A preocupação dos computadores quânticos ataca novamente!

[alegotardo]

Eu já abri um tópico sobre algo parecido antes, mas essa é a primeira vez que eu paro para estudar uma proposta de melhoria para o Bitcoin (BIP).
Então, me deparei com o Quantum-Resistant Address Migration Protocol (QRAMP) que é uma proposta do dev Agustin Cruz para proteger o Bitcoin de futuras ameças dos computadores quanticos, na verdade ele é somente um rascunho em discussão ainda... não sei vocês mas eu considero válido que a gente começe a pensar nesses problemas o quanto antes, assim como ele também fez pois de um dia pro outro vamos ver que a atual criptografia baseada no ECDSA irá por tudo por água abaixo se a gente simplesmente pensar que essa é uma preocupação ainda sem sentido ou muito distante e isso vai acontecer de imediato em todos os endereços que já tiveram a sua chave pública exposta, ou seja, aqueles que já realizaram alguma transação.

Menção do CEO do Google, para dizer que computadores quânticos práticos estão a pelo menos cinco a dez anos de distância, comparando seu estágio atual ao desenvolvimento inicial da IA ​​na década de 2010:

The quantum moment reminds me of where AI was in the 2010s, when we were working on Google Brain and the early progress,”
Pichai, who also leads Google’s parent company, Alphabet Inc., said at the World Governments Summit in Dubai.

O problema da proposta dele é: Isso exigiria um hard-fork,  não é um hard-fork igual  oque já tivemos com o Bitcoin Cash ou Bitcoin SV, mas sim um que implicaria em ações imediatas de todo mundo que tem uma carteira e queira manter ela na nova rede porque a proposta do QRAMP estabelece um prazo fixo e que após eles os nós da nova blockchain deverão rejeitar qualquer transação que venha de endereços que usem o ECDSA. ou seja.. quem não migrar antes do prazo não terá mais acesos aos fundos.
Então imaginem comigo questões de herança onde os fundos antigos não forem migrados a tempo, ou então as transações com bloqueio temporal que só podem ser gastas após um determinado período de tempo e elas também ficarem após o prazo. E pior.... as Casascius e outras relíquias semelhantes que ainda estão intocáveis.

Enfim, esse é um problema que ainda vai gerar muito debate, mas na minha opinião é algo inevitável (o hard-fork), pois não sei se existe outra forma de se proteger desse problema sem a troca obrigatória das chaves.

Mas vamos falar de soluções?
Fiz uma pesquisa aqui sobre o que pode ser usado para proteger o Bitcoin da ocmputação quantica, pois na proposta do QRAMP não há nada especificado. Então descobri que ainda no ano passado o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) padronizou alguns algoritmos que eles chamaram de criptografia pós-quantica que em tese são compatíveis com a tecnologia que conhecemos e dominamos atualmente porém altamente eficaz (resistente) contra os computadores quanticos.. na teoria né. mas com essa padronização já veio a forte recomendação de que esses algoritmos fossem utilizados imediatamente pelos administradores de sistemas, não só no Bitcoin, são eles o CRYSTALS-Kyber, CRYSTALS-Dilithium, FALCON e SPHINCS+. Não vou tentar explicar eles, mas fica a referência abaixo (em inglês).

E o que está sendo feito?
Bom... infelizmente acho que isos vai demorar para oficialmente ser debatido dentre uma das prioridades do Bitcoin, mas já tem algumas pesquisas e implementações andando como a criação de carteiras experimentais utilizando o Kyber e Dilithium para testes e validação e também bibliotecas como o liboqs e Open Quantum Safe sendo utilizadas para facilitar que o algoritmos PQC possam ser adotados em diferentes aplicações, mas achei difícil encontrar fontes confiáveis sobre essas afirmações, é tudo muito superficial e acho que não tem nada concreto e usual ainda... ou estão escondendo para de alguma forma conseguir patentear primeiro e lucrar com isso, sei lá (sim, isso é especulação minha, não leve à sério).

Enfim, acho que esse é um assunto que cada vez mais vai tornar proporções maiores e vamos discutir com mais frequencia, só achei que a proposta do QRAMP que ainda é um rascunho, é a primeira BIP que vejo focada espeficiamente na mudança das chaves privadas e pelo menos é uma oportunidade para debater propostas tecnológicas e de fato tentar fazer algo, bem diferente de outras bem "periféricas" como a de aumentar ou tirar a limitação do OP_RETURN, por exemplo.

Alguém se aventura à ajudar?
E a questão do fork, isso vai dar muita polêmica ainda, mas vocÊs também concordam comigo de que não há outra solução e que ignorar e deixar de falar nisso só vai postergar o problema?

Especificações técnicas sobre os algoritmos mencionados:
https://pq-crystals.org/kyber/data/kyber-specification-round3-20210131.pdf
https://pq-crystals.org/dilithium/data/dilithium-specification-round3-20210208.pdf
https://falcon-sign.info/falcon.pdf
https://sphincs.org/data/sphincs%2B-r3.1-specification.pdf


[EDIT]
Pior que o buraco é mais embaixo, pois agora que eu pensei... e os mineradores e ASICs atuais que também são baseados no algoritmo ECDSA? Vai tudo parar de funcionar e eles terão de se reinventar. PQP

[sabotag3x]

Eu concordo que já devam aprovar algum novo tipo de endereço resistente a computação quântica, mas esse BIP em questão é preocupante..

Dá uma olhada nesse trecho:

Período de Migração: Um intervalo de tempo predefinido durante o qual os usuários são incentivados a migrar seus fundos.
Exemplo: Um período de migração com duração de 6 meses ou 100.000 blocos, durante o qual transações legadas continuam válidas.

