Quantensicheres Bitcoin ohne Soft Fork für 200 $ pro Transaktion

Was wäre, wenn Sie Ihr Bitcoin noch heute quantensicher machen könnten – ohne Hard Fork, ohne Soft Fork, ohne sieben Jahre auf einen Governance-Konsens zu warten – solange Sie bereit wären, etwa 200 $ pro Transaktion zu zahlen?

Das ist das Angebot eines neuen StarkWare-Papers, das still und leise zu einem der wichtigsten Bitcoin-Forschungsartefakte des Jahres 2026 geworden ist. Am 9. April veröffentlichte der StarkWare-Forscher Avihu Levy „QSB: Quantum Safe Bitcoin Transactions Without Softforks“, und innerhalb von 24 Stunden hatten CoinDesk, The Quantum Insider und das Bitcoin Magazine das Thema als potenziellen Rettungsweg für die rund 4 Millionen BTC – mehr als 280 Milliarden $ zu den Preisen vom April – bezeichnet, die bereits in quantenanfälligen Adressen liegen.

Der Haken ist real. Die Erleichterung ebenso. Zusammen verändern sie die Art und Weise, wie ernsthafte Bitcoin-Halter über den Q-Day denken sollten.

Warum Bitcoin plötzlich eine Quantenuhr hat

Während des größten Teils der Geschichte von Bitcoin war das Quantenrisiko eine Randnotiz – ein technisches Problem, das auf „irgendwann nach 2035“ datiert wurde. Dieser Zeitplan hat sich dramatisch verkürzt.

Das Quantum-AI-Team von Google hat seine eigene Schätzung für einen kryptografisch relevanten Quantencomputer (CRQC) auf 2029 vorgezogen. Ein Arbeitspapier der US-Notenbank Federal Reserve zum Risiko „heute ernten, später entschlüsseln“ behandelt die Post-Quanten-Migration nun als kurzfristiges politisches Anliegen und nicht mehr als Science-Fiction. Project Eleven und andere Forschungsgruppen führen regelmäßig an, dass etwa 4 Millionen BTC, etwa 25 % des umlaufenden Angebots, in Adressen mit bereits offengelegten öffentlichen Schlüsseln liegen: Pay-to-Public-Key (P2PK)-Outputs aus der frühesten Ära und wiederverwendete Pay-to-Public-Key-Hash (P2PKH)-Adressen, deren öffentliche Schlüssel in dem Moment enthüllt wurden, als die Coins ausgegeben wurden.

Diese 4 Millionen BTC sind das begehrte Ziel. Ein ausreichend leistungsfähiger Quantencomputer, auf dem der Shor-Algorithmus läuft, könnte den privaten Schlüssel aus dem offengelegten öffentlichen Schlüssel ableiten, und die Coins – einschließlich der etwa 1 Million BTC, die Satoshi zugeschrieben werden – könnten entwendet werden.

Die These „heute ernten, später entschlüsseln“ besagt, dass staatliche Angreifer diese öffentlichen Schlüssel bereits heute archivieren und darauf warten, dass die Hardware aufholt. Das ist es, was ein fernes kryptografisches Risiko in einen unmittelbaren Governance-Notfall verwandelt.

Die zwei Standardantworten – und warum beide langsam sind

Die Bitcoin-Entwickler-Community hat sich auf zwei strukturelle Lösungen geeinigt, von denen keine für einen Halter verfügbar ist, der noch in dieser Woche Schutz sucht.

BIP 360 (Pay-to-Merkle-Root) ist der führende Soft-Fork-Vorschlag, der mit Co-Autoren von StarkWare und Ethan Heilman in das offizielle BIP-Repository aufgenommen wurde. Er führt einen neuen Output-Typ ein, der den öffentlichen Schlüssel aus On-Chain-Skripten entfernt und das Gerüst für zukünftige Post-Quanten-Signaturen wie ML-DSA (Dilithium) und SLH-DSA (SPHINCS+) schafft. Er ist durchdacht, sorgfältig spezifiziert und – nach Aussage des BIP-360-Co-Autors gegenüber Cointelegraph – etwa eine siebenjährige Reise bis zur vollständigen Aktivierung, wenn man Client-Implementierung, Tests, Soft-Fork-Signalisierung und Benutzermigration berücksichtigt.

