Cheguei a uma conclusão perturbadora: um computador quântico pode roubar os U$120 bilhões em BTC parados nas carteiras do Satoshi Nakamoto.

O criador da criptomoeda minerou mais de 1 milhão de bitcoin no primeiro ano do projeto. Ele fez algumas transações de teste, e depois não encostou mais na sua fortuna.

Na época, não valia nada. Hoje, essas moedas inertes tornariam Satoshi o 12º homem mais rico do mundo.

Acontece que essa grana reside em endereços antigos, usados nos primórdios do Bitcoin, que são vulneráveis a ataques de computadores quânticos suficientemente avançados.

😨 Meus BTCs Estão Inseguros?!

Não. Pode ficar de boa.

Logo nos primeiros anos do BTC, o formato padrão dos endereços foi alterado, de forma a se tornar “resistente a quantum”.

Os endereços originais expunham desnecessariamente sua chave pública. É como se, ao enviar uma carta, Satoshi tivesse escrito no verso dela o seu próprio CEP - facilitando assim a vida de um ladrão interessado em invadir sua residência.

Nos anos seguintes, os “envios de carta” no Bitcoin parariam de “expor o CEP” do remetente, e passariam a “carimbar na carta” somente uma hash do CEP.

Essa é uma ilustração da diferença entre endereços P2PK (pay-to-public-key) e P2PKH (pay-to-public-key-hash).

Mais tarde, outros tipos de endereços, ainda mais seguros, foram implementados.

⚛️ O Que é um Computador Quântico "Suficientemente Avançado" ?

Computadores clássicos são sequenciais - fazem um cálculo ou processo de cada vez. Computadores quânticos trabalham com superposição.

Como funciona? O Kiko Carnut, da Z.ro Bank, explica:

Os físicos descobriram que, se pegarmos pedacinhos de certos materiais e os resfriarmos a temperaturas muito baixas, eles se comportam de maneiras bizarras (a chamada “física quântica”). Entre outras coisas, isso torna possível calcular várias computações “meio que ao mesmo tempo”.

Mas o universo não nos daria um poder desses “de graça”; além dos materiais exóticos e temperaturas alienígenas, tem outra pegadinha: o sistema é tão frágil que não dá pra ler o resultado sem destruir o próprio sistema.

À primeira vista, isso parece inviabilizar a coisa toda. Só que os físicos inventaram jeitos engenhosos de colocar vários desses arranjos de “bits quânticos” - ou “qubits” - calculando ao mesmo tempo de forma que, quando eles invariavelmente se destróem, o grito de morte (na verdade, certas “cores” de luz) dos vários átomos se reforcem, e seja possível deduzir qual tinha sido o provável resultado.

A taxa de erro desse processo ainda é alta. Muito da computação é “desperdiçada”. Computadores quânticos atuais precisam de 100 a 1000 “qubits físicos” para produzir um único “qubit lógico” - uma unidade de computação confiável.

Para fazer o cálculo inverso da multiplicação de curva elíptica - e encontrar as chaves privadas do Satoshi a partir de suas chaves públicas conhecidas -, estima-se que sejam necessários ~2000 qubits lógicos. Ou seja, entre 200.000 e 2.000.000 qubits físicos, com as taxas de erro atuais.

Os CQs de ponta hoje, têm 100-200 qubits físicos. O Willow, do Google, tem 105. Ainda falta evoluir entre 2 e 4 ordens de magnitude para representarem ameaça concreta ao Bitcoin.

Estima-se que esse avanço vai decorrer nos próximos 5-15 anos. O NIST (Instituto Nacional de Padrões de Tecnologia), que dita regras de cibersegurança nos EUA, recomenda o upgrade de todos os sistemas para criptografia resistente-a-quantum até 2035.

Vale notar: ainda não está claro se é possível escalar as taxas de erro atuais. Quanto maior o computador quântico, até agora, maior tem sido a taxa de erro.

A IBM promete um computador de 10.000 qubits físicos para 2029, com uma tecnologia nova de “fault tolerance”. Com 10-100 qubits lógicos, ainda estaria a 1-2 ordens de magnitude de ameaçar as moedas do Satoshi.

🛡️ A Comunidade Não Pode se Defender Proativamente?

A “superposição” dos computadores quânticos lhes confere dois superpoderes inacessíveis para computadores clássicos, relevantes a cripto: o algoritmo de Glover, e o algoritmo de Shor.

O algoritmo de Glover quebra uma premissa do SHA256 que é central à mineração de BTC. Computadores quânticos podem “minerar muito mais rápido”.

O algoritmo de Shor quebra a premissa da ECC (criptografia de curva elíptica) de que é computacionalmente inviável calcular uma chave privada a partir de uma chave pública.

A defesa é trocar os mecanismos que são sujeitos a esses dois superpoderes.

No caso da mineração, será preciso substituir o algoritmo atual por uma dentre as várias alternativas “resistentes a quantum” já existentes. Isso requer um hard-fork. O Bitcoin já passou por hard forks, mas a comunidade os abomina. Mineradores, investidos em máquinas otimizadas para o algoritmo atual, exerceriam pressão sobre a decisão.

