Kann man wirklich nicht zu optimistisch sein? Zwei Veröffentlichungen zum Thema Quantencomputing am selben Tag senken die Gewinnschwelle von Bitcoin um zwei Größenordnungen

Am Nachmittag des 31. März kehrte sich der morgendliche Aufwärtstrend von Bitcoin um, und der Kurs fiel rasch unter die 67.000-Dollar-Marke, während der Marktindex für Angst und Gier auf 28 sank. Ein in den sozialen Medien vielfach geteiltes Bild zeigte, dass die Anzahl der physikalischen Quantenbits, die zum Knacken eines Bitcoin-Privatschlüssels mit einem Quantencomputer erforderlich sind, von einer Million auf einige Tausend gesunken war. Ein Forscher von Google Quantum AI warnte davor, dass ein Quantenangriff eine gerade gesendete Bitcoin-Transaktion innerhalb von 9 Minuten kapern könnte, wobei die Wahrscheinlichkeit, dass der Diebstahl vor der Bestätigung abgeschlossen ist, bei etwa 41 % liegt. Derzeit liegen rund 6,9 Millionen Bitcoins mit offengelegten öffentlichen Schlüsseln ungenutzt in der Blockchain und warten darauf, dass die Rechenleistung die theoretischen Berechnungen einholt.

Auslöser für diese Panik waren zwei Artikel, die am Vortag fast zeitgleich veröffentlicht worden waren. Der eine stammte aus dem Google Quantum AI-Team, der andere von Oratomic, einem Unternehmen für Quantencomputing mit neutralen Atomen. Für sich genommen stellte jede einzelne davon einen bedeutenden Fortschritt auf ihrem jeweiligen Gebiet dar. Betrachtet man sie jedoch in ihrer Gesamtheit, so zielten sie auf verschiedene Ebenen des Quantencomputing-Stacks ab, was zu einem direkten Multiplikatoreffekt führte.

Der Ethereum-Kernentwickler Justin Drake bezeichnete dies in einem Tweet als „Meilenstein für die Quanteninformatik und Kryptografie“. Er war an der Veröffentlichung des Google-Teams beteiligt, in der der Shor-Algorithmus weiterentwickelt wurde – der bekannteste Algorithmus für Quantenangriffe in der Kryptografie, der speziell darauf ausgelegt ist, RSA- und elliptische Kurvenverschlüsselung zu knacken. Der von Bitcoin und Ethereum verwendete Signaturalgorithmus secp256k1 gehört zur Kryptografie auf Basis elliptischer Kurven.

Warum war es wirklich beängstigend, als die beiden Zeitungen zusammengelegt wurden? Denn der Gesamtbedarf an physikalischen Quantenbits zum Knacken einer Signatur auf Basis einer elliptischen Kurve entspricht der Anzahl der logischen Quantenbits (d. h. der Anzahl der „fehlerfreien“ Recheneinheiten, die auf algorithmischer Ebene benötigt werden) multipliziert mit der Anzahl der physikalischen Bits, die pro logischem Bit erforderlich sind (d. h. der Menge an „redundanter“ Hardware, die auf der Fehlerkorrekturebene benötigt wird, um eine fehlerfreie Einheit aufrechtzuerhalten). In der Veröffentlichung von Google wurde Ersteres komprimiert, während in der Veröffentlichung von Oratomic Letzteres komprimiert wurde. Da sowohl der Zähler als auch der Nenner kleiner werden, sinkt das Produkt stark.

Laut einem Beitrag, der in EUROCRYPT 2026 veröffentlicht wurde, sank die Anzahl der logischen Quantenbits, die zum Knacken einer elliptischen Kurve mit 256 Bit erforderlich sind, von 2.330 im Jahr 2017 (gemäß dem Referenzbeitrag von Roetteler et al.) auf 2.124 im Jahr 2020 (gemäß der Verbesserung von Haner et al.) und im März 2026 weiter auf 1.098. Innerhalb von neun Jahren konnten die algorithmischen Anforderungen um mehr als die Hälfte reduziert werden. Die Veröffentlichung des Google-Teams ging noch einen Schritt weiter und optimierte das Verfahren für die von Bitcoin und Ethereum verwendete secp256k1-Kurve, wodurch die erforderlichen logischen Bits auf etwa 1.000 reduziert wurden, bei einer Schaltungstiefe von nur etwa 100 Millionen Toffoli-Gates (wie von Justin Drake unter Berufung auf CryptoBriefing beschrieben), was einer Laufzeit des Shor-Algorithmus von etwa 1.000 Sekunden auf einer supraleitenden Plattform entspricht.