BIP 361 erweitert dies durch den Vorschlag eines schrittweisen Auslaufens von Legacy-ECDSA-Signaturen, was Kritiker als philosophische Abkehr vom Bitcoin-Ethos „deine Schlüssel, deine Coins für immer“ markiert haben, da nicht migrierte UTXOs schließlich nicht mehr ausgegeben werden könnten.

Beide Vorschläge sind die richtige langfristige Technik. Keiner von beiden hilft einem Custodian, dessen Compliance-Team heute fragt, wie viele der 12.000 BTC in einer Unternehmensschatzkammer gefährdet sind.

Was QSB tatsächlich bewirkt

Levys QSB-Schema ist gerade deshalb clever, weil es das Protokoll nicht anrührt. Es nutzt nur Funktionen, die das Bitcoin-Skript bereits unterstützt, und stützt sich auf ein kryptografisches Primitiv, das Quantencomputer nicht wesentlich schwächen: die Hash-Funktion.

Die Mechanik ist ein zweistufiges Commit/Reveal-Verfahren:

1. Commit: In einer ersten On-Chain-Transaktion veröffentlicht der Halter ein Hash-Commitment, das einen zukünftigen quantenresistenten öffentlichen Schlüssel (oder eine Hash-basierte Einmalsignatur) an den UTXO bindet, den er schützen möchte.
2. Reveal: In einer späteren Transaktion offenbart der Halter das quantenresistente Material und gibt den UTXO aus. Da ein Quantencomputer eine kryptografische Hash-Funktion nicht invertieren kann, erfährt der Angreifer, der nur das Commitment gesehen hat, in dem Fenster zwischen den beiden Schritten nichts Nützliches.

QSB schichtet Hash-basierte Beweise und Off-Chain-GPU-Arbeit über dieses Muster, sodass der On-Chain-Fußabdruck in dem Bereich bleibt, den bestehende Bitcoin-Nodes akzeptieren. Kein neuer Opcode. Keine Konsensänderung. Keine Upgrade-Koordinierung.

Die öffentliche Kritik des Quantum Resistant Ledger-Teams an dem Paper – betitelt mit „Es ist clever. Aber lesen Sie das Kleingedruckte“ – sollte man ernst nehmen: Das Schema ist ausdrucksstark genug, um Werte quantensicher zu übertragen, aber es verlagert das Sicherheitsbudget vom On-Chain-Konsens auf Off-Chain-Berechnungen, die der Benutzer bezahlen muss. Was uns zur Rechnung führt.

Das 200-$-pro-Transaktion-Problem

Die berichteten Kostenbereiche liegen zwischen 75 $und 200$ pro Transaktion, abhängig von den GPU-Preisen, der Parameterwahl und der Gebührensituation bei Bitcoin. Zwei Faktoren treiben dies an:

• Hoher Off-Chain-Rechenaufwand. Die Erzeugung von Hash-basierten Beweisen ist pro Operation günstig, aber in der Summe enorm. QSB erfordert erhebliche GPU-Zeit pro Transaktion – nichts, was eine mobile Wallet lokal ausführen würde.
• Große Signaturen auf der Chain. Selbst mit Kompressionstricks landen Hash-basierte Signaturen wie SPHINCS+/SLH-DSA bei etwa 8 KB und mehr, verglichen mit den 64 Byte von ECDSA. Blockplatz ist ein realer Kostenfaktor.

Für einen Halter, der einen einzelnen 8.000-$-UTXO bewegt, sind 200$ ein Abschlag von 2,5 % – unwirtschaftlich. Für einen Custodian, der ein Cold-Storage-Guthaben von 5 Millionen $in ein quantensicheres Commitment konsolidiert, sind 200$ ein Rundungsfehler bei einer Versicherungsprämie.

Diese Kostenkurve bestimmt im Stillen, für wen QSB gedacht ist.

