Direkt zum Hauptinhalt

ARK Invest quantifiziert die Quantenbedrohung für Bitcoin: 34,6 % des Bestands gefährdet, aber die Uhr tickt noch nicht

· 9 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Ein gemeinsames Whitepaper von ARK Invest und Unchained hat etwas geschafft, was bisher niemandem in diesem Ausmaß gelungen ist: Es beziffert präzise, wie viel Bitcoin Angriffen durch Quantencomputer ausgesetzt ist. Die Antwort – 34,6 % des Gesamtangebots, was bei aktuellen Preisen etwa 240 Milliarden US-Dollar entspricht – ist gleichzeitig alarmierend und beruhigend. Alarmierend, weil es quantifiziert, was zuvor als ferne Hypothese abgetan wurde. Beruhigend, weil der Bericht auch aufzeigt, dass die verbleibenden 65,4 % der BTC sicher hinter kryptografischem Hashing liegen, das Quantencomputer nicht knacken können, und dass die Branche wahrscheinlich ein Jahrzehnt Zeit zur Vorbereitung hat.

Die fünf Stufen der Quantenbedrohung

Anstatt das Quantenrisiko als binären Ein/Aus-Schalter zu betrachten, führen ARK und Unchained ein fünfstufiges Framework ein, das die Entwicklung des Quantencomputings von einer Laborkuriosität hin zu einer kryptografischen Waffe abbildet.

Stufe 1 — Kommerzieller Nutzen (Heute): Quantencomputer lösen Optimierungs- und Simulationsprobleme für die Pharmaforschung, Logistik und Materialwissenschaften. Keine kryptografische Relevanz. Hier befinden wir uns im Jahr 2026.

Stufe 2 — Kryptografische Relevanz (Frühwarnung): Quantenmaschinen beginnen, einfache kryptografische Probleme zu lösen – denken Sie an kleine Schlüssellängen oder veraltete Algorithmen. Bitcoins secp256k1-Elliptic-Curve bleibt unangetastet, aber die Vorzeichen mehren sich.

Stufe 3 — ECC-Vulnerabilität (Erstes echtes Risiko): Ein Quantencomputer, auf dem der Shor-Algorithmus läuft, kann einen privaten Schlüssel aus einem bekannten öffentlichen Schlüssel ableiten – allerdings langsam. In dieser Phase könnte ein Angreifer Tage oder Wochen benötigen, um einen einzelnen Schlüssel zu knacken. Bitcoin-Adressen, die ihren öffentlichen Schlüssel offenlegen, werden verwundbar, aber der Angriff ist für die meisten Ziele unpraktikabel.

Stufe 4 — Knacken unterhalb der Blockzeit (Kritische Schwelle): Die Quantenmaschine knackt einen privaten Schlüssel schneller als die 10-minütige Blockzeit von Bitcoin. Dies ist der Punkt, an dem das Geldsystem von Bitcoin vor einer existenziellen Herausforderung steht: Ein Angreifer könnte eine Transaktion im Mempool sehen, den öffentlichen Schlüssel des Absenders extrahieren, den privaten Schlüssel ableiten und eine konkurrierende Transaktion senden, bevor das Original bestätigt wird.

Stufe 5 — Kryptografischer Kollaps: Quantencomputer knacken Schlüssel nahezu augenblicklich. Ohne Post-Quanten-Abwehrmechanismen bricht das Sicherheitsmodell von Bitcoin vollständig zusammen.

ARK prognostiziert, dass wir Stufe 3 frühestens Mitte der 2030er Jahre erreichen werden. Die fortschrittlichsten Quantenprozessoren von heute – Googles Willow-Chip mit 105 Qubits, IBMs Kookaburra mit 1.386 Qubits – liegen um Größenordnungen unter den geschätzten 13 Millionen logischen Qubits, die erforderlich sind, um die Verschlüsselung von Bitcoin innerhalb eines Tages zu knacken.

Was genau ist verwundbar?

