Há dezesseis anos, em 2010, Satoshi Nakamoto respondeu a um cético em um fórum, e essa resposta ainda orienta a forma como a rede protege seu dinheiro até hoje.
Satoshi Nakamoto previu a defesa do hash do Bitcoin 16 anos antes dos temores em relação à computação quântica

Pontos principais
- Satoshi Nakamoto defendeu o SHA-256 em uma postagem no fórum Bitcointalk em 16 de julho de 2010.
- O Google Quantum AI reduziu sua estimativa para 2026 de quebrar a curva do Bitcoin para 500.000 qubits.
- Os desenvolvedores propuseram o BIP-360 e outras ideias para 2026 a fim de preparar endereços resistentes à computação quântica.
Uma postagem no fórum que definiu as regras
Em 16 de julho de 2010, um usuário chamado bdonlan questionou o uso duplo do hash SHA-256 do Bitcoin no fórum Bitcointalk. Ele perguntou se esse design enfraquecia a segurança.
Satoshi respondeu diretamente. O inventor do Bitcoin comparou o SHA-256 à transição da computação de 32 bits para a de 64 bits, e não a um pequeno aumento no comprimento em bits. Os computadores esgotaram o espaço de endereços de 32 bits aos 4 gigabytes, disse ele, mas ninguém espera esgotar o espaço de 64 bits tão cedo. O SHA-256 funciona da mesma maneira, e a matemática dá ao Bitcoin espaço de sobra.
Satoshi também apresentou um plano de saída para a rede. Se o SHA-256 alguma vez se enfraquecesse, os desenvolvedores poderiam realizar um soft fork para uma nova função hash em uma altura de bloco definida. Os hashes antigos e novos funcionariam lado a lado até que todos os nós fossem atualizados.
Desde então, a capitalização de mercado do Bitcoin ultrapassou um trilhão, e a rede processa centenas de bilhões de dólares em transações diariamente. Cada dólar dessa atividade ainda depende da função hash que Satoshi defendeu em uma única resposta em um fórum há dezesseis anos.
Por que o Bitcoin usa duas funções hash em vez de uma
O código do Bitcoin aplica a função hash aos dados duas vezes: SHA256(SHA256(dados)), um método que os desenvolvedores chamam de SHA256d. Os criptógrafos Niels Ferguson e Bruce Schneier recomendaram essa abordagem para se proteger contra ataques de extensão do comprimento do bloco, uma falha na estrutura Merkle-Damgard usada pelo SHA-2.
Os mineradores aplicam o hash nos cabeçalhos dos blocos duas vezes para atingir a meta de dificuldade da rede, e os nós aplicam o hash nas transações duas vezes para construir árvores de Merkle. As carteiras adicionam uma terceira camada, o RIPEMD-160 sobre o SHA-256, para encurtar as chaves públicas e transformá-las em endereços.
Satoshi escolheu o SHA-256 por um motivo. O Instituto Nacional de Padrões e Tecnologia publicou o algoritmo em 2001 como parte da família SHA-2, oferecendo um grande salto em termos de segurança em relação ao SHA-1, que já apresentava falhas na época em que o Bitcoin foi lançado, em janeiro de 2009. O SHA-256 requer aproximadamente 2^128 operações para forçar uma colisão e cerca de 2^256 para forçar uma pré-imagem.
Dezesseis anos depois, ninguém conseguiu quebrar esse projeto. Nenhum pesquisador encontrou um ataque de colisão, pré-imagem ou segunda pré-imagem que funcionasse contra o SHA-256 completo. Versões com número reduzido de rodadas foram vítimas de criptoanálise, mas esses ataques param de se expandir antes de atingirem o algoritmo real de 64 rodadas. O NIST e grupos independentes, como o ECRYPT-CSA, continuam a classificar a função completa como segura.
O hardware de mineração confirma essa mesma conclusão. Fabricantes de circuitos integrados para aplicações específicas (ASIC) criaram linhas inteiras de produtos em torno do SHA-256d, e a taxa de hash da rede agora está na faixa dos exahashes. Satoshi previu que a Lei de Moore, por si só, nunca ameaçaria a função, e os ajustes de dificuldade mantiveram os tempos de bloco próximos a dez minutos, apesar dos ganhos exponenciais no poder de mineração.
A computação quântica muda o panorama
A força bruta clássica nunca preocupou Satoshi e ainda não representa uma ameaça ao Bitcoin. A computação quântica divide o risco em dois problemas distintos.
