Tenho investigado mais mecanismos de atualização pós-quântica, especialmente aqueles que não requerem uma mudança de endereço. As cadeias EdDSA que seguem o RFC-8032 (estilo Ed25519) têm uma vantagem embutida. Sua chave de assinatura não é um escalar aleatório bruto, é derivada de forma determinística a partir de uma semente curta por meio de hashing. Isso significa que você pode provar que conhece a semente (em uma prova ZK à prova de pós-quântica) e vincular uma nova chave pós-quântica ao mesmo endereço. Nenhum movimento de fundos e nenhum novo dado de curva na blockchain. Mesmo contas dormentes podem ser atualizadas se a semente existir. Isso abrange cadeias como Sui, Solana, NEAR, Stellar, Aptos. Bitcoin/Ethereum não têm essa invariância por padrão porque muitas chaves ECDSA vieram de "apenas escolher um escalar aleatório". Mas há um caminho possível para grandes coortes que usam BIP-39 → BIP-32 com caminhos bem definidos. Você pode provar essa derivação exata e vincular uma chave pós-quântica sem mover fundos. Mas, é específico de carteira e pode ser complexo: - O PBKDF2-HMAC-SHA512 do BIP-39 (2048 rodadas) é custoso em ZK - O BIP-32 adiciona HMAC-SHA512 e matemática secp256k1 dentro do circuito Ainda assim, para caminhos comuns (por exemplo, Ethereum m/44’/60’/0’/0/x), pode ser viável. Geralmente, existem dois padrões de implantação: 1. Prova única + mapeamento: publique uma prova uma vez e registre o endereço → chave pós-quântica. A partir de então, você assina pós-quântica para esse endereço. 2. Prova por transação: cada transação carrega uma única prova que liga a semente ao endereço e autoriza a mensagem. Sem estado, mas cada verificador deve verificar a prova. Isso pode excluir muitas cadeias, dado o overhead de desempenho de verificar a prova por tx. Por que isso funciona: o algoritmo de Shor quebra logs discretos (então sistemas de chave pública como ECDSA/EdDSA falham uma vez que a chave pública é exposta). O algoritmo de Grover apenas oferece um aumento quadrático de velocidade para pré-imagens de hash. Portanto, se sua chave privada é derivada de uma semente via um hash forte (por exemplo, SHA-512), a semente permanece oculta mesmo que uma máquina futura recupere a chave de hoje. É por isso que o design "semente-primeiro" no EdDSA ajuda. Além disso, você não precisa de um hard fork para começar. Antes do Dia Q, você também pode vincular identidades sem ZK, assinando cruzadamente o endereço legado e a chave pós-quântica em ambas as direções e ancorando-a ao tempo. Foi isso que construímos com yellowpages. No post, eu detalho a mecânica, o que você pode economizar hoje em cadeias EdDSA, o que você pode realisticamente economizar em ECDSA, as compensações entre provas únicas e por tx, e os limites que você deve se preocupar (manipulação de sementes, proteção contra replay, custo da prova). Texto completo abaixo.