Direkt zum Hauptinhalt

Bitcoins 1,3 Bio. $ Quanten-Uhr: Der 9-Minuten-ECDSA-Bruch und das BIP-360-Rennen zur Rettung von 6,9 Mio. BTC

· 12 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Neun Minuten. Das ist das Zeitfenster, das laut einem 57-seitigen Papier von Google Quantum AI ein zukünftiger Quantencomputer benötigen würde, um einen privaten Bitcoin-Schlüssel aus einem offengelegten öffentlichen Schlüssel zu rekonstruieren – kurz genug, um in eine einzige Blockbestätigung zu passen, aber lang genug, um das Risikoprofil des gesamten 1,3 Billionen Dollar schweren Netzwerks neu zu definieren. Das Papier, das gemeinsam mit Forschern aus Stanford und der Ethereum Foundation verfasst und am 30. März 2026 veröffentlicht wurde, tat etwas Subtileres als den Weltuntergang vorherzusagen. Es verringerte die Zahl, auf die es ankommt. Die für das Knacken von ECDSA erforderlichen Ressourcen sanken im Vergleich zu früheren Schätzungen um den Faktor 20. Google strebt nun intern eine Post-Quantum-Migration bis 2029 an.

Bitcoin bleibt nicht so viel Zeit. Zumindest nicht, wenn es eine reibungslose Migration anstrebt. Und die Entwickler des Netzwerks wissen das – weshalb der April 2026 zum folgenreichsten Monat für die Bitcoin-Kryptographie seit der Aktivierung von SegWit geworden ist. BIP-360 ist im Testnet live. Ein Folgevorschlag zum Einfrieren von Legacy-Adressen zirkuliert bereits als Entwurf. Adam Back, Jameson Lopp und die Maintainer von Bitcoin Core spalten sich in Lager, die nicht darüber uneins sind, ob die Bedrohung real ist, sondern darüber, wer zahlt, wenn die Uhr abläuft.

Die Expositionskarte: 6,9 Millionen BTC, 34 % des Angebots und Satoshis Coins

Die am häufigsten zitierte Zahl des Google-Papiers lautet neun Minuten. Die beunruhigendste Zahl lautet 6,9 Millionen. Das ist die Obergrenze des Bitcoin-Angebots, dessen öffentliche Schlüssel bereits on-chain sichtbar sind – was bedeutet, dass ein Quanten-Angreifer keine Transaktion durch den Mempool jagen muss. Er kann den privaten Schlüssel in aller Ruhe ableiten und die Coins ausgeben, wann immer er möchte.

Die Exposition erfolgt in Stufen:

  • Pay-to-Public-Key (P2PK) Adressen: Etwa 1,7 Millionen BTC, einschließlich mehr als 1,1 Millionen BTC, die den frühen Mining-Belohnungen (Coinbase-Rewards) von Satoshi Nakamoto zugeschrieben werden. Öffentliche Schlüssel werden direkt im scriptPubKey gespeichert. Nichts verbirgt sie.
  • Wiederverwendete Adressen über alle Script-Typen hinweg: Wenn eine P2PKH-, P2WPKH- oder Taproot-Adresse auch nur einmal etwas ausgibt, wird ihr öffentlicher Schlüssel in der Transaktion offengelegt. Forscher schätzen, dass dies das gefährdete Angebot auf weit über 6 Millionen BTC erhöht.
  • Inaktive Adressen: Stand 1. März 2026 wiesen über 34 % des zirkulierenden Angebots zu irgendeinem Zeitpunkt exponierte öffentliche Schlüssel auf. Coins, die ein Jahrzehnt lang unberührt blieben, sind nicht sicherer – sie sind stärker gefährdet, da sie nicht rotiert werden können, ohne den Schlüssel ohnehin preiszugeben.

Dies ist das Problem des „jetzt ernten, später entschlüsseln“ (harvest now, decrypt later) in seiner reinsten Form. Jede Adresswiederverwendung aus den letzten 15 Jahren ist bereits in der Blockchain festgeschrieben. Es gibt kein Zurück mehr. Die einzige Verteidigung ist die Migration – das Verschieben von Coins in quantenresistente Adressformate, bevor eine ausreichend leistungsstarke Maschine existiert.

BIP-360: Pay-to-Merkle-Root und die ersten Testnet-Blöcke

BIP-360, mitverfasst von Ethan Heilman und im Februar 2026 veröffentlicht, ist der erste konkrete Bitcoin Improvement Proposal, der ein vorwärtskompatibles Adressformat bietet. Er führt Pay-to-Merkle-Root (P2MR) ein, das sich auf einen Merkle-Baum möglicher Signaturschemata festlegt, anstatt einen einzelnen öffentlichen Schlüssel on-chain einzubetten.

