Ein Schlüssel alle neun Minuten geknackt. Die 1.000 größten Ethereum-Wallets in weniger als neun Tagen geleert. Ein 20-facher Einbruch der benötigten Qubit-Zahl, um die Kryptografie zu brechen, die mehr als 100 Milliarden $ an On-Chain-Wert sichert. Dies sind keine Prognosen aus einem Weltuntergangs-Twitter-Thread – sie stammen aus einem 57-seitigen Whitepaper, das Google Quantum AI am 30. März 2026 veröffentlicht hat, mitverfasst vom Ethereum Foundation Forscher Justin Drake und dem Stanford-Kryptografen Dan Boneh.
Ein Jahrzehnt lang befand sich das „Quantenrisiko“ in der gleichen intellektuellen Nachbarschaft wie Asteroideneinschläge – real, katastrophal, aber weit genug entfernt, dass niemand handeln musste. Das Google-Paper hat die Bedrohung neu verortet. Es skizzierte fünf konkrete Angriffspfade gegen Ethereum, benannte die Wallets, benannte die Verträge und gab Ingenieuren eine Zahl – weniger als 500.000 physische Qubits –, die direkt in die veröffentlichten Roadmaps von IBM, Google und einem halben Dutzend gut finanzierter Startups passt. Der Q-Day hat mit anderen Worten gerade eine Kalendereinladung erhalten.
Ein 57-seitiges Paper, das das Bedrohungsmodell verändert
Das Paper mit dem Titel „Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities“ ist das erste Mal, dass ein großes Quantenhardware-Labor die unglamouröse Ingenieursarbeit geleistet hat, Shors Algorithmus von einem theoretischen Angriff aus dem Jahr 1994 in einen schrittweisen Bauplan gegen das Problem des diskreten Logarithmus in elliptischen Kurven (ECDLP) zu übersetzen, das Bitcoin, Ethereum und praktisch jede Chain sichert, die Transaktionen mit secp256k1 oder secp256r1 signiert.
Drei Dinge lassen das Paper schwerer wiegen als bisherige Schätzungen.
Erstens die Qubit-Zahl. Frühere akademische Arbeiten bezifferten den Ressourcenbedarf für das Knacken von 256-Bit-ECDLP auf mehrere Millionen physische Qubits. Die Google-Autoren senken diesen Wert auf weniger als 500.000 – eine 20-fache Reduktion, getrieben durch verbesserte Schaltkreissynthese, besseren Fehlerkorrektur-Overhead und ein strafferes Routing von Magic States. IBM hat sich öffentlich zu einer 100.000-Qubit-Maschine bis 2029 verpflichtet. Google hat kein vergleichbares Ziel veröffentlicht, aber seine interne Roadmap wird weithin als ähnlich steil verstanden. Eine halbe Million Qubits ist keine Zahl mehr, bei der man vage in Richtung der 2050er Jahre verweisen kann.
Zweitens die Laufzeit. Das Paper schätzt, dass, sobald eine ausreichende Maschine existiert, die Wiederherstellung eines einzelnen privaten Schlüssels aus einem öffentlichen Schlüssel etwa neun Minuten Quantenlaufzeit beansprucht – nicht Tage, nicht Stunden. Diese Zahl ist enorm wichtig, da sie bestimmt, wie viele hochwertige Ziele ein Angreifer im Zeitfenster zwischen Entdeckung und Reaktion leeren kann.
Drittens, und am folgenreichsten für Ethereum speziell, bleiben die Autoren nicht bei „ECDSA ist geknackt“ stehen. Sie gehen den Protokollstack durch und identifizieren fünf verschiedene Angriffsflächen, jeweils mit benannten Opfern.
Die fünf Angriffspfade gegen Ethereum
Das Paper gliedert Ethereums Quantenrisiko in fünf Vektoren und vermeidet dabei bewusst die pauschale Formulierung „alle Kryptowährungen sterben am selben Tag“.
1. Kompromittierung von Externally Owned Accounts (EOA). Sobald eine Ethereum-Adresse auch nur eine einzige Transaktion signiert hat, ist ihr öffentlicher Schlüssel permanent und on-chain sichtbar. Ein Quantenangreifer leitet den privaten Schlüssel in etwa neun Minuten ab und leert dann das Wallet. Die Analyse von Google identifiziert die 1.000 größten Wallets nach ETH-Guthaben – die zusammen etwa 20,5 Millionen ETH halten – als die ökonomisch rationalsten Ziele. Bei neun Minuten pro Schlüssel räumt ein Angreifer die gesamte Liste in weniger als neun Tagen ab.
