ouro.capital
||
seguranca

Como Satoshi poderia ter protegido Bitcoin contra quantum (mas não fez)

2026-05-04·10 min read·Matheus Feijão

Ponto-chave

Em 2008, criptografia pós-quântica ja existia (McEliece 1978, Lamport 1979). Por que Satoshi não usou? As razoes eram validas na epoca — mas não são mais.

Resumo: Quando Satoshi projetou Bitcoin em 2008, alternativas pós-quânticas existiam ha decadas (McEliece 1978, Lamport 1979). A escolha por ECDSA/secp256k1 foi pragmatica — assinaturas menores, rede P2P viavel. Em 2008, fazia sentido. Em 2026, o mesmo tradeoff e irresponsável.

A decisão de 2008

Em 31 de outubro de 2008, alguém sob o pseudonimo Satoshi Nakamoto públicou "Bitcoin: A Peer-to-Peer Electronic Cash System." O whitepaper descrevia um sistema que usaria ECDSA (Elliptic Curve Digital Signature Algorithm) para autenticar transações.

Essa escolha definiu a segurança de trilhoes de dolares em valor. E não era a única opcao disponível.

Criptografia resistente a computadores quânticos ja existia:

  • McEliece (1978): 30 anos antes do Bitcoin, baseada em códigos corretores de erros
  • Lamport Signatures (1979): 29 anos antes, baseada exclusivamente em funcoes hash
  • Merkle Signature Scheme (1979): variante de Lamport com arvores de Merkle

Satoshi conhecia criptografia profundamente. A escolha por ECDSA não foi ignorancia — foi um tradeoff deliberado. Entender por que esse tradeoff fazia sentido em 2008 (e por que não faz mais em 2026) e essencial para qualquer investidor em ativos digitais.

O contexto de 2008

O que Satoshi enfrentava

Bitcoin precisava ser um sistema P2P (peer-to-peer) funcional. Cada no da rede precisava:

  1. Baixar e armazenar toda a blockchain
  2. Verificar cada transação
  3. Propagar transações rápidamente pela rede
  4. Funcionar em hardware comum (PCs domesticos de 2008)

Em 2008, internet domestica era significativamente mais lenta. Storage era caro. Processadores eram menos potentes. O design do Bitcoin precisava ser extremamente eficiente em bytes.

Os números que importavam

EsquemaTamanho da assinaturaTamanho da chave públicaTotal por transação
ECDSA (secp256k1)64-72 bytes33 bytes (comprimida)~100 bytes
Lamport (hash-based)~16 KB~16 KB~32 KB
McEliece~128 bytes (assinatura)~500 KB (chave pública!)~500 KB
Merkle/XMSS~2.5 KB~67 bytes~2.5 KB

A diferença e brutal: uma transação ECDSA ocupa ~100 bytes. Uma transação Lamport ocuparia ~32.000 bytes — 320 vezes mais. McEliece seria ainda pior para chaves públicas.

Impacto prático em 2008

Com blocos de 1 MB (limite Bitcoin):

  • ECDSA: ~3.000-4.000 transações por bloco
  • Lamport: ~30 transações por bloco
  • McEliece: Impráticavel (uma única chave pública não caberia eficientemente)

Um blockchain com Lamport signatures teria capacidade 100x menor, ou precisaria de blocos 100x maiores — inviavel para uma rede P2P em 2008 com internet domestica.

A lógica de Satoshi: um tradeoff racional

Argumento 1: Eficiência de rede

Bitcoin precisava funcionar em PCs comuns conectados por banda larga residencial de 2008 (~5-10 Mbps). Cada byte a mais em transações significava:

  • Propagacao mais lenta
  • Mais storage necessário
  • Sincronizacao inicial mais longa
  • Maior barreira para rodar um no

ECDSA oferecia segurança equivalente a RSA-3072 em apenas 256 bits. Era o maximo de segurança por byte disponível em 2008 (considerando apenas ameaças classicas).

Argumento 2: Computadores quânticos pareciam ficção

Em 2008:

  • O maior "computador quântico" tinha ~12 qubits
  • Nenhum algoritmo útil tinha sido executado em hardware quântico real
  • Estimativas para quantum criptograficamente relevante: "50-100 anos" (otimista) a "nunca" (ceticos)
  • A comunidade acadêmica mainstream não tratava quantum como ameaça iminente

Projetar contra uma ameaça que parecia estar a 50+ anos de distancia, ao custo de tornar o sistema 100x menos eficiente hoje, seria considerado over-engineering paranóica.

