Experten warnen, dass Quantencomputer eines Tages die digitalen Signaturen von Bitcoin fälschen könnten, was unbefugte Transaktionen ermöglicht.
Kurz gesagt
Die heutigen Quantencomputer sind viel zu klein und instabil, um die Kryptographie der realen Welt zu bedrohen.
Frühere Bitcoin-Wallets mit exponierten öffentlichen Schlüsseln sind langfristig am meisten gefährdet.
Entwickler erkunden Post-Quanten-Signaturen und potenzielle Migrationspfade.
Quantencomputer können heute die Verschlüsselung von Bitcoin nicht brechen, aber neue Fortschritte von Google und IBM deuten darauf hin, dass die Lücke schneller geschlossen wird als erwartet. Ihr Fortschritt in Richtung fehlertoleranter Quantensysteme erhöht die Einsätze für den „Q-Tag“, den Moment, in dem eine ausreichend leistungsfähige Maschine ältere Bitcoin-Adressen knacken und mehr als 711 Milliarden Dollar in verwundbaren Wallets offenlegen könnte.
Die Aufrüstung von Bitcoin zu einem post-quanten Zustand wird Jahre in Anspruch nehmen, was bedeutet, dass die Arbeit lange vor dem Eintreffen der Bedrohung beginnen muss. Die Herausforderung, sagen Experten, ist, dass niemand weiß, wann das sein wird, und die Gemeinschaft hat Schwierigkeiten, sich darauf zu einigen, wie man am besten mit einem Plan vorankommt.
Diese Unsicherheit hat zu einer anhaltenden Angst geführt, dass ein Quantencomputer, der Bitcoin angreifen kann, online gehen könnte, bevor das Netzwerk bereit ist.
In diesem Artikel werden wir die Quantenbedrohung für Bitcoin betrachten und was sich ändern muss, um die Nummer-eins-Blockchain bereit zu machen.
Ein erfolgreicher Angriff würde nicht dramatisch aussehen. Ein quantenfähiger Dieb würde damit beginnen, die Blockchain nach einer Adresse zu scannen, die jemals einen öffentlichen Schlüssel offenbart hat. Alte Wallets, wiederverwendete Adressen, frühe Miner-Ausgaben und viele inaktive Konten fallen in diese Kategorie.
Der Angreifer kopiert einen öffentlichen Schlüssel und lässt ihn durch einen Quantencomputer mit Shors Algorithmus laufen. Der 1994 von dem Mathematiker Peter Shor entwickelte Algorithmus gibt einer Quantenmaschine die Fähigkeit, große Zahlen zu faktorisieren und das Problem des diskreten Logarithmus viel effizienter zu lösen als jeder klassische Computer. Die elliptischen Kurvensignaturen von Bitcoin beruhen auf der Schwierigkeit dieser Probleme. Mit genügend fehlerkorrigierten Qubits könnte ein Quantencomputer Shors Methode verwenden, um den privaten Schlüssel zu berechnen, der mit dem exponierten öffentlichen Schlüssel verbunden ist.
Wie Justin Thaler, Forschungsmitarbeiter bei Andreessen Horowitz und außerordentlicher Professor an der Georgetown University, Decrypt sagte, kann der Angreifer, sobald der private Schlüssel wiederhergestellt ist, die Münzen bewegen.
„Was ein Quantencomputer tun könnte, und das ist relevant für Bitcoin, ist die digitalen Signaturen zu fälschen, die Bitcoin heute verwendet“, sagte Thaler. „Jemand mit einem Quantencomputer könnte eine Transaktion autorisieren, die alle Bitcoin von Ihren Konten abzieht, oder wie auch immer Sie es betrachten möchten, ohne dass Sie es autorisiert haben. Das ist die Sorge.“
Die gefälschte Signatur würde für das Bitcoin-Netzwerk echt aussehen. Knoten würden sie akzeptieren, Miner würden sie in einen Block aufnehmen, und nichts on-chain würde die Transaktion als verdächtig kennzeichnen. Wenn ein Angreifer eine große Gruppe exponierter Adressen gleichzeitig angreift, könnten Milliarden Dollar innerhalb von Minuten bewegt werden. Die Märkte würden reagieren, bevor jemand jemals bestätigte, dass ein Quantenangriff stattfand.