Unterdessen geht aus den in dem Tweet zitierten Daten der Oratomic-Studie hervor, dass der Ansatz mit neutralen Atomen die Anzahl der pro logischem Qubit benötigten physikalischen Qubits von etwa 400 bei herkömmlichen Oberflächencodes auf etwa 10 reduziert. Das Prinzip dieses Durchbruchs unterscheidet sich grundlegend von dem von Google. Google hat die Effizienz des Algorithmus selbst optimiert, während Oratomic den Aufwand für die Fehlerkorrektur der zugrunde liegenden Hardware optimiert hat. Beide Verbesserungen lassen sich miteinander kombinieren.

Die Multiplikation dieser beiden Zahlen: Die Schätzung für 2017 lag bei etwa 7 Millionen physikalischen Quantenbits, während die Schätzung der Roadmap für neutrale Atome vom März 2026 bei etwa 10.000 liegt. Die Gesamtnachfrage ist von Millionen auf Tausende gesunken, was einem Rückgang um mehr als zwei Größenordnungen entspricht.

Dieser Multiplikatoreffekt hat zwei völlig unterschiedliche Angriffswege hervorgebracht.

Den aus Tweets zusammengestellten Schätzungen zufolge benötigt die Supraleitungs-Roadmap (Googles Forschungsrichtung) etwa 500.000 physikalische Quantenbits, die etwa 9 Minuten lang laufen müssen, um einen privaten Schlüssel zu knacken – schnell genug, um Echtzeit-Transaktionen zu kapern. Der „Neutral-Atom“-Fahrplan (die Forschungsrichtung von Oratomic) benötigt nur etwa 10.000 physikalische Quantenbits, doch die Laufzeit beträgt etwa 10 Tage. Das ist kein Problem, da der Angriff auf inaktive Wallets mit offengelegten öffentlichen Schlüsseln abzielt und nicht zeitkritisch ist.

Wie lässt sich diese Lücke verstehen? Der derzeit leistungsstärkste Willow-Prozessor von Google verfügt über 105 supraleitende Quantenbits (laut den technischen Daten von Google Quantum AI), was immer noch etwa 4.762 Mal weniger ist als die Schwelle von 500.000. Das fehlertolerante Rechensystem im Feld neutraler Atome hat jedoch bereits eine Größe von etwa 500 Qubits erreicht und ist damit nur noch etwa 20-mal so groß wie die Schwelle von 10.000. Betrachtet man die physikalische Größe des Arrays statt der fehlertoleranten Kapazität, so hat das Labor bereits über 6.100 Atome eingefangen und damit den Abstand weiter auf weniger als das Zweifache verringert.

20 Mal und 4.762 Mal sind zwei völlig unterschiedliche Größenordnungen. Die Verwirklichung der „Neutral-Atom“-Roadmap rückt näher, als die meisten Menschen glauben.

Was Bitcoin betrifft, ist die Situation noch lange nicht bereit für diesen Wandel.

Laut einem gemeinsamen Bericht von Ark Invest und Unchained sind etwa 7 Millionen Bitcoins (rund 33 % des Gesamtbestands) einem Quantenrisiko ausgesetzt, was einem Wert von etwa 440 bis 480 Milliarden US-Dollar entspricht. Diese gefährdeten Adressen lassen sich in drei Kategorien einteilen. Etwa 1,7 Millionen davon befinden sich in frühen P2PK-Adressen, deren öffentliche Schlüssel direkt in der Blockchain sichtbar sind, und die meisten davon sind verloren gegangen, da niemand die Migration durchführen kann. Etwa 1,1 Millionen gehören Satoshi Nakamoto und sind auf etwa 22.000 Adressen verteilt, wobei die Identität der Inhaber unbekannt ist. Die verbleibenden rund 4,2 Millionen befinden sich in Adressen mit wiederverwendeten Adressen oder P2TR-Adressen, bei denen die öffentlichen Schlüssel ebenfalls offengelegt wurden, deren Inhaber sie jedoch theoretisch proaktiv auf sichere Adressen verschieben können.

Mit anderen Worten: Rund 2,8 Millionen Bitcoins (40 % des ohnehin schon knappen Gesamtvorrats) sind unwiederbringlich verloren. Entweder sind ihre privaten Schlüssel verloren gegangen, oder die Inhaber werden sich nie melden. Dies ist kein Problem, das sich durch Technologie lösen lässt, sondern eine Frage der Governance, nämlich ob die Community diese zwangsläufig kompromittierten Adressen sperren sollte. Laut einem Bericht von CoinDesk vom Februar wird in der Bitcoin-Community heftig darüber diskutiert, ob Satoshis 1,1 Millionen BTC eingefroren werden sollen, wobei bislang noch kein Konsens erzielt wurde.

