Direkt zum Hauptinhalt

BIP-361: Bitcoins umstrittenster Vorschlag seit SegWit

· 13 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Eine kleine Gruppe von Bitcoin-Entwicklern hat gerade etwas vorgeschlagen, das vor fünf Jahren noch undenkbar gewesen wäre: das vorsätzliche Einfrieren von rund 6,5 Millionen BTC, einschließlich des gesamten Bestands aus der Satoshi-Ära, bevor ein zukünftiger Quantencomputer sie auf den freien Markt schwemmen kann.

Willkommen zu BIP-361 — dem Vorschlag, der Bitcoin zwingt, sich zwischen zwei seiner heiligsten Werte zu entscheiden: Unveränderlichkeit und Überleben.

Eine 74-Milliarden-Dollar-Defensivhaltung

Am 11. Februar 2026 hat das Repository für Bitcoin Improvement Proposals still und leise einem Entwurf eine Nummer zugewiesen, der von Casa-CTO Jameson Lopp und fünf weiteren Forschern verfasst wurde. Bis April war dieser Entwurf — BIP-361 — zum umstrittensten technischen Dokument in Bitcoin seit dem SegWit-Bürgerkrieg von 2017 geworden.

Der Vorschlag befasst sich mit einem strategischen Risiko, das seit einem Jahrzehnt offen zutage tritt. Ungefähr 6,5 Millionen Bitcoin befinden sich in Adressen, die ein ausreichend leistungsstarker Quantencomputer gefährden könnte — frühe Pay-to-Public-Key (P2PK) Outputs, Pay-to-Public-Key-Hash (P2PKH) Wallets mit wiederverwendeten Adressen und jeder UTXO, dessen öffentlicher Schlüssel bereits an die Chain gesendet wurde. Bei heutigen Preisen entspricht das einer Gefährdung von etwa 74 Milliarden US-Dollar am unteren Ende, wobei einige Analysen die gefährdete Fläche auf 400 bis 500 Milliarden US-Dollar schätzen, wenn man dies auf den gesamten ruhenden Bestand hochrechnet.

Zu diesen gefährdeten Coins gehören schätzungsweise 1,1 Millionen BTC, die Satoshi Nakamoto in mehr als 22.000 Wallets zugeschrieben werden, identifiziert durch die markante „Patoshi-Pattern“-Mining-Signatur. Diese Coins wurden seit über einem Jahrzehnt nicht bewegt. Sie können sich nicht selbst bewegen. Und in einer Welt, in der ein kryptografisch relevanter Quantencomputer (CRQC) betriebsbereit wird, können sie sich nur in eine Richtung bewegen — aus Satoshis Wallet heraus und in die von jemand anderem.

Wie das Einfrieren tatsächlich funktioniert

BIP-361 ist kein einfacher Schalter. Es handelt sich um eine fünfjährige, choreografierte Migration mit drei aufeinanderfolgenden Phasen, die jedem aktiven Bitcoin-Halter Zeit geben soll, sich freiwillig für ein Opt-in zu entscheiden, bevor die Konsensschicht die Entscheidung für ihn trifft.

Phase A tritt etwa drei Jahre nach der Aktivierung in Kraft. Das Netzwerk würde sich weigern, neue Transaktionen zu akzeptieren, die BTC an veraltete, quantenanfällige Adresstypen senden. Bestehende Inhaber könnten ihre Coins weiterhin von diesen Adressen ausgeben — die Tür schwingt nur nach außen. Ziel ist es, Wallets, Börsen und Verwahrungsdienstleister dazu zu bewegen, vor Ablauf der Frist standardmäßig quantenresistente Formate zu verwenden.

Phase B beginnt zwei Jahre später. Zu diesem Zeitpunkt werden Legacy-Signaturen auf Konsensebene ungültig. Jeder UTXO, der nicht in einen quantensicheren Output migriert wurde, ist per Definition nicht mehr ausgebbar. Die Coins existieren weiterhin auf der Chain, aber keine vom Netzwerk erkannte Signatur kann sie bewegen. Sie sind eingefroren, dauerhaft und konstruktionsbedingt.

Phase C ist das moralische Überdruckventil, an dem noch aktiv geforscht wird. Es würde Besitzern von eingefrorenen UTXOs ermöglichen, ihre Gelder über Zero-Knowledge-Proofs zurückzufordern, die an BIP-39 Seed-Phrases gebunden sind — ohne jemals den zugrunde liegenden privaten Schlüssel einem zusehenden Quanten-Angreifer preiszugeben. Falls implementiert, bedeutet Phase C, dass ein lange verschollener Inhaber seinen Anteil wiederbeleben könnte, ohne das Geheimnis preiszugeben, das ihn schützt. Wenn es nicht implementiert wird, bedeutet eingefroren wirklich eingefroren.