Wo das Quantencomputing im Jahr 2025 steht
Im Jahr 2025 begann das Quantencomputing endlich, weniger theoretisch und praktischer zu wirken.
Januar 2025: Der 105-Qubit-Willow-Chip von Google zeigte eine starke Fehlerreduktion und einen Benchmark, der über klassische Supercomputer hinausgeht.
Februar 2025: Microsoft stellte seine Majorana 1-Plattform vor und berichtete von einem Rekord an logischen Qubit-Verschränkungen mit Atom Computing.
April 2025: NIST verlängerte die Kohärenz supraleitender Qubits auf 0,6 Millisekunden.
Juni 2025: IBM setzte sich Ziele von 200 logischen Qubits bis 2029 und mehr als 1.000 in den frühen 2030er Jahren.
Oktober 2025: IBM versuchte, 120 Qubits zu verschränken; Google bestätigte einen verifizierten quantenmäßigen Geschwindigkeitsschub.
November 2025: IBM kündigte neue Chips und Software an, die auf quantenmäßige Vorteile in 2026 und fehlertolerante Systeme bis 2029 abzielen.
rmed einen verifizierten quantenmäßigen Geschwindigkeitsschub.
Warum Bitcoin anfällig geworden ist
Die Signaturen von Bitcoin verwenden elliptische Kurvenkryptografie. Das Ausgeben von einer Adresse offenbart den öffentlichen Schlüssel dahinter, und diese Exposition ist dauerhaft. Im frühen Zahlungsformat von Bitcoin, bei dem der öffentliche Schlüssel veröffentlicht wurde, veröffentlichten viele Adressen ihre öffentlichen Schlüssel on-chain, selbst bevor die erste Ausgabe stattfand. Spätere Zahlungshash-Formate hielten den Schlüssel verborgen, bis er zum ersten Mal verwendet wurde.
Da ihre öffentlichen Schlüssel nie verborgen waren, sind diese ältesten Münzen, einschließlich ungefähr 1 Million Satoshi-Ära Bitcoin, zukünftigen Quantenangriffen ausgesetzt. Der Wechsel zu post-quanten digitalen Signaturen, sagte Thaler, erfordert aktives Engagement.
„Um Satoshi zu schützen, müssten sie ihre Münzen in neue post-quanten-sichere Wallets verschieben“, sagte er. „Die größte Sorge sind verlassene Münzen im Wert von etwa 180 Milliarden Dollar, einschließlich ungefähr 100 Milliarden, die Satoshi zugeschrieben werden. Das sind riesige Summen, aber sie sind verlassen, und das ist das wirkliche Risiko.“
Zu dem Risiko kommen Münzen, die mit verlorenen privaten Schlüsseln verbunden sind. Viele sind seit mehr als einem Jahrzehnt unberührt geblieben, und ohne diese Schlüssel können sie niemals in quantenresistente Wallets verschoben werden, was sie zu möglichen Zielen für einen zukünftigen Quantencomputer macht.
Niemand kann Bitcoin direkt on-chain einfrieren. Praktische Abwehrmaßnahmen gegen zukünftige Quantenbedrohungen konzentrieren sich darauf, gefährdete Mittel zu migrieren, post-quanten Adressen anzunehmen oder bestehende Risiken zu verwalten.
Thaler merkte jedoch an, dass post-quanten Verschlüsselung und digitale Signaturschemata mit hohen Leistungsanforderungen einhergehen, da sie viel größer und ressourcenintensiver sind als die heutigen leichten 64-Byte-Signaturen.
„Die digitalen Signaturen von heute haben etwa 64 Bytes. Post-Quanten-Versionen können 10 bis 100 Mal größer sein“, sagte er. „In einer Blockchain ist diese Größensteigerung ein viel größeres Problem, da jeder Knoten diese Signaturen für immer speichern muss. Die Verwaltung dieser Kosten, der tatsächlichen Größe der Daten, ist hier viel schwieriger als in anderen Systemen.“
Wege zum Schutz
Entwickler haben mehrere Bitcoin-Verbesserungsvorschläge zur Vorbereitung auf zukünftige Quantenangriffe vorgelegt. Sie verfolgen unterschiedliche Wege, von leichten optionalen Schutzmaßnahmen bis hin zu vollständigen Netzwerkmigrationen.
