Rewards Hub 
Em 24 de abril de 2026, o pesquisador independente Giancarlo Lelli derivou uma chave privada a partir de uma chave pública em uma curva elíptica de 15 bits utilizando hardware quântico acessível via nuvem. Ele utilizou uma variante do algoritmo de Shor, com sucesso. O Project Eleven, uma organização de pesquisa em segurança quântica, concedeu a ele o Prêmio Q-Day de 1 Bitcoin por realizar o maior ataque quântico público à criptografia que protege Bitcoin, Ethereum e praticamente todos os principais blockchains.
Uma chave de 15 bits está muito distante das chaves de 256 bits que protegem carteiras reais, e o Bitcoin não foi comprometido. No entanto, a diferença entre o que computadores quânticos conseguem quebrar hoje e o necessário para ameaçar carteiras reais está diminuindo mais rápido do que muitos participantes do setor cripto imaginam — e três artigos acadêmicos publicados no primeiro trimestre de 2026 são o motivo dessa mudança na linha do tempo.
O que Lelli fez exatamente e por que isso importa
O ataque teve como alvo o Elliptic Curve Discrete Logarithm Problem (ECDLP). Essa relação matemática permite gerar uma chave pública a partir de uma privada, mas torna computacionalmente inviável reverter o processo usando computadores clássicos. Ao enviar Bitcoin, sua carteira assina a transação com a chave privada e transmite a correspondente chave pública. Se alguém resolve o ECDLP para sua chave pública, pode obter sua chave privada e acessar suas moedas.
A quebra de 15 bits feita por Lelli envolveu um espaço de busca de 32.767 possibilidades. Parece pequeno frente ao espaço de 2^256 que protege as chaves reais do Bitcoin — e de fato é. Porém, o contexto é importante: o recorde anterior era uma quebra de 6 bits por Steve Tippeconnic em setembro de 2025, cobrindo apenas 64 possibilidades. O avanço de Lelli multiplica esse número por 512 em um único passo e foi realizado em hardware quântico de nuvem, disponível publicamente, não em sistema de laboratório proprietário.
A relevância não está no tamanho da chave, mas na velocidade com que a capacidade está avançando. Pesquisadores quânticos passaram de artigos teóricos para demonstrações práticas em hardware acessível em menos de um ano.
Quão distante está 15 bits de 256 bits
A resposta honesta: 15 bits e 256 bits estão separados por um abismo tão grande que nenhum computador quântico atual pode cruzá-lo. Uma chave de curva elíptica de 256 bits possui cerca de 10^77 possibilidades. Os processadores quânticos atuais chegam a 1.000–1.500 qubits, a maioria ainda ruidosa para cálculos criptográficos prolongados. Quebrar uma chave real do Bitcoin exige muito mais qubits e taxas de correção de erro que ainda não existem.
No entanto, o debate mudou no início de 2026. Três artigos acadêmicos distintos reduziram drasticamente a estimativa de recursos necessários para um ataque ECDLP de 256 bits.
O Google Quantum AI publicou um artigo técnico de 57 páginas em março de 2026 mostrando que dois circuitos quânticos otimizados poderiam resolver o ECDLP-256 usando menos de 1.200 a 1.450 qubits lógicos e entre 70 e 90 milhões de portas Toffoli. Em hardware físico, isso se traduz em menos de 500.000 qubits físicos (com correção de erro por código de superfície). Antes, a melhor estimativa era cerca de 10 milhões — o Google reduziu esse número em 20 vezes.
Um artigo seguinte, de Caltech e Oratomic, foi além e estimou que uma arquitetura de átomos neutros poderia realizar o mesmo ataque com apenas 10.000 qubits físicos. Essa arquitetura ainda é experimental, mas empresas como QuEra e Pasqal estão investindo bilhões nessas plataformas.
A mudança de "precisamos de 10 milhões de qubits" para "talvez só 10.000" ocorreu em três meses. Pesquisadores do Project Eleven resumiram: fechar o abismo entre 15 bits e 256 bits é visto cada vez mais como um desafio de engenharia — não de física fundamental.