Der Vorschlag steht nicht isoliert da. Er baut explizit auf BIP-360 auf, das Anfang 2026 über BTQ Technologies ins Testnet ging und einen neuen Output-Typ namens Pay-to-Merkle-Root (P2MR) einführt. P2MR funktioniert ähnlich wie Pay-to-Taproot, entfernt jedoch den Key-Path-Spend und eliminiert so die Angriffsfläche für Langzeitexpositionen, die Quantencomputer ausnutzen würden. Bemerkenswerterweise ersetzt BIP-360 ECDSA oder Schnorr noch nicht durch gitterbasierte Verfahren wie ML-DSA — dieser Kampf steht noch bevor. BIP-360 verbirgt lediglich den öffentlichen Schlüssel hinter einem Hash bis zum Zeitpunkt der Ausgabe. BIP-361 sagt dann: Und nach fünf Jahren wird jeder, der immer noch im Freien steht, ausgesperrt.

Die Gegenposition von Adam Back

Der Vorschlag stieß in dem Moment, als er öffentlich wurde, auf eine Mauer. Auf der Paris Blockchain Week argumentierte Blockstream-CEO Adam Back — ein Kryptograf, der das Quantenfeld seit 25 Jahren verfolgt —, dass BIP-361 das falsche Problem mit dem falschen Werkzeug löst.

Backs Position stützt sich auf drei Behauptungen. Erstens bleiben aktuelle Quantencomputer „im Wesentlichen Laborexperimente“ und der Fortschritt sei „inkrementell“. Zweitens hat die Bitcoin-Kultur wiederholt bewiesen, dass sie schnell mobilisieren kann, wenn eine echte Bedrohung auftaucht — Fehler werden innerhalb von Stunden identifiziert und behoben, wenn die Risiken klar sind. Drittens bewahrt der Aufbau optionaler quantenresistenter Upgrades, für die sich Inhaber entscheiden können, Bitcoins Versprechen der souveränen Kontrolle, während ein erzwungenes Einfrieren einen Governance-Präzedenzfall schafft, den noch kein Soft Fork jemals überschritten hat.

Das Lager um Lopp setzt auf das Gegenteil. Ihre Wette ist, dass die Koordination unter Druck, bei einem Preisdiagramm im freien Fall und einem Quanten-Gegner, der aktiv die Chain leert, genau der Moment ist, in dem der Konsens zerbricht. Es sei besser, die Migration jetzt bei ruhiger See zu planen, als sie während einer Krise zu versuchen, die das Vertrauen in die Beständigkeit des Netzwerks ohnehin schon untergraben wird.

Dies ist die eigentliche Unstimmigkeit, befreit von aller Rhetorik: Kann Bitcoin unter Notfallbedingungen koordinieren, oder muss er sich in Friedenszeiten vorab koordinieren? Jedes andere Argument — über Satoshis Neutralität, darüber, ob 6,5 Millionen BTC „wirklich“ aufgegeben wurden, oder ob Einfrieren einer Beschlagnahmung gleichkommt — leitet sich aus dieser Frage ab.

Warum die Bedrohung nicht mehr hypothetisch ist

Der Grund, warum diese Debatte von einem Randthema zu einem nummerierten BIP im Jahr 2026 geworden ist, ist simpel: Der Zeitrahmen ist geschrumpft.

Im März 2026 veröffentlichte das Quantum AI-Team von Google Forschungsergebnisse, die darauf hindeuten, dass ein Quantencomputer mit weniger als 500.000 physischen Qubits — was etwa 1.200 logischen Qubits entspricht — die Kryptografie auf Basis elliptischer Kurven knacken könnte. Frühere Schätzungen hatten den Bedarf auf 10 Millionen physische Qubits beziffert. Googles eigenes internes Ziel für die Post-Quanten-Bereitschaft seiner Produkte ist das Jahr 2029. McKinsey und akademische Roadmaps, die in BIP-361 zitiert werden, verorten das Zeitfenster für die Ankunft eines CRQC (Cryptographically Relevant Quantum Computer) zwischen 2027 und 2030.

Drei Jahre. Das ist kein komfortabler Puffer für ein 1,3 Billionen Dollar schweres Netzwerk, dessen Migrationslogistik alles andere als trivial ist. Eine akademische Analyse schätzte, dass der vollständige Ersatz jedes auf ECDSA basierenden UTXOs durch ein Post-Quanten-Äquivalent etwa 1.828 Stunden — über 76 Tage — an kumulativem Netzwerkdurchsatz erfordern würde, der ausschließlich für Migrationstransaktionen reserviert ist, vorausgesetzt, die gesamte Community würde sich auf eine Koordinierung einigen. Diese Rechnung verschlechtert sich dramatisch, wenn ein Quanten-Angreifer parallel dazu gegen das Netzwerk antritt.