Die Eleganz von P2MR liegt darin, dass das Netzwerk quantenresistente Signaturen übernehmen kann, ohne sich heute schon auf einen Gewinner festlegen zu müssen. Ein P2MR-Output kann zum Zeitpunkt der Ausgabe einen SLH-DSA (SPHINCS+)-Signaturpfad offenlegen, einen Falcon-Pfad oder einen hybriden ECDSA-plus-Post-Quantum-Pfad. Der öffentliche Schlüssel wird niemals in das UTXO selbst geschrieben – nur ein Commitment. Beobachter erfahren nichts über den Signaturschlüssel, bis der Coin bewegt wird, und selbst dann wird nur der spezifisch genutzte Pfad offengelegt.

Am 20. März 2026 aktivierte BTQ Technologies den ersten produktiven Einsatz von BIP-360 v0.3.0 auf einem Bitcoin-Testnet. Mehr als 50 Miner schlossen sich dem Experiment an und produzierten über 100.000 Blöcke unter den neuen Regeln. Das Testnet ist nicht das Bitcoin-Mainnet, und eine Aktivierung ist noch in weiter Ferne. Aber es beantwortete die Frage, die Kritiker jahrelang gestellt hatten: Kann P2MR tatsächlich den Durchsatz und die Signaturgrößen bewältigen? Erste Ergebnisse sagen ja, aber zu einem gewissen Preis.

Das Größenproblem: 64 Bytes bis 8 Kilobytes

Hier ist die technische Hürde. Eine aktuelle ECDSA- oder Schnorr-Bitcoin-Signatur ist 64 Bytes groß. Die NIST-standardisierte Post-Quantum-Alternative, SLH-DSA (ehemals SPHINCS+, im August 2024 als FIPS 205 finalisiert), wiegt etwa 8 Kilobyte pro Signatur. Das ist eine 125-fache Steigerung.

Blockplatz ist ein Nullsummenspiel. Das Gewichtslimit eines Bitcoin-Blocks verschiebt sich nicht, nur weil die Signaturen größer geworden sind. Wenn jede Signatur über Nacht 8 KB groß würde, würde der effektive Transaktionsdurchsatz um mehr als zwei Größenordnungen einbrechen, und die Gebührenmärkte würden alle außer den wertvollsten Transfers ausschließen. Dies ist kein geringfügiges UX-Problem – es ist der Grund, warum Bitcoin nicht bereits migriert ist.

Zwei Forschungsrichtungen versuchen, diese Hürde zu überwinden:

  • SHRIMPS und SHRINCS: Stateless Hash-basierte Schemata, die die SPHINCS+-Sicherheitsgarantien beibehalten, aber Signaturgrößen von näher an 2 KB anstreben.
  • Falcon-Familie (Lattice-Signaturen): Kleiner als SPHINCS+ (ca. 700 Bytes), basieren jedoch auf mehr Annahmen über die Härte von Gitter-Problemen (Lattice Problems) – ein anderes Risikoprofil als die rein Hash-basierte Familie.
  • Commit/Reveal-Schemata mit existierendem Bitcoin Script: Diese kodieren quantenresistente Commitments heute zu Kosten von etwa 200 $ pro Transaktion, ohne dass ein Protokoll-Upgrade erforderlich ist. Teuer, aber ab sofort für hochwertige Cold Storage verfügbar.

Keine einzelne Option ist offensichtlich die richtige. Das Merkle-Commitment-Design von BIP-360 ist eine Absicherung dagegen, sich vorzeitig entscheiden zu müssen.

BIP-361: Der Vorschlag zum Einfrieren von Satoshis Coins

Am 14. April 2026 reichten Jameson Lopp und fünf Mitforscher einen Entwurf für BIP-361 – „Post Quantum Migration and Legacy Signature Sunset“ – im Bitcoin-BIP-Repository ein. Es ist der politisch brisanteste Bitcoin-Vorschlag seit den Block-Size-Kriegen von 2017 und ist in drei eskalierende Phasen gegliedert:

  • Phase A (Aktivierung + ~3 Jahre): Neue Transaktionen dürfen keine Beträge mehr an alte, quanten-anfällige Adressentypen senden. Coins können anfällige Adressen weiterhin verlassen, aber Wallets und Dienste werden standardmäßig zu P2MR gedrängt.
  • Phase B (Aktivierung + ~5 Jahre): Die Konsensschicht erklärt alle alten Signaturen für ungültig. Jeder Coin, der bis zu dieser Blockhöhe nicht migriert wurde, wird unbrauchbar. Eingefroren.
  • Phase C (in Untersuchung): Ein begrenzter Wiederherstellungsmechanismus unter Verwendung von Zero-Knowledge-Proofs, die an BIP-39-Seed-Phrasen gebunden sind. Nutzer könnten den Besitz eingefrorener UTXOs nachweisen, ohne private Schlüssel offenzulegen, jedoch nur, wenn sie noch die Kontrolle über den ursprünglichen Seed haben. Coins mit verlorenen Seeds bleiben verloren.