Quais Bitcoins são realmente vulneráveis
Nem todos os endereços de Bitcoin enfrentam o mesmo risco. A ameaça quântica afeta especialmente endereços com chave pública já visível no blockchain.
Ao receber bitcoins em um endereço e nunca gastar, apenas o hash da chave pública é exposto, o que adiciona uma camada de proteção — mesmo um ataque ECDLP bem-sucedido não reverte o hash. As moedas permanecem seguras enquanto a chave pública estiver oculta. Porém, ao gastar do endereço, a chave pública completa é transmitida à rede como parte da assinatura da transação. Qualquer endereço que já realizou alguma transação tem a chave pública exposta permanentemente na blockchain.
O Project Eleven estima que cerca de 6,9 milhões de BTC estão em endereços com chaves públicas visíveis — aproximadamente um terço do suprimento total, avaliados em mais de US$ 550 bilhões atualmente. Isso inclui os estimados 1,1 milhão de BTC de Satoshi Nakamoto, dos primeiros dias da mineração, quando o formato Pay-to-Public-Key era padrão e as chaves públicas eram transmitidas por padrão.
A principal recomendação para detentores individuais é simples: se você usa uma carteira moderna e nunca reutiliza um endereço que já foi gasto, sua exposição ao risco quântico é bem menor do que quem mantém moedas em endereços antigos.
| Tipo de Endereço | Chave Pública Exposta? | Risco Quântico |
|---|---|---|
| Nunca gasto (apenas hash) | Não | Baixo, até que o hash seja quebrado |
| Já gasto ao menos uma vez | Sim | Alto, se o ECDLP for resolvido |
| Pay-to-Public-Key (BTC inicial) | Sim, por padrão | Alto |
| Taproot (P2TR) | Visível no keypath | Moderado |
O que os desenvolvedores Bitcoin estão construindo para se defender
A comunidade de desenvolvedores Bitcoin está atenta ao tema. O BIP-360, chamado formalmente de Pay-to-Merkle-Root (P2MR), propõe um novo tipo de saída de transação semelhante ao Taproot, mas elimina a exposição à keypath vulnerável a ataques quânticos. No BIP-360, a assinatura usa um esquema criptográfico pós-quântico em vez da matemática da curva elíptica — a mesma que Lelli quebrou em pequena escala. A BTQ Technologies implementou o BIP-360 na testnet em 2026.
A partir desta base, o BIP-361 foi publicado no repositório oficial do Bitcoin em 14 de abril de 2026. Chamado de "Migração Pós-Quântica e Descontinuação de Assinaturas Legadas", o BIP-361 define um plano com prazo-limite. Após um período de carência, gastar de endereços legados baseados em ECDSA seria invalidado na rede. Moedas não transferidas para endereços resistentes ao quantum dentro do prazo seriam congeladas.
Esse ponto é polêmico: congelar moedas antigas inclui os 1,1 milhão de Satoshi e outras carteiras inativas com chave exposta, que se tornariam permanentemente indisponíveis caso seus donos não agissem. Alguns desenvolvedores defendem a medida para proteger a rede; outros alegam que isso comprometeria a garantia de propriedade do Bitcoin. Não há consenso, e essa será uma das decisões de governança mais debatidas na história do Bitcoin.
O Google sugeriu 2029 como meta para a migração do setor para padrões criptográficos pós-quânticos, dando cerca de três anos para o Bitcoin lançar, testar e ativar um soft fork que altere o esquema de assinatura de todas as carteiras da rede. É um prazo desafiador, considerando que o Taproot levou quatro anos para ser ativado.
