Quantencomputer knackt winzigen Bitcoin-Schlüssel – die Branche sollte endlich aufhören, so zu tun, als sei das nur Science-Fiction.

Eine kleine Demonstration mit großen Auswirkungen

Ein Quantencomputer hat einen 15-Bit-Elliptische-Kurven-Kryptographieschlüssel geknackt, eine vereinfachte Version des kryptographischen Systems, das zur Sicherung von Bitcoin, Ethereum und einem Großteil der digitalen Vermögenswertwirtschaft verwendet wird.

Das Ergebnis wurde von einem Unternehmen für Quantensicherheit bekannt gegeben. Projekt ElfDie Organisation verlieh ihren einzigen Bitcoin-„Q-Day-Preis“ an den unabhängigen Forscher Giancarlo Lelli. Lelli nutzte öffentlich zugängliche Quantenhardware, um mithilfe einer Variante des Shor-Algorithmus, jenes Quantenalgorithmus, der lange als die ultimative Bedrohung für die Public-Key-Kryptographie galt, einen privaten Schlüssel aus einem entsprechenden öffentlichen Schlüssel abzuleiten.

Das Ergebnis wurde von einem Unternehmen für Quantensicherheit bekannt gegeben. Projekt Elf, Quelle: X

Der wichtige Vorbehalt liegt auf der Hand: Bitcoin ist noch nicht geknackt. Ein 15-Bit-Elliptische-Kurven-Schlüssel ist mit der 256-Bit-secp256k1-Kryptografie von Bitcoin bei Weitem nicht vergleichbar. Der Unterschied ist enorm. Ein 15-Bit-Schlüssel hat 32,768 mögliche Werte. Ein 256-Bit-Schlüssel hingegen nur etwa 1.16 × 10^77. Diese beiden Zahlen sollten nicht ohne Weiteres im selben Satz genannt werden.

Das Ergebnis ist dennoch bedeutsam, da es eine öffentliche Demonstration einer Angriffsklasse darstellt, die bei ausreichendem Umfang elliptische Kurvensignaturen gefährden könnte. Project Eleven bezeichnete es als den bisher größten öffentlichen Quantenangriff auf elliptische Kurvenkryptographie und erklärte, es stelle einen 512-fachen Fortschritt gegenüber einer vorherigen Sechs-Bit-Demonstration im Jahr 2025 dar.

„Der Ressourcenbedarf für diese Art von Angriff sinkt stetig, und damit auch die Hürde für die praktische Umsetzung“, sagte Alex Pruden, CEO von Project Eleven. „Der Gewinnerbeitrag stammt von einem unabhängigen Forscher, der an Cloud-fähiger Hardware arbeitet. Kein nationales Labor, kein privater Chip.“

Das ist der Aspekt, der Beachtung verdient. Das Experiment gefährdet Bitcoin-Guthaben nicht unmittelbar. Es zeigt aber, dass Quantenangriffe auf die zugrundeliegende kryptografische Familie nicht länger auf Theorie und Konferenzen beschränkt sind. Sie werden nun im Kleinen auf öffentlich zugänglichen Systemen demonstriert.

Bitcoin ist nicht kaputt, aber manche Kryptowährungen sind stärker gefährdet als andere.

Das Quantenrisiko für Bitcoin wird oft missverstanden. Die Hauptsorge gilt nicht dem Mining, dem Proof-of-Work-System oder dem historischen Ledger. Das zentrale Problem sind digitale Signaturen.

Der Besitz von Bitcoins wird durch Signaturen nachgewiesen. Könnte ein Angreifer aus einem öffentlichen Schlüssel einen privaten Schlüssel ableiten, könnte er eine Transaktion autorisieren, als besäße er die Coins. Klassische Computer können dies angesichts der aktuellen Kryptografie von Bitcoin in keinem praktikablen Zeitrahmen leisten. Ein ausreichend leistungsstarker Quantencomputer, der Shors Algorithmus ausführt, könnte dies theoretisch.

Diese Unterscheidung führt zu einer wichtigen Aufteilung im Risikoprofil von Bitcoin. Coins auf Adressen, deren öffentlicher Schlüssel noch nicht offengelegt wurde, sind schwerer angreifbar. Coins auf Adressen, deren öffentlicher Schlüssel bereits in der Blockchain sichtbar ist, sind einem zukünftigen Quantenangriff stärker ausgesetzt. Dies umfasst ältere Pay-to-Public-Key-Transaktionen, wiederverwendete Adressen und andere Wallet-Aktivitäten, die öffentliche Schlüssel preisgeben.

Eine kürzlich veröffentlichte Studie des Coinbase Quantum Advisory Council schätzt, dass etwa 6.9 Millionen BTC in diese besonders gefährdete Kategorie fallen. Bei einem Bitcoin-Kurs von rund 77,500 US-Dollar bedeutet dies, dass sich BTC im Wert von über 530 Milliarden US-Dollar auf Adressen befinden, die in einem zukünftigen Bedrohungsszenario mit Quantencomputern relevant werden könnten.