O algoritmo de Grover acelera a busca por força bruta. Quando aplicado ao SHA-256, ele reduz a segurança efetiva de 256 bits para cerca de 128 bits, um número que ainda está muito fora de alcance. Pesquisadores afirmam que um invasor precisaria de hardware quântico em uma escala que o mundo ainda não construiu; portanto, tudo permanece seguro por enquanto.
O algoritmo de Shor representa o maior problema, pois tem como alvo as assinaturas, e não os hashes. Um computador quântico executando esse algoritmo poderia extrair uma chave privada a partir de uma chave pública exposta na curva elíptica usada pelo Bitcoin. Estima-se que 7 milhões de bitcoins, cerca de 35% do estoque, estejam em endereços com chaves públicas expostas e estariam em risco caso esse hardware existisse.
O Google Quantum AI publicou uma pesquisa em 2026 que reduziu a contagem de qubits necessária para quebrar a curva do Bitcoin para cerca de 500.000 qubits físicos. As máquinas quânticas atuais operam na faixa de 1.000 a 1.500 qubits. Os pesquisadores ainda estimam que a ameaça se tornaria real em algum momento entre 2029 e 2035, dependendo do progresso na correção de erros.
Desenvolvedores revisitam a questão ao longo de dezesseis anos
Satoshi voltou a abordar preocupações relacionadas ao hash mais de uma vez ao longo de 2010, incluindo o que aconteceria se o SHA-256 sofresse uma colisão parcial. Sua resposta permaneceu consistente: garantir a cadeia legítima antes que o problema se espalhe e, em seguida, migrar para uma nova função.
Atualizações posteriores do Bitcoin não alteraram o hash principal. O Segregated Witness foi ativado em 2017, e o Taproot em 2021; ambos visavam eficiência e privacidade, e não o hash. A resistência quântica não se tornou um tema prioritário para os desenvolvedores até que o conhecimento dos algoritmos de Grover e Shor se espalhou pela comunidade de criptografia na década de 2020.
Desenvolvedores propõem as “rampas de saída” prometidas por Satoshi
Os desenvolvedores do Bitcoin já propuseram o caminho de migração descrito por Satoshi em 2010, só que voltado para assinaturas em vez de hashes. Várias ideias foram colocadas em discussão.
O BIP-360 introduz um novo formato de endereço, os endereços “pay-to-Merkle-root” que começam com bc1z, baseados em esquemas de assinatura resistentes à computação quântica. Os desenvolvedores incorporaram a proposta em 2026. Uma proposta complementar, a BIP-361, define como a rede poderia, eventualmente, descontinuar tipos de endereços mais antigos e vulneráveis. Esse último método é um pouco mais controverso.
Os provedores de carteiras agora enfrentam pressão para impedir a reutilização de endereços e orientar os usuários para os tipos de saída mais recentes antes que qualquer prazo quântico chegue.
A migração traz seus próprios obstáculos. Os desenvolvedores ainda precisam de um plano para as moedas bloqueadas em endereços antigos cujos proprietários estão inativos ou inacessíveis, incluindo qualquer bitcoin vinculado às próprias carteiras iniciais de Satoshi. As assinaturas pós-quânticas também ocupam mais espaço no bloco do que as assinaturas que o Bitcoin usa atualmente, e pesquisadores estão testando esquemas de assinatura baseados em hash para manter essa migração viável.
O que isso significa para os detentores de Bitcoin
Nada relacionado ao SHA-256 exige ação no momento. A função hash que protege o histórico de mineração e transações permanece imune a qualquer ataque conhecido, seja clássico ou quântico.
A exposição das assinaturas é o ponto que vale a pena observar. Detentores com moedas em endereços antigos, ou qualquer pessoa que tenha reutilizado um endereço de Bitcoin, correm mais risco do que alguém que usa tipos de saída modernos com chaves públicas que permanecem ocultas até o momento do gasto.
Satoshi encerrou o tópico de 2010 com um aviso que ainda vale como política atual. Qualquer ataque forte o suficiente para quebrar o SHA-256 provavelmente danificaria também seus primos mais robustos, como o SHA-512, portanto, uma quebra completa por si só parece improvável. A defesa do Bitcoin nunca foi a permanência. Era a capacidade de agir antes que uma ameaça se tornasse real.
Este artigo foi traduzido do inglês usando IA. A versão original em inglês é a fonte autorizada; traduções automáticas podem conter imprecisões, especialmente em terminologia jurídica e regulatória.















