O caminho de atualização quântica do Bitcoin: O que o BIP-360 muda e o que não muda

Principais pontos

• BIP-360 inclui formalmente a resistência quântica no roadmap do Bitcoin pela primeira vez. Representa um passo incremental e calculado, ao invés de uma revisão criptográfica dramática.

• O risco quântico atinge principalmente chaves públicas expostas, não a hash SHA-256 do Bitcoin, tornando a exposição das chaves públicas a vulnerabilidade central que os desenvolvedores desejam reduzir.

• BIP-360 introduz Pay-to-Merkle-Root (P2MR), que remove a opção de gasto pelo caminho da chave do Taproot e obriga todos os gastos pelo caminho do script para minimizar a exposição à curva elíptica.

• A flexibilidade dos contratos inteligentes permanece intacta, pois o P2MR ainda suporta multisig, timelocks e estruturas de custódia complexas por meio das árvores Merkle do Tapscript.

O Bitcoin foi construído para resistir a cenários hostis econômicos, políticos e técnicos. A partir de 10 de março de 2026, seus desenvolvedores estão se preparando para enfrentar uma ameaça emergente: computação quântica.

A publicação recente da Bitcoin Improvement Proposal 360 (BIP-360) adiciona oficialmente a resistência quântica ao roadmap técnico de longo prazo do Bitcoin pela primeira vez. Embora algumas manchetes retratem isso como uma mudança dramática, a realidade é muito mais sutil e incremental.

Este artigo explora como o BIP-360 introduz o Pay-to-Merkle-Root (P2MR) para reduzir a exposição quântica do Bitcoin ao remover o gasto pelo caminho de chave do Taproot. Explica o que a proposta melhora, quais trade-offs ela traz e por que ainda não torna o Bitcoin totalmente seguro contra ataques quânticos.

Por que a computação quântica representa um risco para o Bitcoin

Para segurança, o Bitcoin depende da criptografia, principalmente do Elliptic Curve Digital Signature Algorithm (ECDSA) e das assinaturas Schnorr introduzidas pelo Taproot. Computadores convencionais não conseguem derivar realisticamente uma chave privada a partir de uma chave pública. Entretanto, um computador quântico poderoso executando o algoritmo de Shor poderia quebrar a lógica discreta da curva elíptica, expondo essas chaves.

Distinções fundamentais incluem:

• Ataques quânticos afetam mais a criptografia de chave pública, não a hashing.

• O SHA-256 do Bitcoin permanece relativamente forte contra métodos quânticos. O algoritmo de Grover apenas acelera quadraticamente, não exponencialmente.

• O risco real surge quando as chaves públicas ficam expostas na blockchain.

Por isso a comunidade foca na exposição das chaves públicas como o principal vetor de risco quântico.

Vulnerabilidades do Bitcoin em 2026

Nem todo tipo de endereço na rede Bitcoin enfrenta o mesmo nível de ameaça quântica futura:

• Endereços reutilizados: O gasto revela a chave pública na cadeia, deixando-a exposta a um futuro computador quântico relevante para criptografia (CRQC).

• Saídas legacy pay to public key (P2PK): Transações iniciais do Bitcoin embutiam chaves públicas diretamente nas saídas da transação.

• Gastos pelo caminho de chave do Taproot: O Taproot (2021) oferece dois caminhos: um caminho compacto de chave (que expõe uma chave pública ajustada no gasto) ou um caminho de script (que revela scripts via uma prova Merkle). O caminho de chave é o ponto teórico principal de fraqueza sob ataque quântico.

BIP-360 direciona diretamente essa exposição do caminho de chave.

O que BIP-360 introduz: P2MR

BIP-360 adiciona um novo tipo de saída, Pay-to-Merkle-Root (P2MR), modelado de perto com Taproot, mas com uma mudança crítica. Remove completamente a opção de gasto pelo caminho da chave.

Em vez de comprometer uma chave pública interna como o Taproot, o P2MR compromete apenas a raiz Merkle de uma árvore de scripts. Para gastar:

• Revela uma folha de script

• Fornece uma prova Merkle mostrando que ela pertence à raiz comprometida

Não existe qualquer rota de gasto baseada em chave pública.

Eliminar os gastos pelo caminho de chave significa:

• Sem exposição de chaves públicas para verificações diretas de assinatura.

• Todos os caminhos de gasto dependem de compromissos baseados em hash.

• A exposição de longo prazo de chaves públicas de curva elíptica cai fortemente.

Métodos baseados em hash são muito mais resilientes contra ataques quânticos do que suposições de curva elíptica. Isso reduz significativamente a superfície de ataque.

O que BIP-360 preserva

Um equívoco comum é que eliminar o gasto pelo caminho de chave enfraquece contratos inteligentes ou scripts. Não enfraquece. O P2MR suporta totalmente:

• Configurações multisig

• Timelocks

• Pagamentos condicionais

• Esquemas de herança

• Custódias avançadas

BIP-360 executa todas essas funções por meio de árvores Merkle do Tapscript. Embora o processo preserve toda a capacidade de scripting, o atalho conveniente, porém vulnerável, de assinatura direta desaparece.

