Receios de 'Fim do Mundo' Quântico do Bitcoin são exagerados, diz pesquisa da a16z

Um novo artigo de pesquisa da a16z crypto argumenta que narrativas apocalípticas sobre computadores quânticos matando instantaneamente o Bitcoin estão mal alinhadas com a realidade, e que o verdadeiro risco para as blockchains reside em migrações longas e confusas, em vez de um colapso repentino no "Dia Q". O artigo já desencadeou uma forte refutação no X de investidores que dizem que a ameaça está mais próxima e é mais difícil do que a a16z sugere.

Bitcoin Não Está Condenado Pela Computação Quântica: a16z

No artigo "Computação quântica e blockchains: Combinando urgência com ameaças reais", o parceiro de pesquisa da a16z e professor de ciência da computação de Georgetown, Justin Thaler, estabelece o tom desde cedo, escrevendo que "Os cronogramas para um computador quântico criptograficamente relevante são frequentemente exagerados — levando a apelos por transições urgentes e completas para a criptografia pós-quântica". Ele argumenta que esse exagero distorce as análises de custo-benefício e distrai as equipes de riscos mais imediatos, como bugs de implementação.

Thaler define um "computador quântico criptograficamente relevante" (CRQC) como uma máquina totalmente corrigida de erros capaz de executar o algoritmo de Shor em uma escala onde pode quebrar o RSA-2048 ou esquemas de curva elíptica como secp256k1 em aproximadamente um mês de tempo de execução. Na sua avaliação, um CRQC na década de 2020 é "altamente improvável", e os marcos públicos não justificam afirmações de que tal sistema seja provável antes de 2030.

Ele enfatiza que entre plataformas de íons aprisionados, supercondutores e átomos neutros, nenhum dispositivo está próximo das centenas de milhares a milhões de qubits físicos, com as taxas de erro necessárias e profundidade de circuito, que seriam necessários para criptoanálise.

Em vez disso, o artigo da a16z traça uma linha clara entre criptografia e assinaturas. Thaler argumenta que ataques de colheita-agora-descriptografar-depois (HNDL) já tornam a criptografia pós-quântica urgente para dados que devem permanecer confidenciais por décadas, razão pela qual grandes provedores estão implementando estabelecimento de chaves pós-quânticas híbridas em TLS e mensagens.

Mas ele insiste que as assinaturas, incluindo aquelas que protegem o Bitcoin e o Ethereum, enfrentam um cálculo diferente: elas não protegem dados ocultos que podem ser descriptografados retroativamente, e uma vez que um CRQC exista, o atacante só pode forjar assinaturas dali em diante.

Com base nisso, o artigo afirma que "a maioria das chains não-privadas" não está exposta ao risco quântico estilo HNDL no nível do protocolo, porque seus ledgers já são públicos; o ataque relevante é forjar assinaturas para roubar fundos, não descriptografar dados on-chain.

Dores de Cabeça Específicas do Bitcoin

Thaler ainda sinaliza o Bitcoin como tendo "dores de cabeça especiais" devido à governança lenta, throughput limitado e grandes pools de moedas expostas, potencialmente abandonadas, cujas chaves públicas já estão on-chain, mas ele enquadra a janela de tempo para um ataque sério em termos de pelo menos uma década, não alguns anos.

"O Bitcoin muda lentamente. Quaisquer questões contenciosas poderiam desencadear um hard fork prejudicial se a comunidade não conseguir concordar com a solução apropriada", escreve Thaler, acrescentando "outra preocupação é que a mudança do Bitcoin para assinaturas pós-quânticas não pode ser uma migração passiva: os proprietários devem migrar ativamente suas moedas."

Além disso, Thaler sinaliza uma "questão final específica do Bitcoin" que é seu baixo throughput de transações. "Mesmo depois que os planos de migração forem finalizados, migrar todos os fundos vulneráveis a quantum para endereços seguros pós-quânticos levaria meses na taxa de transação atual do Bitcoin", diz Thaler.

Ele é igualmente cético quanto à pressa em adotar esquemas de assinatura pós-quântica na camada base. Assinaturas baseadas em hash são conservadoras, mas extremamente grandes, frequentemente vários kilobytes, enquanto esquemas baseados em reticulados como ML-DSA e Falcon do NIST são compactos, mas complexos e já produziram múltiplas vulnerabilidades de canal lateral e injeção de falhas em implementações do mundo real. Thaler adverte que as blockchains arriscam enfraquecer sua segurança se pularem muito cedo para primitivas pós-quânticas imaturas sob pressão de manchetes.