Die Zahlen sind drastisch. Phase B würde 170.000 BTC einfrieren, die in P2PK-Skripten gesperrt sind, sowie rund 1,1 Millionen BTC, die Satoshi zugeschrieben werden. Bei einem Preis von 95.000 proBTCsinddasmehrals120Milliardenpro BTC sind das mehr als 120 Milliarden, die per Konsens abgeschaltet würden – die größte zwangsweise Enteignung von Privateigentum in der Geschichte eines digitalen Netzwerks.

Die Spaltung: Adam Back vs. Lopp, ideologische Reinheit vs. Adversarial Thinking

Die Reaktion der Community erfolgte innerhalb weniger Stunden und spaltete sich entlang vorhersehbarer Bruchlinien.

Gegen das Einfrieren:

  • Adam Back sprach sich öffentlich für optionale Post-Quanten-Upgrades ohne erzwungene Abschaltung aus und argumentierte, dass das Einfrieren von Coins Bitcoins Kernversprechen des erlaubnisfreien Besitzes (permissionless possession) verletzt.
  • Marty Bent (TFTC) nannte den Vorschlag „lächerlich“.
  • Brian Trollz vom Bitcoin Magazine lehnte ihn rundweg ab.
  • Phil Geiger (Metaplanet) fasste die Opposition zusammen: „Wir müssen das Geld der Leute stehlen, um zu verhindern, dass ihr Geld gestohlen wird.“

Für das Einfrieren:

  • Lopp bezeichnete den Entwurf als „Adversarial Thinking (gegnerisches Denken) über potenzielle zukünftige Bedrohungen“ und merkte an, dass er derzeit nicht glaubt, dass die Maßnahmen sofort aktiviert werden müssen.
  • Institutionelle Verwahrer unterstützen die Abschaltung im Stillen, da jeder überlebende Pool von Pre-Quanten-Coins zu einem permanenten systemischen Risiko wird – ein riesiger Honeypot, den Quanten-Angreifer ohne Zeitdruck ins Visier nehmen können.

Die philosophische Meinungsverschiedenheit ist real. Bitcoins Versprechen war, dass Coins nicht per Dekret (by fiat) beschlagnahmt werden können. BIP-361 kehrt dies um: Coins können durch Untätigkeit beschlagnahmt werden. Gegner argumentieren, dass das Risiko, dass verlorene oder ruhende Coins von einem zukünftigen Quanten-Angreifer gestohlen werden, einfach der Preis des ursprünglichen Versprechens ist. Befürworter argumentieren, dass das Abwarten des Diebstahls einen Präzedenzfall legitimieren würde, den Bitcoin nicht überleben kann.

Der 7-Jahres-Zeitplan und was passiert, wenn die Migration ins Stocken gerät

Ethan Heilman, Mitautor von BIP-360, schätzt, dass eine vollständige Migration mindestens sieben Jahre dauert, selbst wenn sie sofort eingeleitet wird. Der Zeitplan gliedert sich grob wie folgt:

  • Jahr 1: BIP-360 Mainnet-Aktivierung und Rollout der Wallet-Unterstützung.
  • Jahre 2–3: Integration durch Börsen, Verwahrer und Händler. Firmware-Updates für Hardware-Wallets mit Post-Quanten-Signaturpfaden.
  • Jahre 4–5: Durchsetzung der Phase-A-Einschränkungen auf Konsensebene, falls BIP-361 oder ein Nachfolger angenommen wird.
  • Jahre 6–7: Abschaltung alter Signaturen, Auflösung eingefrorener Adressen, Implementierung von Wiederherstellungsmechanismen.

Googles interne Frist für 2029 liegt genau in diesem Fenster. Analysten von Bernstein erwarten einen Zeitraum von 3 bis 5 Jahren für den Übergang, bevor Quantencomputer operativ relevant werden. Ark Invest argumentiert, dass die Bedrohung langfristig und nicht unmittelbar bevorstehend ist. In der Lücke zwischen „nicht unmittelbar“ und „7-jähriger Migration“ wird sich die Bitcoin-Governance für den Rest des Jahrzehnts bewegen.

Cross-Chain-Vergleich: Ethereum, Solana und die Quanten-nativen Newcomer

Bitcoin ist nicht die einzige Chain, die gegen die Zeit läuft, aber sie ist diejenige mit der am stärksten eingeschränkten Governance.