Você sabia? Satoshi Nakamoto reconheceu brevemente a computação quântica em discussões iniciais nos fóruns, sugerindo que, se se tornasse prática, o Bitcoin poderia migrar para esquemas de assinatura mais fortes. Isso mostra que a flexibilidade para upgrade sempre foi parte da filosofia de design.

Implicações práticas do BIP-360

BIP-360 pode parecer apenas um refinamento técnico, mas seu impacto seria sentido em carteiras, exchanges e custódias. Se ativado, gradualmente redefiniria como novas saídas de Bitcoin são criadas, gastas e protegidas, especialmente para usuários que priorizam a resiliência quântica de longo prazo.

• Carteiras poderiam introduzir endereços opt-in P2MR (provavelmente começando com “bc1z”) como uma escolha “fortalecida para o quântico” para novas moedas ou hodls de longo prazo.

• Transações serão um pouco maiores (mais dados de witness dos caminhos de script), podendo aumentar ligeiramente as taxas em comparação aos gastos pelo caminho da chave do Taproot. A segurança se contrapõe à compactação.

• Uma implantação total exige atualizações de carteiras, exchanges, custodias e carteiras de hardware. O planejamento deve começar anos antes.

Você sabia? Governos já se preparam para o risco “colha agora, decripte depois”, onde dados criptografados são armazenados hoje prevendo uma futura decriptação quântica. Essa estratégia reflete preocupações com chaves públicas expostas de Bitcoin.

O que BIP-360 explicitamente não faz

Embora o BIP-360 fortaleça o Bitcoin diante de ameaças quânticas futuras, não é uma revisão criptográfica abrangente. Compreender seus limites é tão importante quanto entender suas inovações:

• Sem upgrade automático para moedas existentes: Saídas antigas de transações não gastas (UTXO) permanecem vulneráveis até que usuários migrem manualmente fundos para saídas P2MR. A migração depende do comportamento do usuário.

• Sem novas assinaturas pós-quânticas: O BIP-360 não substitui ECDSA ou Schnorr por esquemas baseados em lattice (por exemplo, Dilithium ou ML-DSA) ou baseados em hash (por exemplo, SPHINCS+). Apenas remove o padrão de exposição do caminho de chave do Taproot. Uma transição total para assinaturas pós-quânticas exigiria uma mudança muito maior na camada base.

• Sem imunidade completa quântica: Um avanço repentino de CRQC ainda exigiria uma grande coordenação entre mineradores, nodes, exchanges e custodias. Moedas dormentes poderiam criar questões complexas de governança e estresse na rede poderia seguir.

Por que os desenvolvedores estão agindo agora

O progresso quântico é incerto. Alguns acreditam que está a décadas de distância. Outros apontam para os objetivos tolerantes a falhas da IBM para final da década de 2020, avanços de chips do Google, pesquisas topológicas da Microsoft e transições do governo dos EUA planejadas para 2030-2035.

Migrações de infraestrutura crítica levam muitos anos. Os desenvolvedores do Bitcoin enfatizam o planejamento entre design de BIP, software, infraestrutura e adoção pelo usuário. Esperar pela certeza no progresso quântico pode deixar tempo insuficiente para upgrades de infraestrutura.

Se houver consenso, um soft fork em fases pode ocorrer:

1. Ativar o tipo de saída P2MR

2. Carteiras, exchanges e custodias adicionam suporte

3. Migração gradual dos usuários ao longo dos anos

Isso reflete a adoção opcional e posterior generalizada do SegWit e do Taproot.

O debate mais amplo sobre o BIP-360

O debate sobre urgência e custos continua. Questões em discussão incluem:

• Pequenos aumentos de taxas são aceitáveis para HODLers?

• Instituições deveriam liderar a migração?

• E as moedas que nunca se movem?

• Como carteiras deveriam sinalizar “segurança quântica” sem causar alarme desnecessário?

Essa conversa segue em andamento. O BIP-360 avança na discussão, mas não a encerra.

Você sabia? A ideia de que computadores quânticos poderiam ameaçar a criptografia data de 1994, quando o matemático Peter Shor introduziu o algoritmo de Shor, muito antes do Bitcoin existir. O planejamento quântico futuro do Bitcoin é, essencialmente, uma resposta a um avanço teórico de 30 anos atrás.

O que usuários podem fazer agora

Não há motivo para pânico no momento, pois as ameaças quânticas não são iminentes. Passos prudentes incluem:

• Nunca reutilizar endereços

• Usar sempre software de carteira atualizado

• Acompanhar novidades sobre upgrades de protocolo

• Observar o suporte ao P2MR nas carteiras

Aqueles com grandes holdings devem mapear sua exposição discretamente e considerar planos de contingência.

BIP-360: O primeiro passo em direção à resistência quântica

BIP-360 representa o primeiro passo concreto do Bitcoin para reduzir sua exposição quântica no nível do protocolo. Redefine como novas saídas podem ser criadas, minimiza vazamentos de chave pública e cria o cenário para o planejamento de migração de longo prazo.

Não altera automaticamente moedas existentes, mantém as assinaturas atuais intactas e destaca a necessidade de um esforço cuidadoso e coordenado por todo o ecossistema. A verdadeira resistência quântica virá de engenharia contínua e adoção em fases, não de um único BIP.