Pontos principais
Buterin vê uma chance não trivial de 20% de que computadores quânticos possam quebrar a criptografia atual antes de 2030 e argumenta que o Ethereum deveria começar a se preparar para essa possibilidade.
Um risco fundamental envolve o ECDSA. Uma vez que uma chave pública se torna visível on-chain, um futuro computador quântico poderia, em teoria, usá-la para recuperar a chave privada correspondente.
O plano de emergência quântica de Buterin envolve reverter blocos, congelar EOAs e mover fundos para carteiras de smart contracts resistentes a quânticos.
A mitigação inclui carteiras de smart contracts, assinaturas pós-quânticas aprovadas pelo NIST e infraestrutura cripto-ágil que consiga trocar algoritmos sem caos.
No final de 2025, o cofundador do Ethereum, Vitalik Buterin, fez algo incomum. Ele colocou números em um risco que geralmente é discutido em termos de ficção científica.
Citando a plataforma de previsões Metaculus, Buterin disse que há “cerca de 20% de chance” de que computadores quânticos capazes de quebrar a criptografia atual possam surgir antes de 2030, com a previsão mediana mais próxima de 2040.
Alguns meses depois, no Devconnect em Buenos Aires, ele alertou que a criptografia de curva elíptica, a espinha dorsal do Ethereum e do Bitcoin, “pode ser quebrada antes da próxima eleição presidencial dos EUA em 2028”. Ele também pediu que o Ethereum migre para bases resistentes à computação quântica dentro de aproximadamente quatro anos.
Segundo ele, há uma chance não trivial de um computador quântico criptograficamente relevante surgir nos anos 2020; se isso ocorrer, o risco deve estar no roadmap de pesquisa do Ethereum. Não deve ser tratado como algo para um futuro distante.
Você sabia? Em 2025, dados do Etherscan mostram mais de 350 milhões de endereços únicos de Ethereum, destacando o quão amplamente a rede cresceu, apesar de apenas uma pequena parcela desses endereços conter saldos significativos ou permanecer ativa.
Por que a computação quântica é um problema para a criptografia do Ethereum
Grande parte da segurança do Ethereum se baseia na equação do logaritmo discreto de curva elíptica (ECDLP), que é a base para o algoritmo de assinatura digital de curva elíptica (ECDSA). O Ethereum usa a curva elíptica secp256k1 para essas assinaturas. Em termos simples:
Sua chave privada é um número aleatório grande.
Sua chave pública é um ponto na curva derivado dessa chave privada.
Seu endereço é um hash dessa chave pública.
Em hardware clássico, ir da chave privada para a chave pública é fácil, mas retornar no sentido inverso é considerado computacionalmente inviável. Essa assimetria é o motivo pelo qual uma chave de 256 bits é tratada como efetivamente impossível de ser adivinhada.
A computação quântica ameaça essa assimetria. O algoritmo de Shor, proposto em 1994, mostra que um computador quântico suficientemente poderoso poderia resolver a equação do logaritmo discreto e equações de fatoração relacionadas em tempo polinomial, o que derrubaria esquemas como Rivest-Shamir-Adleman (RSA), Diffie-Hellman e ECDSA.
A Internet Engineering Task Force e o Instituto Nacional de Padrões e Tecnologia (NIST) reconhecem que os sistemas clássicos de curva elíptica seriam vulneráveis diante de um computador quântico criptograficamente relevante (CRQC).
A publicação de pesquisa de Buterin sobre uma potencial emergência quântica destaca uma sutileza importante para o Ethereum. Se você nunca gastou de um endereço, apenas o hash da sua chave pública é visível on-chain, e acredita-se que isso ainda seja seguro contra quânticos. Uma vez que você envia uma transação, sua chave pública é revelada, o que dá a um futuro invasor quântico a matéria-prima necessária para recuperar sua chave privada e esvaziar a conta.
Portanto, o risco central não é que computadores quânticos quebrem o Keccak ou as estruturas de dados do Ethereum, é que uma futura máquina poderia mirar qualquer endereço cuja chave pública já tenha sido exposta, o que abrange a maioria das carteiras de usuários e muitas tesourarias de smart contracts.
O que Buterin disse e como ele enquadra o risco
Os comentários recentes de Buterin têm dois pontos principais.
O primeiro é a estimativa de probabilidade. Em vez de fazer uma suposição pessoal, ele citou previsões do Metaculus que colocam a chance de computadores quânticos capazes de quebrar a criptografia de chave pública atual em aproximadamente um em cinco antes de 2030. As mesmas previsões situam o cenário mediano por volta de 2040. O argumento dele é que mesmo esse tipo de risco de cauda já é alto o suficiente para o Ethereum se preparar com antecedência.