Drei Stufen der Quantenverteidigung werden jetzt sichtbar

Betrachtet man das Gesamtbild, zeichnet sich eine klare Staffelung in der gesamten Branche ab. Stellen Sie sich dies als eine tiefengestaffelte Verteidigung (Defense-in-Depth) mit sehr unterschiedlichen Zeitplänen für die Freischaltung vor:

1. Nachrüstung (ab sofort verfügbar): Commit/Reveal-Verfahren wie QSB. Keine Governance erforderlich. Wirtschaftlich rentabel für große UTXOs. Dies ist die Stufe, die Coins aus der Satoshi-Ära und institutionelle Bestände schützt, während der Rest des Stacks aufholt.
2. Protokoll-Upgrade (mehrjährig): BIP 360 und Nachfolger. Ein nativer Bitcoin-Output-Typ, der exponierte öffentliche Schlüssel entfernt und einen freien Platz für Post-Quanten-Signaturen hinzufügt. Ein langer Aktivierungshorizont, aber der letztendliche Gleichgewichtszustand.
3. Von Grund auf neu entwickelt (heute bereits auf anderen Chains live): Naoris Protocol, Circle Arc. Naoris startete sein Mainnet am 2. April 2026 als natives Post-Quanten-Layer-1 unter Verwendung von CRYSTALS-Dilithium (ML-DSA-87) auf NIST-Sicherheitsstufe 5. Circle hat angekündigt, dass sein Arc-L1 mit quantenresistenten Wallet-Signaturen ab dem Mainnet ausgeliefert wird und die Validator-Signaturen im Laufe der Zeit aktualisiert werden. Diese Chains werden niemals eine veraltete Adressbasis migrieren müssen.

Jede Stufe zielt auf ein anderes Publikum ab: QSB für Bitcoin-Halter, die nicht warten können, BIP 360 für das Bitcoin-Protokoll und Naoris/Arc für neues Kapital, das Quantenresistenz als Standard und nicht als Nachrüstung wünscht.

Der Markt, den QSB versehentlich schaffen könnte

Wenn Sie ein Custodian sind – Coinbase Custody, Fidelity Digital Assets, BitGo, Anchorage – ist das QSB-Paper wohl die interessanteste Bitcoin-Forschung, die in diesem Jahr veröffentlicht wurde, nicht wegen seiner kryptographischen Neuheit, sondern wegen dessen, was es kommerziell ermöglicht.

Ein plausibles Produktangebot zeichnet sich bereits in Grundzügen ab:

• Quanten-Migrationsdienste als Premium-Stufe zusätzlich zur institutionellen Verwahrung. Kunden zahlen eine Migrationsgebühr pro UTXO (etwa $250 –$ 500 im Batch), um ihre Bestände in QSB-geschützte Commitments zu verschieben.
• Batching-Ökonomie. Ein Verwahrer, der 50.000 BTC über 8.000 UTXOs hält, kann die GPU-Rechenleistung über viele Kunden amortisieren und den Blockplatz strategisch aushandeln, wodurch aus Einzelhandelskosten von $200 Großhandelskosten von$ 30 – $ 60 werden.
• Regulatorischer Rückenwind. Da „Harvest now, decrypt later“ (jetzt ernten, später entschlüsseln) in das Vokabular der SEC, des OCC und der europäischen Bankenaufsichtsbehörden einzieht, ist zu erwarten, dass Unternehmenskunden fragen werden, ob ihre Bitcoin-Exposure quantenmigriert ist. „Noch nicht“ wird bei Vorstandssitzungen bald zu einer unangenehmen Antwort werden.

Cardanos Charles Hoskinson, niemals scheu, argumentierte in einem CoinDesk-Interview am 16. April, dass Bitcoins Quantenlösung letztlich einen Hard Fork benötigt, der „Satoshis Coins nicht retten kann“. QSB ist ein direktes Gegenargument: eine Nachrüstung, die jedes UTXO schützen kann, dessen Besitzer noch lebt, um es zu bewegen, ohne den Konsens überhaupt anzutasten.

