ouro.capital: anatomia técnica de um token quantum-safe brasileiro

Resumo: O ouro.capital usa ML-DSA (FIPS 204) em cada etapa do ciclo de vida do token: mintagem, transferencia, proof-of-reserves e resgate. O ouro fisico e custódiado em cofre LBMA em Zurique, e cada operação e verificavel por assinatura pós-quântica na blockchain Polygon. Este artigo detalha a arquitetura completa comparando com tokens classicos como PAX Gold.

A segurança de um token começa na arquitetura

Quando você compra um token de ouro digital, está confiando que uma cadeia inteira de processos — desde a compra do ouro fisico até a assinatura que prova sua propriedade — funciona corretamente e de forma segura.

A maioria dos tokens de ouro no mercado (PAX Gold, Tether Gold) usa ECDSA para suas assinaturas. Funciona perfeitamente hoje. Mas e um algoritmo que computadores quânticos podem quebrar com o algoritmo de Shor.

O ouro.capital tomou uma decisão diferente: usar ML-DSA (CRYSTALS-Dilithium, FIPS 204) em cada camada. Não como um add-on. Como fundacao.

Este artigo e um deep-dive técnico. Vamos dissecar cada etapa do ciclo de vida de um token, explicar onde a criptografia entra, e mostrar por que a arquitetura quantum-safe não e apenas um diferencial de marketing — e uma diferença estrutural de segurança.

Visão geral: o ciclo de vida completo

O ciclo de vida de um token ouro.capital tem 7 etapas:

1. Compra de ouro no mercado wholesale LBMA
2. Custodia física em cofre em Zurique
3. Mintagem do token com assinatura ML-DSA
4. Carteira do investidor com par de chaves PQC
5. Transferencias validadas por verificacao ML-DSA
6. Proof-of-reserves com Merkle tree quantum-safe
7. Resgaté (burn do token, liberacao do ouro)

Cada etapa usa criptografia pós-quântica. Vamos a cada uma.

Etapa 1: Compra de ouro — LBMA wholesale

O que acontece

O ouro.capital adquire barras de ouro no mercado wholesale da London Bullion Market Association (LBMA). Este e o mercado institucional de ouro — onde bancos centrais, refinarias e grandes custódiantes negociam.

Especificacoes

• Pureza: 999.9 (ouro 24k, Good Delivery standard)
• Formato: Barras de 400oz (~12.4kg) ou barras menores de 1kg
• Origem: Refinarias credenciadas LBMA (Argor-Heraeus, PAMP, Valcambi)
• Rastreabilidade: Cada barra tem número de serie, certificado de ensaio, e chain-of-custody

Onde entra a criptografia

A ordem de compra e assinada digitalmente com ML-DSA pela chave institucional do ouro.capital. Isso garante:

• Autenticidade: A ordem veio legitimamente do ouro.capital (não de um impostor)
• Nao-repudio: Uma vez assinada, a ordem não pode ser negada
• Integridade: Os termos da compra não foram alterados após assinatura

Comparacao com PAX Gold: Paxos usa ECDSA para assinar ordens internas. Seguro hoje, vulnerável quando computadores quânticos quebrarem secp256k1.

Etapa 2: Custodia física — Cofre LBMA em Zurique

O que acontece

O ouro fisico e transportado e armazenado em cofre certificado LBMA na Suica (Zurique). A escolha de Zurique não e acidental:

• Jurisdicao neutra: Suica — proteção legal robusta para ativos de terceiros
• Padrao LBMA: Auditoria independente, segregacao de ativos, seguro completo
• Estabilidade geopolítica: Historico de seculos protegendo ativos em qualquer cenario global

Documentacao de custódia

Cada barra em custódia gera um certificado digital contendo:

{
  "bar_id": "ARG-2026-001847",
  "refinery": "Argor-Heraeus",
  "weight_oz": 400.125,
  "fineness": 0.9999,
  "vault_location": "Zurich-LBMA-07",
  "custody_date": "2026-03-15T09:00:00Z",
  "signature_algorithm": "ML-DSA-65",
  "signature": "base64(...)"
}

Onde entra a criptografia

O certificado de custódia e assinado com ML-DSA pelo custódiante e contra-assinado pelo ouro.capital. Duas assinaturas quantum-safe que provam:

• O ouro existe físicamente
• Está sob custódia verificavel
• As condicoes (peso, pureza, localizacao) são auditaveis

Por que isso importa: Se alguém forjar um certificado de custódia no futuro (após Q-Day), as assinaturas ML-DSA ainda serao verificaveis. Com ECDSA, um atacante com computador quântico poderia criar certificados falsos indistinguiveis dos reais.

Etapa 3: Mintagem — Token com assinatura ML-DSA

O que acontece

Para cada grama de ouro em custódia, um token e "mintado" (criado) na blockchain Polygon. A Polygon e uma blockchain EVM-compatible com baixo custo de transação e alta throughput.

