Em abril de 2026, um pesquisador conseguiu quebrar uma chave de curva elíptica de 15 bits usando um computador quântico real, ganhando o Prêmio Q-Day do Projeto Eleven e 1 BTC por essa demonstração prática sobre uma vulnerabilidade que afeta todas as carteiras de Bitcoin. A chave usada era pequena — as chaves de 256 bits do ECDSA ainda estão muito longe de serem comprometidas — mas o avanço aponta uma direção clara. Aproximadamente 6,9 milhões de BTC estão em endereços com chaves públicas expostas, incluindo os estimados 1 milhão de Satoshi, e cada avanço no hardware quântico diminui a distância entre a "ameaça teórica" e o "prazo prático".
Desenvolvedores do Bitcoin acompanham esse cenário há anos. O BIP-360, publicado em 11 de fevereiro de 2026 e incorporado ao repositório oficial de BIPs do Bitcoin, é uma resposta a essa preocupação. Ele propõe um novo tipo de saída chamado Pay-to-Merkle-Root (P2MR), que funciona quase como o Taproot (P2TR), mas elimina o único elemento suscetível a ataques quânticos. A BTQ Technologies implementou a primeira versão funcional na testnet Bitcoin Quantum v0.3.0 em março de 2026.
Por que o Taproot tem um problema com computação quântica
Para entender o que o BIP-360 resolve, é preciso compreender o que o Taproot expõe.
Quando o Bitcoin ativou a atualização Taproot em novembro de 2021, introduziu as saídas P2TR (Pay-to-Taproot) com dois caminhos de gasto. O primeiro é o keypath, onde uma chave pública é registrada diretamente no blockchain e seu proprietário comprova a posse da chave privada correspondente. O segundo é o scriptpath, em que as condições de gasto ficam ocultas numa árvore de scripts Merkle, revelando apenas o ramo usado no momento da transação.
O keypath é rápido, barato e privado para o uso normal. Contudo, expõe a chave pública de forma legível. Atualmente, isso é seguro, pois nenhum computador consegue reverter o ECDSA de chave pública para privada. Um computador quântico suficientemente potente rodando o algoritmo de Shor poderia realizar esse feito. Um whitepaper do Google em abril de 2026 estimou que um ataque completo ao ECC de 256 bits demandaria menos de 500.000 qubits físicos, abaixo das projeções anteriores, que eram de milhões. Outro estudo da Caltech e Oratomic estimou menos de 10.000 qubits em uma arquitetura de átomos neutros.
Essas máquinas ainda não existem. Mas as projeções continuam caindo, e os endereços com chaves expostas permanecem. Cada gasto P2TR por keypath, cada saída legada Pay-to-Public-Key (P2PK) dos primeiros anos do Bitcoin e cada endereço que já realizou uma transação (revelando a chave pública na assinatura) compõem um grupo crescente de moedas vulneráveis a ataques quânticos.
Como o P2MR elimina a vulnerabilidade
A solução do BIP-360 é elegante porque praticamente não altera o funcionamento dos scripts do Bitcoin.
As saídas P2TR comprometem-se com uma chave pública "ajustada" que codifica o keypath e a raiz Merkle da árvore de scripts. O P2MR elimina o keypath por completo. Em vez de ajustar uma chave pública, o P2MR compromete-se diretamente com a raiz Merkle da árvore de scripts. Nenhuma chave pública aparece na blockchain até que um ramo de script seja executado — e mesmo assim, só no ramo específico gasto.
Em analogia: Taproot seria como um cofre trancado onde uma chave fica pendurada do lado de fora da porta (conveniente, porém visível) e as cópias ficam em envelopes dentro do cofre. O P2MR remove esse gancho; todas as chaves ficam no cofre, sendo revelada apenas a necessária ao abrir o envelope correspondente.
A implementação técnica usa SegWit versão 2, conferindo ao P2MR seu próprio prefixo de endereço. Endereços mainnet P2MR começam com bc1z, seguindo o padrão bech32m (onde a versão 2 corresponde à letra z). Endereços P2TR começam com bc1p (versão 1) e SegWit legacy com bc1q (versão 0). O novo prefixo torna os endereços P2MR facilmente identificáveis.
O que inclui a implementação na testnet
A BTQ Technologies lançou a Bitcoin Quantum testnet v0.3.0 em março de 2026, trazendo a implementação funcional do BIP-360. Não é mais um conceito teórico — pessoas já criam e gastam transações P2MR em uma rede de teste ativa.