Prazo Final de Migração: Uma altura de bloco ou data/hora específico após o qual qualquer transação que utilize fundos de um endereço legado é rejeitada pelos nós que executam o software atualizado.
Exemplo: Se T_deadline for definido como a altura de bloco 700.000, qualquer transação incluída no bloco 700.000 ou posterior que tente gastar de um endereço legado será inválida.

Eles querem congelar os fundos de todos usuários que não migrarem para esses endereços QRA..

Pensando na economia é ótimo, ninguém vai roubar os bitcoins do Satoshi e despejar na rede.. mas é muita interferência e pode afetar quem esqueceu uma carteira por ai.


Também tem essa outra solução, o P2QRH (Pay To Quantum Resistant Hash).. o BIP foi apagado, não sei o motivo, mas pode ver em versões arquivadas: https://web.archive.org/web/20240609104847/https://github.com/cryptoquick/bips/blob/p2qrh/bip-p2qrh.mediawiki

[alegotardo]

Eu concordo que já devam aprovar algum novo tipo de endereço resistente a computação quântica, mas esse BIP em questão é preocupante..

Dá uma olhada nesse trecho:

Período de Migração: Um intervalo de tempo predefinido durante o qual os usuários são incentivados a migrar seus fundos.
Exemplo: Um período de migração com duração de 6 meses ou 100.000 blocos, durante o qual transações legadas continuam válidas.

Prazo Final de Migração: Uma altura de bloco ou data/hora específico após o qual qualquer transação que utilize fundos de um endereço legado é rejeitada pelos nós que executam o software atualizado.
Exemplo: Se T_deadline for definido como a altura de bloco 700.000, qualquer transação incluída no bloco 700.000 ou posterior que tente gastar de um endereço legado será inválida.

Eles querem congelar os fundos de todos usuários que não migrarem para esses endereços QRA..

Pensando na economia é ótimo, ninguém vai roubar os bitcoins do Satoshi e despejar na rede.. mas é muita interferência e pode afetar quem esqueceu uma carteira por ai.

Então, acho que esse tempo foi só um exemplo, porque o próprio autor falou que teria que ser feito um monitoramento contínuo e até ter um mecanismo emergencial caso o ataque quântico se torne eminente... melhor salvar o que dá do que perder tudo né?

Então, pensando no prazo... deixa a princípio com alguns anos... aí vai ajustando ele com soft-forks ou sei lá como, conforme o risco for aumentando.
Mas acho que um prazo inicial precisa existir, porque se deixar indefinido ninguém vai se mexer e aí quando o problema surgir boa parte da rede não vai ter migrado e ela vai se dividir... será tão ruim quanto a "ameaça dos quânticos".

Também tem essa outra solução, o P2QRH (Pay To Quantum Resistant Hash).. o BIP foi apagado, não sei o motivo, mas pode ver em versões arquivadas: https://web.archive.org/web/20240609104847/https://github.com/cryptoquick/bips/blob/p2qrh/bip-p2qrh.mediawiki

sim, também vi isso, o problema é que o algoritmo SQIsign usado aí possui tempos de assinatura e verificação bem mais elevados em comparação com outrosalgoritmos... pelo que vi uma simples assinatura leva-va até dois segundos e meio (não me lembro de outros dados).
Mas enfim, atraente por ser possível de se implementar em um soft-fork porém com um grande desafio na questão do desempenho e é por conta desse tempo necessário para gerar assinaturas que a comunidade levantou preocupações sobre a segurança de usar essa implementação em larga escala e aí a rede sofrer até mesmo um adaque DDoS, por isso que esse BIP foi descontinuado.
Não sei se rolou alguma coisa por aqui no bitcointalk, mas a referência que encontrei foi essa: https://groups.google.com/g/bitcoindev/c/oQKezDOc4us/m/I6tmPaA2AgAJ

Mas, da mesma forma que os outros algoritmos que mencionei no OP, talvéz eles poderiam ser utilizados aqui também nessa ideia.

[joker_josue]

O problema da proposta dele é: Isso exigiria um hard-fork,  não é um hard-fork igual  oque já tivemos com o Bitcoin Cash ou Bitcoin SV, mas sim um que implicaria em ações imediatas de todo mundo que tem uma carteira e queira manter ela na nova rede porque a proposta do QRAMP estabelece um prazo fixo e que após eles os nós da nova blockchain deverão rejeitar qualquer transação que venha de endereços que usem o ECDSA. ou seja.. quem não migrar antes do prazo não terá mais acesos aos fundos.
Então imaginem comigo questões de herança onde os fundos antigos não forem migrados a tempo, ou então as transações com bloqueio temporal que só podem ser gastas após um determinado período de tempo e elas também ficarem após o prazo. E pior.... as Casascius e outras relíquias semelhantes que ainda estão intocáveis.

Enfim, esse é um problema que ainda vai gerar muito debate, mas na minha opinião é algo inevitável (o hard-fork), pois não sei se existe outra forma de se proteger desse problema sem a troca obrigatória das chaves.

Este simples aspecto que faz parte da proposta, será mais que suficiente para ser rejeitada.

Vejo com alguma dificuldade os devs e comunidade aceitar um hard-fork que irá a curto/médio prazo inviabilizar endereços com Bitcoin "antigo". Alias, obrigar as pessoas a transferir endereços, vai colocar todos os endereços expostos, pois assim que fizerem uma transação a sua chave publica será revelada. E teoricamente não é esse o problema? Ter-se conhecimento da chave publica, para procurar pela privada? Então, a proposta já trás 2 problemas, expor a chave publica de todos os endereços e bloquear bitcoin "antigo".