A reação mais contundente veio do cofundador da Castle Island Ventures, Nic Carter, e do CEO da Project 11, Alex Pruden. Carter resumiu sua visão no X dizendo que o trabalho da a16z "subestima selvagemente a natureza da ameaça e superestima o tempo que temos para nos preparar", direcionando seguidores para um longo thread de Pruden.

Pruden começa enfatizando o respeito por Thaler e pela equipe da a16z, mas acrescenta: "Discordo do argumento de que a computação quântica não é um problema urgente para blockchains. A ameaça está mais próxima, o progresso mais rápido e a correção mais difícil do que como ele está enquadrando e do que a maioria das pessoas percebe."

Ele argumenta que resultados técnicos recentes, não marketing, deveriam ancorar a discussão. Citando sistemas de átomos neutros que agora suportam mais de 6.000 qubits físicos, Pruden aponta que "agora temos um sistema não de recozimento com mais de 6000 qubits físicos na arquitetura de átomos neutros", contradizendo diretamente qualquer implicação de que apenas arquiteturas de recozimento não escaláveis atingiram essa escala. Ele observa que trabalhos como o arranjo de pinças de 6.100 qubits do Caltech mostram que plataformas de átomos neutros grandes, coerentes e à temperatura ambiente já são uma realidade.

Sobre correção de erros, Pruden escreve que "a correção de erros de código de superfície foi demonstrada experimentalmente no ano passado, movendo-a de um problema de pesquisa para um problema de engenharia", e aponta para avanços rápidos em códigos de cores e códigos LDPC.

Ele destaca as estimativas atualizadas do Google "Rastreando o Custo da Fatoração Quântica", que mostram que um computador quântico com cerca de um milhão de qubits físicos ruidosos rodando por aproximadamente uma semana poderia, em princípio, quebrar o RSA-2048 — uma redução de vinte vezes em relação à estimativa do próprio Google de 2019 de vinte milhões de qubits. "As estimativas de recursos para um CRQC executando o algoritmo de Shor caíram duas ordens de magnitude em seis meses", ele observa, concluindo: "Dizer que essa trajetória de progresso pode potencialmente entregar um computador quântico antes de 2030 não é um exagero."

Onde Thaler enfatiza o HNDL como um problema de criptografia, Pruden reenquadra as blockchains como alvos quânticos exclusivamente atraentes. Ele enfatiza que "as chaves públicas usadas em assinaturas digitais são tão fáceis de colher quanto mensagens criptografadas", mas nas blockchains essas chaves estão diretamente ligadas a valor visível. Ele aponta que "essas chaves públicas são distribuídas e diretamente associadas a valor ($150B apenas para o BTC de Satoshi)", e que uma vez que um adversário quântico possa forjar assinaturas, "Se você pode forjar uma assinatura, você pode roubar o ativo independentemente de quando esse UTXO/conta original foi criado."

Para Pruden, essa realidade econômica significa que "os incentivos econômicos simples e claramente apontam para as blockchains como sendo o primeiro caso de uso quântico criptograficamente relevante", mesmo que outros setores também enfrentem riscos HNDL. Ele acrescenta que "as blockchains serão muito mais lentas para migrar do que sistemas centralizados. Um banco pode atualizar sua pilha. As blockchains devem alcançar consenso global, absorver compensações de desempenho de assinaturas PQ e coordenar milhões de usuários para migrar suas chaves."

Invocando a mudança de vários anos do Ethereum da prova de trabalho para a prova de participação, ele escreve: "A coisa mais próxima foi a transição do ETH 1.0 para 2.0, que levou anos, e por mais complexa que fosse, uma migração PQ é muito mais difícil. Qualquer pessoa que pense que isso é uma questão de trocar algumas linhas de código de assinatura simplesmente nunca enviou, implantou ou manteve uma blockchain de produção."

Pruden concorda com Thaler que o pânico é perigoso, mas inverte a conclusão: "Concordo que a pressa é perigosa. Mas é exatamente por isso que o trabalho deve começar agora. O modo de falha mais provável é que a indústria espere muito tempo, e então um marco QC importante desencadeie um pânico." Ele encerra dizendo que discorda que "a computação quântica está progredindo lentamente", que "as blockchains são menos vulneráveis do que sistemas expostos ao risco HNDL", ou que "a indústria tem anos de folga antes que a ação seja necessária", argumentando que "Todas as três suposições estão em desacordo com a realidade."

No momento da publicação, o Bitcoin estava em $91.616.