Devemos apagar os bitcoins de Satoshi Nakamoto?

O computador quântico vai apresentar um grande dilema. O que fazer com os bitcoins de Satoshi Nakamoto e outros milhões de BTC perdidos?

Bitcoin e a ameaça quântica

O desenvolvedor do Bitcoin Agustin Cruz propõe um hard fork que obrigaria todos a transferir seus BTC para endereços resistentes a ataques quânticos.

Seu BIP sugere um período obrigatório de migração dos endereços Bitcoin atuais (ou seja, os endereços seguros por ECDSA) para endereços resistentes a computadores quânticos. Após uma certa data, os bitcoins que não forem movidos tornar-se-ão irrecuperáveis.

Antes de abordar as questões filosóficas e técnicas que esse BIP levanta, ressaltamos que a ameaça quântica não é fantasia.

Para a Microsoft, o computador quântico será uma realidade em alguns “anos, e não em décadas”. Google e IBM também preveem que a grande revolução tecnológica está mais próxima do que se imagina.

Scott Aaronson, um pesquisador com 25 anos de experiência no campo quântico, recentemente soou o alarme:

Antes, eu costumava dizer que talvez fosse necessário, eventualmente, considerar a migração da criptografia de curva elíptica para sistemas criptográficos possivelmente resistentes a ataques quânticos. Hoje, penso que a mensagem deve ser: sim, claramente, preocupem-se. Tenham um plano.

Scott Aaronson, 2024

Pierre-Luc Dallaire-Demers, pesquisador da Universidade de Calgary, estima que “faltam cerca de cinco anos para que o computador quântico possa quebrar as chaves de curva elíptica que protegem os bitcoins”.

Portanto, é hora de reacender o debate.

O dilema…

Deve-se impedir que Google ou Microsoft tenham acesso aos bitcoins que não migraram para endereços resistentes? Ou seja, o milhão de bitcoins minerados por Satoshi Nakamoto e os outros dois milhões de BTC que se estimam perdidos?

Jameson Lopp publicou em seu blog um longo artigo para pesar os prós e contras. O cypherpunk compartilha da opinião de Agustin Cruz e recomenda destruir os BTC vulneráveis ao computador quântico. Aqui está sua última palestra sobre o assunto:

Pieter Wuille, o desenvolvedor de Bitcoin mais experiente (25 BIPs), está na mesma sintonia:

Claro que os bitcoins devem ser destruídos. Se e quando (e é um grande se) a existência de um computador quântico capaz de quebrar a criptografia se tornar uma ameaça credível, não teremos outra opção senão eliminar a capacidade de gastar bitcoins protegidos pela criptografia ECDSA. Caso contrário, milhões de BTC ficarão vulneráveis ao roubo. Não vejo como uma moeda pode manter qualquer valor nesse contexto. Isso afeta todos, mesmo aqueles que já transferiram seus bitcoins para endereços resistentes [pois esse roubo poderia derrubar o preço do bitcoin].

Pieter Wuille, 2025

Outros, como o CEO da Tether, parecem não se preocupar tanto:

Endereços resistentes serão adicionados ao Bitcoin antes que a ameaça quântica se torne séria. Todas as pessoas vivas (e que têm acesso às suas carteiras) transferirão seus bitcoins para esse novo tipo de endereço. Todos os bitcoins perdidos, incluindo os de Satoshi (se ele não estiver mais vivo), serão hackeados e colocados em circulação novamente.

Paolo Ardoino, 2025

Será que Satoshi Nakamoto gostaria que a Microsoft tivesse acesso aos seus bitcoins? Pouco provável.

Incentivo

Alguns apontam que destruir bitcoins seria renegar os fundamentos da rede. Primeiramente: a resistência à censura. Ninguém deve poder privar outro de seus bitcoins. Sem falar na sagrada tradição de evoluir o código via soft forks retrocompatíveis.

Por outro lado, impediríamos que vários milhões de bitcoins caíssem nas mãos de multinacionais. Sabendo que a Microsoft recentemente recusou adicionar bitcoin ao seu caixa.

