Não são necessárias alterações no consenso: o diretor de produtos da Starkware cria transações de Bitcoin à prova de computadores quânticos a partir das regras existentes

Pontos principais:

• O CPO da Starkware, Avihu Levy, publicou o QSB em 9 de abril de 2026, possibilitando transações de Bitcoin à prova de ataques quânticos sem nenhuma alteração no protocolo.
• O esquema de Levy custa de US$ 75 a US$ 150 em computação de GPU por transação e alcança resistência à pré-imagem de aproximadamente 118 bits contra ataques quânticos.
• O QSB é o primeiro esquema conhecido a proteger transações de bitcoin em tempo real contra o algoritmo de Shor usando apenas as regras de script legadas existentes do Bitcoin.

Como um executivo da Starkware incorporou resistência quântica ao Bitcoin sem alterar o protocolo

Avihu Levy, diretor de produtos da Starkware e coautor do BIP-360, divulgou um artigo de pesquisa completo e uma implementação de código aberto em 9 de abril de 2026. O esquema é chamado de Quantum Safe Bitcoin, ou QSB. Ele não requer softfork, coordenação da comunidade nem novos códigos de operação. Ele opera inteiramente dentro das restrições do Script legado existente do Bitcoin, com 201 códigos de operação e 10.000 bytes.

A ameaça que o QSB aborda é específica. O principal esquema de assinatura do Bitcoin, o ECDSA sobre a curva elíptica secp256k1, é totalmente quebrável pelo algoritmo de Shor em um computador quântico suficientemente potente. Um invasor com essa capacidade poderia recuperar chaves privadas a partir de qualquer chave pública exposta, falsificar assinaturas e redirecionar fundos. Saídas P2PK, endereços legados e caminhos de gastos de chaves Taproot estão todos em risco no momento em que uma chave pública aparece na cadeia.

O esquema de Levy rompe essa dependência no nível da transação. Em vez de depender da resistência da curva elíptica, o QSB constrói a segurança com base na resistência à pré-imagem do RIPEMD-160, uma função hash que os computadores quânticos só podem atacar com o algoritmo de Grover, o que proporciona um aumento quadrático na velocidade, em vez de uma quebra total. Um hash de 160 bits mantém aproximadamente 80 bits de resistência à pré-imagem contra um adversário quântico, deixando uma margem confortável.

A construção modifica um esquema anterior chamado Binohash, desenvolvido por Robin Linus, e corrige dois problemas que tornavam o Binohash inseguro contra ataques quânticos. O primeiro era um quebra-cabeça de prova de trabalho (PoW) do tamanho da assinatura que dependia da descoberta de pequenos valores r de curvas elípticas, algo que o algoritmo de Shor quebra facilmente. O segundo era uma vulnerabilidade não resolvida do sinalizador sighash que poderia permitir que um invasor reutilizasse uma assinatura válida do quebra-cabeça em diferentes transações.

Substituindo o quebra-cabeça do tamanho da assinatura

O QSB substitui o quebra-cabeça de tamanho de assinatura pelo que Levy chama de quebra-cabeça hash-to-sig. O gastador itera sobre os parâmetros da transação até que o hash RIPEMD-160 de uma chave pública derivada da transação produza uma assinatura ECDSA válida codificada em DER. Esse evento ocorre com probabilidade de aproximadamente 1 em 70 trilhões. Como o quebra-cabeça usa um sinalizador SIGHASH_ALL codificado, a vulnerabilidade do sighash é eliminada como efeito colateral.

O gastador então executa duas rodadas de resumo usando uma estrutura de assinatura Lamport no estilo HORS, selecionando subconjuntos de assinaturas fictícias que alteram o sighash da transação por meio de um mecanismo de Script legado chamado FindAndDelete. Cada subconjunto produz uma saída de hash diferente. O subconjunto que gera uma assinatura válida codificada em DER torna-se o resumo para aquela rodada. Revelar as pré-imagens correspondentes na testemunha conclui o gasto quântico-seguro.