  • Ethereum: Vitalik Buterin veröffentlichte im Februar 2026 eine Post-Quanten-Roadmap. EIP-8141 führt eine „Frame-Transaktions“-Hülle ein, die sowohl ECDSA- als auch Post-Quanten-Signaturen gleichzeitig enthält, sodass Konten ihre Signaturtypen migrieren können, ohne die Adressen zu ändern. Quantenresistente Signaturen kosten bis zu 66-mal mehr Gas, was Batching-Lösungen erfordert, um ökonomisch tragfähig zu bleiben. Die Ethereum Foundation strebt eine vollständige Quantenresistenz vor 2030 an.
  • Solana: Im Dezember 2025 ging die Solana Foundation eine Partnerschaft mit Project Eleven ein, um ein Testnet zu starten, das jede Ed25519-Signatur durch CRYSTALS-Dilithium ersetzt. Erste Messungen ergaben rund 3.000 TPS, obwohl frühere unabhängige Tests einen Durchsatzeinbruch von bis zu 90 % bei Signaturen gemeldet hatten, die 40-mal größer waren. Firedancer, der alternative Validator-Client von Jump Crypto, unterstützt mehrere Signatur-Backends, wodurch Solana für eine Quanten-Migration bereit ist, noch bevor Ethereum EIP-8141 finalisiert.
  • Quanten-native L1s: Circle Arc, Algorand und mehrere neuere Chains starteten von Beginn an mit Post-Quanten-Primitiven und umgingen das Migrationsproblem vollständig. Ihr Marketing-Pitch im Jahr 2027 wird sich von selbst schreiben.

Bitcoins Nachteil ist nicht technischer Natur – er ist politisch. Ethereum hat eine Foundation. Solana hat Anza und das Firedancer-Team. Bitcoin hat Core-Maintainer und ein Modell des groben Konsenses (rough consensus), das fast vier Jahre brauchte, um Taproot auszuliefern – ein weit weniger kontroverses Upgrade.

Was dies für Entwickler und Holder bedeutet

Drei praktische Auswirkungen stechen für jeden hervor, der heute auf Bitcoin aufbaut oder Bitcoin hält:

  1. Cold-Storage-Praktiken sind wichtiger denn je. Die Wiederverwendung von Adressen war schon immer ein Anti-Pattern für die Privatsphäre. Sie ist nun ein kryptografisches Risiko. Frische Adressen pro Transaktion verschaffen Zeit, noch bevor BIP-360 aktiviert wird, da ungenutzte P2WPKH- und Taproot-Outputs mit nie offengelegten öffentlichen Schlüsseln unter dem „Harvest Now, Decrypt Later“-Modell sicher bleiben, bis sie ausgegeben werden.
  2. Multi-Sig- und Taproot-Skriptpfade benötigen ebenfalls Migrationspläne. Komplexe Skripte mit offengelegten Ausgabepfaden haben das gleiche Expositionsrisiko wie Einzel-Key-Adressen. Custody-Dienste sollten damit beginnen, zu prüfen, welche ihrer Cold-Storage-Konstruktionen eine Post-Quanten-Welt überstehen und welche eine erzwungene Migration während einer Phase-A-Deadline erfordern werden.
  3. Infrastrukturanbieter werden die operative Last tragen. Wenn BIP-360 aktiviert wird, werden Wallets, Börsen und RPC-Anbieter zwei Jahre lang wenig glanzvolle „Klempnerarbeit“ leisten: Unterstützung neuer Adressformate, Handhabung hybrider Signaturverifizierungen und Unterstützung der Benutzer bei der Migration von UTXOs, ohne Gelder durch Gebührenspitzen oder Bugs zu verlieren. Die Qualität dieser Infrastruktur wird darüber entscheiden, ob die Migration reibungslos oder chaotisch verläuft.

Die Quantenuhr tickt nicht in der Geschwindigkeit von Schlagzeilen. Sie tickt in der Geschwindigkeit von Standardisierungsgremien, Testnet-Rollouts und BIP-Aktivierungen — was genau der Grund ist, warum der April 2026 wichtig ist. Das erste BIP ist live im Testnet. Das zweite ist entworfen. Die Community debattiert. Das ist genau das, wonach eine funktionierende Migration im Jahr Null aussieht.

Die Alternative — zu warten, bis eine 500.000-Qubit-Maschine tatsächlich existiert — ist die Option, die nicht funktioniert.

BlockEden.xyz bietet Enterprise-Grade Node- und API-Infrastruktur für Bitcoin, Ethereum, Solana und über 20 weitere Chains, die vor Entscheidungen zur Post-Quanten-Migration stehen. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die darauf ausgelegt ist, sich mit der kryptografischen Grenze weiterzuentwickeln.

Quellen

Share on Twitter