Os BTC de Satoshi valem cerca de 100 bilhões de dólares. Os suspeitos de estarem perdidos para sempre valem 250 bilhões. É uma grande fortuna que a Microsoft poderia despejar no mercado.

Esses 350 bilhões poderiam facilmente passar de 2 trilhões quando o computador quântico estiver realmente funcional. Isso é mais que a capitalização de mercado do Google.

Isso nos leva a outro pilar da matriz Bitcoin: o incentivo financeiro. O limite de 21 milhões de BTC existe porque somos financeiramente incentivados a não alterá-lo. [Foi com esse argumento que Bitcoin Core recusou filtrar os ordinais, que são uma fonte de receita para os mineradores].

Na mesma linha, somos todos incentivados a que os bitcoins perdidos, incluindo os de Satoshi, nunca voltem à circulação. Deixar a Microsoft vender milhões de BTC empobrece todos que detêm bitcoins. Ao contrário, impedir a Microsoft de acessar fundos perdidos não pioraria a situação de ninguém.

“Ninguém”, ou quase. Alguns mais desatentos perderão alguns ganhos, mas seja via hard fork ou computador quântico, o resultado será o mesmo.

No cerne da criptografia do Bitcoin

Agora vamos ao cerne do assunto criptográfico. O bitcoin baseia-se em funções de hash (SHA-256), mas também em criptografia assimétrica. No segundo caso, fala-se também em criptografia de “chave pública”. É ela que está no centro da mecânica das transações e que estaria vulnerável a um computador quântico.

Os pares de chaves privadas/públicas aos quais os BTC estão vinculados são construídos usando a curva elíptica secp256k1 (ECDSA). São essas chaves que “prendem” os bitcoins por uma relação matemática supostamente inquebrável.

Criar uma carteira significa gerar pares de chaves que servem para realizar transações (mover bitcoins de uma chave pública para outra). No jargão, diz-se que se cria um “utxo”, ou seja, um pequeno pedaço de código (um “script”). Esse script liga uma chave pública a uma quantidade de BTC (um valor). O princípio é que somente a chave privada correspondente pode “desbloquear” o script para vincular os BTC a outra chave pública, ou seja, realizar uma transação.

Em resumo, uma carteira não contém bitcoins propriamente ditos. Ela simplesmente abriga chaves privadas usadas para desbloquear os utxos que todos os nós da rede mantêm na memória. E o fato é que o computador quântico poderia decifrar uma chave privada a partir de uma chave pública graças ao algoritmo de Shor.

Agora que dissemos isso, é necessário explicar quais tipos de endereços Bitcoin são vulneráveis. Nem todos, na verdade. Estão principalmente em questão os endereços muito antigos do tipo P2PK (pay-to-public-key). Esses endereços eram simplesmente a chave pública do script.

Desde então, as coisas mudaram. As chaves públicas não são mais realmente públicas. Elas são ofuscadas passando pela função de hash SHA-256 que, por sua vez, é resistente ao computador quântico.

Sim, mas…

Quanto tempo?

Sim, mas as chaves públicas são reveladas publicamente no momento das transações. Em outras palavras, se você gastar uma parte de um UTXO, os BTC restantes ficam vulneráveis. Esta é uma das razões pelas quais nunca se deve reutilizar os mesmos endereços.

Em suma, todos terão que, cedo ou tarde, mover manualmente seus BTC para novos endereços. E isso pode levar algum tempo, pois a taxa de transações da rede é limitada.

Jameson Lopp estima que será necessário o equivalente a seis meses de espaço em bloco para proteger todos os BTC. Ou até um mês, se não considerarmos os UTXOs microscópicos (dust utxo).

Claro, este é o cenário ideal. O processo certamente levará mais tempo, nem que seja devido ao aumento das taxas de transação que fará com que alguns adiem a migração. Considerando tudo, um período de migração de quatro anos parece necessário. Após isso, os BTC ainda associados a endereços antigos serão perdidos para sempre.

Em resumo, se o dilema moral causado pela violação de uma das propriedades invioláveis do Bitcoin causa questionamentos, a teoria dos jogos e os incentivos financeiros sugerem que a decisão será de proibir que potências com superioridade quântica apropriem-se dos BTC perdidos.