Selbst bei den theoretisch verfügbaren 4,2 Millionen Bitcoins erfolgt die Migration nicht automatisch. Die Inhaber müssen die Vermögenswerte proaktiv von den alten Adressen auf Adressen übertragen, die ein neues Signaturschema verwenden, und die Erfahrung zeigt, dass ein Großteil der Inhaber vor Ablauf der Frist keine Maßnahmen ergreifen wird.

Angesichts derselben Bedrohung haben sich die Reaktionsstrategien der drei führenden Blockchains erheblich voneinander unterschieden.

Laut pq.ethereum.org, einer von der Ethereum Foundation am 25. März 2026 gestarteten Website, bereitet sich Ethereum seit acht Jahren mit einem umfassenden, mehrstufigen Fahrplan darauf vor: Das derzeitige BLS-Signaturschema soll durch leanXMSS-Hash-Signaturen ersetzt werden, wobei das Ziel darin besteht, das L1-Protokoll-Upgrade bis 2029 abzuschließen. Über 10 Kundenteams führen wöchentliche Interoperabilitätstests im Post-Quantum-Devnet durch, und die Nutzer können schrittweise über die Kontoabstraktion migrieren, ohne dass ein Hard Fork erforderlich ist. Google selbst hat sich das Jahr 2029 als Frist für den Abschluss seiner internen Umstellung auf postquanteneschutzfähige Systeme gesetzt (laut dem Google Security Blog), was mit dem Zeitplan von Ethereum übereinstimmt.

Solana verfolgt einen experimentellen Ansatz. Der „Winternitz Vault“, der im Dezember 2025 von Dean Little, dem Chefwissenschaftler des Zeus Network, auf GitHub vorgeschlagen wurde, nutzt einen hashbasierten Mechanismus für einen einmaligen Versicherungs-Vault. Es handelt sich hierbei jedoch um eine optionale Lösung, für die sich die Nutzer aktiv anmelden müssen, und es gibt keinen offiziellen Zeitplan.

Bitcoin befindet sich in der schwierigsten Lage. Es gibt weder einen koordinierten Plan noch zweckgebundene Mittel auf Stiftungsebene noch einen Zeitplan. Das Governance-Modell von Bitcoin erfordert einen dezentralen, gemeinschaftsweiten Konsens, um Protokolländerungen voranzutreiben, und diese Gemeinschaft ist seit jeher für ihre Trägheit bekannt. Laut dem Bericht „Quantum Threat Timeline 2026“ des Global Risk Institute ist es „ziemlich wahrscheinlich“, dass für die Kryptografie relevante Quantencomputer innerhalb von zehn Jahren auf den Markt kommen, und „sehr wahrscheinlich“, dass dies innerhalb von 15 Jahren geschieht. Wenn das für 2029 angestrebte Ziel von Ethereum wie geplant verläuft, wird die Migration abgeschlossen sein, bevor das Zeitfenster abläuft. Bitcoin befindet sich noch in einem frühen Diskussionsstadium.

Zwei am selben Tag veröffentlichte Artikel haben einer seit langem theoretisch diskutierten drohenden Gefahr konkrete Zahlen zugeordnet: 10.000 physische Quantenbits, 10 Tage, der private Schlüssel einer inaktiven Wallet.

Es muss jedoch betont werden, dass es sich hierbei nach wie vor um eine erhebliche Senkung einer theoretischen Schwelle handelt und nicht um einen unmittelbar bevorstehenden einmaligen Angriff. Die derzeit modernsten Systeme mit neutralen Atomen liegen noch um eine Größenordnung unter der Marke von 10.000 fehlertoleranten Qubits, wobei der supraleitende Ansatz um mehrere Größenordnungen hinterherhinkt. Es bleibt noch ein Zeitfenster von 10 bis 15 Jahren, das der Bitcoin-Community eine Chance bietet. Bitcoin hat frühere Herausforderungen im Bereich der Governance wie den „Block Size War“ und die Einführung von SegWit – allesamt höchst umstrittene Themen – überstanden und sich unter dem Druck schließlich geeinigt. Die Natur der Quantenbedrohung unterscheidet sich von einem Streit um die Führungshoheit; es geht dabei nicht um gegensätzliche Interessen, sondern um ein gemeinsames Risiko, dem das gesamte Netzwerk ausgesetzt ist. Dies könnte tatsächlich als äußerer Impuls dienen, der zu beschleunigten Maßnahmen innerhalb der Bitcoin-Community führt.

Die eigentliche Frage ist nicht, ob Quantencomputer Bitcoin knacken können, sondern ob die Bitcoin-Community rechtzeitig Vorkehrungen treffen kann, bevor sich das Zeitfenster schließt.