Argumento 3: Não havia padroes

Em 2008:

  • McEliece nunca tinha sido padronizado por nenhum órgão
  • Lamport/XMSS não tinham implementacoes auditadas amplamente
  • Não existia consenso sobre qual esquema PQC era "seguro o suficiente"
  • O NIST so iniciaria seu processo de padronizacao PQC em 2016

Usar um esquema nao-padronizado em um sistema financeiro seria arriscado de outra forma: e se o esquema tivesse uma falha desconhecida?

Argumento 4: Possibilidade de upgrade futuro

Satoshi provavelmente assumiu (com razao parcial) que Bitcoin poderia ser atualizado quando necessário. O sistema poderia migrar para criptografia mais forte quando a ameaça se tornasse real.

O que Satoshi talvez não antecipou: a dificuldade política e técnica de coordenar um hard fork de upgrade criptografico em um sistema descentralizado com trilhoes de dolares em stake.

Por que a lógica de 2008 expirou

1. Os números mudaram

Em 2026:

  • Internet residencial: 100-1000 Mbps (10-100x mais que 2008)
  • Storage: ~100x mais barato
  • Processadores: ~10-20x mais rápidos
  • ML-DSA (Dilithium): assinaturas de ~2.4 KB (não 16 KB como Lamport)

O overhead de ML-DSA vs ECDSA e ~24x (2.4 KB vs 100 bytes). Significativo, mas absolutamente gerenciavel com infraestrutura de 2026. Não e mais um deal-breaker.

2. Quantum não e mais ficção

Em 2008: 12 qubits, zero progresso prático. Em 2026:

  • IBM Condor: 1.121 qubits
  • Google Willow: redução exponencial de erros demonstrada
  • China: investimento estatal massivo
  • Estimativas para quantum criptografico: 7-15 anos
  • NSA (CNSA 2.0): exige migração completa até 2030

A ameaça saiu do domínio teorico para o dominio prático.

3. Padroes finais existem

Em 13 de agosto de 2024, o NIST públicou:

  • FIPS 203 (ML-KEM/Kyber): key encapsulation
  • FIPS 204 (ML-DSA/Dilithium): assinaturas digitais
  • FIPS 205 (SLH-DSA/SPHINCS+): assinaturas hash-based

Não ha mais desculpa de "não ha padroes." Os padroes existem, foram rigorosamente avaliados por 8 anos (2016-2024), e ja estão sendo implementados por Apple, Google, Signal, e Cloudflare.

4. Migracao se tornou quase impossível

A dificuldade de migrar Bitcoin para PQC cresceu com o tempo:

  • Market cap de ~US$0 (2008) para ~US$1.3 trilhao
  • Milhoes de carteiras ativas
  • Centenas de milhares de nos
  • Industria de mineração bilionaria
  • Faccoes políticas internas (vide Blocksize Wars)
  • Sem governança centralizada para tomar decisões

O que seria trivial em 2008 (Satoshi poderia simplesmente ter escolhido Lamport) agora requer coordenacao impossível de milhoes de stakeholders com interesses divergentes.

O que Satoshi disse sobre quantum

Ha registros limitados de Satoshi discutindo computação quântica. Em um post no BitcoinTalk (junho 2010):

"SHA-256 is very strong... If SHA-256 became completely broken, I think we could come to some agreement about what the honest block chain was before the trouble started, lock that in and continue from there with a new hash function."

Satoshi demonstrou consciência do risco mas confiança na capacidade de adaptacao da rede. O que talvez não previu: a rigidez crescente de um sistema com trilhoes em valor e nenhuma governança centralizada.

O contrafactual: Bitcoin com Lamport (2008)

Imagine que Satoshi tivesse escolhido Lamport signatures em 2008:

Desvantagens em 2008-2015:

  • Blocos 100x maiores (ou 100x menos transações)
  • Blockchain crescendo rápidamente
  • Sincronizacao inicial muito mais lenta
  • Menor adoção inicial (requisitos de hardware maiores)
  • Possivelmente nunca teria ganhado tracao

Vantagens em 2026+:

  • Zero preocupacao com quantum
  • Sem necessidade de hard fork arriscado
  • Sem trilhoes de dolares em risco
  • Sem debaté politico interminavel sobre migração

O veredito honesto

A decisão de Satoshi foi correta para 2008. Bitcoin provavelmente não existiria hoje se usasse Lamport — seria pesado demais para ganhar adoção inicial. O tradeoff "eficiência hoje vs segurança em 50 anos" fazia sentido quando:

  • A ameaça parecia distante
  • A rede precisava crescer
  • O valor em stake era zero

Mas o mundo mudou. A ameaça está a 10-15 anos. O valor em stake e trilhoes. E a capacidade de upgrade e severamente limitada.