O segundo é a referência a 2028. No Devconnect, ele teria dito ao público que “as curvas elípticas vão morrer”, citando pesquisas que sugerem que ataques quânticos a curvas elípticas de 256 bits podem se tornar viáveis antes da eleição presidencial dos EUA em 2028. Algumas matérias comprimiram isso no título “Ethereum tem quatro anos”, mas sua mensagem foi mais sutil:
Computadores quânticos atuais não podem atacar o Ethereum ou o Bitcoin hoje.
Uma vez que CRQCs existam, ECDSA e sistemas relacionados se tornam estruturalmente inseguros.
Migrar uma rede global para esquemas pós-quânticos leva anos, então esperar um perigo óbvio já é um risco em si.
Em outras palavras, ele está pensando como um engenheiro de segurança. Você não evacua uma cidade porque há 20% de chance de um grande terremoto na próxima década, mas você reforça as pontes enquanto ainda há tempo.
Você sabia? O mais recente roadmap da IBM combina novos chips quânticos, Nighthawk e Loon, com o objetivo de demonstrar computação quântica tolerante a falhas até 2029. A empresa também mostrou recentemente que um algoritmo chave de correção de erros quânticos pode rodar eficientemente em hardware convencional da AMD.
Dentro do plano de hard-fork para “emergência quântica”
Muito antes desses alertas públicos recentes, Buterin publicou um artigo na Ethereum Research em 2024 intitulado “Como realizar um hard fork para salvar os fundos da maioria dos usuários em uma emergência quântica”. Nele, ele descreve o que o Ethereum poderia fazer se um avanço quântico repentino pegasse o ecossistema de surpresa.
Imagine um anúncio público sobre computadores quânticos em grande escala entrando em operação e invasores já drenando carteiras protegidas por ECDSA. O que fazer?
Detectar o ataque e reverter
O Ethereum reverteria a cadeia para o último bloco antes do roubo quântico em larga escala se tornar claramente visível.
Desabilitar transações de EOAs legadas
Contas tradicionais de usuários (EOAs) que usam ECDSA seriam congeladas no envio de fundos, o que impediria novos roubos por meio de chaves públicas expostas.
Redirecionar tudo por carteiras de smart contracts
Um novo tipo de transação permitiria que os usuários provassem, por meio de um STARK de zero-conhecimento, que controlam a seed original ou o caminho de derivação, por exemplo, uma preimage de carteira HD BIP-32 para um endereço vulnerável.
A prova também especificaria um novo código de validação para uma carteira de smart contracts resistente a quânticos. Após a verificação, o controle dos fundos seria movido para esse contrato, que pode impor assinaturas pós-quânticas a partir daí.
Agrupar provas para eficiência de gás
Como provas STARK são grandes, o design prevê batching. Agregadores submetem conjuntos de provas, permitindo que muitos usuários migrem ao mesmo tempo, mantendo privada a preimage de cada um.
Crucialmente, isso é apresentado como uma ferramenta de recuperação de último recurso, não como o Plano A. O argumento de Buterin é que grande parte da infraestrutura do protocolo necessária para tal fork, incluindo abstração de contas, sistemas robustos de ZK-proofs e esquemas padronizados de assinaturas resistentes a quânticos, pode e deve ser construída.
Nesse sentido, a preparação para uma emergência quântica se torna um requisito de design para a infraestrutura do Ethereum, e não apenas um experimento teórico interessante.
O que os especialistas dizem sobre prazos
Se Buterin está se baseando em previsões públicas, o que especialistas em hardware e criptografia estão realmente dizendo?
Do lado do hardware, o chip Willow da Google, apresentado no final de 2024, é um dos processadores quânticos públicos mais avançados até hoje, com 105 qubits físicos e qubits lógicos com correção de erros capazes de superar supercomputadores clássicos em benchmarks específicos.
Ainda assim, o diretor de IA quântica do Google foi explícito ao dizer que “o chip Willow não é capaz de quebrar a criptografia moderna.” Ele estima que quebrar RSA exigiria milhões de qubits físicos e está a pelo menos 10 anos de distância.
Fontes acadêmicas apontam na mesma direção. Uma análise amplamente citada conclui que quebrar criptografia de curva elíptica de 256 bits em uma hora usando qubits protegidos por surface code exigiria dezenas a centenas de milhões de qubits físicos, muito além de qualquer coisa disponível hoje.
