@leonacosta
sobre
projetos
ideias
o imutável e o exposto: bitcoin protege seu passado, nostr não pode
tecnologia, descentralização

o imutável e o exposto: bitcoin protege seu passado, nostr não pode

Bitcoin, Nostr, Computação Quântica, Criptografia, Pós-Quântico
Leon Acosta
Leon Acostajun 3, 2026 · 5 min de leitura

tanto bitcoin quanto nostr se apoiam na mesma curva elíptica, secp256k1, e ambos vão sentir o mesmo golpe quando chegar um computador quântico capaz de rodar Shor. mas o golpe cai em lugares opostos. entender essa diferença é o ponto inteiro, porque ela te diz qual você consegue defender e qual já está perdido

a fraqueza compartilhada

as chaves do bitcoin e as chaves do nostr são o mesmo tipo de objeto: um par de chaves secp256k1 onde a chave pública é derivada da chave privada por multiplicação de curva elíptica. essa operação hoje é de uma só direção. o algoritmo de Shor a torna de duas direções. dada uma chave pública, uma máquina quântica grande o suficiente recupera a chave privada resolvendo o problema do logaritmo discreto em tempo polinomial

até aqui, exposição idêntica. a divergência está inteiramente no que cada sistema faz com essa chave, e no que está a céu aberto esperando para ser atacado

bitcoin: o passado é permanente, o risco está à frente

o livro-razão do bitcoin é uma cadeia de hashes protegida por prova de trabalho SHA-256. o hashing não é quebrado por Shor, e o algoritmo de Grover só o enfraquece quadraticamente, baixando a segurança de 256 bits para cerca de 128 bits efetivos, o que ainda é confortavelmente seguro. isso significa que nenhum computador quântico reescreve a história do bitcoin. uma transação confirmada em 2011 continua confirmada. o registro é imutável da forma como sempre foi prometido que seria

o que o quântico de fato ameaça no bitcoin é a propriedade, não a história. se a sua chave pública está exposta na cadeia, um atacante pode derivar a sua chave privada e mover as suas moedas. a exposição acontece com endereços reutilizados, com velhas saídas de pagamento para chave pública, e com qualquer endereço que já gastou uma vez e revelou a sua chave. as moedas da era Satoshi em saídas P2PK são o exemplo de manual

aqui está a parte que importa: a ameaça olha para a frente, e você pode agir sobre ela. você pode mover as suas moedas para um endereço novo cuja chave pública nunca foi revelada, e um dia para um esquema de endereço pós-quântico quando a rede adotar um. o perigo está na sua frente, o que significa que há algo que você pode fazer antes que ele chegue

nostr: o passado é o passivo, e você não pode agir sobre ele

nostr inverte isso por completo. no nostr a sua chave pública é a sua identidade, o npub, e ela é transmitida em texto puro dentro de cada evento que você publica. não há invólucro de hash que a esconda, não há revelação de um único gasto, não há janela estreita. ela fica nos relays permanentemente, completamente exposta, desde o primeiro dia em que você o usa

agora pense nas mensagens diretas. os DMs do nostr cifram o corpo com uma cifra simétrica, AES-256 no antigo NIP-04, ChaCha20 no mais novo NIP-44. a camada simétrica em si está bem diante do quântico. mas a chave simétrica não é escolhida ao acaso e mantida em segredo. ela é derivada de uma troca de chaves ECDH sobre as mesmas chaves secp256k1. a fechadura é forte, a chave da fechadura está pendurada num gancho de curva elíptica que Shor arranca de um puxão

junte as peças e você obtém o ataque conhecido como colher agora, decifrar depois:

  1. colher: a mensagem cifrada já vive em relays públicos, recuperável por qualquer um, armazenada indefinidamente. as chaves públicas de ambos, remetente e destinatário, estão ali do lado. o atacante junta tudo isso hoje, a custo zero, e simplesmente guarda

  2. esperar: ainda não é preciso hardware quântico. o adversário é paciente porque os dados nunca expiram dos relays

  3. decifrar: quando existir uma máquina capaz de rodar Shor, o atacante recupera a chave privada de qualquer uma das partes a partir da chave pública, recalcula o segredo compartilhado ECDH, deriva a chave simétrica, e decifra a mensagem armazenada de forma retroativa. nada do velho texto cifrado precisa mudar

e não há sigilo para a frente que suavize isso. o Signal rotaciona chaves efêmeras com um duplo ratchet, de modo que quebrar uma chave expõe apenas uma lasca de conversa. o nostr não. uma única chave de identidade de vida longa decifra todo o seu histórico de mensagens. quando essa única chave cai, tudo o que você já enviou cai com ela, tudo de uma vez

a crueldade da assimetria é esta: no bitcoin você pode mover as suas moedas antes da tempestade. no nostr não há ação que des-envie uma mensagem que você já enviou. a colheita já aconteceu. o que quer que você tenha digitado num DM do nostr é, de um ponto de vista criptográfico, um envelope lacrado descansando numa prateleira pública com uma fechadura que eventualmente vai se abrir sozinha

a acusação precisa, para que ninguém possa descartá-la

seria preguiçoso dizer que o nostr foi construído com descuido. secp256k1 era a escolha forte, dominante e bem provida de ferramentas na sua janela de design, e praticamente nenhum sistema de mensageria em operação tinha troca de chaves pós-quântica. a mesma fraqueza de curva elíptica vive no TLS, SSH, PGP, e no próprio bitcoin. o nostr não é excepcionalmente mole

o que é específico do nostr, e o que torna o caso dos DM genuinamente pior que a maioria, é a combinação de três fatos de design:

  1. armazenamento público permanente: o texto cifrado é abertamente recuperável e nunca é apagado, então a colheita é garantida, não oportunista

  2. a identidade como chave pública: a chave necessária para quebrar a troca é publicada em texto claro em cada evento, não escondida atrás de um hash nem revelada apenas por um instante

  3. sem rotação de chaves, sem sigilo para a frente: uma única chave de vida longa abre o arquivo inteiro, então a quebra eventual é total em vez de parcial

essa é uma crítica arquitetônica afiada. é muito mais forte que uma acusação vaga de fraqueza, e é a versão que sobrevive ao escrutínio

o aviso prático

trate cada DM do nostr como eventualmente público. não com certeza, não numa data fixa, o hardware quântico grande e tolerante a falhas pode estar a dez ou quinze anos ou pode empacar, a linha do tempo é uma probabilidade e não uma promessa. mas a assimetria das consequências é brutal: se o hardware nunca chegar você não perdeu nada por ter sido cuidadoso, e se ele chegar então tudo o que você protegeu ficando calado é a única coisa que continua privada

então a regra é simples. não envie segredos, senhas, chaves, nem nada que você precise manter confidencial por uma década através de DMs do nostr. qualquer coisa sensível deveria ir por um canal com sigilo para a frente e, idealmente, troca de chaves pós-quântica. o nostr é excelente para o discurso público, assinado e resistente à censura, que é para o que ele realmente foi construído. é o lugar errado para sussurrar

a manchete se sustenta em uma linha: o design do bitcoin torna o passado seguro e o futuro defensável, enquanto o design do nostr faz do passado justamente a coisa que está exposta, sem nada que você possa fazer agora para tomá-lo de volta

publicações semelhantes

falácia do valor nominal

apr 16, 2026
falácia do valor nominal

redes sociais e o descompasso de custódia

mar 11, 2026
redes sociais e o descompasso de custódia

nostr está se centralizando. por design

mar 5, 2026
nostr está se centralizando. por design