A Chaincode publicou um paper na última segunda-feira (26) sobre os riscos da computação quântica para o Bitcoin. Escrito por Anthony Milton e Clara Shikhelman, o documento possui 55 páginas, sendo o mais completo até o momento.
Outro destaque é que o estudo foi revisado por Gloria Zhao, desenvolvedora do Bitcoin Core, Ethen Heilman, engenheiro de sistemas da Cloudflare, Shai (Deshe) Wyborski, PhD em criptografia quântica, Alan Szepieniec, pesquisador foco em criptografia pós-quântica, e Stephen DeLorme, especialista em Bitcoin e Lightning Network.
Portanto, além de extenso, o documento é extremamente confiável, servindo como um guia para a solução dessa ameaça.
Até 10 milhões de bitcoins estão sob ameaça, aponta estudo
Os acadêmicos apontam que a chegada de computadores quânticos podem ter um grande impacto no Bitcoin. Como exemplo, é destacado que até 10 milhões de bitcoins — hoje avaliados em R$ 6 trilhões ou então metade da oferta em circulação — estão em risco.
“Análises sugerem que aproximadamente 20 a 50% de todos os bitcoins em circulação (entre 4 e 10 milhões de BTC), no valor de centenas de bilhões de dólares, estão vulneráveis a serem roubados pela derivação de chaves privadas a partir de chaves públicas.”
🔔 Entre em nosso grupo no WhatsApp e fique atualizado.
“Isso inclui saídas controladas por chaves públicas expostas, seja pelo uso de certos tipos de script vulneráveis ou pela “reutilização de endereços” após o gasto”, aponta o texto.
Dentre os destaques estão endereços de corretora e instituições, bem como moedas da ‘era Satoshi’ e outras moedas perdidas.
No caso das moedas de Satoshi Nakamoto e outros que usaram o Bitcoin nos primeiros dias, elas estão vulneráveis porque os endereços utilizados eram P2PK (Pagamento para Chave Pública). Como o próprio nome sugere, a chave pública sempre esteve exposta.
Já nos outros casos, a chave pública é exposta somente após uma transação de saída ser feita. Portanto, este é o motivo pelo qual não se recomenda reutilizar endereços, prática comum por corretoras e outras grandes empresas.
No momento, endereços Taproot (P2TR) são os mais utilizados e seriam os mais fáceis de serem protegidos, bastando um soft fork. No entanto, embora representem 32,5% das transações, eles detêm apenas 0,74% de toda oferta do Bitcoin.
“Se as chaves públicas de um dos tipos de script menos suscetíveis (P2PKH, P2SH, P2WPKH, P2WSH) já tiverem sido expostas — por exemplo, por meio de um gasto anterior a partir do mesmo endereço —, então esses scripts também se tornam vulneráveis a ataques de longo alcance”, aponta o estudo.
Mineração também está suscetível a ataques de computadores quânticos
Além de endereços de Bitcoin, a mineração da criptomoeda também estaria ameaçada pela chegada de computadores quânticos. No entanto, o estudo aponta que os riscos são menores.
“Ao contrário da mineração clássica, a mineração quântica não pode ser facilmente paralelizada, o que a torna muito mais difícil de escalar e muito menos eficiente na prática.”
Um dos possíveis ataques seria a propagação de um novo bloco por um minerador quântico assim que ele fosse descoberto por outro minerador comum.
Como consequência, isso poderia gerar diversos blocos obsoletos (stale blocks), o que poderia resultar em forks momentâneos, dividindo o poder computacional honesto da rede entre diversas cadeias.
Indo além, isso daria uma maior abertura para os famosos ataques de 51% conforme a taxa de hash não estaria concentrada.
Outro problema citado é a centralização da mineração, algo que aconteceu com a migração da mineração por CPU para GPU, e então de GPU para ASICs no passado, só que em uma escala muito maior.
“Pesquisadores sugerem que essa falha inerente a todos os sistemas PoW (Proof-of-Work) convencionais poderia reduzir a mineração de Bitcoin a apenas dois mineradores quânticos dominantes, comprometendo efetivamente a base descentralizada que fornece segurança e resistência à censura ao Bitcoin.”
Ao contrário do que acontece com os ataques a endereços, esse problema seria muito menor. Como destaque, é apontado que esses computadores teriam uma frequência muito menor que as atuais ASICs, o mesmo acontece com sua eficiência energética.
