
Debate sobre blocos maiores e STARKs é reavivado pelo…
A modelagem do ML-DSA-44 do NIST implica que os blocos poderiam acomodar aproximadamente 500–700 transações sem mitigação.
O movimento de longo prazo do Bitcoin em direção a assinaturas pós-quânticas está ressurgindo uma antiga linha de falha de escalabilidade: absorver assinaturas maiores com blocos maiores ou comprimí-las com agregação ZK-STARK.
Um esquema modelado do NIST coloca a potencial queda de throughput em termos claros, com a capacidade do bloco estimada para cair para cerca de 500–700 transações, em comparação com cerca de 2.500–3.000 hoje, se nada mais mudar.
Principais Conclusões
- Os esquemas de assinatura pós-quântica aprovados pelo NIST são descritos como 10 a 100 vezes maiores do queBitcoinas atuais assinaturas ECDSA e Schnorr.
- A modelagem do ML-DSA-44 a 2.420 bytes por assinatura implica que a capacidade do bloco do Bitcoin poderia cair para cerca de 500–700 transações, em comparação com cerca de 2.500–3.000 hoje.
- O debate sobre mitigação está sendo estruturado em torno de duas alavancas: aumentar o tamanho do bloco do Bitcoin ou agregar assinaturas em uma pequena prova ZK-STARK.
- O Bitcoin Script não pode verificar um STARK hoje, e Marin Ivezic caracterizou a verificação de STARK na camada base como “realisticamente uma conversa para a década de 2030.”
As Assinaturas Pós-Quânticas Colocam o Throughput do Bitcoin em Destaque Novamente
O impacto de mercado a curto prazo não se trata de computadores quânticos surgindo amanhã. Trata-se do que acontece com o throughput e a dinâmica de taxas do Bitcoin se a rede algum dia migrar de ECDSA e Schnorr para esquemas de assinatura pós-quânticos (PQ) que são materialmente maiores.
Os esquemas de assinatura PQ aprovados pelo NIST são descritos como aproximadamente 10 a 100 vezes maiores do que as assinaturas existentes do Bitcoin. Esse aumento de tamanho não é cosmético. As assinaturas são uma parte central do peso da transação, então o inchaço das assinaturas se traduz diretamente em menos transações por bloco, a menos que o protocolo mude em outros lugares.
Marin Ivezic, autor do PostQuantum.com e fundador da Applied Quantum, modelou o ML-DSA-44 do NIST em 2.420 bytes por assinatura e estimou que a capacidade do bloco cairia para cerca de 500–700 transações por bloco, em comparação com cerca de 2.500–3.000 hoje.
O SegWit é descrito como reduzindo o impacto de grandes assinaturas em até 75%, mas a estimativa do ML-DSA-44 ainda implica uma redução grande o suficiente para trazer as narrativas de escalabilidade e mercado de taxas de volta ao centro do roteiro do Bitcoin.
Duas Soluções Concorrentes: Blocos Maiores vs Agregação de Assinaturas ZK-STARK
O debate está sendo apresentado como uma escolha entre uma alavanca politicamente difícil e uma alavanca tecnicamente difícil.
Um caminho é engenharia direta: aumentar o tamanho do bloco do Bitcoin para absorver assinaturas PQ maiores. O trade-off é o custo do nó. Blocos maiores significam mais largura de banda, armazenamento e trabalho de verificação para cada nó completo, o que críticos argumentam que empurra a rede em direção à centralização. A luta pelo tamanho do bloco também não é teórica.
O Bitcoin se dividiu sobre uma proposta para dobrar o tamanho do bloco em 2017, e essa história ainda molda os reflexos de governança.
O outro caminho é a compressão: agregar assinaturas em uma prova ZK-STARK para que os blocos não precisem carregar cada assinatura individual.
Eli Ben-Sasson, cofundador da StarkWare, argumentou que uma única prova poderia comprimir “todas as grandes assinaturas de transação para um bloco” em uma prova “pequena” e afirmou que a prova poderia ser menor do que incluir até mesmo as assinaturas de hoje, potencialmente fazendo a cadeia funcionar mais rápido.
