Quantencomputer, die in der Lage sind, die Bitcoin-Blockchain zu knacken, existieren heute nicht. Entwickler erwägen jedoch bereits eine Welle von Upgrades, um Abwehrmechanismen gegen die potenzielle Bedrohung aufzubauen, und das zu Recht, da die Bedrohung nicht mehr hypothetisch ist.
Diese Woche veröffentlichte Google eine Forschungsarbeit, die darauf hindeutet, dass ein ausreichend leistungsstarker Quantencomputer die Kern-Kryptographie von Bitcoin in unter neun Minuten knacken könnte – eine Minute schneller als die durchschnittliche Bitcoin-Block-Abwicklungszeit. Einige Analysten glauben, dass eine solche Bedrohung bis 2029 Realität werden könnte.
Die Einsätze sind hoch: Etwa 6,5 Millionen Bitcoin-Token im Wert von Hunderten von Milliarden Dollar befinden sich in Adressen, die ein Quantencomputer direkt angreifen könnte. Einige dieser Coins gehören dem pseudonymen Schöpfer von Bitcoin, Satoshi Nakamoto. Darüber hinaus würde die potenzielle Kompromittierung die Kernprinzipien von Bitcoin beschädigen – „Vertraue dem Code" und „solides Geld".
Hier ist, wie die Bedrohung aussieht, zusammen mit Vorschlägen, die zur Minderung in Betracht gezogen werden.
Zwei Wege, wie eine Quantenmaschine Bitcoin angreifen könnte
Lassen Sie uns zunächst die Schwachstelle verstehen, bevor wir die Vorschläge diskutieren.
Die Sicherheit von Bitcoin basiert auf einer unidirektionalen mathematischen Beziehung. Wenn Sie eine Wallet erstellen, werden ein privater Schlüssel und eine geheime Nummer generiert, aus der ein öffentlicher Schlüssel abgeleitet wird.
Das Ausgeben von Bitcoin-Token erfordert den Nachweis des Eigentums an einem privaten Schlüssel, nicht durch dessen Offenlegung, sondern durch dessen Verwendung zur Generierung einer kryptographischen Signatur, die das Netzwerk verifizieren kann.
Dieses System ist narrensicher, weil moderne Computer Milliarden von Jahren benötigen würden, um die Elliptische-Kurven-Kryptographie – speziell den Elliptic Curve Digital Signature Algorithm (ECDSA) – zu knacken, um den privaten Schlüssel aus dem öffentlichen Schlüssel zurückzuentwickeln. Daher wird gesagt, dass die Blockchain rechnerisch unmöglich zu kompromittieren ist.
Aber ein zukünftiger Quantencomputer kann diese Einbahnstraße in eine Zweibahnstraße verwandeln, indem er Ihren privaten Schlüssel aus dem öffentlichen Schlüssel ableitet und Ihre Coins abzieht.
Der öffentliche Schlüssel wird auf zwei Arten offengelegt: Von Coins, die untätig On-Chain liegen (der Long-Exposure-Angriff) oder Coins in Bewegung oder Transaktionen, die im Memory-Pool warten (Short-Exposure-Angriff).
Pay-to-Public-Key (P2PK)-Adressen (von Satoshi und frühen Minern verwendet) und Taproot (P2TR), das aktuelle Adressformat, das 2021 aktiviert wurde, sind anfällig für den Long-Exposure-Angriff. Coins in diesen Adressen müssen sich nicht bewegen, um ihre öffentlichen Schlüssel offenzulegen; die Offenlegung ist bereits geschehen und ist für jeden auf der Erde lesbar, einschließlich eines zukünftigen Quantenangreifers. Etwa 1,7 Millionen BTC befinden sich in alten P2PK-Adressen – einschließlich Satoshis Coins.
Die kurze Exposition ist mit dem Mempool verbunden – dem Warteraum unbestätigter Transaktionen. Während Transaktionen dort auf die Aufnahme in einen Block warten, sind Ihr öffentlicher Schlüssel und Ihre Signatur für das gesamte Netzwerk sichtbar.
Ein Quantencomputer könnte auf diese Daten zugreifen, hätte aber nur ein kurzes Zeitfenster – bevor die Transaktion bestätigt und unter zusätzlichen Blöcken begraben wird – um den entsprechenden privaten Schlüssel abzuleiten und danach zu handeln.
Initiativen
BIP 360: Entfernung des öffentlichen Schlüssels
Wie bereits erwähnt, legt jede neue Bitcoin-Adresse, die heute mit Taproot erstellt wird, dauerhaft einen öffentlichen Schlüssel On-Chain offen und gibt einem zukünftigen Quantencomputer ein Ziel, das niemals verschwindet.
Der Bitcoin Improvement Proposal (BIP) 360 entfernt den dauerhaft On-Chain eingebetteten und für jeden sichtbaren öffentlichen Schlüssel, indem ein neuer Output-Typ namens Pay-to-Merkle-Root (P2MR) eingeführt wird.
Erinnern Sie sich daran, dass ein Quantencomputer den öffentlichen Schlüssel untersucht, die exakte Form des privaten Schlüssels zurückentwickelt und eine funktionierende Kopie fälscht. Wenn wir den öffentlichen Schlüssel entfernen, hat der Angriff nichts, womit er arbeiten kann. In der Zwischenzeit bleibt alles andere, einschließlich Lightning-Zahlungen, Multi-Signatur-Setups und andere Bitcoin-Funktionen, gleich.
Wenn dieser Vorschlag jedoch umgesetzt wird, schützt er nur neue Coins für die Zukunft. Die 1,7 Millionen BTC, die sich bereits in alten offengelegten Adressen befinden, sind ein separates Problem, das durch andere Vorschläge unten behandelt wird.