A solução tem de passar por uma nova forma de endereços e de formar a wallet. Atualmente temos os P2PKH (Legacy), P2SH e SegWit (Native e Wrapped), e tem de surgir outra gama mais segura. Mas, a rede tem de ser compatível com todos os outros. Ao longo do tempo o Bitcoin já foi melhorando a segurança das wallets, no inicio não havia seed, tinhas que guardar o ficheiro da wallet ou a chave privada para conseguires recuperar os fundos, hoje temos a seed que ajuda em todo o processo. O caminho tem de passar por aí, não é bloquear o antigo, mas sim dar uma opção mais segura.

Acredito que e mais importante avaliar o blockchain do que os endereços em si, para que o seu protocolo não seja alterado por força da computação quântica. Isso nem passa diretamente pelos endereços, mas como a mempool trabalha e como os blocos são encontrados. Pois temos de colocar na equação a possibilidade de ser colocado um computador quântico a tentar resolver os problemas para encontrar os blocos, e de repente tens esse computador e encontrar todos os blocos seguidos, mais rápido do que era suposto e sem dar chance a outros equipamentos de mineração.

Sim, tem de ser analisadas soluções para dificultar que a computação quântica tenha algum impacto no Bitcoin. Mas, a solução nunca poderá ser em bloquear o uso do Bitcoin "antigo".

[alegotardo]

Sim, tem de ser analisadas soluções para dificultar que a computação quântica tenha algum impacto no Bitcoin. Mas, a solução nunca poderá ser em bloquear o uso do Bitcoin "antigo".

Ok, eu entendo sua preocupação e talvez eu esteja sendo ignorante demais, mas me ajude à pensar e entender o seguinte cenário....

Optamos por uma solução "soft", a migração para uma nova rede não é obrigatória e chegamos no momento em que a IBM (ou os chineses, não os menospreze) anunciaram que finalmente eles conseguiram quebrar uma criptografia baseado nos modelos matemáticos tradicionais "pré-quantum".

E temos lá, as carteiras de Satoshi ainda intocáveis, não sabemos seus endereços públicos então isso torna a tarefa de "quebrar" elas ainda um desafio até mesmo para a computação quântica, mas não por muito tempo.
Como a única coisa que protege essas carteiras é o modelo tradicional de criptografia, o que garante que: caso elas sejam migradas para uma nova wallet com tecnologia pós-quantum, seja realmente satoshi protegendo seus fundos do mundo e não um hacker que finalmente conseguiu colocar as mãos nessa fortuna?

Eu não consigo entender como podemos manter a segurança das carteiras atuais sem uma atualização forçada para novos modelos antes do surgimento dos computadores quânticos. No meu entendimento, de uma forma ou de outra terá de haver um prazo de corte.

[joker_josue]

Optamos por uma solução "soft", a migração para uma nova rede não é obrigatória e chegamos no momento em que a IBM (ou os chineses, não os menospreze) anunciaram que finalmente eles conseguiram quebrar uma criptografia baseado nos modelos matemáticos tradicionais "pré-quantum".

E temos lá, as carteiras de Satoshi ainda intocáveis, não sabemos seus endereços públicos então isso torna a tarefa de "quebrar" elas ainda um desafio até mesmo para a computação quântica, mas não por muito tempo.

Eu não sou nenhum especialista em encriptação nem tenho grande conhecimentos na área.

Mas, com ajuda do ChatGPT, deu para ter uma noção de como isso funciona. A chave acaba mesmo por ser o ECDSA.

Nota:

1. Endereços que nunca foram usados podem ser quebrados?

Não — por enquanto, não podem ser quebrados nem por computadores quânticos.

Um computador quântico não consegue descobrir a chave pública apenas a partir do endereço Bitcoin, porque o endereço é um hash (duplo) da chave pública:

hash160 = RIPEMD160(SHA256(chave pública))


SHA-256 + RIPEMD-160 ainda são considerados resistentes a ataques quânticos na prática, especialmente porque:

Computadores quânticos não executam o algoritmo de Grover de forma instantânea.

Grover oferece apenas uma aceleração quadrática, não uma quebra total como o algoritmo de Shor faz ao ECDSA.

Isso significa que levaria muito tempo e recursos quânticos para inverter o hash, tornando-o impraticável por décadas (ou mais).

2. Então, mesmo com computação quântica, esses endereços estarão seguros?

Sim, estarão razoavelmente seguros, mesmo num cenário quântico avançado, porque:

ECDSA só está em risco se a chave pública estiver visível.

Endereços não usados não revelam a chave pública, apenas o hash dela — e esse hash continua resistente, mesmo a ataques quânticos razoáveis.

3. Mas "para sempre"?

Provavelmente não para sempre, mas por bastante tempo.

Se, um dia, a computação quântica conseguir inverter hashes (SHA-256 e RIPEMD-160) mais rápido que o esperado, aí sim todos os endereços — mesmo os não utilizados — estariam em risco.

Mas isso exigiria avanços muito maiores do que os que afetam apenas ECDSA (que é a primeira preocupação realista).


Conclusão direta:

> Endereços Bitcoin que nunca foram usados estão protegidos, mesmo contra a computação quântica atual e previsível a médio prazo.
Mas no futuro distante, pode ser necessário migrar para sistemas pós-quânticos antes que esse tipo de hashing também se torne vulnerável.
 

Acho que o Satoshi penso tudo bem a longo prazo.
E preocupações maiores vão surgir, antes de esses endereços poderem ser afectados.

[alegotardo]

Eu não sou nenhum especialista em encriptação nem tenho grande conhecimentos na área.

Mas, com ajuda do ChatGPT, deu para ter uma noção de como isso funciona. A chave acaba mesmo por ser o ECDSA.

Nota:

1. Endereços que nunca foram usados podem ser quebrados?

Não — por enquanto, não podem ser quebrados nem por computadores quânticos.

