto prazo da tecnologia e a subestimar o seu impacto de longo prazo.

A atitude da indústria cripto perante a computação quântica é precisamente o inverso. Ela subestima a urgência de curto prazo das ameaças quânticas e subestima também a complexidade de longo prazo da própria migração.

Mas se alargarmos o olhar, chegamos a uma conclusão mais interessante: a crise quântica não é um fim; é um baptismo de maioridade.

Heidegger já questionou a essência da tecnologia, defendendo que a tecnologia moderna é uma «estrutura de enquadramento» que coloca tudo — incluindo a própria pessoa — numa ordem que pode ser calculada e controlada. A intenção original do surgimento dos activos criptográficos era exactamente resistir a este enquadramento — criar uma rede de valor que não seja controlada por nenhuma força central. Ironia das ironias: como força tecnológica extrema, a computação quântica está a ameaçar as bases matemáticas dessa rede, vindas de fora.

Para lidar com esta ameaça, o mundo cripto tem de se iterar a si mesmo. Já não será aquela utopia geek de «o código é a lei»; terá de evoluir para uma infra-estrutura ao nível das instituições, capaz de gerir proactivamente riscos criptográficos, com resiliência de governação e que aceite auditorias externas.

Isto requer completar três actualizações fundamentais.

A primeira é uma actualização da resiliência criptográfica. As futuras blockchains terão de abraçar frameworks de criptografia substituíveis e actualizáveis, deixando de «fixar» os algoritmos de assinatura no nível do consenso. Isto significa passar de um «design para uma única vez» para uma «arquitectura evolutiva».

A segunda é uma actualização da maturidade de governação. Hard forks deixariam de ser apenas uma disputa de escalabilidade ou lutas internas na comunidade; passariam a envolver «upgrade de infra-estrutura» ao nível da segurança nacional. Isto exige mecanismos de decisão mais transparentes, uma participação mais ampla de partes interessadas e uma gestão mais rigorosa de prazos.

A terceira é uma actualização da consciência dos utilizadores. De «Not your keys, not your coins» para «Your keys can be cracked — prepare for migration». Os utilizadores passarão a gerir os seus endereços como fazem hoje com as senhas criptográficas: verificando regularmente se os seus endereços estão expostos a riscos quânticos e executando proactivamente a migração.

A crise quântica é um espelho: reflecte a imaturidade do mundo cripto e também mostra o único caminho para a sua maturidade.

Camus, em «O Verão», escreveu: «No auge do inverno, finalmente soube que dentro de mim havia um verão invencível.»

O inverno da computação quântica está a aproximar-se, mas o verão do mundo cripto — aquela infra-estrutura institucional que passou por testes de esforço e renasceu temperada — também está a ser gerado nesta crise.

A chávena de café ainda não arrefeceu completamente.

Agora, é o primeiro dia de acção.