Por que os computadores quânticos ameaçam a privacidade do bitcoin

# Coletor de segredos. Por que os computadores quânticos ameaçam a privacidade do bitcoin

Em setembro de 2025, o Federal Reserve dos EUA (Fed ) publicou um documento analítico sobre a estratégia Harvest Now, Decrypt Later (HNDL). Essa abordagem sugere que os invasores coletam antecipadamente dados criptografados para, no futuro, decifrá-los com computadores quânticos suficientemente poderosos.

Os autores do relatório usam o bitcoin como exemplo e estudam quais consequências a estratégia HNDL pode ter para blockchains baseados em métodos tradicionais de criptografia.

Os pesquisadores concluíram que mesmo a implementação oportuna da criptografia pós-quântica não protegerá a privacidade dos dados históricos devido à imutabilidade da blockchain. Juntamente com representantes do mixer de bitcoin Mixer.Money, discutimos quais ações proativas os usuários podem tomar para aumentar a privacidade mesmo após a chegada do “Dia Q”.

Como funciona o HNDL

O princípio do ataque é simples: o invasor copia bancos de dados e outras informações protegidas. Não há lucro imediato, mas quando um computador quântico (Cryptoanalytically-Relevant Quantum Computer, CRQC), relevante do ponto de vista criptoanalítico aparecer, ele poderá acessar chaves privadas/informações relacionadas ao histórico de transações.

Para o bitcoin, a ameaça quântica significa a potencial violação das assinaturas digitais. Um computador quântico suficientemente poderoso poderá calcular a chave privada a partir da pública, o que abre a possibilidade de comprometimento das carteiras e do histórico de transações.

«À primeira vista, numa situação como essa, a questão da privacidade é a menor das preocupações. No entanto, o estudo do Fed chama a atenção para o fato de que a implementação oportuna da criptografia pós-quântica não protegerá os dados históricos. Mesmo que os usuários transfiram fundos para endereços resistentes a quânticos, os criminosos poderão potencialmente revelar dados anteriormente indisponíveis sobre transações e relações entre endereços», observam representantes da Mixer.Money.

No estudo do Fed, é enfatizado que, ao contrário das questões de segurança, o problema da privacidade não tem uma solução simples. Os dados históricos do bitcoin são vulneráveis a ataques retroativos.

Vulnerabilidade dos endereços de bitcoin

Existem diferentes tipos de endereços de bitcoin. O grau de vulnerabilidade deles a ataques quânticos depende de quando e em que forma a chave pública se torna visível.

• Pay-to-Public-Key (P2PK). A própria chave pública serve como o endereço do destinatário. As moedas de Satoshi Nakamoto (cerca de 1 milhão de BTC) estão em UTXOs semelhantes. As chaves públicas dessas moedas são conhecidas por todos neste momento. Elas se enquadram na categoria de ataques de longo alcance: os criminosos têm tempo ilimitado para encontrar as chaves privadas;
• Pay-to-Public-Key-Hash (P2PKH). Apenas o hash da chave pública é registrado na blockchain. A própria chave não é visível até que haja transferências de saída do endereço.

A vulnerabilidade surge na primeira despesa. O proprietário publica a chave pública completa no script, provando a propriedade. A partir desse momento, o endereço deixa de ser resistente a quântica. Se um invasor obtiver um computador quântico no futuro, ele poderá calcular a chave privada.

Endereços SegWit com o prefixo bc1q funcionam da mesma forma que P2PKH. Até o primeiro gasto, os UTXOs são seguros, mas após isso, a chave pública se torna parte do blockchain.

Os endereços Taproot (P2TR) com o prefixo bc1p contêm a versão curta da chave pública (a situação é semelhante ao antigo P2PK). De acordo com a Chaincode Labs, em janeiro de 2025, o Taproot representava 32,5% de todas as saídas UTXO, mas apenas 0,74% da oferta total da primeira criptomoeda.

O computador quântico poderá recuperar em massa as chaves privadas e determinar quais endereços pertencem a uma única pessoa. Os analistas da Deloitte estimaram que já hoje cerca de 25% de todos os bitcoins estão potencialmente sob ameaça de análise quântica. O estudo da Chaincode Labs expande a faixa para 20–50% das moedas em circulação (4–10 milhões de BTC). Esta categoria inclui:

• antigos UTXO com chaves abertas (P2PK);
• moedas perdidas em endereços conhecidos;
• centenas de milhares de bitcoins em endereços com chaves expostas devido ao reaproveitamento.

Os grandes detentores — as bolsas e os serviços de custódia — historicamente armazenaram frequentemente fundos nos mesmos endereços. Isso significa a concentração de enormes quantias em chaves individuais, tornando-os alvos prioritários para ataques quânticos.

Como proteger a privacidade já agora

A quebra quântica ameaça revelar retrospectivamente toda a história do bitcoin, por isso os usuários devem considerar a privacidade das transações com antecedência. É impossível eliminar completamente a ameaça HNDL sem mudar para novos algoritmos. No entanto, a redução das ligações on-chain tornará a análise mais difícil. Para isso, é necessário:

• não reutilize endereços. Para cada recebimento de pagamento, gere um novo endereço. O recebimento repetido de fundos leva à combinação de diferentes entradas, tornando mais fácil ligar isso a você. Além disso, ao gastar novamente, a chave pública será revelada e se tornará potencialmente vulnerável a ataques quânticos;
• quebrar conexões transacionais. Evite situações em que toda a cadeia "remetente-receptor"‎ seja óbvia para um observador externo. Se você estiver transferindo fundos entre suas próprias carteiras ou fazendo um pagamento que gostaria de manter anônimo, considere usar misturadores de bitcoin.

Por exemplo, Mixer.Money permite obter bitcoins em novos endereços, não relacionados entre si on-chain e sem a necessidade de passar pelo KYC. O serviço divide as moedas do usuário em partes e as envia para as exchanges. Após um intervalo de tempo aleatório ( para evitar a análise por timestamps ), o usuário recebe a mesma quantidade de moedas ( menos a taxa ), mas de outras exchanges e de diferentes investidores.

Graças a isso, as ligações entre a transação original e o destinatário final são rompidas. Um analista externo vê na blockchain que os fundos vieram de muitos endereços, sem uma ligação clara com o remetente. Na essência, o Mixer.Money dificultará tanto a análise on-chain clássica quanto uma potencial análise quântica futura do histórico de transações.

«Tente não revelar sua identidade, vinculando-a a endereços. Não envie diretamente bitcoins de uma carteira anônima para uma exchange onde a verificação de identidade foi realizada. É melhor retirar os fundos através de um mixer. Não publique publicamente os endereços que você utiliza. Não compartilhe a chave pública estendida da sua carteira (xpub) — esses dados podem ser analisados tanto agora quanto retrospectivamente»‎, — acrescentam no Mixer.Money.

Quanto menos informações sobre suas transações estiverem vinculadas a você ou agrupadas entre si, mais difícil será reuni-las em um único conjunto na chegada da era quântica.

Transição Quântica sem KYC

O estudo do Fed revela aspectos não óbvios da privacidade que merecem a atenção de quem deseja manter a anonimidade no blockchain do bitcoin a longo prazo.

A ecossistema está gradualmente se preparando para a criptografia pós-quântica. Estão surgindo propostas como a BIP-360 para a transição para novos endereços. Especialistas discutem os prazos para a chegada do “Dia Q” e os caminhos para a migração.

É importante para o usuário comum entender: a ameaça quântica não é um cenário teórico, mas um risco prático que só aumenta com o tempo. Quanto mais cedo forem tomadas medidas para proteger a privacidade na rede do bitcoin, melhor.