Um computador quântico não consegue descobrir a chave pública apenas a partir do endereço Bitcoin, porque o endereço é um hash (duplo) da chave pública:

~~
 

Acho que o Satoshi penso tudo bem a longo prazo.
E preocupações maiores vão surgir, antes de esses endereços poderem ser afectados.

Hummmm, TOP meu amigo, eu realmente tinha um entendimento errado e pensava que até essas poderiam ser quebradas com um tempo maior de processamento, mas veja só... a IA sempre nos ajudando (só precisamos saber usar ela para o bem )

Mas não pense que eu vou desistir da discussão, pois agora eu aí eu te trago outro problema...

O endereços de Satoshis certamente estarão protegidos para sempre pois ele nunca irá movimentar seus Bitcoins, só que não!!!
O endereço 12cbQLTFMXRnSzktFkuoG3eHoMeFtpTu3S é de Satoshi e teve uma transação realizada, uma transação bem notável na verdade...  de quando ele enviou 10 BTC para Hal Finney e ela ainda possui o saldo de 18,44 BTC.
Felizmente um saldo pequeno, mas é um bom exemplo de problema que certamente irá gerar um grande alvoroço quando sua carteira for quebrada.

Mas vamos seguir para o caso de pessoas comuns que esqueceram de fazer essa migração à tempo. Eles também correriam um enorme risco pois a proteção é temporária até o o exato momento em que for realizado uma transação a partir desses endereços não migrados no tempo certo (pré computadores quantum), quando a chave pública for revelada na blockchain um computador quântico suficientemente poderoso certamente vai estar pronto para atacar (sempre monitorando o mempool) e quebrar a criptografia à tempo de gerar uma outra transação fraudulenta com taxa mais alta que a primeira e assim desviando o saldo do seu proprietário legítimo.
Se não me engano já tivemos casos semelhantes que aconteceram com endereços atuais que possuíam criptografia fraca.

Então te pergunto, vale à pena o risco? Não travar essas carteiras antigas faria alguma diferença?
Eu também não entendo muito dessas questões técnicas, posso estar bem enganado como estava antes e você me corrigiu, mas nesse momento eu continuo à defender a ideia original de um hard-fork.

[sabotag3x]

Optamos por uma solução "soft", a migração para uma nova rede não é obrigatória e chegamos no momento em que a IBM (ou os chineses, não os menospreze) anunciaram que finalmente eles conseguiram quebrar uma criptografia baseado nos modelos matemáticos tradicionais "pré-quantum".

E temos lá, as carteiras de Satoshi ainda intocáveis, não sabemos seus endereços públicos então isso torna a tarefa de "quebrar" elas ainda um desafio até mesmo para a computação quântica, mas não por muito tempo.

Eu não sou nenhum especialista em encriptação nem tenho grande conhecimentos na área.

Mas, com ajuda do ChatGPT, deu para ter uma noção de como isso funciona. A chave acaba mesmo por ser o ECDSA.

Se, um dia, a computação quântica conseguir inverter hashes (SHA-256 e RIPEMD-160) mais rápido que o esperado, aí sim todos os endereços — mesmo os não utilizados — estariam em risco.

Mas isso exigiria avanços muito maiores do que os que afetam apenas ECDSA (que é a primeira preocupação realista).


Conclusão direta:

> Endereços Bitcoin que nunca foram usados estão protegidos, mesmo contra a computação quântica atual e previsível a médio prazo.
Mas no futuro distante, pode ser necessário migrar para sistemas pós-quânticos antes que esse tipo de hashing também se torne vulnerável.
 

Acho que o Satoshi penso tudo bem a longo prazo.
E preocupações maiores vão surgir, antes de esses endereços poderem ser afectados.

As chaves-públicas dos endereços de Satoshi (e todos os outros usuários iniciais) já estão expostas.. ele usava Pay to Public Key (P2PK) na época, o nome já é bem revelador, "pagar para chave pública".. então vai ter dump de 1,1kk BTC sim

[alegotardo]

As chaves-públicas dos endereços de Satoshi (e todos os outros usuários iniciais) já estão expostas.. ele usava Pay to Public Key (P2PK) na época, o nome já é bem revelador, "pagar para chave pública".. então vai ter dump de 1,1kk BTC sim

Ok.... fui massacrado novamente pela minha ignorância.
Mas pelo menos em uma coisa ainda estou certo: hard fork com migração forçada de todas as chaves privadas ou bloqueios após determinado bloco. E já vamos preparando os lencinhos porque vai ter muita gente chorrando depois disso... mas é pelo bem da humanidade

[joker_josue]

As chaves-públicas dos endereços de Satoshi (e todos os outros usuários iniciais) já estão expostas.. ele usava Pay to Public Key (P2PK) na época, o nome já é bem revelador, "pagar para chave pública".. então vai ter dump de 1,1kk BTC sim

Isso também não é assim.

Segundo a informação existente, as chaves publicas dos endereços marcados do Satoshi, fruto da mineração, não esta expostos, porque não realizaram nenhuma transação, apenas receberem moedas da mineração.

Ou seja, o risco quântico dessas 1.1k BTC do Satoshi, continua a ser muito baixo. Pode haver um outro endereço dele, que tenha realizado alguma movimentação de valor e que eventualmente ainda tenha saldo, mas será um valor muito reduzido.

Voltei a perguntar ao amigo IA a estimativa ATUAL, para os endereços sem chave publica revelada, ficarem em perigo. Notem a resposta:

Vamos agora focar nas estimativas atuais para quando a computação quântica poderia representar uma ameaça real às funções hash, como SHA-256 e RIPEMD-160, que protegem endereços Bitcoin que nunca foram usados (i.e., com chave pública oculta).