Die Asymmetrie macht die Bedrohung eher zu einer strategischen als zu einer rein technischen. Ein Nationalstaat, der sechs Monate vor dem Rest der Welt über CRQC-Fähigkeiten verfügt, muss keine aktiv genutzten Wallets angreifen — diese Coins bewegen sich regelmäßig und verankern sich neu hinter gehashten öffentlichen Schlüsseln. Der Angreifer muss lediglich systematisch private Schlüssel aus den Millionen von lange exponierten P2PK- und wiederverwendeten Adress-Public-Keys ableiten, die offen auf der Chain liegen, und diese still und leise leeren. Bis jemand es bemerkt, ist der Angebotsschock bereits eingetreten.

Die Bruchlinie zwischen Ossifizierung und Selbstverteidigung

Die Bitcoin-Kultur hat schwierige Kompromisse historisch dadurch gelöst, dass sie sich weigerte, eine Wahl zu treffen. Die Ossifizierung — das Prinzip, dass sich das Protokoll so wenig wie möglich und so langsam wie möglich ändern sollte — wird als Feature und nicht als Bug betrachtet. SegWit (2017) war vor der Aktivierung heftig umstritten und führte zur Abspaltung der BCH-Chain. Taproot (2021) wurde reibungslos aktiviert, da es strikt optional (opt-in) war und neue Funktionen hinzufügte, ohne bestehende zu entfernen. OP_CTV-Covenants wurden schließlich 2025 nach jahrelanger Debatte aktiviert.

BIP-361 unterscheidet sich strukturell von allen drei Präzedenzfällen. Es ist kein Opt-in. Es bewahrt keine bestehenden Rechte. Es besagt explizit, dass Inhaber bestimmter UTXO-Typen nach einer Frist die Fähigkeit verlieren, ihre eigenen Coins auszugeben. Selbst SegWit in seiner umstrittensten Phase entfernte keine bestehenden Fähigkeiten — es fügte eine neue hinzu und änderte das wirtschaftliche Kalkül bei der Nutzung der alten.

Kritiker argumentieren, dass dies den Präzedenzfall schafft, dass Miner-Signalisierung UTXOs aus jedem ausreichend populären Grund einfrieren kann: OFAC-Konformität, Wiedererlangung gestohlener Gelder, gerichtlich angeordnete Beschlagnahmung, Durchsetzung von Sanktionen. Die Sorge vor einer „rutschigen Ebene“ ist keine Paranoia — es ist eine strukturelle Beobachtung, dass, sobald das Netzwerk demonstriert, dass es eine Kategorie von Coins einfrieren kann, die einzige verbleibende Frage ist, was die Aufnahme in diese Kategorie rechtfertigt.

Befürworter entgegnen, dass die Alternative schlimmer sei: Nichts zu tun bedeute zu akzeptieren, dass der Angebotsschock unvermeidlich ist, dass Satoshis Coins (und Millionen andere) gestohlen statt eingefroren werden und dass die Preisfindung des Netzwerks während dieses Ereignisses katastrophal genug sein wird, um Bitcoin in den Augen des institutionellen Kapitals, um das es ein Jahrzehnt lang geworben hat, zu delegitimieren. Ein Einfrieren ist in diesem Rahmen das geringere Übel.

Das realistische Ergebnis ist wahrscheinlich ein Fork. Eine bedeutende Minderheit wird sich weigern, Konsensregeln zu akzeptieren, die gültige Signaturen rückwirkend ungültig machen. Sie werden den Pre-Phase-B-Client weiterbetreiben. Die Chain wird sich spalten. Ob die Spaltung wie bei Bitcoin Cash aussieht (ein Small-Cap-Fork, der in der Bedeutungslosigkeit verschwindet) oder wie ein echtes Schisma (bei dem zwei etwa gleich starke Chains um den Namen Bitcoin konkurrieren), hängt davon ab, wie Börsen, Verwahrer und der institutionelle ETF-Komplex mit der Aktivierung umgehen.

