Todo algoritmo de mineração 'resistente a ASIC' falhou. Achamos que sabemos por quê.
Em 2009, Satoshi Nakamoto minerou Bitcoin em uma CPU de laptop. Em 2013, chips customizados já haviam tornado isso impossível. A distância entre um computador de propósito geral e um ASIC de mineração feito sob medida é hoje de aproximadamente dez milhões para um.
A comunidade cripto passou uma década tentando fechar essa distância. Scrypt prometeu memory-hardness. Ethash acrescentou um dataset gigante. Equihash invocou a complexidade do problema do aniversário. RandomX construiu uma CPU virtual inteira dentro do laço de mineração. Cada um mais sofisticado que o anterior. Cada um eventualmente caiu.
Acabamos de publicar um preprint examinando esse problema desde os alicerces — sistematizando tudo o que foi tentado e por que falhou. Esta é a história.
O placar
O artigo, “The ASIC Resistance Problem: A Systematization of Knowledge and Open Questions for Proof-of-Work Consensus,” traça o arco completo do Hashcash até o presente.
Começa com SHA-256 — e por que ele é o alvo perfeito para ASIC
SHA-256 são 64 rodadas de rotações bit a bit, adições e funções booleanas sobre oito variáveis de 32 bits. Sem memória. Sem desvios condicionais. Sem dependência de dados entre tentativas de hash. O conjunto inteiro mapeia para um pipeline estático que pode ser estampado em silício e replicado milhares de vezes. É por isso que ASICs de Bitcoin atingem 10.000.000× a eficiência das CPUs que Satoshi usava. Ao reduzir flip-flops de 22 para 4 transistores, remover toda característica que uma CPU tem e que o SHA-256 não usa, e migrar de 130nm para 5nm ao longo de uma década, os projetistas de ASIC alcançaram ganhos fundamentalmente impossíveis para hardware de propósito geral.
Também damos a Hal Finney e seu RPoW (2004) o devido crédito como elo perdido entre Hashcash e Bitcoin — o primeiro sistema funcional de dinheiro digital baseado em prova de trabalho, usando coprocessadores à prova de adulteração da IBM para prevenir gasto duplo. A genialidade de Nakamoto foi substituir o servidor confiável de Finney por uma blockchain descentralizada.
Em seguida, percorremos cada contramedida
| Algoritmo | Estratégia | Vantagem do ASIC | Tempo até cair |
|---|---|---|---|
| SHA-256 | Nenhuma | ~10.000.000× | ~2 anos |
| Scrypt | Memory-hard | ~1.000× | ~2 anos |
| Ethash | Memory-hard | 5–20× | ~3 anos |
| Equihash | Memory-hard | ~15× | ~2 anos |
| CryptoNight | Fork-esteira | Reset a cada fork | ~1 ano cada |
| X16R | Variabilidade de algoritmo | Quebrado | ~1,5 anos |
| RandomX | Emulação de CPU | ~1,3× | ~4 anos |
| Aleo PoSW | Baseado em ZK | Desistiram | < 1 ano |
| Primecoin | Aritmética de grandes inteiros | Nenhuma ainda | 11+ anos |
A tendência é clara. Cada geração comprime a diferença em cerca de uma ordem de magnitude — de 10⁷ para 10³ para 10¹ para 10⁰. Mas nenhuma a eliminou.
RandomX merece atenção especial. É a tentativa mais sofisticada já feita: uma máquina virtual que executa programas gerados aleatoriamente com 29 instruções, um dataset de 2 GB em memória e compilação JIT. A tese do projeto era que qualquer ASIC teria de ser uma CPU. A resposta da Bitmain? O Antminer X5 — um chip RISC-V enxuto, que é exatamente uma CPU menos tudo que o RandomX não usa. Vantagem: ~1,3×. Pequena, mas real.
E investigamos por que a teoria não nos salvou
A literatura acadêmica tem peças do quebra-cabeças:
- Scrypt é provado como maximamente memory-hard (Alwen et al., EUROCRYPT 2017). ASICs de Litecoin ainda dominam.
- Bandwidth hardness (Ren e Devadas, TCC 2017) captura custos de energia que a complexidade de memória ignora — acesso à DRAM custa ~20 pJ/bit independentemente da plataforma. É o modelo mais próximo da realidade do hardware.
- Fine-grained PoW (Ball et al., CRYPTO 2018) liga a dureza a conjecturas de complexidade de pior caso (Orthogonal Vectors, 3SUM, APSP). Mas apenas gaps polinomiais — fracos demais para consenso real.
- VDFs (Boneh et al., CRYPTO 2018) dão dureza sequencial não amortizável. Mas sequencialidade sozinha não basta.
- Complexidade VLSI (Thompson, 1980) dá lower bounds de circuito para ordenação e DFT. Mas nenhum tal lower bound existe para qualquer função útil em PoW.
Nenhum teorema na literatura diz “hardware especializado não pode vencer hardware de propósito geral para o problema X.” Isso exigiria provar lower bounds de circuito para funções criptográficas — um dos problemas em aberto mais difíceis de toda a ciência da computação.
E propomos algo novo: rotação de algoritmo adaptativa à dificuldade
Todo algoritmo de ajuste de dificuldade em produção — o do Bitcoin, Kimoto Gravity Well, Dark Gravity Wave, LWMA — ajusta apenas o threshold alvo. A computação permanece a mesma; só o limiar de aceitação muda. Propomos que a dificuldade passe a mudar a computação em si — deslocando a mistura de operações (limitadas por memória vs. limitadas por computação, inteiras vs. ponto flutuante) conforme a dificuldade aumenta. Se o hardware ótimo está sempre em movimento, um ASIC otimizado para um regime torna-se subótimo no próximo.
Questões em aberto
O artigo levanta várias questões abertas. Entre as mais fundamentais:
- A resistência a ASIC pode ser formalmente definida? Não existe definição em termos de teoria da complexidade. Qual é o modelo de custo correto — área de silício, energia, largura de banda?
- Existe um teorema de impossibilidade? Talvez a resistência a ASIC seja provavelmente inalcançável. Ninguém mostrou isso tampouco.
- O gap de 1,3× do RandomX é um piso fundamental, ou nova inovação de projeto pode levá-lo a 1?
- A tese da Loteria do Hardware pode ser formalizada como uma afirmação de complexidade sobre circuitos especializados vs. gerais?
Por que isso importa
Se a prova de trabalho tem futuro — e a operação contínua do Monero, o debate sobre tail emission do Bitcoin e o interesse corrente em consenso baseado em PoW sugerem que tem — então a questão da resistência a ASIC não é acadêmica. Ela determina se a mineração permanece acessível a indivíduos rodando hardware comum ou se concentra permanentemente em instalações industriais operando silício feito sob medida.
Uma década de engenharia comprimiu a vantagem do ASIC de dez milhões para um vírgula três. A pergunta é se conseguimos empurrá-la até um — e provar que ela fica lá.
Links arXiv/IACR ePrint a definir.
Roberto Santacroce Martins — roberto@santacroce.es
Feedback, colaboração e contra-argumentos são bem-vindos.