A testnet inclui cinco opcodes de assinatura pós-quântica Dilithium ativados no contexto tapscript do P2MR. Dilithium (agora padronizado pelo NIST como ML-DSA) é um esquema de assinatura baseado em reticulados, resistente a ataques quânticos conhecidos. Onde o Bitcoin depende de ECDSA e Schnorr (ambos vulneráveis ao algoritmo de Shor), assinaturas Dilithium resistem por serem baseadas em problemas matemáticos (problemas de reticulado de módulos) que se mantêm difíceis mesmo para computadores quânticos.
A implementação também fornece validação completa de consenso P2MR, verificação do compromisso Merkle root, validação de control block e ferramentas CLI para criar e gastar transações resistentes a quânticos. Desenvolvedores já podem testar todo o fluxo.
Um ponto importante do BIP-360 é a compatibilidade retroativa. O P2MR utiliza o código tapleaf e tapscript do P2TR já existente no Bitcoin Core, permitindo que carteiras, exchanges e bibliotecas que suportam Taproot aproveitem grande parte do código ao adicionar suporte ao P2MR. Isso facilita a adoção, caso a proposta seja aprovada no mainnet.
O que significam os 6,9 milhões de BTC vulneráveis
O número é relevante e merece atenção, mas é preciso contexto.
O Projeto Eleven estima que cerca de 6,9 milhões de BTC — um terço do total — estão em endereços cujas chaves públicas já estão visíveis no blockchain. Isso inclui todo output P2PK dos dois primeiros anos do Bitcoin (inclusive as moedas de Satoshi), todos os endereços que já fizeram alguma transação (pois a chave pública é revelada na assinatura) e cada gasto P2TR por keypath.
Se um computador quântico for capaz de rodar o algoritmo de Shor sobre ECC de 256 bits, essas moedas podem teoricamente ser desviadas. O invasor derivaria as chaves privadas das chaves públicas expostas e transferiria os fundos.
Porém, "teoricamente" é a palavra-chave. O vencedor do Prêmio Q-Day de abril de 2026 quebrou uma chave de 15 bits. O Bitcoin usa chaves de 256 bits — a diferença computacional entre esses valores é astronômica, não linear. O avanço de 15 bits ampliou o recorde anterior em 512 vezes, um progresso relevante para a pesquisa, mas o salto de 15 para 256 bits exige avanços em número de qubits, correção de erros e tempo de coerência que não estão previstos para os próximos anos.
O resumo honesto é: a ameaça é real, o prazo é incerto, e o Bitcoin tem uma janela para se preparar. O BIP-360 representa essa preparação.
O que o BIP-360 não faz
O BIP-360 é uma proposta, não uma alteração ativa do protocolo. Diversos passos são necessários antes de impactar seu Bitcoin.
Ainda não foi ativado na mainnet. A implementação na testnet prova que o conceito funciona, mas a ativação na rede principal exige consenso da comunidade via soft fork. Historicamente, soft forks no Bitcoin levam anos do conceito à ativação. O SegWit levou cerca de quatro anos; o Taproot, três.
Não protege automaticamente endereços existentes. Se o BIP-360 for ativado, os usuários deverão transferir suas moedas para novos endereços P2MR (bc1z) para obter proteção contra quânticos. Moedas em formatos antigos continuam vulneráveis até serem migradas. Essa migração é voluntária e não automática, e quem se sente seguro com o endereço atual pode manter seus fundos onde estão.
Não torna o Bitcoin "inquebrável" por computadores quânticos. O BIP-360 protege contra o algoritmo de Shor atacando chaves de curva elíptica. Se surgirem novos vetores de ataque quântico contra funções hash ou criptografia baseada em reticulados, outras melhorias serão necessárias. A proposta aborda o perigo mais conhecido e imediato, não todos os possíveis.
Também não afeta a mineração proof-of-work do Bitcoin. A mineração de Bitcoin usa funções hash SHA-256, que são resistentes ao algoritmo de Shor. Computadores quânticos podem ganhar uma vantagem modesta com o algoritmo de Grover, mas isso apenas reduziria pela metade a segurança hash efetiva, ainda mantendo um nível de 128 bits — considerado suficiente.
Cronograma relevante para traders
Se você possui BTC e quer saber o que fazer agora, a resposta é: nada muda no momento. Mas vale acompanhar o cronograma.
