Desenvolvedores do Bitcoin propõem congelar 34% das moedas para evitar ataque quântico

Jameson Lopp, cofundador da empresa de custódia Casa e um dos nomes mais respeitados na comunidade de Bitcoin, publicou o Bitcoin Improvement Proposal 361 (BIP-361) na terça-feira (14) junto com outros cinco co-autores. A proposta é tecnicamente elaborada e politicamente explosiva: uma proteção contra ataques quânticos em três fases.

Primeiro, impossibilita o envio de BTC para endereços vulneráveis a ataques quânticos, acelerando a adoção de tipos de endereço pós-quânticos. Isso é importante porque alguns tipos de endereços de Bitcoin, especialmente os mais antigos, são sucetíveis a terem a chave privada descoberta por um ataque de computador quântico em poucos minutos.

Enquanto isso ainda é um problema teórico, pois ninguém conseguiu construir um computador quântico capaz disso, cresce a preocupação de que nos próximos anos alguém consiga, principalmente após um relatório da Google sobre o assunto.

A segunda fase do BIP-361 seria tornar inválidas, em prazo definido, as assinaturas ECDSA e Schnorr que protegem todos os UTXOs cujas chaves públicas já foram expostas no blockchain — o que inclui cerca de 34% de todo o Bitcoin em circulação. O que essencialmente congelaria essas moedas.

Soberano Pay

Seu banco suíço de bolso.

Cobre via PIX anônimo e receba em Bitcoin, dólar ou saldo em cartão internacional.

Conhecer Apenas 9 vagas

Uma terceira fase, ainda não bem definida, sugere que após mais pesquisas, um outro BIP proponha um método para permitir que, de forma segura a ataques quânticos, se recupere essas moedas congeladas via prova zero-knowledge da posse da frase de recuperação BIP-39.

Lopp foi direto sobre seu próprio desconforto no post que acompanhou a publicação: “Eu sei que as pessoas não gostam. Eu mesmo não gosto. Escrevi porque gosto menos da alternativa.”

Thoughts on BIP-361:

* I know folks don't like it. I don't like it myself. I wrote it because I like the alternative even less.

* It isn't a spec, nor is it proposed for activation. It's a rough idea for a contingency plan that needs more R&D.

* I hope it never needs to be…

— Jameson Lopp (@lopp) April 15, 2026

O problema que o BIP tenta resolver

Para entender o BIP-361, é preciso entender a ameaça. A criptografia que protege o Bitcoin — especificamente o algoritmo ECDSA e, no caso do Taproot, o Schnorr — é segura contra computadores clássicos porque derivar uma chave privada a partir de uma chave pública exige poder computacional impraticável. Computadores quânticos suficientemente potentes poderiam resolver esse problema em tempo hábil usando o algoritmo de Shor.

O detalhe crítico: a chave pública só precisa ser exposta na blockchain para que o ataque seja possível. E ela é exposta toda vez que um endereço gasta fundos — o que acontece em todas as transações. Endereços P2PK, usados nos primeiros anos do Bitcoin incluindo por Satoshi, expõem a chave pública diretamente. Endereços P2TR (Taproot) também expõem a chave ao gastar.

Como resultado, hoje cerca de 34% de toda a oferta de Bitcoin têm chave pública exposta on-chain e poderiam ser roubados por um computador quântico suficientemente poderoso. O NIST ratificou três esquemas de assinatura pós-quântica em 2024.

Estimativas acadêmicas, citadas no próprio BIP com referência à McKinsey, apontam para computadores quânticos criptograficamente relevantes entre 2027 e 2030. Algoritmos quânticos melhoram independentemente do hardware — segundo o Google Security Blog, até 20 vezes nos últimos anos — reduzindo os requisitos de hardware para quebrar a criptografia clássica.