Ele alertou que adotar assinaturas PQ sem agregação falharia no teste de usabilidade: “Se elas não permitirem a agregação ZK STARK, então definitivamente será um movimento muito infeliz porque realmente não resolverá o problema... onde o problema é ‘todo mundo pode realmente usar o Bitcoin?’”
Por que os STARKs não são plug-and-play no Bitcoin hoje
A restrição não é se os STARKs funcionam no abstrato. É se o Bitcoin pode verificá-los sob regras de consenso sem expandir a superfície de ataque.
Ivezic argumentou que “a criptografia do Eli é sólida como uma rocha: suposições puras de hash, sem configuração confiável, milhares de assinaturas comprimidas em uma pequena prova. O problema é tudo ao redor da criptografia”, acrescentando: “O Bitcoin Script não pode verificar um STARK hoje, e um verificador de produção é uma superfície de consenso massiva comparada a um opcode de assinatura de hash estreito.
Dado que um opcode pequeno como OP_CAT passou anos em debate, um verificador STARK de camada base é realisticamente uma conversa para a década de 2030.”
A rampa de entrada mais “politicamente pragmática” discutida é reabilitar o OP_CAT, descrito como nove linhas de código escritas por Satoshi. Ben-Sasson argumentou que o OP_CAT poderia permitir provas e agregação STARK, mas o interesse que surgiu há 12–24 meses é descrito como tendo perdido impulso mais recentemente.
Outras ideias mais especulativas mencionadas incluem OP_STARK_VERIFY e BitZip, e Ethan Heilman enquadrou o espaço de design como adicionar opcodes de uso geral para construir algo como um ZKRollup no Bitcoin ou apoiar STARKs na camada de consenso, com opções de agregação mais fracas como CISA também em discussão.
Sinais que os Traders Devem Acompanhar no Roteiro do Bitcoin PQ
O primeiro sinal é o movimento concreto do BIP ou o sinal renovado de mantenedores e desenvolvedores em torno da reabilitação do OP_CAT, já que é enquadrado como a ponte mais pragmática para construções relacionadas ao STARK.
O segundo é se alguma proposta para habilitar a verificação STARK no Bitcoin avança além da discussão. O script não pode verificar um STARK hoje, então a questão relevante para o mercado é se a conversa se desloca para abordagens baseadas em opcode ou suporte de camada de consenso, e se alguma delas ganha impulso credível.
Em terceiro lugar, fique atento a modelagens e benchmarks subsequentes que refinam a estimativa do ML-DSA-44 de 2.420 bytes por assinatura e as implicações de ~500–700 transações por bloco. Se esquemas PQ alternativos mudarem materialmente o perfil de tamanho da assinatura, a urgência da troca de escalabilidade muda com isso.
Finalmente, marcos cross-chain podem criar pressão narrativa. A Starknet anunciou um projeto em três fases para se tornar seguro contra quânticos, e o artigo descreveEthereumcomo tendo como alvo 2029 para uma transição pós-quântica, enquantoSolanaexperimenta com assinaturas PQ. Esses cronogramas não forçam a mão do Bitcoin, mas podem mudar as expectativas sobre como é o progresso 'razoável'.
Governança, Não Criptografia, Parece Ser o Verdadeiro Gargalo
Eu trato a modelagem ML-DSA-44 como a principal função de força. Se o Bitcoin algum dia se tornar PQ no estilo NIST sem mitigação, a matemática de throughput é feia o suficiente para arrastar a escalabilidade e as taxas de volta para a narrativa macro, mesmo que a ameaça quântica em si permaneça de longo prazo.
O limiar que importa é se a governança do Bitcoin pode convergir em qualquer caminho de mitigação credível antes que o PQ se torne mais do que um tópico de pesquisa. Blocos maiores são a alavanca de engenharia mais simples, mas historicamente a mais difícil de socializar, enquanto a agregação STARK parece mais limpa em throughput, mas esbarra diretamente nos limites do Script e no risco da superfície de consenso.
Se OP_CAT ou qualquer caminho de verificação STARK passar de “interessante” para “exequível”, a configuração começa a parecer estrutural em vez de impulsionada pela narrativa, porque definiria como o Bitcoin absorve uma atualização de segurança sem reabrir a guerra do tamanho do bloco.