Quanto tempo levará para uma solução ser implementada?
Estudos apontam que a computação quântica pode se tornar um problema para o Bitcoin, e outros sistemas que dependem de criptografia, em até 10 anos. Outros acreditam que pode levar ainda mais tempo.
O documento da Chaincode aponta que uma solução poderia ser implementada no Bitcoin em um período de 2 a 7 anos, dependendo da urgência. De qualquer forma, uma atualização precisaria ser apresentada com antecedência à chegada desses computadores, o que explica o atual interesse sobre o tema.
“Com base nos cronogramas do SegWit e do Taproot, e considerando de forma geral o que precisa ser alcançado para que o Bitcoin se adapte a um mundo pós-quântico, estima-se que um esforço de longo prazo levaria aproximadamente 7 anos para percorrer as etapas de pesquisa e desenvolvimento de BIP, implementação e, por fim, migração.”
“Nossa visualização do cronograma ilustra como esse intervalo resulta de durações variáveis em cada fase: pesquisa e desenvolvimento de BIP (~2,5 anos), implementação (~1,5 ano) e migração (~3 anos)”, aponta o estudo.
Dado que essa ameaça pode surgir antes desse período, o paper sugere a criação de um plano de emergência.
“Propomos que a estratégia de resistência quântica do Bitcoin adote uma abordagem dupla: medidas contingenciais que ofereçam uma proteção mínima, porém funcional, contra computadores quânticos, concluídas em cerca de 2 anos, e um caminho abrangente que permita uma exploração aprofundada do problema e o desenvolvimento de uma solução completa, levando cerca de 7 anos”, aponta o estudo.
Quais caminhos já estão sendo abordados?
Dentre as soluções já apresentadas está o BIP-360, que adiciona um novo tipo de endereço chamado P2QRH (Pagamento para Hash Resistente a Computação Quântica). Conforme seria necessário apenas um soft fork, seria fácil implementá-lo.
No entanto, o estudo aponta que essa solução está longe de ser aceita, principalmente pelo uso de muitos esquemas diferentes de assinatura pós-quântica que adicionariam uma complexidade desnecessária.
Conforme transações destes endereços seriam muito maiores que as atuais, isso também significaria uma maior competição por espaço nos blocos já pequenos do Bitcoin.
Outra solução citada é o QRAMP, mas a proposta tem dividido opiniões devido a sua agressividade.
Uma lista mais detalhada apresenta diferentes algoritmos de assinatura que podem ser implementados no Bitcoin, detalhando as diferenças de custos entre eles.
Bitcoins perdidos poderão ser reintroduzidos no mercado mesmo com atualização
Outra questão importante é que muitos bitcoins poderão voltar ao mercado mesmo com uma atualização. O exemplo mais clássico são os 1,1 milhão de bitcoins do próprio Satoshi Nakamoto.
Isso porque para proteger suas moedas desses ataques, investidores precisariam mover seus bitcoins para novos endereços. No caso das moedas de Satoshi, e tantas outras, isso não aconteceria. Portanto, haveria uma corrida para roubar essas moedas.
Uma das soluções apresentadas seria um prazo para que bitcoins em endereços vulneráveis a ataques quânticos sejam movidos para outros mais seguros. Após esse período, as moedas nunca mais poderiam ser usadas.
Estima-se que 2 a 3 milhões de bitcoins estão perdidos e poderiam ser roubados com computadores quânticos mesmo com uma atualização. Somado às moedas de Satoshi, a quantia pode ultrapassar a faixa de 4,1 milhões de bitcoins, cerca de 19,5% da oferta total.
Como comparação, hoje ETFs e empresas públicas e privadas detém 2,5 milhões de moedas.
Portanto, um roubo — e despejo no mercado — poderia fazer o preço do Bitcoin desabar.
Dado isso, a solução de queima poderia não apenas proteger como impulsionar o preço do Bitcoin ao reduzir sua oferta para menos de 21 milhões de unidades. Por outro lado, alguns argumentam que essa abordagem seria uma espécie de censura, indo contra as propriedades básicas do Bitcoin.
Por fim, a ameaça dos computadores quânticos ainda é pura teoria. No entanto, o assunto é tão complexo que merece ser estudado com grande antecedência.