No caso das chaves privadas, a proposta mais madura é a BIP-360, que adiciona suporte a endereços do tipo P2QRH (“Pay to Quantum-Resistant Hash”). Estes são protegidos inclusive contra outros tipos de ataques quânticos que eu nem discuti aqui, por serem teóricos demais (como o in-flight attack). Isso requer um soft fork. Assinaturas destes endereços são maiores do que as atuais (a blockchain ficaria mais “entupida").

Ambos os caminhos me parecem viáveis, ainda que exijam um esforço intencional de construção de consenso.

Mas eles não lidam com as moedas de endereços antigos, que ainda poderiam ser tomadas por “atacantes quânticos”.

Existem algumas propostas nesse sentido, como “mexer no código para alocar as moedas do Satoshi de volta para o pool de moedas mineráveis", mas acho muito difícil ganharem tração.

A propriedade privada no BTC deriva da matemática, não da opinião ou dos medos dos outros. Na língua do protocolo, “quem tem a chave é dono”.

🥷🏻💰 Como Seria O “Roubo Centibilionário”?

Uma chave privada de Bitcoin é um número de 256 bits. Existem 2^256 combinações possíveis. É mais ou menos a quantidade de átomos no universo observável.

Um computador convencional de ponta levaria 6.2 trilhões de anos para encontrar uma chave por pura tentativa-e-erro.

Suas chances de ganhar na loteria: 2 elevado a 28.
As de acertar uma chave privada de Bitcoin: 2 elevado a 256.

Um computador quântico com ~2000 qubits, em tese, pode ser instruído a “perseguir” uma chave privada do Satoshi e encontrá-la em algo como 8 horas.

Acontece que os BTC do Satoshi não estão todos no mesmo endereço. Sergio Lerner, o pesquisador que descobriu sua fortuna, localizou 22 mil endereços diferentes - porque Satoshi minerava a recompensa de cada bloco em uma carteira distinta.

A 8 horas por endereço, capturar essas moedas todas levaria 7333 dias, ou VINTE ANOS.

Perceba: estamos calculando a partir de várias premissas que podem mudar. O nº de qubits lógicos necessários pra rodar o algoritmo de Shor eficientemente; a taxa de erro do computador quântico; a quantidade de endereços do Satoshi; etc.

A intuição que quero comunicar é: parece improvável que uma única entidade consiga executar o “roubo do século” sozinha.

Suponhamos que uma subsidiária da IBM seja a primeira a chegar perto do “patamar necessário”. Ela até pode COMEÇAR a roubar os BTC (implicações legais e éticas à parte)... mas, por quanto tempo conseguirá reter o monopólio sobre a tecnologia, ou impedir que outros times a desenvolvam?

💰 O Que Você Faria se Pusesse as Mãos nos BTCs do Satoshi?

Exercite algumas possibilidades aí na sua casa. Lembre-se que, em todos os casos, o “roubo” não acontece “de uma vez só", mas ao longo de certo tempo. O “ladrão” pode:

1. Ir encontrando chaves de Satoshi, mas não mexer nenhuma moeda. A qualquer momento, outra entidade pode pôr a mão na grana.

2. Ir coletando as moedas e distribuir elas randomicamente para endereços ativos de BTC.

3. Mover as moedas para endereços modernos e dizer ser Satoshi (à lá Craig Wright).

4. Shortar o BTC em CEXs/DEXs e vender as moedas do Satoshi no mercado, sem choro nem vela.

5. Fazer uma BTC Treasury Company e entesourar os BTC do Satoshi.

Esta última ideia é bem articulada por David Rosenthal.

(Se você não sabe o que é uma Bitcoin Treasury Company toque aqui)

Digamos que ~10% dos BTC estejam vulneráveis a computadores quânticos suficientemente avançados. Hoje são 240 bilhões de dólares.

Investidores de risco (VCs) precisam enxergar um potencial de retorno de pelo menos 10x nos seus investimentos, costumeiramente, o que nos leva a crer que tem uns ~24B de P&D pra ser feito nessa empreitada de surrupiar o Nakamoto.

Até agora, investidores colocaram menos de 5B, pelas minhas contas de guardanapo. A PsiQuantum, maior empresa americana do setor, levantou pouco mais de 1B.

Uma vez tomadas as moedas, o mais racional a se fazer, hoje, economicamente, seria

1. comprar uma empresa listada em bolsa,

2. começar a mover os BTC roubados para endereços pós-quantum;

3. anunciar e provar a propriedade das moedas;

4. pumpar as ações (acima do NAV);

5. captar mais dinheiro para tomar o resto dos BTC mais rápido, e antes da concorrência.

✋ A Computação Quântica Vai Matar o Bitcoin?

Não.

Depois dessa newsletter, espero que tenha ficado claro.

Aproveito pra reforçar o convite:

Hoje, 19h, vou dar uma masterclass gratuita no canal do Bruno Perini. Vai ser um conteúdo lúdico e prático, diferente do que você costuma ver sobre cripto. Toque aqui e se inscreva. Traga suas perguntas. Espero te ver lá.

Gostou desse texto? Te fez pensar?
Posta um trecho no Twitter ou no Instagram!