2. Übernahme von admin-gesteuerten Smart Contracts. Ethereums Stablecoin-Ökonomie und die meisten produktiven DeFi-Protokolle verlassen sich auf Multisigs, Upgrade-Keys und Minter-Rollen, die von EOAs kontrolliert werden. Das Paper zählt über 70 admin-gesteuerte Verträge auf, einschließlich der Upgrade- oder Minter-Keys hinter großen Stablecoins. Die Kompromittierung dieser Schlüssel stiehlt nicht nur ein Guthaben – sie ermöglicht es dem Angreifer, Stablecoins zu prägen, einzufrieren oder die Vertragslogik umzuschreiben. Google schätzt, dass etwa 200 Milliarden $ an Stablecoins und tokenisierten Vermögenswerten von diesen anfälligen Schlüsseln abhängen.
3. Kompromittierung von Proof-of-Stake-Validierungsschlüsseln. Ethereums Konsensschicht verwendet BLS-Signaturen, die ebenfalls auf Annahmen elliptischer Kurven basieren und gleichermaßen durch Shors Algorithmus gebrochen werden können. Ein Angreifer, der genügend private Schlüssel von Validatoren wiederherstellt, kann im Prinzip Equivocation betreiben, widersprüchliche Blöcke finalisieren oder die Finalität aufhalten. Das Risiko besteht hier nicht in gestohlenem ETH – es ist die Integrität der Chain selbst.
4. Kompromittierung des Layer-2-Settlements. Das Paper weitet die Analyse auf große Rollups aus. Optimistische Rollups hängen von EOA-signierten Proposer- und Challenger-Keys ab; ZK-Rollups hängen von Operator-Keys für die Sequenzierung und Beweiserstellung ab. Die Kompromittierung dieser Schlüssel bricht nicht die zugrunde liegenden Gültigkeitsbeweise, aber sie ermöglicht es einem Angreifer, Sequenzer-Gebühren zu stehlen, Auszahlungen zu zensieren oder – im schlimmsten Fall – die Bridge leerzuräumen, die die kanonischen L2-Einlagen hält.
5. Permanente Fälschung der historischen Datenverfügbarkeit. Dies ist der Pfad, den Kryptografen am beunruhigendsten finden. Das ursprüngliche Ethereum-Trusted-Setup (und die KZG-Zeremonie für EIP-4844-Blobs) beruht auf Annahmen, die eine ausreichend leistungsstarke Quantenmaschine brechen kann, indem sie Setup-Geheimnisse aus öffentlichen Artefakten rekonstruiert. Das Ergebnis ist kein Diebstahl – es ist die permanente Fähigkeit, historische Zustandsbeweise zu fälschen, die für immer gültig aussehen. Es gibt keine Rotation, die bereits veröffentlichte Daten repariert.
Die fünf Pfade bringen zusammen mehr als 100 Milliarden $ in unmittelbare Gefahr und eine Größenordnung mehr in strukturelle Gefahr, falls das Vertrauen in die Integrität der Chain zusammenbricht.
Ethereum ist anfälliger als Bitcoin
Ein subtiler, aber wichtiger Schluss des Papers: Ethereums Quanten-Anfälligkeit sitzt tiefer als die von Bitcoin, obwohl beide Chains die gleiche secp256k1-Kurve verwenden.
Der Grund dafür ist Account Abstraction in umgekehrter Form. Bitcoins UTXO-Modell, insbesondere nach Taproot, unterstützt Adressen, die aus einem Hash des Public Keys abgeleitet werden – was bedeutet, dass der Public Key erst zum Zeitpunkt der Ausgabe offengelegt wird. Ein Nutzer, der eine Adresse niemals wiederverwendet, hat ein einmaliges Expositionsfenster, das in den Sekunden zwischen Broadcast und Bestätigung gemessen wird. Gelder, die auf nicht ausgegebenen, unberührten Adressen liegen, sind konstruktionsbedingt quantensicher.
Ethereum besitzt keine solche Eigenschaft. In dem Moment, in dem ein EOA seine erste Transaktion signiert, ist sein Public Key für immer on-chain. Es gibt kein „Fresh Address“-Muster, das ihn verbirgt. Eine Wallet, die auch nur einmal eine Transaktion durchgeführt hat, ist ein statisches Ziel, dessen Verwundbarkeit mit der Zeit nicht abnimmt. Die 20,5 Millionen ETH in den Top-1.000-Wallets sind nicht nur theoretisch exponiert – sie sind dauerhaft auf einem öffentlichen Ledger „gefingerprintet“ und warten auf eine ausreichend leistungsstarke Maschine.
Schlimmer noch: Ethereum kann Schlüssel nicht rotieren, ohne den Account aufzugeben. Das Senden von Geldern an eine neue Adresse erstellt einen neuen Account mit einem neuen Public Key, aber alles, was noch mit der alten Adresse verknüpft ist – ENS-Namen, Vertragsvorberechtigungen, Vesting-Positionen, Governance-Allowlists – zieht nicht mit den Geldern um. Die Migrationskosten sind nicht nur die Gas-Gebühren für das Verschieben von Token; es sind die Kosten für das Auflösen jeder Beziehung, die die alte Adresse angesammelt hat.
