Blockstream CEO Adam Back erklärte, dass Bitcoin in den nächsten 20 bis 40 Jahren “möglicherweise” nicht mit quantencomputerbezogenen Angriffen konfrontiert sein wird. Seit vielen Jahren ist der Quantencomputer das am meisten beachtete Endzeitszenario im Bereich der Krypto Vermögenswerte, und jedes Mal, wenn ein Labor einen Meilenstein bei den Qubits verkündet, taucht diese Bedrohung periodisch wieder auf.
Die periodische Angst vor der Quantencomputer-Apokalypse
Seit vielen Jahren ist das Szenario des Untergangs durch Quantencomputer eine der am meisten gefolgten Bedrohungen im Bereich der Krypto Vermögenswerte, ein Phänomen, das zwar fern, aber existenzielle Bedrohungen birgt. Jedes Mal, wenn ein Labor einen Meilenstein bei den Quantenbits verkündet, tritt diese Bedrohung wiederholt auf. Die Entwicklung der Geschichte folgt einer vorhersehbaren Trajektorie: Forscher erzielen einige schrittweise Durchbrüche, auf sozialen Medien brechen Vorhersagen aus, dass Bitcoin tot ist, und dann geht der Nachrichtenzyklus weiter.
Aber Adam Back's Kommentar zu X am 15. November hat diese Verwirrung durchbrochen und etwas vorgeschlagen, was in diesem Bereich dringend fehlt: einen Zeitrahmen, der auf Physik und nicht auf Panik basiert. Der CEO von Blockstream, Back, hat erklärt, dass sein Hashcash-Arbeitsnachweis-System sogar vor Bitcoin selbst existierte. Als er gefragt wurde, wie man die Quantenforschung beschleunigen könnte, gab er eine klare Bewertung ab: Bitcoin wird in den nächsten 20 bis 40 Jahren “möglicherweise” keinen Angriff von Quantencomputern, der mit Kryptographie zusammenhängt, erleben.
Wichtig ist, dass er betont, dass Bitcoin nicht passiv auf den Tag warten muss, an dem es kommt. NIST hat quantensichere Signaturverfahren (wie SLH-DSA) standardisiert, und Bitcoin kann diese Werkzeuge lange bevor echte Bedrohungen durch Quantenmaschinen entstehen, durch Soft Fork-Updates übernehmen. Sein Kommentar hat das Risiko eines Quantencomputer-Endzeit-Szenarios von einer unlösbaren Katastrophe in ein lösbares Ingenieursproblem umdefiniert, und es gibt Jahrzehnte Zeit, um es anzugehen.
Diese Unterscheidung ist von entscheidender Bedeutung, da die tatsächlichen Schwächen von Bitcoin nicht das sind, was die meisten Menschen denken. Die Bedrohung geht nicht von der Hashfunktion SHA-256 aus, die verwendet wird, um den Mining-Prozess abzusichern, sondern von der ECDSA und den Schnorr-Signaturen, die auf der elliptischen Kurve secp256k1 basieren, also von der Kryptographie, die zur Eigentumsnachweis dient. Quantencomputer, die den Shor-Algorithmus ausführen, können das diskrete Logarithmusproblem auf secp256k1 lösen und den privaten Schlüssel aus dem öffentlichen Schlüssel ableiten, was das gesamte Eigentumsmodell ungültig macht. Im Bereich der reinen Mathematik macht der Shor-Algorithmus die elliptische Kurvenkryptographie obsolet.
Die große Kluft zwischen Ingenieurtheorie und Realität
Aber Mathematik und Ingenieurwissenschaften existieren in unterschiedlichen Bereichen. Das Brechen einer 256-Bit-Elliptischen Kurve erfordert etwa 1600 bis 2500 logische Fehlerkorrektur-Qubits. Jedes logische Qubit benötigt Tausende von physikalischen Qubits, um Kohärenz aufrechtzuerhalten und Fehler zu korrigieren. Eine Analyse, die auf der Arbeit von Martin Roetteler und drei anderen Forschern basiert, ergab, dass zum Knacken eines 256-Bit-EC-Schlüssels innerhalb des engen Zeitfensters, das mit Bitcoin-Transaktionen verbunden ist, bei einer tatsächlichen Fehlerquote etwa 317 Millionen physikalische Qubits benötigt werden.
Es ist wichtig, den aktuellen Stand der Quantenhardware zu verstehen. Das neutrale Atom-System am California Institute of Technology betreibt etwa 6100 physische Quantenbits, aber diese Qubits haben Rauschen und es fehlt an Fehlerkorrekturmechanismen. Die reiferen, auf Toren basierenden Systeme von Quantinuum und IBM können Dutzende bis Hunderte von logisch hochwertigen Quantenbits betreiben. Der Unterschied zwischen den aktuellen Fähigkeiten und der Relevanz für die Kryptographie erstreckt sich über mehrere Größenordnungen; dies ist kein kleiner Fortschritt, sondern eine Kluft, die grundlegende Durchbrüche in Bezug auf die Qualität der Qubits, Fehlerkorrektur und Skalierbarkeit erfordert.