Die Zahl von 34,6 % teilt sich in drei Kategorien exponierter Bitcoins auf, jede mit einem unterschiedlichen Risikoprofil:

Legacy P2PK-Outputs (~1,7 Millionen BTC): Die frühesten Bitcoin-Transaktionen verwendeten Pay-to-Public-Key (P2PK)-Skripte, welche den rohen öffentlichen Schlüssel direkt auf der Blockchain speichern. Jeder kann diese öffentlichen Schlüssel heute lesen. Diese Kategorie umfasst auch die auf 1,1 Millionen BTC geschätzten Bestände von Satoshi Nakamoto – Coins, die zwischen 2009 und 2010 gemined wurden und sich nie bewegt haben. Dies sind die am stärksten gefährdeten Adressen, da der öffentliche Schlüssel dauerhaft sichtbar ist, was einem Quanten-Angreifer unbegrenzte Zeit zur Arbeit gibt.

Wiederverwendete Adressen (~5 Millionen BTC): Wenn ein Benutzer von einer Adresse aus Bitcoins versendet, gibt die Transaktion den öffentlichen Schlüssel preis. Wenn diese Adresse danach weitere Mittel erhält, liegen diese neuen Coins hinter einem exponierten Schlüssel. Die Adresswiederverwendung, von der Bitcoin-Best-Practices seit langem abraten, macht den größten Anteil des quantenanfälligen Angebots aus.

Taproot P2TR-Outputs (~200.000 BTC): Der Key-Path-Spending-Mechanismus von Taproot legt öffentliche Schlüssel ebenfalls so offen, dass ein ausreichend leistungsfähiger Quantencomputer dies ausnutzen könnte. Obwohl Taproot das neueste Adressformat von Bitcoin ist, priorisierte sein Design Effizienz und Datenschutz gegenüber Quantenresistenz.

Was sicher bleibt

Die verbleibenden 65,4 % des Bitcoin-Angebots befinden sich in gehashten Adressformaten – primär P2PKH (Pay-to-Public-Key-Hash) und P2SH (Pay-to-Script-Hash) –, bei denen der öffentliche Schlüssel hinter einem SHA-256- und RIPEMD-160-Hash verborgen bleibt, bis die Mittel ausgegeben werden. Quantencomputer sind exzellent darin, Elliptic-Curve-Kryptografie mittels Shor-Algorithmus zu knacken, bieten aber nur eine quadratische Beschleunigung gegen Hash-Funktionen mittels Grover-Algorithmus. Das Knacken von SHA-256 mit Grover würde immer noch etwa 2^128 Operationen erfordern – eine Zahl, die so gewaltig ist, dass sie selbst für Quantenmaschinen faktisch unmöglich bleibt.

Die wichtigste Erkenntnis: Wenn Sie Bitcoin in einer Standard-Hash-Adresse halten und noch nie davon gesendet haben, sind Ihre Coins unter jedem realistischen Zeitplan quantensicher.

BIP-360: Bitcoins erster Vorschlag zur Quantenabwehr

Das Whitepaper hebt BIP-360 hervor – jetzt umbenannt in Pay-to-Merkle-Root (P2MR) – als Bitcoins ersten konkreten Schritt in Richtung Quantenresistenz. Ursprünglich als P2QRH (Pay-to-Quantum-Resistant-Hash) vorgeschlagen, bevor es aus Gründen der Allgemeingültigkeit umbenannt wurde, führt BIP-360 einen neuen Output-Typ ein, der die Key-Path-Spending-Schwachstelle von Taproot beseitigt.

Hier ist, was BIP-360 leistet und was nicht:

Was es leistet:

  • Entfernt den Key-Path-Spend, der öffentliche Schlüssel in Taproot-Transaktionen offenlegt
  • Führt Pay-to-Merkle-Root (P2MR)-Outputs ein, die alle Ausgabebedingungen hinter Merkle-Tree-Commitments verbergen
  • Schafft ein Framework, in das Post-Quanten-Signaturverfahren über zukünftige Soft Forks integriert werden können
  • Kann als abwärtskompatibler Soft Fork implementiert werden, nach dem Vorbild der SegWit- und Taproot-Adoption

Was es nicht leistet:

  • Es fügt selbst noch keine Post-Quanten-Signaturen hinzu – das erfordert ein separates Upgrade
  • Es schützt keine bereits exponierten P2PK- und wiederverwendeten Adressen
  • Es erzwingt keine Migration; bestehende Adresstypen funktionieren weiterhin

Die praktische Auswirkung: BIP-360 ist eine notwendige Infrastruktur, keine Komplettlösung. Es bereitet die Adressarchitektur von Bitcoin auf Post-Quanten-Signaturen vor, ohne festzulegen, welcher spezifische Algorithmus (ML-DSA, SLH-DSA oder andere) letztendlich übernommen wird.

Das Rennen um Post-Quanten-Signaturen

NIST hat im August 2024 seine ersten drei Post-Quanten-Kryptographie-Standards finalisiert:

  • ML-KEM (FIPS 203): Gitterbasierte Schlüsselverkapselung (Key Encapsulation), abgeleitet von CRYSTALS-KYBER
  • ML-DSA (FIPS 204): Gitterbasierte digitale Signaturen, abgeleitet von CRYSTALS-Dilithium
  • SLH-DSA (FIPS 205): Zustandslose hash-basierte Signaturen, abgeleitet von SPHINCS+

Für Bitcoin sind die Signaturstandards am wichtigsten. Das Whitepaper von ARK und Unchained empfiehlt die Integration von ML-DSA oder SLH-DSA durch ein Soft-Fork-Upgrade. Jedes davon bringt Vor- und Nachteile mit sich:

ML-DSA bietet kleinere Signaturen (~ 2,4 KB) und eine schnellere Verifizierung, was es für die Bandbreitenbeschränkungen von Bitcoin praktischer macht. Allerdings ist die gitterbasierte Kryptographie neuer, und ihre langfristigen Sicherheitsannahmen sind weniger praxiserprobt.

SLH-DSA stützt sich auf Hash-Funktionen – dasselbe mathematische Primitiv, das bereits 65,4 % des Bitcoin-Angebots schützt. Es ist konservativ und gut verstanden, aber die Signaturen sind viel größer (~ 8–40 KB je nach Parametern), was die Bitcoin-Transaktionen erheblich aufblähen könnte.

BTQ Technologies hat bereits eine Proof-of-Concept-Bitcoin-Implementierung unter Verwendung von ML-DSA demonstriert und die anfälligen ECDSA-Signaturen in ihrem „Bitcoin Quantum Core Release 0.2“ ersetzt. Doch der Übergang von einer Testnetz-Demo zu einem netzwerkweiten Konsens erfordert jahrelange Überprüfungen, Tests und soziale Koordination.

Wie Bitcoin im Vergleich zum Ansatz von Ethereum abschneidet

Während Bitcoin methodisch durch BIP-360 und künftige Signatur-Upgrades auf Quantenresistenz hinarbeitet, verfolgt Ethereum einen aggressiveren Zeitplan. Vitalik Buterin stellte im Februar 2026 eine Roadmap für die Quantenabwehr mit mehreren parallelen Tracks vor:

  • EIP-8141 ermöglicht es Konten, das Signaturschema zu wechseln – einschließlich quantenresistenter Schemata –, ohne die Wallets zu ändern. Buterin bestätigte, dass dies mit dem Hegotá-Hard-Fork Ende 2026 ausgeliefert wird.
  • Ein spezielles Post-Quantum-Security-Team, das im Januar 2026 gegründet wurde, erforscht hash-basierten Ersatz für BLS-Validator-Signaturen.
  • Die ETH2030-Roadmap zielt auf vollständige Quantenresistenz mit sechs Signaturschemata und rekursiver STARK-Aggregation ab.

Der unterschiedliche Ansatz spiegelt die Philosophie des jeweiligen Netzwerks wider. Bitcoin priorisiert Vorsicht und Abwärtskompatibilität – jede Änderung muss einen überwältigenden Konsens erzielen und als Soft Fork bereitstellbar sein. Ethereum bewegt sich schneller und nutzt seine Hard-Fork-Kultur sowie Account Abstraction, um kryptographische Primitive aggressiver auszutauschen.