Die 2029-Deadline und Ethereums Multi-Fork-Roadmap
Parallel zum Google-Paper hat die Ethereum Foundation im März 2026 pq.ethereum.org als zentralen Hub für Post-Quanten-Forschung, die Roadmap, Open-Source-Client-Repos und wöchentliche Devnet-Ergebnisse gestartet. Mehr als 10 Client-Teams betreiben mittlerweile Interoperabilitäts-Devnets, die sich auf Post-Quanten-Primitive konzentrieren, und die Community hat sich auf das Ziel geeinigt, die Upgrades auf der L1-Protokollebene bis 2029 abzuschließen – im selben Jahr, das Google für die Migration seiner eigenen Authentifizierungsdienste weg von ECDSA festgelegt hat.
Die Roadmap ist über vier kommende Hard Forks gestaffelt, anstatt eines einzigen „Big Bang“-Forks. Grob unterteilt:
- Fork 1 – Post-Quantum Key Registry. Ein natives Register, das es Accounts ermöglicht, einen Post-Quanten-Public-Key neben ihrem ECDSA-Key zu veröffentlichen, was ein Opt-in-PQ-Co-Signing ermöglicht, ohne bestehende Tools zu beeinträchtigen.
- Fork 2 – Account Abstraction Hooks. Basierend auf der „Frame Transaction“-Abstraktion von EIP-8141 können Accounts eine Validierungslogik festlegen, die nicht mehr von ECDSA ausgeht. Dies bietet einen nativen Ausweg hin zu gitterbasierten Verfahren wie ML-DSA (Dilithium) oder hash-basiertem SLH-DSA (SPHINCS+).
- Fork 3 – PQ-Konsens. Validator-BLS-Signaturen werden durch ein Post-Quanten-Aggregationsschema ersetzt – der größte technische Aufwand in der gesamten Roadmap aufgrund der Auswirkungen der Signaturgröße auf die Block-Propagierung.
- Fork 4 – PQ-Datenverfügbarkeit. Ein neues Trusted Setup oder transparentes Setup für Blob-Commitments, das nicht auf ECC-Annahmen beruht und somit den Vektor für historische Fälschungen schließt.
Vitalik Buterin signalisierte die Dringlichkeit Ende Februar 2026, als er schrieb, dass „Validator-Signaturen, Datenspeicherung, Accounts und Proofs alle aktualisiert werden müssen“ – wobei er alle vier Forks in einem einzigen Satz nannte und implizit einräumte, dass schrittweise Upgrades nicht ausreichen werden.
Die Herausforderung liegt nicht in der Kryptographie. NIST hat ML-KEM, ML-DSA und SLH-DSA bereits standardisiert. Die Herausforderung besteht darin, diese Primitive durch ein aktives Netzwerk mit einem Wert von über 300 Mrd. $ zu rollen, ohne Tausende von DApps zu zerstören, die ECDSA-Annahmen fest im Code verankert haben, und ohne Milliarden von Dollar an ruhendem ETH in Wallets stranden zu lassen, deren Besitzer niemals migrieren.
Das „Eingefroren-oder-Gestohlen“-Dilemma
Sowohl Ethereum als auch Bitcoin stehen vor einer Governance-Frage, die keine rein technische Roadmap lösen kann: Was passiert mit den Coins auf gefährdeten Adressen, deren Besitzer niemals migrieren?
Die FAQ der Ethereum Foundation formuliert die Wahl in klaren Worten: Nichts tun oder einfrieren. Nichts tun bedeutet, dass an einem „Q-Day“ ein Angreifer jede ruhende Adresse mit bekanntem Public Key leert – einschließlich der Wallets aus der Genesis-Ära, der Legacy-ICO-Käufer, der Besitzer verlorener Keys und eines bedeutenden Teils von Vitaliks eigenen historischen Beiträgen zur Finanzierung öffentlicher Güter. Einfrieren bedeutet eine Social-Consensus-Maßnahme, um Auszahlungen von jeder Adresse für ungültig zu erklären, die nicht bis zu einer Deadline migriert ist.
Bitcoins BIP 361, „Post Quantum Migration and Legacy Signature Sunset“, legt dasselbe Trilemma in einem Drei-Phasen-Framework dar. Co-Autor Ethan Heilman hat öffentlich geschätzt, dass eine vollständige Bitcoin-Migration zu einem quantenresistenten Signaturschema sieben Jahre ab dem Tag dauern würde, an dem ein grober Konsens erzielt wird – was bedeutet, dass BIP 361 substanziell im Jahr 2026 gemerged werden muss, um den Horizont von 2033 zu erreichen, und wahrscheinlich viel früher, um 2029 zu schaffen.