Das National Institute of Standards and Technology (NIST) hat in seiner Erklärung zur Post-Quanten-Kryptographie klar festgestellt: Derzeit gibt es keinen mit Kryptographie verbundenen Quantencomputer, und die Vorhersagen von Experten über den Zeitpunkt seines Auftretens variieren erheblich. Einige Experten glauben, dass es “in weniger als 10 Jahren” möglich sein könnte, während andere Experten behaupten, dass das Auftreten von Quantencomputern mindestens bis nach 2040 warten muss. Die mediane Sichtweise konzentriert sich auf die Mitte bis zur zweiten Hälfte der 2030er Jahre, was das von Back vorgeschlagene Zeitfenster von 20 bis 40 Jahren eher als konservativ und nicht als rücksichtslos erscheinen lässt.
Von den aktuellen 6100 physikalischen Quantenbits zu den benötigten 317 Millionen physikalischen Quantenbits erfordert dieser Größenordnungsanstieg nicht nur eine Optimierung der Technik, sondern auch Durchbrüche in der Grundlagenphysik. Apokalyptiker der Quantencomputer ignorieren oft diesen exponentiellen Unterschied und missverstehen das schrittweise Wachstum der Quantenbit-Zahl als drohende Bedrohung.
Die Migrations-Roadmap ist bereits vorhanden und reift
Der Kommentar von Back, dass “Bitcoin im Laufe der Zeit aktualisiert werden kann”, verweist auf spezifische Vorschläge, die bereits zwischen Entwicklern zirkulieren. BIP-360, mit dem Titel “Zahlungsresistentes Quanten-Hashing”, definiert einen neuen Ausgabetyp, bei dem die Ausgabebedingungen sowohl klassische Signaturen als auch post-quanten Signaturen umfassen. Ein einzelnes UTXO kann unter beiden Szenarien verwendet werden, wodurch eine schrittweise Migration anstelle eines harten Endes ermöglicht wird.
Jameson Lopp und andere Entwickler haben auf Basis von BIP-360 einen mehrjährigen Migrationsplan erstellt. Zunächst wird durch einen Soft Fork ein neuer Adresstyp unterstützt, der PQ ermöglicht. Danach wird schrittweise ermutigt oder subventioniert, Token von anfälligen Ausgabenadressen auf Ausgabenadressen zu verschieben, die durch PQ geschützt sind, und es wird in jedem Block speziell Platz für diese “Rettungs”-Operationen reserviert. Bereits im Jahr 2017 wurden ähnliche Übergangspläne in der Wissenschaft vorgeschlagen.
Die Analyse des Clients zeigt die Bedeutung dessen auf. Etwa 25 % der Bitcoins (ca. 4 bis 6 Millionen Coins) befinden sich in Adresstypen, deren öffentliche Schlüssel bereits auf der Blockchain veröffentlicht wurden. Frühzeitige öffentliche Schlüssel Zahlungen (P2PKH) von Bitcoin, wiederverwendete P2PKH-Adressen und einige Taproot-Ausgaben fallen in diese Kategorie. Sobald ein Shor-Angriff auf Basis von secp256k1 möglich wird, werden diese Coins sofort zum Ziel des Angriffs.
Schutzebene von Bitcoin unter quantenbedingten Bedrohungen
Hochrisiko Vermögenswerte (25%): Alte Adressen mit exponiertem öffentlichen Schlüssel, die direkt von Quantencomputern angegriffen werden können.
Mittelrisiko-Assets: Wiederverwendbare moderne Adressen, der öffentliche Schlüssel wird nach der ersten Transaktion offengelegt.
Niedrigrisiko-Asset: Vollständig neue, unbenutzte SegWit/Taproot-Adresse, der öffentliche Schlüssel ist hinter dem Hash verborgen
Risikolose Vermögenswerte: Adressen, die in Zukunft das PQ-Signaturverfahren verwenden, sind vollständig gegen Quantenangriffe geschützt.
Moderne Best Practices bieten bereits ein erhebliches Maß an Schutz. Benutzer, die brandneue P2PKH-, SegWit- oder Taproot-Adressen verwenden, ohne diese wiederholt zu nutzen, können sich einen entscheidenden zeitlichen Vorteil verschaffen. Für diese Ausgaben bleibt der öffentliche Schlüssel bis zur ersten Ausgaben im Hash versteckt, wodurch das Zeitfenster für Angreifer, Shor während der Bestätigungszeit im Memory Pool auszuführen, komprimiert wird, wobei diese Zeit in Minuten und nicht in Jahren gemessen wird.