O que o BIP propõe concretamente

A proposta tem três fases. A Fase A, ativada 160.000 blocos (cerca de três anos) após aprovação do BIP, proíbe novas transações enviando fundos para endereços vulneráveis. A Fase B, dois anos após a Fase A, torna inválidas todas as transações que usem assinaturas ECDSA ou Schnorr — ou seja, os fundos em endereços vulneráveis ficam congelados e inacessíveis. A Fase C, ainda em pesquisa, propõe um mecanismo de recuperação via prova de conhecimento zero (ZK proof) da frase de recuperação BIP-39 correspondente, permitindo que donos legítimos acessem os fundos.

O argumento central dos autores é que a inação é mais perigosa do que a ação. Um ataque quântico bem-sucedido poderia ocorrer silenciosamente — o atacante computa as chaves privadas de endereços expostos e transfere os fundos semanas depois, sem alertar ninguém.

Um atacante motivado politicamente ou ideologicamente poderia destruir valor deliberadamente em vez de extraí-lo. O BIP transforma segurança quântica num incentivo privado: quem não migrar perde acesso aos fundos, criando urgência onde antes havia procrastinação.

Por que parte da comunidade rejeita a ideia

A crítica mais articulada veio do bitcoiner bdc_nico no X: “Sua proposta é perda de confiança de longo prazo no que o Bitcoin representa — o único dinheiro que não pode ser confiscado, revertido ou congelado — em vez de pressão de venda de curto prazo que vai reduzir o valor fiduciário das suas moedas. Não acho que vem de intenção maliciosa, mas vai completamente contra o que o Bitcoin representa.”

Essa objeção merece ser levada a sério. Bitcoin tem uma propriedade que nenhum outro ativo financeiro da história ofereceu: a garantia de que nenhuma autoridade, por mais poderosa, pode impedir o gasto de fundos cujo detentor possui a chave privada. O BIP-361, se implementado, introduz uma classe de endereços cujo gasto pode ser bloqueado por decisão do protocolo — mesmo que o detentor legítimo possua a chave privada e queira gastar.

O contra-argumento dos autores é que os fundos em questão já estariam sob ameaça de roubo por terceiros, então o “confisco” seria na verdade uma proteção. Mas essa lógica tem um precedente perigoso: estabelece que o protocolo pode intervir em UTXOs com base numa avaliação de risco, mesmo sem evidência de ataque em curso. Uma vez que essa porta é aberta — mesmo com boa intenção e ameaça real — o princípio de que o Bitcoin é neutro e não intervém está comprometido.

Há também a questão das moedas de Satoshi. Endereços P2PK atribuídos ao criador do Bitcoin nunca se moveram. O BIP-361 os tornaria inacessíveis permanentemente na Fase B. Os autores citam a frase de Satoshi de que “moedas perdidas deixam todas as outras um pouco mais valiosas” — mas aplicá-la a moedas tecnicamente recuperáveis pelo detentor original é problemático.

Quem garante que Satoshi ainda não está por aí, aguardando o momento certo para mover suas moedas? É bem provável que não, mas a possibilidade existe.

Enquanto isso, outros argumentam que as moedas de Satoshi, teoricamente perdidas para sempre (em caso de falecimento ou simplesmente perda das chaves por parte do criador do Bitcoin), podem servir como um incentivo financeiro para o avanço da computação quântica no mundo. E o Bitcoin poderia muito bem sobreviver a esse evento, pois já passou por momentos piores antes.

MtGox was a more catastrophic theft than quantum will ever be.

* 70% of all trading volume

* 850,000 bitcoins stolen from them

* 6% of all bitcoins that existed at the time

* Roughly 1/10th of the entire marketcap of Bitcoin

Look where we are now.

— grubles (@notgrubles) April 15, 2026

“[O ataque hacker à] Mt. Gox foi um roubo mais catastrófico que um ataque quântico poderia ser. 70% de todo volume de negociações; 850.000 BTCs roubados; 6% de todos os bitcoins que existiam na época; Cerca de um décimo de todo o valor de mercado do Bitcoin. E olha onde estamos agora.”, escreveu o bitcoiner e ex-Blockstream Grubles.