Keine der beiden Chains hat ein Präzedenzfall für eine massenhafte Entwertung von Coins. Ethereum hat zwar 2016 den DAO-Hack rückgängig gemacht, aber das war eine Umkehrung eines Einzelereignisses und kein vorsätzliches Einfrieren von Millionen unabhängiger Wallets basierend auf ihrer kryptographischen Beschaffenheit. Die Entscheidung wird unweigerlich als Referendum darüber verstanden werden, ob die Unveränderlichkeit (Immutability) oder die Solvenz die tiefere Verpflichtung der Chain ist.
Was dies jetzt für Entwickler bedeutet
Die Frist bis 2029 mag sich angenehm fern anfühlen, aber die Entscheidungen, die darüber entscheiden, ob ein Projekt bereit ist oder ins Straucheln gerät, werden in den Jahren 2026 und 2027 getroffen. Einige praktische Auswirkungen werden sofort deutlich.
Smart-Contract-Architekten sollten auf ECDSA-Annahmen prüfen. Jeder Vertrag, der ecrecover fest im Code verankert, eine unveränderliche Signierer-Adresse einbettet oder von EOA-signierten Proposer-Keys abhängt, benötigt einen Upgrade-Pfad. Verträge, die heute ohne Admin-Keys bereitgestellt werden, wirken elegant; in einer Post-Quanten-Welt könnten sie unwiederbringlich verloren sein.
Verwahrer müssen jetzt mit einer Key-Rotations-Hygiene beginnen. Ein Custody-Provider mit Milliarden unter Verwaltung kann nicht jedes Wallet an einem einzigen Q-Day-Wochenende rotieren. Rotation, Trennung nach Expositionsstufen und vorpositionierte PQ-bereite Cold-Storage-Lösungen sind Probleme des Jahres 2026, nicht des Jahres 2028.
Bridge-Betreiber stehen vor der höchsten Dringlichkeit. Bridges konzentrieren Werte hinter einer kleinen Anzahl von Multisig-Schlüsseln. Der erste ökonomisch rationale Quanten-Angriff wird kein zufällig gewähltes Wallet zum Ziel haben – er wird den wertvollsten einzelnen Schlüssel im Ökosystem treffen. Bridges sollten die ersten sein, die eine hybride PQ + ECDSA-Signierung implementieren.
Anwendungsteams sollten die Vier-Fork-Roadmap verfolgen. Jeder Ethereum Hard Fork in der PQ-Sequenz wird neue Transaktionstypen und Validierungssemantiken einführen. Wallets, Indexer, Block-Explorer und Node-Betreiber, die das Upgrade-Fenster verpassen, werden kontrolliert an Funktionalität verlieren, wenn sie vorausgeplant haben, und katastrophal scheitern, wenn sie es nicht getan haben.
BlockEden.xyz betreibt produktionsreife RPC- und Indexierungs-Infrastruktur für Ethereum, Sui, Aptos und ein Dutzend weiterer Chains und verfolgt die Post-Quanten-Migrations-Roadmap jedes Netzwerks, damit Anwendungsentwickler das nicht tun müssen. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die darauf ausgelegt ist, das nächste Jahrzehnt kryptografischer Übergänge zu überstehen, nicht nur das aktuelle.
Die stille Revolution in der Bedrohungsmodellierung
Der tiefste Beitrag des Google-Papers könnte eher soziologischer als technischer Natur sein. Zehn Jahre lang war „quantenresistent“ ein Marketingversprechen, das meist an Projekten haftete, die niemand nutzte. Die seriösen Chains behandelten die PQ-Migration als ein Problem für die nächste Generation von Forschern. Die 57 Seiten von Google, Justin Drake und Dan Boneh haben diese Haltung mit einer einzigen Veröffentlichung geändert.
Drei Quantenkryptografie-Arbeiten sind innerhalb von drei Monaten erschienen. Es hat sich ein Konsens gebildet, dass sich die Ressourcenlücke zwischen aktueller Quantenhardware und einer kryptografisch relevanten Maschine schneller schließt als die Lücke zwischen aktuellen Chain-Protokollen und der Post-Quanten-Bereitschaft. Der Schnittpunkt dieser beiden Kurven – irgendwo zwischen 2029 und 2032, je nachdem, welche Schätzung sich als richtig erweist – ist die wichtigste Frist, der sich die Krypto-Infrastruktur je gegenübergesehen hat.
Die Chains, die 2026 als ein Jahr für ernsthafte Ingenieursarbeit und nicht für vage Beruhigungen betrachten, werden auf der anderen Seite noch Bestand haben. Diejenigen, die auf die erste Schlagzeile über ein gestohlenes Vitalik-Wallet warten, werden keine Zeit mehr haben zu reagieren.
Quellen