Do lado da criptografia, o NIST e grupos acadêmicos em instituições como o MIT alertam há anos que, uma vez que computadores quânticos criptograficamente relevantes existam, eles quebrarão essencialmente todos os sistemas de chave pública amplamente utilizados, incluindo RSA, Diffie-Hellman, Elliptic Curve Diffie-Hellman e ECDSA, por meio do algoritmo de Shor. Isso se aplica tanto retrospectivamente, descriptografando tráfego capturado no passado, quanto prospectivamente, forjando assinaturas.
É por isso que o NIST passou quase uma década conduzindo sua competição de Criptografia Pós-Quântica e, em 2024, finalizou seus primeiros três padrões PQC: ML-KEM para encapsulamento de chaves e ML-DSA e SLH-DSA para assinaturas.
Não há consenso entre especialistas sobre um “Q-Day” preciso. A maioria das estimativas está em uma janela de 10 a 20 anos, embora alguns trabalhos recentes considerem cenários otimistas em que ataques quânticos tolerantes a falhas contra curvas elípticas poderiam ser possíveis no final da década de 2020 sob suposições agressivas.
Órgãos regulatórios como a Casa Branca dos EUA e o NIST levam o risco a sério o suficiente para pressionar sistemas federais em direção ao PQC até meados da década de 2030, o que implica uma chance não trivial de que computadores quânticos criptograficamente relevantes cheguem dentro desse horizonte.
Visto sob esse prisma, as colocações de Buterin, “20% até 2030” e “possivelmente antes de 2028”, fazem parte de um espectro mais amplo de avaliações de risco, onde a mensagem real é a incerteza associada ao longo tempo de migração, não a ideia de que uma máquina quebra-códigos já está secretamente online hoje.
Você sabia? Um relatório de 2024 do Instituto Nacional de Padrões e Tecnologia e da Casa Branca estima que custará cerca de US$ 7,1 bilhões para que agências federais dos EUA migrem seus sistemas para criptografia pós-quântica entre 2025 e 2035, e isso é apenas a infraestrutura de TI de um país.
O que precisa mudar no Ethereum se o progresso quântico acelerar
No lado de protocolos e carteiras, vários caminhos já convergem:
Abstração de contas e carteiras de smart contracts
Mover usuários de EOAs simples para carteiras de smart contracts atualizáveis, por meio da abstração de contas estilo ERC-4337, torna muito mais fácil trocar esquemas de assinatura no futuro sem hard forks emergenciais. Alguns projetos já demonstram carteiras resistentes a quânticos estilo Lamport ou XMSS no Ethereum hoje.
Esquemas de assinatura pós-quânticos
O Ethereum precisará escolher (e testar exaustivamente) uma ou mais famílias de assinaturas PQC (provavelmente da ML-DSA/SLH-DSA do NIST ou construções baseadas em hash) e analisar as vantagens e desvantagens em relação ao tamanho da chave, tamanho da assinatura, custo de verificação e integração com smart contracts.
Agilidade criptográfica para o restante da stack
Curvas elípticas não são usadas apenas para chaves de usuário. Assinaturas BLS, compromissos KZG e alguns sistemas de prova de rollups também dependem da dificuldade do logaritmo discreto. Um roadmap realmente resiliente a quânticos precisa de alternativas para esses blocos-base também.
No lado social e de governança, a proposta de fork de emergência quântica de Buterin é um lembrete de quanto esforço coordenação exigiria qualquer resposta real. Mesmo com a criptografia perfeita, reverter blocos, congelar contas legadas ou impor uma migração em massa de chaves seria politicamente e operacionalmente delicado. Por isso ele e outros pesquisadores defendem:
Construir mecanismos de kill switch ou quantum canary que possam acionar automaticamente regras de migração assim que um ativo-teste menor, deliberadamente vulnerável, for comprovadamente quebrado.
Tratar a migração pós-quântica como um processo gradual de adesão voluntária, que os usuários podem adotar muito antes de qualquer ataque crível, em vez de uma correria de último minuto.
Para indivíduos e instituições, a lista de tarefas no curto prazo é mais simples:
Preferir carteiras e configurações de custódia que possam atualizar sua criptografia sem forçar a mudança para endereços totalmente novos.
Evitar reutilização desnecessária de endereço para que menos chaves públicas sejam expostas on-chain.
O risco quântico deve ser tratado da mesma forma que engenheiros lidam com enchentes ou terremotos: é improvável que destrua sua casa este ano, mas suficientemente provável em um horizonte longo que faz sentido projetar as fundações considerando isso.