BIP-360 (P2QRH): Erstellt neue „bc1r…“-Adressen, die die elliptischen Kurvensignaturen von heute mit post-quanten Schemata wie ML-DSA oder SLH-DSA kombinieren. Es bietet hybride Sicherheit ohne einen Hard Fork, aber die größeren Signaturen bedeuten höhere Gebühren.
Quanten-sichere Taproot: Fügt einen versteckten post-quanten Zweig zu Taproot hinzu. Wenn Quantenangriffe realistisch werden, könnten Miner einen Soft-Fork durchführen, um den post-quanten Zweig zu verlangen, während die Benutzer bis dahin normal arbeiten.
Quanten-resistenter Adressmigrationsprotokoll (QRAMP): Ein obligatorischer Migrationsplan, der gefährdete UTXOs zu quantensicheren Adressen verschiebt, wahrscheinlich durch einen Hard Fork.
Zahlen an Taproot Hash (P2TRH): Ersetzt sichtbare Taproot-Schlüssel durch doppelt gehashte Versionen, wodurch das Expositionsfenster ohne neue Kryptografie oder Kompatibilitätsprobleme begrenzt wird.
Non-Interactive Transaction Compression (NTC) über STARKs: Verwendet Zero-Knowledge-Beweise, um große post-quanten Signaturen in einen einzigen Beweis pro Block zu komprimieren, wodurch Speicher- und Gebührkosten gesenkt werden.
Commit-Reveal-Schemata: Beruhen auf gehashten Verpflichtungen, die veröffentlicht werden, bevor eine Quantenbedrohung eintritt.
Helper UTXOs fügen kleine post-quanten Ausgaben hinzu, um Ausgaben zu schützen.
„Giftpille“-Transaktionen ermöglichen es Benutzern, Wiederherstellungspfade im Voraus zu veröffentlichen.
Fawkescoin-ähnliche Varianten bleiben inaktiv, bis ein echter Quantencomputer nachgewiesen wird.
Zusammen ergeben diese Vorschläge einen schrittweisen Weg zur quantensicheren Lösung: schnelle, wenig belastende Korrekturen wie P2TRH jetzt und schwerere Upgrades wie BIP-360 oder STARK-basierte Kompression, während das Risiko wächst. Alle würden eine breite Koordination erfordern, und viele der post-quanten Adressformate und Signaturschemata befinden sich noch in frühen Diskussionen.
Thaler bemerkte, dass die Dezentralisierung von Bitcoin - ihre größte Stärke - auch große Upgrades langsam und schwierig macht, da jedes neue Signaturschema eine breite Zustimmung von Minern, Entwicklern und Benutzern benötigen würde.
„Zwei große Probleme stechen bei Bitcoin hervor. Erstens dauert die Aufrüstung lange, wenn sie überhaupt erfolgt. Zweitens gibt es die verwaisten Münzen. Jede Migration zu post-quanten Signaturen muss aktiv sein, und die Besitzer dieser alten Wallets sind verschwunden“, sagte Thaler. „Die Gemeinschaft muss entscheiden, was mit ihnen passiert: entweder zustimmen, sie aus dem Umlauf zu entfernen oder nichts zu tun und den quantenausgerüsteten Angreifern zu erlauben, sie zu nehmen. Der zweite Weg wäre rechtlich grau, und denjenigen, die die Münzen an sich reißen, wäre es wahrscheinlich egal.“
Die meisten Bitcoin-Halter müssen nicht sofort etwas tun. Einige Gewohnheiten tragen viel dazu bei, das langfristige Risiko zu reduzieren, einschließlich der Vermeidung der Wiederverwendung von Adressen, sodass Ihr öffentlicher Schlüssel verborgen bleibt, bis Sie ausgeben, und der Verwendung moderner Wallet-Formate.
Die Quantencomputer von heute sind nicht in der Lage, Bitcoin zu brechen, und die Vorhersagen, wann sie das tun werden, variieren stark. Einige Forscher sehen eine Bedrohung innerhalb der nächsten fünf Jahre, andere schieben es in die 2030er Jahre, aber fortgesetzte Investitionen könnten den Zeitrahmen beschleunigen.