🔐 O que seria necessário para quebrar um endereço com hash160?
Um endereço clássico tipo P2PKH (o mais comum em Bitcoin) é derivado assim:

Code:

Endereço = Base58Check(RIPEMD-160(SHA-256(chave pública)))

Ou seja, um ataque teria de inverter esse processo, ou seja:

Encontrar uma chave pública que, ao ser duplamente "hashada", resulta exatamente naquele endereço — sem nunca ter visto a chave pública antes.

🧠 Como a computação quântica entra aqui?
O melhor algoritmo quântico conhecido para inverter funções hash é o algoritmo de Grover, que:

Oferece apenas aceleração quadrática, ou seja, reduz o espaço de busca de N para √N.

📈 Estimativas práticas:
🔹 RIPEMD-160 (160 bits)
Força clássica: 2^160 → tempo impraticável.

Força quântica (Grover): 2^80

Estado atual: Nenhum computador quântico atual ou em desenvolvimento consegue realizar 2^80 operações com coerência.

Estimativa de ameaça realista: depois de 2060, e só se houver:

Milhões de qubits lógicos estáveis,

Profundos avanços em correção de erros quânticos,

Melhorias drásticas na eficiência da execução do Grover em sistemas reais.

🔹 SHA-256 (256 bits)
Força clássica: 2^256 (inversão direta).

Força quântica com Grover: 2^128

Ainda mais seguro que RIPEMD-160.

Estimativa de ameaça prática: provavelmente após 2080–2100, se alguma vez se tornar viável.

✅ Conclusão direta:
Algoritmo   Tempo estimado para ameaça quântica real
ECDSA (chave pública exposta)   2040–2050
RIPEMD-160 (160-bit hash)   2060+
SHA-256 (256-bit hash)   2080+

Portanto, endereços Bitcoin nunca usados (sem chave pública revelada) estão protegidos por pelo menos mais 40 a 60 anos, possivelmente muito mais.

No ponto de vista da confiabilidade do Bitcoin, são as moedas do Satoshi, elas ficaram seguras por muitos e muitos anos. Provavelmente quando já não estiverem, esse será a menor das preocupações da humanidade. 

Por isso digo, que a solução vai passar por um soft-fork que permita um novo tipo de endereços mais seguros.

[alegotardo]

As chaves-públicas dos endereços de Satoshi (e todos os outros usuários iniciais) já estão expostas.. ele usava Pay to Public Key (P2PK) na época, o nome já é bem revelador, "pagar para chave pública".. então vai ter dump de 1,1kk BTC sim

Isso também não é assim.

Segundo a informação existente, as chaves publicas dos endereços marcados do Satoshi, fruto da mineração, não esta expostos, porque não realizaram nenhuma transação, apenas receberem moedas da mineração.

Ou seja, o risco quântico dessas 1.1k BTC do Satoshi, continua a ser muito baixo. Pode haver um outro endereço dele, que tenha realizado alguma movimentação de valor e que eventualmente ainda tenha saldo, mas será um valor muito reduzido.

Voltei a perguntar ao amigo IA a estimativa ATUAL, para os endereços sem chave publica revelada, ficarem em perigo. Notem a resposta:

Tá, mas peraí que eu acho que há uma boa confusão agora.

Temos P2PK que é: Pay-to-Pubilc-Key, ou seja.... pague para uma chave pública. Já o P2PKH que a IA te passou nessa resposta é o Pay-to-public-key-hash que é "pague para o shash da cheve pública". certo? Esse segundo então possui essa resistência de SHA-256/RIPEMD-160

Mas conforme o @sabotaag3x bem falou, os endereços de Satoshi são quase todos desse primeiro tipo, antes de surgir o P2PKH. Então Satoshi não precisa ter feito uma transferência para revelar  a chave pública.

No início todas as transações usavam P2PK, o P2PKH começou a ser usado apenas 2 semanas depois do bloco gênesis [1]

E o rombo é o dobro do que esse que o @sabotag3x falou, pois parece que tem quase 2kk de BTC parados ainda nesses endereços P2PK se formos além dos que conhecemos pertencer à Satoshi [2]

Então eu continuo insistindo... hard fork e troca forçada das chaves

PS.: Também usei o chatGPT para auxílio na busca de informações, só acho que precisamos compreender as saídas, ler as fontes e fazer as perguntas certas em contradição, pois muitas vezes ele mesmo se corrige.

[sabotag3x]

Isso também não é assim.

Segundo a informação existente, as chaves publicas dos endereços marcados do Satoshi, fruto da mineração, não esta expostos, porque não realizaram nenhuma transação, apenas receberem moedas da mineração.

Voltei a perguntar ao amigo IA a estimativa ATUAL, para os endereços sem chave publica revelada, ficarem em perigo. Notem a resposta:

Um endereço clássico tipo P2PKH (o mais comum em Bitcoin) é derivado assim:

O problema é esse ai, ele fez o cálculo usando P2PKH, o Satoshi usava P2PK.. pergunta novamente para o ChatGPT, agora questionando a diferença entre esses dois modelos.

Esse site (https://www.projecteleven.com/btc-at-risk) mostra que existem 6,2 milhões de bitcoins expostos:




Os bitcoins do Satoshi aparecem como expostos, esse abaixo é o do bloco #12, por exemplo:



A chave-pública desse endereço é "0478ebe2c28660cd2fa1ba17cc04e58d6312679005a7cad1fd56a7b7f4630bd700bcdb84a888a43 fe1a2738ea1f3d2301d02faef357e8a5c35a706e4ae0352a6ad"

[joker_josue]

O problema é esse ai, ele fez o cálculo usando P2PKH, o Satoshi usava P2PK.. pergunta novamente para o ChatGPT, agora questionando a diferença entre esses dois modelos.