A licao para novas plataformas em 2026

O mesmo tradeoff que Satoshi fez em 2008 não e mais justificavel em 2026:

Fator20082026
Overhead PQC vs ECDSA100-300x (Lamport)24x (ML-DSA)
Infraestrutura de redeLimitadaAbundante
Ameaca quantumTeorica (50+ anos)Pratica (7-15 anos)
Padroes disponíveisZeroFIPS 203/204/205
Custo de "nascer PQC"Altíssimo (inviabiliza o projeto)Gerenciavel (overhead aceitavel)
Custo de "migrar depois"Baixo (sistema novo, sem stakeholders)Astronomico (trilhoes em stake)

Qualquer plataforma lancada em 2026 que escolhe ECDSA sobre ML-DSA está fazendo o tradeoff de Satoshi sem nenhuma das justificativas de Satoshi.

Em 2008, era pragmatismo. Em 2026, e negligencia.

O dilema do Bitcoin hoje

Bitcoin enfrenta agora as consequências da decisão de 2008:

Opcao A: Hard fork para PQC

  • Requer consenso da comunidade global
  • Historico: debates menores (blocksize) levaram 4+ anos
  • Risco: split da cadeia (como Bitcoin/Bitcoin Cash)
  • Complexidade: migrar trilhoes em carteiras existentes
  • Carteiras perdidas/abandonadas: impossível migrar

Opcao B: Camada adicional (soft fork)

  • Enderecos PQC opcionais (como SegWit)
  • Usuarios migram voluntariamente
  • Problema: não protege carteiras que não migram
  • Lento: adoção voluntaria leva anos/decadas

Opcao C: Não fazer nada

  • Esperar e torcer para quantum demorar mais que o esperado
  • Risco: perda catastrofica quando/se quantum chegar
  • Defesa comum: "sempre podemos fazer hard fork quando precisar"
  • Realidade: hard fork sob pressão (quantum iminente) seria caotico

A realidade provavel

O cenario mais provavel e uma combinacao de B e C: enderecos PQC serao adicionados eventualmente (soft fork), mas a maioria dos usuarios não migrara até ser tarde demais. Carteiras abandonadas — incluindo as de Satoshi (~1.1 milhao de BTC) — nunca serao migradas.

O que isso significa para investidores

Se você tem Bitcoin hoje:

  • Seus fundos estão seguros por enquanto (quantum não e capaz ainda)
  • A longo prazo, a segurança depende de uma migração que pode ou não acontecer a tempo
  • Monitorar o progresso do debaté PQC na comunidade Bitcoin e essencial
  • Considerar diversificacao para ativos ja PQC-nativos

Se você está avaliando novos ativos digitais:

  • Exija ML-DSA (FIPS 204) ou equivalente padronizado
  • Rejeite ECDSA/secp256k1 em novas plataformas lancadas após 2024
  • Pergunte: "por que não usaram PQC?" — se a resposta for "não precisamos ainda," a lideranca não entende o Teorema de Mosca

A vantagem do "greenfield"

Novas plataformas lancadas em 2024-2026 tem uma vantagem extraordinaria: podem nascer com ML-DSA sem nenhuma das restricoes de migração do Bitcoin. O custo e um overhead de ~24x no tamanho de assinaturas — absolutamente gerenciavel com infraestrutura moderna.

Esse e o benefício de aprender com a história. Satoshi fez a melhor escolha possível em 2008 com as restricoes de 2008. Novas plataformas em 2026 podem fazer a melhor escolha possível com as informações e tecnologia de 2026.

Conclusao: pragmatismo vs prudencia

Satoshi Nakamoto foi um genio do pragmatismo. Criou um sistema que funcionava com a tecnologia disponível em 2008. A escolha de ECDSA/secp256k1 era a correta naquele momento.

Mas pragmatismo sem atualizacao vira negligencia. O que era "bom o suficiente" em 2008 se torna "risco inaceitavel" em 2026 quando:

  • A ameaça e mensuravel e se aproxima
  • Solucoes padronizadas existem
  • O overhead e gerenciavel
  • As consequências de inacao são trilionarias

Satoshi não protegeu Bitcoin contra quantum porque não podia de forma prática. Novas plataformas em 2026 podem — e portanto devem. A história julga com base nas opcoes disponíveis, e em 2026, a opcao ML-DSA está disponível, padronizada, e pronta.

A pergunta para qualquer nova plataforma não e "por que usar PQC?" — e "por que NÃO usar PQC?"

E para essa pergunta, não ha mais resposta boa.

MF

Matheus Feijão

CEO & Fundador — ouro.capital

Especialista em fintech e criptoativos desde 2002. CEO da ouro.capital.

LinkedIn →Instagram →