Was Inhaber tatsächlich tun sollten

Daraus ergibt sich ein pragmatisches Playbook:

• Zuerst die Exposure prüfen. Wenn Ihre Bitcoin an einer frisch generierten P2WPKH- oder Taproot-Adresse liegen, von der noch nie gesendet wurde, befindet sich Ihr öffentlicher Schlüssel nicht on-chain. Sie sind in einer wesentlich besseren Verfassung als Inhaber von P2PK- oder wiederverwendeten P2PKH-Adressen, wenn auch langfristig immer noch nicht immun.
• Priorisieren Sie große, seit langem gehaltene Cold-UTXOs. Dies sind diejenigen, bei denen Gebühren von $ 200 vernachlässigbar sind und bei denen das „Harvest now, decrypt later“-Archiv Ihren öffentlichen Schlüssel höchstwahrscheinlich bereits erfasst hat.
• Beobachten Sie BIP 360 genauestens. Wenn es aktiviert wird, kehrt sich die Ökonomie um – native quantensichere Outputs werden weitaus günstiger sein als QSB-Nachrüstungen.
• Erwarten Sie Custodian-Produkte bis zum 4. Quartal 2026. Jeder Verwahrer, der institutionelle Kunden bedient, wird unter Druck stehen, einen quantensicheren Migrationspfad anzubieten; diejenigen, die zuerst handeln, werden die Mandate gewinnen.

Der tiefere Wandel, den QSB darstellt, ist nicht kryptographisch – es ist die Governance. Jahrelang war die Quanten-Diskussion bei Bitcoin in einer Binärität gefangen: Entweder wir warten auf einen Soft Fork, der fast ein Jahrzehnt dauern kann, oder wir akzeptieren das Tail-Risiko. Eine glaubwürdige Nachrüstungsoption bricht diese Binärität auf. Inhaber mit Überzeugung und Kapital können jetzt heute Schutz zu einem kalkulierbaren Preis kaufen, ohne jemanden um Erlaubnis fragen zu müssen.

Das ist eine sehr Bitcoin-typische Antwort auf ein sehr Bitcoin-typische Problem.

---

BlockEden.xyz bietet RPC- und Indexierungs-Infrastruktur der Enterprise-Klasse für Bitcoin, Sui, Aptos, Ethereum und über 27 + weitere Chains. Wenn Sie Tools entwickeln, die den UTXO-Status verfolgen, die Mempool-Aktivität überwachen oder Commit/Reveal-Muster in großem Umfang indexieren müssen, erkunden Sie unseren API-Marktplatz – eine Infrastruktur, die darauf ausgelegt ist, das nächste Jahrzehnt des Protokollwandels zu überdauern.

Quellen

• Quantensicheres Bitcoin jetzt ohne Soft Fork möglich, kostet aber $ 200 pro Stück — CoinDesk
• Bitcoins $ 1,3 Billionen Sicherheits-Wettlauf: Wichtige Initiativen zur Quantensicherung der größten Blockchain der Welt — CoinDesk
• Quantensicheres Bitcoin ohne Soft Fork? Es ist clever. Aber lesen Sie das Kleingedruckte — QRL
• Neuer Vorschlag behauptet quantensicheres Bitcoin ohne Fork — The Quantum Insider
• BIP 360: Pay-to-Merkle-Root (P2MR)
• Bitcoin macht Fortschritte in Richtung Quantenresistenz mit BIP 360 — Bitcoin Magazine
• Bitcoin-Upgrade auf Post-Quanten könnte 7 Jahre dauern: BIP-360-Mitautor — Cointelegraph/TradingView
• Bitcoin-Forscher schlagen schrittweise Einstellung veralteter Signaturen vor, um Quantenrisiken zu begegnen — The Block
• Project Eleven — Quantenanfälligkeit von Bitcoin-Adressen
• Federal Reserve — „Harvest Now, Decrypt Later“: Untersuchung von Post-Quanten-Risiken (PDF)
• Quantenresistente Blockchain des Naoris Protocol geht live — CoinDesk
• Circle sagt, dass das kommende Layer 1 Arc quantenresistent sein wird — The Block
• Cardanos Hoskinson sagt, Bitcoins Quantenlösung sei ein Hard Fork — CoinDesk