Pois, analise estava a ser feita apenas numa perspectiva. A linha de conversa, leva o ponto para esse situação.

Mas, é bom analisarmos todos estes detalhes, pois vai ajudar a perceber o que se pode fazer ou não fazer, e que caminhos podemos vir a seguir. Infelizmente, acho que se realmente a computação quântica ficar na posse de pessoas dispostas a usar com o objetivo de roubar esse BTC, pouco se poderá fazer.

Pois, continuou achar que o confiscar de BTC é uma medida totalmente contraria aos princípios do Bitcoin. Estaríamos a fazer aquilo que muito criticamos, que os governos querem ter capacidade de o fazer.

[alegotardo]

Pois, continuou achar que o confiscar de BTC é uma medida totalmente contraria aos princípios do Bitcoin. Estaríamos a fazer aquilo que muito criticamos, que os governos querem ter capacidade de o fazer.

Concordo contigo, e na verdade demorei à postar novamente aqui porque eu realmente pesquisei muito e estava determinado à trazer uma outra solução, caso existisse, mas cheguei à seguinte analogia com fechaduras:

Imagina aquelas bem simples e antigas do tipo Gorja/Gorje

Elas eram seguras por um tempo, até chegar o momento em que se tornaram muito fáceis de burlar, certo? Então como é que a gente consegue atualizar a fechadura sem trocar também as chaves?
Ah... vamos atualizar as fechaduras de todas as casas para o modelo mais seguro, com ou sem o consentimento dos seus donos (a fechadura é uma analogia para as wallets, desde as mais novas até as mais antigas de satoshi).

Ok, mas e gora como garantir que os seus donos que estavam ausentes por um grande período durante essa atualização agora acessem suas casas?
Bom... vamos obrigá-los à atualizar sua chave e pra isso eles precisam apresentar a chave antiga, só assim é possível gerar uma nova chave com segredo atualizado e que seja correspondente com a nova fechadura pós-quantum.

TOP!!!! Contanto que ninguém tenha visto minha chave antiga e conheça o "segredo" dela, eu ainda estou protegido, certo?
O problema é exatamente esse, as chaves de satoshi todo mundo já viu e saberia como replicar elas no momento que tiver acesso à tecnologia para tal. Assim basta ter o segredo da chave antiga para gerar as novas chaves, logo, qualquer um pode acessar a fechadura por mais moderna que ela seja.

Se não for assim, como atualizar a fechadura e garantir que apenas o dono possa acessar ela? Existe alguma outra forma de saber quem é o verdadeiro dono senão a posse da chave antiga? Não tem!!

Sacou? Me desculpe se eu fui "didático" ou infantil demais na analogia. Mas sinceramente, não encontrei nenhum artigo que abordasse uma forma de criar essa proteção sem a troca forçada das chaves atuais e vulneráveis antes de um computador quântico.

É drástico, é ruim, mas melhor travar pra sempre do que permitir que qualquer um acesse.

[EDIT]
Esqueci de falar das chaves, depois da Gorja teve as Yale, Tetra, Pantográficas, codificadas e atualmente as digitais. E não sei como é em Portugal, mas aqui no Brasil nenhum chaveiro pede documento para saber se somos os donos da casa, eles simplesmente abrem, trocam a fechadura se preciso, recebem o pagamento e vão embora.
Não vamos fazer isso com o Bitcoin também né?

[joker_josue]

É drástico, é ruim, mas melhor travar pra sempre do que permitir que qualquer um acesse.

Percebi bem analogia.
Mas, será sentido bloquear a casa para mais ninguém viver nela, só porque o antigo dono não quis ir lá atualizar a fechadura?

Enfim, acho que o conceito base do Satoshi para o Bitcoin que todos nós conhecemos, travar para sempre não estaria na equação.

Para Satoshi, as regras base do Bitcoin são imutáveis desde a criação. O protocolo deve evoluir para PQC, mas sem exceções ou mudanças retroativas.

The nature of Bitcoin is such that once version 0.1 was released, the core design was set in stone for the rest of its lifetime.

É interessante, o que ele disse sobre quando havia moedas perdidas, tocou um pouco neste assunto e não parecia estar muito preocupado:

Lost coins only make everyone else's coins worth slightly more.  Think of it as a donation to everyone.

I wonder though, is there a point where the difficulty of generating a new coinbase is so high that it would make more sense to try to recover keys for lost coins or steal other people's coins instead?  The difficulty of that is really high so for now it makes a lot more sense to generate but I just wonder what the real figures are.. would that ever become more productive?  Maybe Satoshi can address this..

Computers have to get about 2^200 times faster before that starts to be a problem.  Someone with lots of compute power could make more money by generating than by trying to steal.

Com base no Whitepapper Bitcoin e da postura que o Satoshi sempre demonstro, acredito que num cenário em que o ECDSA seja quebrada, a ideia será sempre a mesma desde o dia zero, quem apresentar prova válida tem direito ao gasto, não importa a sua identidade ou as suas intenções. Provavelmente ele iria rejeitar essa ideia de bloqueios automáticos, mesmo para segurança quântica. Quem quiser proteger deve agir por si, quando soluções viáveis surgirem.

Alias, eu diria mais, que confiança o Bitcoin iria transmitir, se a comunidade passa-se a ter a "capacidade" de em determinados momentos bloquear para sempre moedas? Não sei o que seria pior, se o "roubo" por direito de moedas mal guardadas (Sim, porque é isso que poderá acontecer, os donos das moedas não as guardarem corretamente.) pelos donos, se o bloqueio de moedas.

[alegotardo]

É drástico, é ruim, mas melhor travar pra sempre do que permitir que qualquer um acesse.

Percebi bem analogia.
Mas, será sentido bloquear a casa para mais ninguém viver nela, só porque o antigo dono não quis ir lá atualizar a fechadura?