Marco | Status | O que significa |
BIP-360 publicado e incorporado | Concluído (Fev 2026) | Proposta oficial e revisada por pares |
Primeira implementação na testnet | Concluído (Mar 2026) | Código funcional, disponível para testes |
Prêmio Q-Day (ECC 15 bits quebrado) | Concluído (Abr 2026) | Ameaça quântica é crescente, não apenas teórica |
Ativação de soft fork na mainnet | Não iniciada | Depende de consenso comunitário, pode levar anos |
Suporte a P2MR em carteiras e exchanges | Não iniciado | Infraestrutura precisa adotar endereços bc1z |
Migração de usuários para endereços bc1z | Ainda não aplicável | Migração manual de moedas quando disponível |
Esse cronograma repete o padrão das grandes atualizações do Bitcoin. O desenvolvimento técnico ocorre anos antes da ativação. O Taproot foi proposto em 2018 e ativado em 2021. O BIP-360 está na fase inicial, sendo otimista, a ativação na mainnet levará alguns anos.
Para traders, o sinal mais importante não é o BIP-360 em si, mas a velocidade dos avanços em computação quântica. Cada novo marco, cada recorde de qubits anunciado por IBM, Google ou Caltech, e cada revisão de cronograma para "computadores quânticos relevantes para criptografia" tende a impactar os mercados. O resultado do Prêmio Q-Day (Giancarlo Lelli) já provocou cobertura midiática e pressões temporárias no preço do BTC, até o mercado absorver o contexto.
Perguntas Frequentes
O Bitcoin está seguro contra computadores quânticos atualmente?
Sim. O maior ataque público com computador quântico quebrou uma chave de 15 bits em abril de 2026. O Bitcoin utiliza chaves de 256 bits, e a diferença computacional entre esses números é muito grande para o hardware atual. O consenso entre pesquisadores é que computadores quânticos relevantes para criptografia ainda estão a anos de distância.
O que é um endereço bc1z?
É o formato de endereço proposto pelo BIP-360 para saídas Pay-to-Merkle-Root (P2MR). O prefixo bc1z identifica o SegWit versão 2 segundo o padrão bech32m, similar ao bc1p (Taproot, versão 1) e bc1q (SegWit nativo, versão 0). Esses endereços ocultariam as chaves públicas da exposição on-chain.
Preciso migrar meu Bitcoin para um endereço resistente a quânticos agora?
Não. O BIP-360 ainda não foi ativado na mainnet do Bitcoin, então endereços P2MR ainda não existem na rede principal. Se e quando houver ativação, será necessário enviar suas moedas para um novo endereço bc1z para obter proteção contra quânticos. Até lá, siga boas práticas: sempre que possível, use endereços que não tenham tido suas chaves públicas expostas em transações anteriores.
O que ocorre com os Bitcoins de Satoshi se os computadores quânticos avançarem?
Os cerca de 1 milhão de BTC de Satoshi estão em outputs P2PK dos primeiros anos, com chaves públicas permanentemente visíveis. Se um computador quântico for capaz de quebrar o ECDSA de 256 bits, essas moedas poderiam ser transferidas por qualquer pessoa com acesso a essa tecnologia. O BIP-360 não pode protegê-las, pois ninguém pode mover essas moedas para um endereço novo. Este é um dos debates recorrentes sobre a segurança de longo prazo do Bitcoin.
Resumo Final
O BIP-360 não é um remendo emergencial. É o ecossistema Bitcoin construindo uma rota de escape antes do surgimento do perigo. A ameaça quântica sobre a criptografia de curva elíptica do Bitcoin é real, porém ainda distante, embora o prazo encurte à medida que avançam os qubits e caem as taxas de erro. O P2MR oferece ao Bitcoin um caminho de migração que mantém o poder dos scripts Taproot e elimina a vulnerabilidade do keypath que coloca 6,9 milhões de BTC em risco teórico.
A questão prática para os próximos dois ou três anos não é "devo me preocupar com computadores quânticos", mas sim "qual a velocidade de avanço desse cenário". Cada novo marco — do prêmio Q-Day (15 bits) às projeções do Google para menos de 500 mil qubits — renova o senso de urgência. Quando o BIP-360 avançar rumo à mainnet, as carteiras e exchanges que se prepararem terão vantagem competitiva. As que esperarem, precisarão correr atrás. Essa diferença é onde surgem oportunidades estratégicas.
Este artigo é apenas para fins informativos e não constitui aconselhamento financeiro ou de investimento. A negociação de criptomoedas envolve riscos consideráveis. Sempre conduza sua própria pesquisa antes de tomar decisões de negociação.