A operação de mint

Mint Transaction:
- Token ID: OUROCAP-2026-0847291
- Backing: 1.0000g Au (bar ARG-2026-001847)
- Chain: Polygon PoS
- Smart contract: [endereco do contrato]
- Minter authority: ML-DSA public key do ouro.capital
- Signature: ML-DSA-65 sobre hash(token_data)

Onde entra a criptografia

A operação de mint so pode ser executada pela chave ML-DSA autorizada do ouro.capital. Isso garante que:

• Ninguem pode criar tokens falsos: Sem a chave privada ML-DSA, e impossível assinar uma operação de mint valida
• Supply verificavel: Cada token em circulacao tem uma assinatura de mint verificavel
• Auditabilidade: Qualquer pessoa pode verificar que cada token foi legitimamente criado pela autoridade correta

A camada Polygon

A Polygon usa ECDSA nativamente para validação de transações na blockchain. O ouro.capital adiciona a camada ML-DSA acima: o smart contract verifica tanto a transação Polygon (ECDSA) quanto a assinatura PQC (ML-DSA) embarcada nos dados do token.

Isso cria segurança em camadas: mesmo se ECDSA for quebrado no futuro, a assinatura ML-DSA embarcada prova a legitimidade historica de cada mint.

Etapa 4: Carteira do investidor — Par de chaves PQC

O que acontece

Quando um investidor cria sua conta no ouro.capital, um par de chaves pos-quântico e gerado:

• Chave pública ML-DSA: Identifica o investidor no sistema
• Chave privada ML-DSA: Permite ao investidor assinar transações (transferir, resgatar)

Especificacoes técnicas

Parametro	Valor
Algoritmo	ML-DSA-65 (FIPS 204, nível de segurança 3)
Tamanho chave pública	1,952 bytes
Tamanho chave privada	4,032 bytes
Tamanho assinatura	3,309 bytes
Segurança equivalente	192 bits classicos

Comparacao com carteiras tradicionais

Aspecto	Carteira ECDSA (Bitcoin/Ethereum)	Carteira ouro.capital (ML-DSA)
Algoritmo	secp256k1	ML-DSA-65
Tamanho chave pública	33 bytes	1,952 bytes
Tamanho assinatura	64 bytes	3,309 bytes
Segurança classica	128 bits	192 bits
Resistencia quântica	Nenhuma	Total (lattice-based)
Base matemática	Curvas elipticas	Reticulados (lattices)

Sim, as chaves ML-DSA são maiores. Mas em 2026, com bandwidth e storage abundantes, essa diferença e irrelevante para o usuario. O que não e irrelevante e a diferença de segurança contra computadores quânticos.

Etapa 5: Transferencias — Validacao ML-DSA

O que acontece

Quando um investidor transfere tokens para outro (venda, doacao, heranca), a transação e assinada com a chave ML-DSA do remetente.

Fluxo de transferencia

1. Investidor A inicia transferencia de X tokens para Investidor B
2. Sistema gera transação com: origem, destino, quantidade, timestamp
3. Investidor A assina com sua chave privada ML-DSA
4. Smart contract verifica a assinatura ML-DSA
5. Se valida: transferencia executada, saldo atualizado
6. Se invalida: transação rejeitada

Segurança da verificacao

A verificacao ML-DSA garante que:

• Somente o proprietario pode transferir: Sem a chave privada, e impossível produzir uma assinatura valida
• Transacoes são imutaveis: Uma vez assinada e registrada, a transação não pode ser alterada
• Resistencia futura: Mesmo que alguém capture a transação hoje e tente ataca-la com computador quântico em 2040, a assinatura ML-DSA permanece segura

O cenario de ataque que ML-DSA previne: Em blockchains ECDSA, se sua chave pública estiver exposta (e ela fica exposta toda vez que você faz uma transação), um computador quântico futuro pode derivar sua chave privada e roubar todos os seus fundos. Com ML-DSA, esse ataque não funciona — o problema matematico subjacente (lattice problems) resiste ao algoritmo de Shor.

Etapa 6: Proof-of-Reserves — Merkle tree quantum-safe

O que acontece

Periodicamente, o ouro.capital pública uma prova criptografica de que o ouro em custódia corresponde exatamente aos tokens em circulacao. Isso se chama Proof-of-Reserves (PoR).

Como funciona a Merkle tree

Uma Merkle tree e uma estrutura de dados onde:

1. Cada "folha" contem o hash de um certificado de custódia individual
2. Pares de folhas são combinados e hasheados para formar nós intermediarios
3. O processo se repete até gerar uma única raiz (Merkle root)
4. A raiz e públicada on-chain e assinada com ML-DSA

         Merkle Root (assinada ML-DSA)
              /          \
        Hash(AB)         Hash(CD)
        /     \          /     \
   Hash(A)  Hash(B)  Hash(C)  Hash(D)
     |        |        |        |
  Barra 1  Barra 2  Barra 3  Barra 4

Quantum-safe em cada nível

• Funcao hash: SHA-3 (resistente a Grover's algorithm com margens adequadas)
• Assinatura da raiz: ML-DSA-65
• Verificacao individual: Qualquer investidor pode verificar que sua posicao está incluida na arvore sem revelar posicoes de outros investidores (Merkle proof)

Por que Proof-of-Reserves classico e insuficiente

Proof-of-Reserves tradicionais usam SHA-256 e ECDSA. Embora SHA-256 seja parcialmente resistente (Grover reduz segurança de 256 para 128 bits — ainda seguro), a assinatura ECDSA da raiz e vulnerável. Se essa assinatura puder ser forjada, alguém pode públicar um Proof-of-Reserves falso, alegando reservas que não existem.