Sim, por dois motivos:
1. Se alguém puder acessar a "casa" antes do dono e saqueá-la totalmente.
2. Se o que tem lá dentro for de grande importância e afetar não apenas o dono da "casa" mas também de toda a comunidade.

Eu entendi as suas citações à Satoshi e concordo que isso é ser drástico demais, estou torcendo para que surja ainda alguma possibilidade de fazer isso de uma forma diferente, mas sinceramente não creio que seja possível, infelizmente.

E na parte em que ele diz que seria mais possível gerar muito mais dinheiro do que roubar... pode ter certeza que os devs dos Bitcoin não vão permitir isso, por mais custoso que seja aos mineradores terem de abandonar seus investimentos em ASICs, será preferível começar do ZERO com um novo script de mineração PQC do que permitir que alguém detenha, mesmo que por um instante, 50%+1 de hash na rede.
Então, com a mineração protegida, os endereços vulneráveis se tornarão mais atrativos.

[joker_josue]

Eu entendi as suas citações à Satoshi e concordo que isso é ser drástico demais, estou torcendo para que surja ainda alguma possibilidade de fazer isso de uma forma diferente, mas sinceramente não creio que seja possível, infelizmente.

E na parte em que ele diz que seria mais possível gerar muito mais dinheiro do que roubar... pode ter certeza que os devs dos Bitcoin não vão permitir isso, por mais custoso que seja aos mineradores terem de abandonar seus investimentos em ASICs, será preferível começar do ZERO com um novo script de mineração PQC do que permitir que alguém detenha, mesmo que por um instante, 50%+1 de hash na rede.
Então, com a mineração protegida, os endereços vulneráveis se tornarão mais atrativos.

Em 2010, é interessante notar, que todos os especialistas em encriptação ECDSA iria demorar muito a ser quebrada, pois a computação quântica era mais teórica do que outra coisa, bem diferente de hoje. Então, claro que a perspectiva de ser mais difícil roubar do que minerar/comprar, era realista na altura a médio prazo.

Mas, porque achas que vai afetar toda a comunidade? Não penso assim.
Se um soft fork, permitir a criação de endereços PQC, todos os donos endereços são informados e recomendados moverem as suas moedas em perigo (endereços P2PK). Na visão do Bitcoin, é o dono das moedas o responsável por tomar conta das suas moedas, por isso quem não mudar assume o risco.

Pode se pensar que isso é mau para o mercado, caso as moedas do Satoshi sejam roubadas. Em primeiro lugar, não sabemos se ele não as move antes disso. Será se ele as mover irá trazer mais tranquilidade ao mercado ou mais pânico? Muitos podem achar, que ele pode começar a vender, e provavelmente os mercados entrariam em pânico.

Por outro lado, se essas moedas não forem mexidas, até a possibilidade da computação quântica ser capaz de quebrar o ECDSA, toda a comunidade fica consciente que essas moedas podem um dia ser roubadas. Quando isso acontecer, pode haver algum pânico, mas provavelmente será menor, porque todos já estavam a espera. Isso até vai provar que o Bitcoin esta a funcionar como pretendido: quem tem a chave tem direito a mover as moedas; não há bloqueios nem beneficio de ninguém; o dono das moedas é responsável pela sua segurança.

O Satoshi nunca iria concordar com um bloqueio com o objetivo de beneficiar alguém. E esta questão só se coloca por causa das moedas do Satoshi, se não fossem elas, ninguém colocaria essa questão. Avançava-se para o fork de PQC, e quem muda-se mudava, quem não muda-se paciência. Era essa a ideia dos devs. Agora, falam disso, por causa das moedas do Satoshi.

Outro ponto que se tem de colocar em cima da mesa, é quem vai ter computação quântica. Neste momento, a frente vai a IMB, Google, Microsoft, Amazon e mais duas ou três empresas que estão a investigar. Qual é a probabilidade dessas empresas atacarem os endereços em risco do Bitcoin? Pouco provável. Diria que nem a investigação chinesa iria pensar nisso. Esses endereços são altamente monitorizados, qualquer ataque desse gênero, conseguia se saber a sua origem, e a reputação dessas empresas iria cair muito.

Claro que talvez daqui a 50 anos a computação quântica já pode estar nas mãos de pessoas mal intencionadas. Mesmo assim, a comunidade já deverá estar preparada psicologicamente para esse tipo de situação, e não se sentira muito incomodada. Sim, pode haver uma venda massiva, mas também o mercado já estará preparado para esse cenário.

Pois, só da opinião do mercado estar mais preparado, se dizerem que a qualquer momento as moedas Satoshi podem ser "roubadas", do que se de um dia para o outro esses endereços forem movimentados. Ou seja, era mais chocante para o mercado, essas moedas serem movimentas hoje, do que daqui a 50 anos quando todos esperam que aconteça.

[alegotardo]

Mas, porque achas que vai afetar toda a comunidade? Não penso assim.
Se um soft fork, permitir a criação de endereços PQC, todos os donos endereços são informados e recomendados moverem as suas moedas em perigo (endereços P2PK). Na visão do Bitcoin, é o dono das moedas o responsável por tomar conta das suas moedas, por isso quem não mudar assume o risco.

É... pensando por esse lado eu acho que faz um pouco de sentido. A gente se imagina hoje, por exemplo, o que iria acontecer se apenas um valor irisório que fosse, começar a movido das carteiras de Satoshi... o mndo cripto iria entrar em pânico achando que ele voltou e a qualquer momento pode despejar isos no mercado,  pegando todo mundo de surpresa. Então a queda do preço seria mais por FUD do que realmente pelo fato do mercado não conseguir absorver tanto BTC entrando novamente em circulação.