Diese Zahl sollte nicht als Hinweis auf einen drohenden Diebstahl von 530 Milliarden US-Dollar interpretiert werden. Sie verdeutlicht vielmehr, wo sich das langfristige Risiko konzentriert. Das unmittelbare Risiko ist nach wie vor gering, da heutige Quantencomputer nicht leistungsstark oder zuverlässig genug sind, um die 256-Bit-Elliptische-Kurven-Signaturen von Bitcoin zu knacken. Das Problem der exponierten Adressen ist jedoch real, messbar und ungleichmäßig über das Netzwerk verteilt.

Brave New Coin hat diese Unterscheidung bereits zuvor behandelt. Bitcoin sieht sich langfristig einer Quantenbedrohung gegenüber, da Forscher nach dem Quanten-Release streben.Dabei wird angemerkt, dass das Risiko weniger darin besteht, ob Bitcoin sich technisch anpassen kann, sondern vielmehr darin, ob ein dezentrales Netzwerk eine Migration rechtzeitig koordinieren kann.

Googles Forschungsergebnisse haben den Zeitplan weniger komfortabel gemacht.

Das Ergebnis von Project Eleven folgt zudem auf eine weitaus bedeutsamere Warnung des Quantum-AI-Teams von Google. Im März veröffentlichten Google-Forscher eine Studie zu diesem Thema. Sicherung von Kryptowährungen mit elliptischen Kurven gegen Quanten-SchwachstellenEr argumentierte, dass zukünftige Quantencomputer möglicherweise weniger Ressourcen benötigen als bisher angenommen, um die in großen Blockchains verwendete elliptische Kurvenkryptographie anzugreifen.

Die Studie schätzte, dass ein Angriff auf 256-Bit-Elliptische-Kurven-Kryptographie über secp256k1 unter bestimmten Annahmen hinsichtlich supraleitender Architekturen, physikalischer Fehlerraten und planarer Konnektivität mit weniger als einer halben Million physikalischer Qubits durchgeführt werden könnte. Dies liegt weit jenseits der heutigen öffentlich verfügbaren Quantenhardware. Die Studie lenkt die Diskussion jedoch weg von vagen Formulierungen wie „irgendwann“ hin zu konkreten Ressourcenschätzungen.

Google gab außerdem an, sensible Ergebnisse mithilfe eines Zero-Knowledge-Beweises validiert zu haben, ohne die vollständigen Angriffsmechanismen offenzulegen. Dieses Detail ist wichtig. Es signalisiert, dass führende Forscher das Quantenrisiko von Kryptowährungen zunehmend weniger als abstrakte Spekulation, sondern vielmehr als ein Problem der Offenlegung von Sicherheitsinformationen betrachten.

Die Cybersicherheitswelt insgesamt hat bereits begonnen, sich zu bewegen. Das US-amerikanische Nationale Institut für Standards und Technologie (NIST) finalisierte 2024 seine ersten Post-Quanten-Kryptographiestandards, darunter ML-KEM, ML-DSA und SLH-DSADas NIST hat erklärt, dass diese Standards zur Implementierung bereit sind. Regierungen und große Unternehmen erstellen derzeit Migrationszeitpläne, da kryptografische Umstellungen Jahre und nicht Monate dauern.

Die Kryptobranche sollte aufmerksam sein. Sie reagiert schnell, sobald eine neue Token-Geschichte auftaucht. Weniger konsequent ist sie jedoch, wenn es um langsame, technische Infrastruktur-Upgrades ohne unmittelbaren Marketing-Erfolg geht.

Das Schwierige ist nicht die Mathematik.

Bitcoin kann mit hoher Wahrscheinlichkeit quantenresistenter gemacht werden. Es existieren bereits Post-Quanten-Signaturverfahren. Forscher untersuchen bereits Möglichkeiten zur Einführung quantenresistenter Adressformate, neuer Signatur-Opcodes und gestaffelter Migrationspfade.

Die schwierige Frage ist die Governance. Bitcoin ist bewusst schwer zu verändern. Dieser Konservatismus ist eine seiner Stärken. Er verhindert leichtsinnige Experimente und schützt die Glaubwürdigkeit des Währungssystems. Das bedeutet aber auch, dass größere kryptografische Upgrades lange Vorlaufzeiten, breiten Konsens, umfassende Prüfungen und eine sorgfältige Aktivierung erfordern.

Das führt zu einer Diskrepanz. Der Fortschritt bei Quantenhardware verläuft möglicherweise nichtlinear. Die Bitcoin-Governance ist bewusst langsam. Wenn das Netzwerk wartet, bis die Bedrohung deutlich sichtbar ist, könnte sich das Zeitfenster für eine Reaktion verkleinern.