Com ML-DSA assinando a raiz, a prova permanece verificavel e inforjavel mesmo após Q-Day.

Etapa 7: Resgaté — Burn token, libera ouro

O que acontece

O investidor pode a qualquer momento resgatar seu ouro fisico: queima (burn) os tokens e recebe o ouro correspondente.

Fluxo de resgate

1. Investidor solicita resgaté de X tokens
2. Sistema gera ordem de resgaté com: quantidade, endereco de entrega, condicoes
3. Investidor assina com ML-DSA (confirmacao irrevogavel)
4. Smart contract executa burn (destruicao dos tokens)
5. Custodiante recebe ordem assinada com ML-DSA do ouro.capital
6. Ouro fisico e liberado e enviado ao investidor
7. Certificado de resgaté assinado por ambas as partes (ML-DSA)

Segurança do resgate

O ponto crítico: a ordem de liberacao do ouro fisico e assinada com ML-DSA. Isso significa que ninguém pode forjar uma ordem de resgaté — nem hoje, nem com computadores quânticos futuros.

Compare com sistemas ECDSA: um atacante com computador quântico poderia forjar uma ordem de resgaté e roubar ouro fisico de um custódiante. Com ML-DSA, esse ataque e impossível.

Comparativo completo: ouro.capital vs PAX Gold

Etapa	PAX Gold (PAXG)	ouro.capital
Compra de ouro	ECDSA	ML-DSA
Certificado custódia	Documento PDF (sem assinatura cripto)	ML-DSA assinado
Mintagem	ECDSA (Ethereum)	ML-DSA + Polygon
Chave do investidor	secp256k1 (ECDSA)	ML-DSA-65
Transferencia	ECDSA	ML-DSA
Proof-of-Reserves	Auditoria trimestral (não on-chain)	Merkle tree quantum-safe on-chain
Resgaté	ECDSA + processo manual	ML-DSA end-to-end
Resistencia quântica	Nenhuma em nenhuma etapa	Total em todas as etapas

A diferença não e de grau — e de natureza. PAX Gold e um excelente produto para o mundo pre-quântico. O ouro.capital e construido para o mundo pos-quântico.

A matemática por tras: por que ML-DSA resiste

Para quem quer entender o fundamento: ML-DSA (CRYSTALS-Dilithium, co-criado por Vadim Lyubashevsky do IBM Research Zurich) baseia sua segurança no Module Learning With Errors (MLWE) — um problema de reticulados (lattices).

Intuitivamente

Imagine uma grade multidimensional (lattice) com bilhoes de pontos. A segurança vem da dificuldade de encontrar o ponto mais proximo a um alvo nessa grade — o Shortest Vector Problem (SVP).

• Computadores classicos: não conseguem resolver SVP eficientemente em dimensoes altas
• Computadores quânticos: TAMBEM não conseguem resolver SVP eficientemente

Diferente da fatoracao (RSA) e do logaritmo discreto (ECDSA), não existe algoritmo quântico conhecido que resolva problemas de lattice em tempo polinomial. E essa impossibilidade não e uma suposicao recente — e estudada desde os anos 1990 sem progresso significativo.

Parametros de segurança FIPS 204

O NIST, após 8 anos de análise pública por centenas de criptografos do mundo inteiro, públicou ML-DSA como FIPS 204 em 13 de agosto de 2024. O ouro.capital usa ML-DSA-65 (nível de segurança 3), que oferece 192 bits de segurança classica e resistencia total a algoritmos quânticos conhecidos.

Regulamentacao: CVM 88 e tokens quantum-safe

A CVM 88 regula a tokenização de ativos no Brasil. Ela exige que tokens representativos de ativos reais tenham:

• Lastro verificavel
• Custodia qualificada
• Transparencia operacional
• Segurança da informação adequada

O ouro.capital atende cada requisito com margens: lastro verificavel via Proof-of-Reserves quantum-safe, custódia LBMA em Zurique, transparência on-chain, e segurança que excede qualquer padrao atual.

A CVM 88 não exige específicamente criptografia pós-quântica — ainda. Mas quando computadores quânticos se tornarem realidade e reguladores atualizarem exigencias, plataformas que ja operam com PQC estarao a frente.

Conclusao: cada camada importa

Segurança não e um recurso que você adiciona no final. E algo que precisa estar em cada camada, em cada etapa, em cada assinatura. Um único ponto vulnerável compromete todo o sistema — não importa quantas camadas acima sejam seguras.

O ouro.capital foi arquitetado com essa filosofia: ML-DSA em cada assinatura, SHA-3 em cada hash, quantum-safe em cada etapa. Da compra do ouro até o resgaté fisico, não ha um único momento onde a segurança depende de criptografia que computadores quânticos podem quebrar.

Isso não e perfeicao — e engenharia correta para a decada que vem.