Keiner der beiden Ansätze ist strikt besser. Bitcoins konservativer Pfad verringert das Risiko, durch voreilige Upgrades neue Schwachstellen einzuführen. Ethereums höheres Tempo bedeutet, dass der Quantenschutz früher eintrifft, aber ein höheres Implementierungsrisiko birgt.

Was Bitcoin-Halter heute tun sollten

Das Whitepaper von ARK/Unchained ist trotz der Alarmstimmung im Grunde optimistisch. Die Quantenbedrohung ist real, aber noch in der Ferne, und der Open-Source-Entwicklungsprozess von Bitcoin hat Zeit, Verteidigungsmaßnahmen zu implementieren. Dennoch können einzelne Halter schon jetzt Schritte unternehmen:

  1. Stoppen Sie die Adresswiederverwendung. Jedes Mal, wenn Sie von einer Adresse aus Bitcoins ausgeben, legen Sie den Public Key offen. Verwenden Sie für jede Transaktion eine neue Empfangsadresse – dies entspricht bereits der Best Practice.

  2. Transferieren Sie Coins aus Legacy-P2PK-Outputs. Wenn Sie Bitcoin in sehr alten Adressformaten halten (solche, die mit „04“ beginnen oder unkomprimierte öffentliche Schlüssel verwenden), übertragen Sie diese auf moderne P2SH- oder P2WPKH-Adressen.

  3. Beobachten Sie die Entwicklung von BIP-360. Sobald das Upgrade aktiviert wird, migrieren Sie zu P2MR-Outputs. Dies ist heute noch nicht dringend, wird aber mit fortschreitender Quanten-Hardware immer wichtiger werden.

  4. Keine Panik wegen Satoshis Coins. Die 1,1 Millionen BTC in frühen P2PK-Adressen können nicht bewegt werden (unter der Annahme verlorener Schlüssel). Sollten Quantencomputer jemals diese Schlüssel knacken, wird die Community vor einer Governance-Frage stehen – nicht vor einer technischen.

Das Gesamtbild

Das Whitepaper von ARK/Unchained erscheint zu einem Zeitpunkt, an dem sich der Diskurs über Quantencomputing von Science-Fiction zu strategischer Planung gewandelt hat. Googles Willow-Chip hat 2024 die Fehlerkorrektur unterhalb des Schwellenwerts bewiesen. IBMs Multiprozessor-Quantensysteme stoßen in Bereiche über 4.000 Qubits vor. Die Post-Quanten-Standards des NIST werden bereits in der gesamten Internet-Infrastruktur eingesetzt, wobei Chrome und Android bis Mitte 2026 standardmäßig auf Post-Quantum-TLS umstellen.

Das 34,6 %ige Schwachstellenfenster von Bitcoin ist groß genug, um Handeln zu erfordern, aber klein genug, um lösbar zu sein. Das fünfstufige Rahmenkonzept gibt dem Ökosystem ein gemeinsames Vokabular zur Verfolgung der Fortschritte. BIP-360 bildet die architektonische Grundlage. NIST-Standards bieten die kryptographischen Werkzeuge.

Die Frage ist nicht, ob Bitcoin quantenresistent wird – sondern ob die Community die notwendigen Upgrades koordiniert, bevor Stufe 3 eintritt. Angesichts der Erfolgsbilanz von Bitcoin bei der methodischen, konsensgesteuerten Evolution durch SegWit, Taproot und darüber hinaus stehen die Chancen eher für Vorbereitung als für eine Katastrophe.

Die Uhr tickt noch nicht. Aber zum ersten Mal wissen wir genau, worauf der Countdown läuft.

BlockEden.xyz bietet Blockchain-API-Dienste für Unternehmen und Node-Infrastruktur über mehrere Chains hinweg. Während sich die Branche auf den Übergang zum Post-Quanten-Zeitalter vorbereitet, wird eine zuverlässige Infrastruktur noch entscheidender. Erkunden Sie unseren API-Marktplatz, um auf Fundamenten zu bauen, die auf Dauer ausgelegt sind.

Share on Twitter