SPHINCS+ / SLH-DSA: Hash-basierte Post-Quanten-Signaturen
SPHINCS+ ist ein Post-Quanten-Signaturschema, das auf Hash-Funktionen aufbaut und die Quantenrisiken vermeidet, denen die von Bitcoin verwendete Elliptische-Kurven-Kryptographie ausgesetzt ist. Während Shors Algorithmus ECDSA bedroht, werden Hash-basierte Designs wie SPHINCS+ nicht als ähnlich anfällig angesehen.
Das Schema wurde vom National Institute of Standards and Technology (NIST) im August 2024 als FIPS 205 (SLH-DSA) nach jahrelanger öffentlicher Überprüfung standardisiert.
Der Kompromiss für Sicherheit ist die Größe. Während aktuelle Bitcoin-Signaturen 64 Bytes groß sind, sind SLH-DSA 8 Kilobyte (KB) oder mehr groß. Daher würde die Einführung von SLH-DSA die Nachfrage nach Blockraum stark erhöhen und die Transaktionsgebühren steigern.
Infolgedessen wurden bereits Vorschläge wie SHRIMPS (ein weiteres Hash-basiertes Post-Quanten-Signaturschema) und SHRINCS eingeführt, um die Signaturgrößen zu reduzieren, ohne die Post-Quanten-Sicherheit zu opfern. Beide bauen auf SPHINCS+ auf und zielen darauf ab, dessen Sicherheitsgarantien in einer praktischeren, platzeffizienteren Form beizubehalten, die für die Blockchain-Nutzung geeignet ist.
Tadge Dryjas Commit/Reveal-Schema: Eine Notbremse für den Mempool
Dieser Vorschlag, ein Soft Fork, der vom Lightning-Network-Mitbegründer Tadge Dryja vorgeschlagen wurde, zielt darauf ab, Transaktionen im Mempool vor einem zukünftigen Quantenangreifer zu schützen. Dies geschieht durch die Trennung der Transaktionsausführung in zwei Phasen: Commit und Reveal.
Stellen Sie sich vor, Sie informieren eine Gegenpartei, dass Sie ihr eine E-Mail senden werden, und senden dann tatsächlich eine E-Mail. Ersteres ist die Commit-Phase, Letzteres ist die Reveal-Phase.
Auf der Blockchain bedeutet dies, dass Sie zunächst einen versiegelten Fingerabdruck Ihrer Absicht veröffentlichen – nur einen Hash, der nichts über die Transaktion preisgibt. Die Blockchain versieht diesen Fingerabdruck dauerhaft mit einem Zeitstempel. Später, wenn Sie die tatsächliche Transaktion übertragen, wird Ihr öffentlicher Schlüssel sichtbar – und ja, ein Quantencomputer, der das Netzwerk beobachtet, könnte Ihren privaten Schlüssel daraus ableiten und eine konkurrierende Transaktion fälschen, um Ihr Geld zu stehlen.
Aber diese gefälschte Transaktion wird sofort abgelehnt. Das Netzwerk überprüft: Hat diese Ausgabe eine vorherige Verpflichtung, die On-Chain registriert ist? Ihre hat eine. Die des Angreifers nicht – sie wurde vor wenigen Augenblicken erstellt. Ihr vorab registrierter Fingerabdruck ist Ihr Alibi.
Das Problem sind jedoch die erhöhten Kosten, da die Transaktion in zwei Phasen aufgeteilt wird. Es wird daher als Übergangslösung beschrieben, die praktisch einsetzbar ist, während die Community an der Entwicklung von Quantenabwehrmechanismen arbeitet.
Hourglass V2: Verlangsamung der Ausgabe alter Coins
Vorgeschlagen vom Entwickler Hunter Beast, zielt Hourglass V2 auf die Quantenschwachstelle ab, die mit etwa 1,7 Millionen BTC verbunden ist, die in älteren, bereits offengelegten Adressen gehalten werden.
Der Vorschlag akzeptiert, dass diese Coins bei einem zukünftigen Quantenangriff gestohlen werden könnten, und versucht, die Blutung zu verlangsamen, indem Verkäufe auf ein Bitcoin pro Block begrenzt werden, um eine katastrophale Massen-Liquidation über Nacht zu vermeiden, die den Markt zum Absturz bringen könnte.
Die Analogie ist ein Bank-Run: Man kann Menschen nicht daran hindern, Geld abzuheben, aber man kann das Tempo der Abhebungen begrenzen, um zu verhindern, dass das System über Nacht zusammenbricht. Der Vorschlag ist kontrovers, da selbst diese begrenzte Einschränkung von einigen in der Bitcoin-Community als Verletzung des Prinzips angesehen wird, dass keine externe Partei jemals Ihr Recht, Ihre Coins auszugeben, beeinträchtigen kann.
Fazit
Diese Vorschläge sind noch nicht aktiviert, und die dezentrale Governance von Bitcoin, die Entwickler, Miner und Node-Betreiber umfasst, bedeutet, dass jedes Upgrade wahrscheinlich Zeit brauchen wird, um sich zu materialisieren.
Dennoch deutet der stetige Strom von Vorschlägen, die vor dem Google-Bericht dieser Woche entstanden sind, darauf hin, dass das Problem seit langem auf dem Radar der Entwickler ist, was dazu beitragen könnte, die Marktbedenken zu mildern.
Quelle: https://www.coindesk.com/tech/2026/04/04/bitcoin-s-usd1-3-trillion-security-race-key-initiatives-aimed-at-quantum-proofing-the-world-s-largest-blockchain