O que isso significa para Ethereum e outras redes
O Bitcoin está nos holofotes, mas a ameaça quântica também se aplica ao Ethereum e a qualquer blockchain que utilize ECDSA ou esquemas de assinatura semelhantes com curva elíptica (entenda sobre Bitcoin). O modelo de contas do Ethereum agrava o problema — todo endereço Ethereum que já enviou uma transação deixa a chave pública exposta permanentemente, e contas Ethereum normalmente são reutilizadas, diferentemente do Bitcoin. Assim, a parcela de ETH em endereços vulneráveis pode ser ainda maior.
O roadmap do Ethereum prevê uma migração pós-quântica nos planos de longo prazo do projeto "Splurge" de Vitalik Buterin, mas ainda não há EIP com cronograma fechado. A equipe de pesquisa da Ethereum Foundation já publicou estudos sobre esquemas de assinatura baseados em lattice, mas a implementação pode levar anos.
Outras redes enfrentam desafios ainda maiores. Blockchains como Solana e Avalanche, que usam ECDSA ou EdDSA, compartilham a mesma vulnerabilidade e podem ter menos desenvolvedores para realizar a migração. Curiosamente, muitas dessas redes rápidas e modernas se baseiam em pressupostos criptográficos dos anos 1990 — que Lelli mostrou serem alvo de ataques em hardware quântico real.
Perguntas frequentes
Um computador quântico pode roubar meu Bitcoin agora?
Não. A chave de 15 bits quebrada por Lelli é cerca de 10^72 vezes menor do que as chaves de 256 bits que protegem carteiras reais de Bitcoin. Nenhum computador quântico público possui a quantidade de qubits ou correção de erros necessária para atacar chaves de produção atualmente. A ameaça é real, mas não iminente.
Quantos qubits seriam necessários para quebrar a criptografia do Bitcoin?
O estudo do Google de março de 2026 estimou menos de 500.000 qubits físicos usando arquitetura supercondutora com correção por código de superfície. O artigo de Caltech e Oratomic reduziu esse número para possivelmente 10.000 qubits em uma plataforma de átomos neutros. Os computadores quânticos atuais chegam a cerca de 1.000–1.500 qubits, então o desafio de engenharia ainda é significativo.
O que é o BIP-360 e ele protegerá o Bitcoin contra ataques quânticos?
O BIP-360 propõe um novo tipo de saída chamada Pay-to-Merkle-Root, que elimina o caminho de chave vulnerável a ataques quânticos nas transações do Bitcoin. Está em fase de testes desde 2026, e o BIP-361 amplia a proposta ao criar um cronograma de migração e congelar endereços antigos. Se ativadas, essas propostas tornarão o Bitcoin resistente ao quantum, mas exigem um soft fork e amplo acordo da comunidade.
Devo mover meu Bitcoin para um novo endereço para protegê-lo?
Se suas moedas estão em um endereço nunca utilizado, a chave pública não está exposta e o risco quântico é menor. Endereços já gastos têm a chave pública permanentemente visível na blockchain. Usar uma carteira moderna que gere novos endereços para cada transação é uma precaução razoável, embora nenhum computador quântico seja capaz de explorar essa vulnerabilidade atualmente.
Resumo final
A quebra de curva elíptica de 15 bits não representa uma crise para o Bitcoin, mas é uma prova de conceito que torna o risco quântico mais concreto. As estimativas de recursos para um ataque de 256 bits caíram 20 vezes em um trimestre de 2026, e a tendência é de novas reduções à medida que o hardware e os algoritmos evoluem. Os desenvolvedores já trabalham nos BIPs 360 e 361, mas implementar essa mudança antes que o hardware quântico avance é uma corrida contra o tempo. Os 6,9 milhões de BTC em endereços com chaves públicas expostas são o maior risco prático, e quem deseja se antecipar deve acompanhar de perto o debate sobre o BIP-361. Três anos para migrar toda a rede monetária é pouco tempo — e o relógio já está correndo desde março.
Este artigo é apenas para fins informativos e não constitui aconselhamento financeiro ou de investimento. A negociação de criptomoedas envolve riscos substanciais. Sempre faça sua própria pesquisa antes de tomar decisões de negociação.