Das schwierigste Problem dürften ruhende oder verlorene Coins betreffen. Was sollte das Netzwerk tun, wenn einige Coins auf ungeschützten Public-Key-Adressen verbleiben und nie migriert werden? Sie ungenutzt lassen und das Risiko in Kauf nehmen, dass ein zukünftiger Quantenangreifer sie entwenden könnte? Eine freiwillige Migration fördern und das Restrisiko akzeptieren? Protokollweite Beschränkungen für anfällige Ausgaben erwägen? Jede Option birgt Vor- und Nachteile, und keine wird politisch einfach sein.

Deshalb sollte die Debatte um die Quantenphysik nicht auf die Frage reduziert werden, ob Bitcoin heute sicher ist. Sicher ist er heute. Das bedeutet aber nicht, dass man vorbereitet ist. Die plausible Position ist, dass Bitcoin Zeit hat, aber Zeit ist nur dann sinnvoll, wenn sie gut genutzt wird.

Ethereum und andere Blockchains stehen vor ähnlichen Fragen

Bitcoin ist nicht allein. Auch Ethereum basiert auf elliptischer Kurvenkryptographie, und Proof-of-Stake-Netzwerke bergen durch die Signaturen der Validatoren zusätzliche Risiken. In einem Paper von Coinbase wurde darauf hingewiesen, dass Proof-of-Stake-Chains spezifische Risiken bergen, die mit den von den Validatoren verwendeten Signaturverfahren zur Netzwerksicherung zusammenhängen.

Ethereum könnte in mancher Hinsicht einen leichteren Weg haben, da seine Governance-Kultur Protokolländerungen gegenüber aufgeschlossener ist. Die Ethereum Foundation hat die Sicherheit nach der Quantenübersetzung bereits weiter oben auf ihre Forschungsagenda gesetzt – eine Entwicklung, die Brave New Coin bereits thematisiert hat. Ethereum setzt voll auf Sicherheit nach der QuantenkürzungDas macht Ethereum nicht immun. Es bedeutet lediglich, dass der soziale Prozess rund um Upgrades anders abläuft.

Bitcoins Upgrade-Kultur ist eher konservativ, und das aus gutem Grund. Doch derselbe Konservatismus, der Bitcoin vor unnötigen Änderungen schützt, kann notwendige Änderungen auch verlangsamen. Das ist der Kompromiss. Er sollte offen diskutiert und nicht hinter Parolen versteckt werden.

Für Börsen, Verwahrstellen, Wallet-Anbieter, Miner, Entwickler und langfristige Token-Inhaber wird die praktische Agenda immer klarer: Offengelegte Public-Key-Bestände identifizieren, Adresswiederverwendung reduzieren, Wallet-Hygiene verbessern, Post-Quantum-Signaturverfahren testen und die Auswirkungen größerer Signaturen auf Transaktionsgröße, Gebühren und Blockgröße modellieren. Die Diskussion über Governance sollte jetzt beginnen, bevor die Dringlichkeit eine sorgfältige Planung unmöglich macht.

Das alles ist kein Grund zur Panik. Aber es erfordert Ernsthaftigkeit.

Das Signal wird immer schwerer zu ignorieren.

Die 15-Bit-Quanten-Demonstration stellt keine direkte Bedrohung für die Kryptographie von Bitcoin dar. Wer sie so darstellt, übertreibt das Ergebnis. Sie aber gänzlich zu ignorieren, wäre genauso unernst.

Sicherheitsrisiken werden meist lange vor ihrer akuten Bedrohung gefährlich. Die ersten Anzeichen sind technischer Natur, schleichend und leicht zu übersehen. Ein kleiner Schlüssel ist defekt. Ressourcenschätzungen sinken. Cloud-fähige Hardware wird besser. Normungsgremien beginnen mit der Migration. Große Technologieunternehmen veröffentlichen vorsichtige Warnungen. Jede einzelne Entwicklung lässt sich noch erklären. Zusammengenommen bilden sie einen Trend.

Bitcoins Wertversprechen beruht zum Teil auf der Idee, dass es Jahrzehnte überdauern kann. Das bedeutet, dass es Risiken, die sich über Jahrzehnte erstrecken, ernst nehmen muss. Post-Quanten-Planung ist kein Angriff auf Bitcoin, sondern trägt dazu bei, die Glaubwürdigkeit von Bitcoin zu erhalten.

Die richtige Schlussfolgerung aus Lellis Ergebnis ist nicht, dass Bitcoin gescheitert ist. Vielmehr wurde der Branche erneut vor Augen geführt, dass Kryptographie eine begrenzte Lebensdauer hat und dass die Migrationsplanung einfacher ist, solange der Stichtag noch nicht absehbar ist.