Nachquantum-Toolkit ist bereit
Back erwähnt, dass SLH-DSA nicht willkürlich erwähnt wird. Im August 2024 hat NIST schließlich die erste Charge von Post-Quanten-Standards festgelegt: FIPS 203 ML-KEM für die Schlüsselverpackung, FIPS 204 ML-DSA für gitterbasierte digitale Signaturen und FIPS 205 SLH-DSA für zustandslose Hash-basierte digitale Signaturen. NIST hat auch XMSS und LMS als zustandsbehaftete Hash-Methoden standardisiert, während das gitterbasierte Falcon-Verfahren ebenfalls in Entwicklung ist.
Bitcoin-Entwickler können jetzt aus einer Reihe von von NIST genehmigten Algorithmen wählen und gleichzeitig auf entsprechende Implementierungen und Bibliotheken verweisen. Bitcoin-zentrierte Implementierungen unterstützen bereits BIP-360, was zeigt, dass die Post-Quanten-Werkzeuge bereits existieren und sich ständig weiterentwickeln. Das Protokoll erfordert nicht die Erfindung neuer Mathematik, es kann etablierte Standards nutzen, die jahrelanger Kryptographie-Analyse unterzogen wurden.
Aber das bedeutet nicht, dass der Implementierungsprozess reibungslos verläuft. Eine im Jahr 2025 veröffentlichte Studie untersuchte SLH-DSA und stellte fest, dass es anfällig für Rowhammer-ähnliche Fehlangriffe ist. Sie betonte, dass die Sicherheit zwar von gewöhnlichen Hash-Funktionen abhängt, aber während des Implementierungsprozesses dennoch Verstärkungen erforderlich sind. Post-Quanten-Signaturen verbrauchen auch mehr Ressourcen als klassische Signaturen, was Fragen zur Skalierbarkeit von Transaktionen und zur Kosteneffizienz aufwirft. Aber das sind technische Probleme mit bekannten Parametern, keine ungelösten mathematischen Rätsel.
Der Unterschied zwischen den Szenarien des Quantencomputer-Endes und den tatsächlichen Ingenieurherausforderungen liegt darin, dass erstere eine unkontrollierbare physikalische Bedrohung darstellt, während letztere Probleme sind, die durch Software-Updates, Gemeinschaftskoordinierung und Zeitmanagement gelöst werden können.
Die Bedrohung im Jahr 2025 ist die Governance und nicht die Quantenphysik
Der iShares Bitcoin Trust (IBIT) von BlackRock hat im Mai 2025 den Prospekt geändert und eine umfangreiche Offenlegung zu den Risiken von Quantencomputern aufgenommen. Es wurde gewarnt, dass ausreichend fortgeschrittene Quantencomputer die Kryptographie von Bitcoin gefährden könnten. Analysten erkannten sofort, dass dies eine standardmäßige Offenlegung von Risikofaktoren war, die in einem Format aufgeführt wurde, das zusammen mit allgemeinen Technologie- und Regulierungsrisiken aufgeführt ist, und nicht als Signal von BlackRock, dass ein Quantenangriff bevorsteht. Die jüngsten Bedrohungen betreffen die Stimmung der Investoren und nicht die Quantencomputertechnologie selbst.
Eine Studie von SSRN aus dem Jahr 2025 hat ergeben, dass Nachrichten im Zusammenhang mit Quantencomputern dazu führen, dass einige Mittel in speziell auf Quantencomputing ausgerichtete Kryptowährungen umgeschichtet werden. Traditionelle Kryptowährungen zeigen jedoch vor und nach der Veröffentlichung solcher Nachrichten nur geringe negative Erträge und einen Anstieg des Handelsvolumens, anstatt einer strukturellen Neubewertung. Bei der Untersuchung der tatsächlichen Treiber für den Bitcoin-Trend in den Jahren 2024 und 2025 wird Quantencomputing selten als direkter Grund angesehen, im Gegensatz zu ETF-Mittelzuflüssen, makroökonomischen Daten, Regulierung und Liquiditätszyklen.
Die Entscheidung über die Quantenresilienz von Bitcoin hängt davon ab: Ob die Entwickler Konsens über BIP-360 oder ähnliche Vorschläge erzielen können; ob die Gemeinschaft die Migration traditioneller Währungen ohne Spaltung anregen kann; und ob die Kommunikation rational genug bleibt, um zu verhindern, dass Panik die physikalischen Gesetze übersteigt. Bis 2025 werden die Herausforderungen, die durch Quantencomputer für die Governance entstehen, einen Fahrplan von 10 bis 20 Jahren erfordern, anstatt einen Katalysator für die Preisbewegungen in dieser Runde festzulegen. Die Entwicklung der Physik ist langsam, aber ihr Entwicklungsfahrplan ist klar erkennbar. Die Rolle von Bitcoin besteht darin, PQ-fähige Werkzeuge vor dem Eintreffen der Hardware zu übernehmen, und dies sollte nicht zu einer Governance-Blockade führen, um zu vermeiden, dass ein lösbares Problem zu einer selbstverschuldeten Krise wird.
