Principais Conclusões:
- O CPO da Starkware, Avihu Levy, publicou o QSB a 9 de abril de 2026, permitindo transações de Bitcoin seguras contra quântica sem qualquer alteração de protocolo.
- O esquema de Levy custa $75 a $150 em computação GPU por transação e atinge aproximadamente 118 bits de resistência de pré-imagem contra ataques quânticos.
- O QSB é o primeiro esquema conhecido a proteger transações Bitcoin ativas contra o algoritmo de Shor usando apenas as regras Script legadas existentes do Bitcoin.
Como um Executivo da Starkware Construiu Resistência Quântica no Bitcoin Sem Tocar no Protocolo
Avihu Levy, diretor de produto da Starkware e coautor do BIP-360, lançou um artigo de investigação completo e implementação de código aberto a 9 de abril de 2026. O esquema chama-se Quantum Safe Bitcoin, ou QSB. Não requer softfork, coordenação comunitária ou novos opcodes. Funciona inteiramente dentro das restrições Script legadas existentes do Bitcoin de 201 opcodes e 10.000 bytes.
A ameaça que o QSB aborda é específica. O esquema de assinatura principal do Bitcoin, ECDSA sobre a curva elíptica secp256k1, é totalmente quebrável pelo algoritmo de Shor num computador quântico suficientemente poderoso. Um atacante com essa capacidade poderia recuperar chaves privadas de qualquer chave pública exposta, forjar assinaturas e redirecionar fundos. As saídas P2PK, endereços legados e caminhos de gastos de chave Taproot estão todos em risco no momento em que uma chave pública aparece onchain.
Image source: X.O esquema de Levy rompe essa dependência ao nível da transação. Em vez de depender da dureza da curva elíptica, o QSB constrói segurança sobre a resistência de pré-imagem do RIPEMD-160, uma função hash que os computadores quânticos só podem atacar com o algoritmo de Grover, que fornece uma aceleração quadrática em vez de uma quebra total. Um hash de 160 bits retém aproximadamente 80 bits de resistência de pré-imagem contra um adversário quântico, deixando uma margem confortável.
A construção modifica um esquema anterior chamado Binohash, desenvolvido por Robin Linus, e corrige dois problemas que tornavam o Binohash inseguro contra ataques quânticos. O primeiro era um puzzle de prova de trabalho (PoW) de tamanho de assinatura que dependia de encontrar pequenos valores r de curva elíptica, algo que o algoritmo de Shor quebra trivialmente. O segundo era uma vulnerabilidade de flag sighash não resolvida que poderia permitir a um atacante reutilizar uma assinatura de puzzle válida em diferentes transações.
Substituir o Puzzle de Tamanho de Assinatura
O QSB substitui o puzzle de tamanho de assinatura pelo que Levy chama de puzzle hash-to-sig. O gastador itera sobre parâmetros de transação até que o hash RIPEMD-160 de uma chave pública derivada da transação produza uma assinatura ECDSA codificada em DER válida. Esse evento ocorre com probabilidade aproximada de 1 em 70 biliões. Como o puzzle usa uma flag SIGHASH_ALL codificada, a vulnerabilidade sighash é eliminada como efeito colateral.
O gastador executa então duas rondas de digest usando uma estrutura de assinatura Lamport tipo HORS, selecionando subconjuntos de assinaturas fictícias que alteram o sighash da transação através de um mecanismo Script legado chamado FindAndDelete. Cada subconjunto produz uma saída de hash diferente. O subconjunto que produz uma assinatura codificada em DER válida torna-se o digest para essa ronda. Revelar as pré-imagens correspondentes na testemunha completa o gasto seguro contra quântica.
A configuração recomendada, que Levy chama de Config A, encaixa-se dentro do limite de 201 opcodes e atinge aproximadamente 118 bits de resistência de pré-imagem e 78 bits de resistência a colisões. Um atacante quântico executando o algoritmo de Grover contra esta configuração enfrenta aproximadamente 2 elevado à 69ª potência de trabalho para um ataque de segunda pré-imagem. O algoritmo de Shor não fornece qualquer vantagem, uma vez que não restam pressupostos de curva elíptica para quebrar.
A computação off-chain custa entre $75 e $150 em tempo de GPU na nuvem por transação aos preços spot atuais. O trabalho é embaraçosamente paralelo e concluído em horas através de múltiplas GPUs nos testes iniciais. O farm de GPU apenas lida com computações públicas, incluindo recuperação de chaves e hashing. As pré-imagens HORS privadas nunca saem do dispositivo seguro do gastador.
Existem limitações reais. As transações QSB são válidas por consenso mas não padrão, excedendo as políticas de retransmissão predefinidas. Requerem submissão direta a um pool de mineração que aceite transações não padrão, como através do serviço Slipstream da Marathon. O esquema ainda não cobre canais Lightning Network. A montagem e transmissão on-chain completas ainda estão pendentes na implementação de código aberto. Levy descreve o esquema como uma medida de último recurso, não uma substituição geral para o uso padrão do Bitcoin.
O cofundador da Starkware, Eli Ben-Sasson, endossou publicamente o trabalho, afirmando que o Bitcoin pode ser seguro contra quântica imediatamente. Ele disse:
Levy partilhou o artigo e repositório no X e creditou Robin Linus pelo trabalho fundamental no Binohash e por uma correção chave que moldou o equilíbrio final custo-segurança. A comunidade ficou bastante satisfeita com o white paper, que foi amplamente partilhado nas redes sociais. O Taproot Wizard Eric Wall escreveu no X:
O artigo completo, código CUDA acelerado por GPU, pipeline Python e Scripts Bitcoin completos estão disponíveis no repositório GitHub de Levy. A notícia segue-se ao recente protótipo destinado a proteger carteiras Bitcoin de risco quântico. Esse protótipo específico foi criado pelo CTO da Lightning Labs, Olaoluwa Osuntokun.
O Que Isto Significa para os Detentores Comuns de Bitcoin
Para os detentores comuns de Bitcoin (BTC), a conclusão prática é direta. Nenhum computador quântico capaz de quebrar a criptografia do Bitcoin existe hoje, e a maioria dos investigadores coloca essa ameaça pelo menos de três anos a uma década no futuro. Mas o relógio começa no momento em que uma chave pública aparece onchain, o que acontece sempre que um utilizador gasta de um endereço.
Bitcoin parado numa carteira que nunca fez uma transação de saída tem menos exposição. Bitcoin estacionado num endereço reutilizado ou já gasto é uma história diferente. Quando a computação quântica atinge o limiar, essas chaves públicas expostas tornam-se alvos. Mover fundos antes que essa janela feche importa mais do que movê-los depois.
O QSB ainda não vem integrado em nenhuma carteira de consumidor. Os utilizadores não podem abrir uma carteira padrão hoje e alternar uma configuração segura contra quântica. O que Levy entregou é a prova criptográfica de que o caminho existe, construído a partir de regras já dentro do Bitcoin, custando aproximadamente o preço de um bilhete de avião em computação GPU.
O trabalho restante é engenharia, adoção e tempo. Para uma pessoa que detém BTC, a ação é simples: observar o suporte pós-quântico do seu fornecedor de carteira, evitar reutilizar endereços e mover fundos para um endereço seguro contra quântica quando essa opção estiver disponível em software mainstream. As ferramentas para proteger esse Bitcoin estão a ser construídas neste momento.
Fonte: https://news.bitcoin.com/no-consensus-changes-needed-starkware-cpo-builds-quantum-safe-bitcoin-transactions-from-existing-rules/