Infrastruktur-Implikationen für den Rest des Stacks

Schon vor der Aktivierung ändert BIP-361 das operative Bild für jeden, der Bitcoin-Infrastruktur betreibt. Wallet-Anbieter müssen jetzt eine quantensichere Adressgenerierung in ihre Roadmaps aufnehmen, denn das Migrationsfenster ist nicht der Moment, um festzustellen, dass ihre Key-Derivation-Bibliothek keine P2MR-Outputs erzeugen kann. Börsen müssen entscheiden, wie sie Einzahlungen auf gefährdete Adresstypen während Phase A behandeln. Verwahrungsdienstleister, die Cold-Storage-Bestände verwalten, stehen vor einer besonders akuten Version des Problems: Jeder private Schlüssel, der jahrelang per Air-Gap isoliert war, muss online gebracht werden, um Migrationstransaktionen zu signieren, wodurch er einem operationellen Risiko ausgesetzt wird, das der Cold Storage eigentlich vermeiden sollte.

Für RPC-Anbieter und Node-Betreiber schafft die mehrphasige Aktivierung eine neue Kategorie von Grenzfällen. Während Phase A müssen Mempools Transaktionen ablehnen, die an Legacy-Typen senden — aber nur diese, während sie Transaktionen, die von ihnen ausgeben, weiterhin weiterleiten. Während Phase B müssen dieselben Nodes eine Konsenslogik implementieren, die valide Post-Quanten-Signaturen von invaliden Legacy-Signaturen unterscheidet, ohne Spielraum für Fehler. Jeder Infrastrukturanbieter, der während des Aktivierungszeitraums institutionelle Kunden bedient, muss vom ersten Tag an auf der richtigen Seite dieser Konsensgrenze stehen.

Das Lightning Network fügt eine weitere Ebene hinzu. Channel-State-Proofs hängen von Signaturen ab, deren Gültigkeit zum Zeitpunkt der Abrechnung durchsetzbar sein muss, potenziell Jahre nach der Eröffnung des Kanals. Ein heute eröffneter Kanal, der durch eine ECDSA-Signatur gesichert ist, muss auch im Jahr 2031 noch durchsetzbar sein — oder der Vorschlag benötigt eine explizite Bestandsschutz-Regelung (Grandfathering) für laufende Channel-Commitments. Der Entwurf von BIP-361 geht darauf bisher noch nicht im Detail ein.

Die Entscheidung, die Bitcoin nicht aufschieben kann

Was BIP-361 von jedem vorherigen umstrittenen Soft Fork unterscheidet, ist, dass der Zeitplan nicht von Bitcoins Entwicklern festgelegt wird. Er wird von den Quantencomputer-Laboren der Welt vorgegeben. Bitcoin kann die Entscheidung verzögern, aber die Entscheidung wird sich selbst nicht verzögern.

Die Community hat in etwa das gleiche Zeitfenster, das sich die Google-Forscher gegeben haben: etwa drei Jahre, um einen Weg zu wählen. Adam Backs Weg der optionalen Upgrades erfordert, dass die Inhaber aktiv migrieren, wobei akzeptiert wird, dass ein nicht unerheblicher Prozentsatz dies nicht tun wird – und dass ein Quanten-Angreifer schließlich das beanspruchen wird, was sie zurücklassen. Lopps Weg der erzwungenen Migration erfordert, dass das Netzwerk eine Entscheidung im Namen der Inhaber trifft, die nicht handeln können oder wollen, wobei akzeptiert wird, dass dies gegen ein Prinzip verstößt, das seit dem Genesis-Block Bestand hat.

Keiner der beiden Pfade bewahrt alles, was Bitcoin zu sein beansprucht. Der dritte Weg – so zu tun, als sei die Frist nicht real – bewahrt gar nichts davon.

Was BIP-361 tatsächlich beweist, ist, dass Bitcoins Standardeinstellung des „Nichtstuns“ abgelaufen ist. Das Protokoll hat eine Größe, ein Alter und eine strategische Bedeutung erreicht, bei der Untätigkeit selbst eine Entscheidung mit Konsequenzen ist. Ob das Netzwerk diese Tatsache verarbeiten kann, ohne zu zerbrechen, ist die Frage, die Bitcoin für das nächste halbe Jahrzehnt definieren wird.

Der umstrittenste Vorschlag seit SegWit könnte sich als der klärendste herausstellen.

BlockEden.xyz betreibt produktionsreife RPC-Infrastruktur für Bitcoin und über 25 weitere Chains und unterstützt Entwickler beim Aufbau von Wallets, Custody-Systemen und institutionellen Anwendungen. Da sich die Debatte über die Quanten-Migration von Bitcoin von den Foren zu den Konsensregeln verlagert, werden die Infrastrukturanbieter, die sowohl Legacy- als auch Post-Quanten-Adresstypen unterstützen – ohne Unterbrechung –, diejenigen sein, die am Tag der Aktivierung noch bestehen. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die für die lange Sicht konzipiert ist.

Quellen

Share on Twitter