Mas, assim como ocorreu no caso da Mt. Gox, por exemplo, foi anunciado muuuito cedo que eles iriam devolver, o mundo inteiro se preparou para a reentrada de aproximadamente 9bi de dólares que era uma quantidade significativa de BTC sendo despejada no mercado... no anúncio isso realmente balançou um pouco os mercados e tivemos uma flutuação, não foi nada alarmante, bem pelo contrário.... foi tranquilo até.

Mas confesso... eu preferiria ver as moedas de satoshi trancadas para sempre, até mesmo em um símbolo de "memorial" do que ver isso caindo nas mãos de "sabe-se lá quem" que não teve direito nenhum à elas, que não participou da história, do surgimento do Bitcoin, apenas teve acesso à tecnologia necessária para acessar sem permissão aquilo que deveria ser "inquebrável".

Sobre a mineração PQC... nem vou entrar nesse debate, isso aí é algo que eu nem tenho argumentos ou conhecimento técnico para especular sobre como é que vai funcionar e quem terá acesso. Só sei que também terá de ser alterada e isso vai sim culminar no fim das ASICs pois acho que um computador quântico ainda conseguirá encontrar o próximo hash com mais eficiência que as ASICs que temos hoje, certo? Minha duvida é porque eu li que o algoritmo de Grover usado na computação quantica na verdade não possui a mesma eficiência para esse fim, mas acho que não era algo totalmente "fora de risco"

[joker_josue]

Mas confesso... eu preferiria ver as moedas de satoshi trancadas para sempre, até mesmo em um símbolo de "memorial" do que ver isso caindo nas mãos de "sabe-se lá quem" que não teve direito nenhum à elas, que não participou da história, do surgimento do Bitcoin, apenas teve acesso à tecnologia necessária para acessar sem permissão aquilo que deveria ser "inquebrável".

Sobre a mineração PQC... nem vou entrar nesse debate, isso aí é algo que eu nem tenho argumentos ou conhecimento técnico para especular sobre como é que vai funcionar e quem terá acesso. Só sei que também terá de ser alterada e isso vai sim culminar no fim das ASICs pois acho que um computador quântico ainda conseguirá encontrar o próximo hash com mais eficiência que as ASICs que temos hoje, certo? Minha duvida é porque eu li que o algoritmo de Grover usado na computação quantica na verdade não possui a mesma eficiência para esse fim, mas acho que não era algo totalmente "fora de risco"

Exato, as pessoas falam em bloquear, não porque existe medo que prejudique o mercado essas moedas em risco, mas porque boa parte delas são do Satoshi. Como todo o mundo assume que ele nunca irá reaparecer, acham que bloquear essas moedas é uma forma de proteger o legado histórico. Mas, fazer isso, vai totalmente contra a ideologia criada por Satoshi para o Bitcoin. Pelo o contrario, tomar essa atitude de bloqueio autoritário, é que iria prejudicar esse legado histórico.


Em relação a mineração, essa nada muda. A mineração usa o SHA-256 PoW, e tudo continua normalmente. Se começar a ser usado computadores quânticos para mineração, terá uma vantagem inicial de encontrar os blocos mais rápido, mas a rede iria acabar por ajustar a dificuldade de forma a que o ritmo de blocos continua-se os mesmos 10 minutos/media. Por isso, no caso da mineração, não existe grandes mudanças.

Além disso, temos o custo de energia, que provavelmente não compensaria assim tanto ter computadores quânticos a minerar. O custo de energia seria muito alto, para a baixa recompensa que cada bloco pode dar. Como base em algumas umas estimativas, em 2050, um computador quântico irá consumir uns 50.000W, contra cada ASIC a consumir 2000W.

Tendo em conta, que o computador quântico não ganha grande vantagem na mineração, torna-se menos compensatório. Se esse computador, tiver a capacidade de 10% de hash da rede, ele irá minerar apenas 10% dos blocos. Colocando ainda em cima da mesa a redução da recompensa a cada 4 anos, o BTC tinha de ter um valor muito alto, para tornar as coisas minimamente viaveis.

[alegotardo]

Ein @ joker_josue, vou te citar diretamente porque parece que só tem mais eu e você aqui

Eu tava pensando em outra coisa.... e se de alguma forma fosse criar um "desincentivo" para ataque nessas wallets que não foram migradas?
Poderia ser utilizado o próprio bloqueio de registro temporal que já existe no Bitcoin, de forma automática e forçada nessas wallets que não foram migradas. Quanto maior o saldo que tenta movimentar, maior será o o tempo que ela ficará bloqueada após a transferência.
Ou então, algo mais drástico poderia ser até mesmo a "perda" de parte dessas moedas. Quanto maior o valor a ser transferido maior a % de valor que irá para o limbo.
E teria que ser implementado de forma à pegar também quem tentar fazer várias transferências de menor valor.

Assim a gente consegue proteger os "esquecidinhos" que tem poucos fundos e não fizeram a transição à tempo, dos peixe grande que podem causar um impacto maior em todo o ecossistema do Bitcoin.... e quando vermos uma movimentação grande de BTC nas wallets de Satoshi por exemplo, teremos algumas semanas ou até meses para absorver o impacto da mudança até que os satoshis sejam liberados para uso.

Como você disse, essas empresas grandes não vão querer acabar com o Bitcoin, elas não tem interesse em saquear os fundos de Satoshi, mas elas sabem que se não forem elas à por a mão nesses fundos, mais a frente será outra pessoa. Então tenha a certeza que asism que possível alguém irá transferir esses Bitcoins para uma wallet protegida, nem que seja para continuar em Hodl ou então para "queimar" em uma wallet PQC antes que essa tecnologia se popularize e caia aí sim em mãos erradas.