A configuração recomendada, que Levy chama de Config A, cabe dentro do limite de 201 opcodes e alcança aproximadamente 118 bits de resistência à pré-imagem e 78 bits de resistência à colisão. Um invasor quântico executando o algoritmo de Grover contra essa configuração enfrenta aproximadamente 2 elevado à potência de 69 de trabalho para um segundo ataque de pré-imagem. O algoritmo de Shor não oferece nenhuma vantagem, já que não há mais suposições de curva elíptica a serem quebradas.

O custo de computação fora da cadeia varia entre US$ 75 e US$ 150 em tempo de GPU na nuvem por transação, com base nos preços spot atuais. O trabalho é extremamente paralelo e foi concluído em poucas horas em várias GPUs nos primeiros testes. A fazenda de GPUs lida apenas com cálculos públicos, incluindo recuperação de chaves e hash. As pré-imagens HORS privadas nunca saem do dispositivo seguro do gastador.

Existem limitações reais. As transações QSB são válidas por consenso, mas não são padrão, excedendo as políticas de retransmissão padrão. Elas exigem envio direto a um pool de mineração que aceite transações não padrão, como por meio do serviço Slipstream da Marathon. O esquema ainda não abrange os canais da Lightning Network. A montagem e transmissão completas na cadeia ainda estão pendentes na implementação de código aberto. Levy descreve o esquema como uma medida de último recurso, não um substituto geral para o uso padrão do Bitcoin.

O cofundador da Starkware, Eli Ben-Sasson, endossou publicamente o trabalho, afirmando que o Bitcoin pode ser quântico-seguro imediatamente. Ele disse:

"ISSO É ENORME. O Bitcoin é quântico-seguro HOJE. Mesmo que surgisse um computador quântico capaz de quebrar as assinaturas convencionais do Bitcoin, isso mostra uma maneira prática de criar transações seguras de Bitcoin. SEM ALTERAÇÃO NO PROTOCOLO DO BITCOIN!"

Levy compartilhou o artigo e o repositório no X e deu crédito a Robin Linus pelo trabalho fundamental no Binohash e por uma correção essencial que moldou o equilíbrio final entre custo e segurança. A comunidade ficou bastante satisfeita com o white paper, que foi amplamente compartilhado nas redes sociais. O especialista em Taproot, Eric Wall, escreveu no X:

“A Starkware tem alguns dos melhores hackers do planeta. É maravilhoso ver quando os hackers usam seus poderes para o bem.”

O artigo completo, o código CUDA acelerado por GPU, o pipeline em Python e os scripts completos do Bitcoin estão disponíveis no repositório GitHub de Levy. A notícia segue o recente protótipo destinado a proteger carteiras de bitcoin contra riscos quânticos. Esse protótipo específico foi criado pelo CTO da Lightning Labs, Olaoluwa Osuntokun.

O que isso significa para os detentores comuns de Bitcoin

Para os detentores comuns de bitcoin (BTC), a lição prática é direta. Não existe hoje nenhum computador quântico capaz de quebrar a criptografia do Bitcoin, e a maioria dos pesquisadores estima que essa ameaça esteja a pelo menos três anos a uma década de distância. Mas o relógio começa a correr no momento em que uma chave pública aparece na cadeia de blocos, o que acontece toda vez que um usuário faz um gasto a partir de um endereço.

Bitcoins guardados em uma carteira que nunca realizou uma transação de saída apresentam menor exposição. Bitcoins depositados em um endereço reutilizado ou já utilizado são uma história diferente. Quando a computação quântica atingir o limiar, essas chaves públicas expostas se tornarão alvos. Transferir fundos antes que essa janela se feche é mais importante do que transferi-los depois.

O QSB ainda não está integrado a nenhuma carteira de consumidor. Os usuários não podem abrir uma carteira padrão hoje e ativar uma configuração segura contra computação quântica. O que Levy apresentou é a prova criptográfica de que o caminho existe, construída a partir de regras já presentes no Bitcoin, custando aproximadamente o preço de uma passagem de avião em computação de GPU.

O trabalho restante é de engenharia, adoção e tempo. Para quem detém BTC, a ação a ser tomada é simples: fique atento ao suporte pós-quântico do seu provedor de carteira, evite reutilizar endereços e transfira fundos para um endereço seguro contra computação quântica quando essa opção estiver disponível em softwares convencionais. As ferramentas para proteger esses bitcoins estão sendo desenvolvidas neste momento.