Das Quantum-AI-Team von Google veröffentlichte am 30. März 2026 eine Studie, die darauf hinweist, dass das Brechen der elliptischen-Kurven-Kryptografie von Bitcoin und Ethereum möglicherweise weniger als 500.000 physische Qubits und ungefähr 1.200 bis 1.450 hochwertige logische Qubits erfordern könnte, deutlich weniger als frühere Schätzungen in den Millionen.
Die Studie warnt, dass Echtzeit-Quantenangriffe Bitcoin-Transaktionen in etwa neun Minuten kapern könnten, möglicherweise die Bestätigung etwa 41% der Zeit übertreffen, und stellt fest, dass das Taproot-Upgrade von Bitcoin, das öffentliche Schlüssel standardmäßig sichtbar macht, den Pool verwundbarer Wallets auf schätzungsweise 6,9 Millionen Bitcoin erweitert hat.
Quanten-Ressourcenschätzungen zeigen eine 20-fache Reduktion der benötigten Qubits
Google-Forscher stellten zwei Quanten-Schaltkreise zusammen, die den Shor-Algorithmus für das 256-Bit-elliptische-Kurven-Discrete-Logarithmus-Problem (ECDLP-256) umsetzen, das die kryptografische Grundlage für Bitcoin, Ethereum und viele andere Blockchain-Netzwerke bildet. Ein Schaltkreis verwendet weniger als 1.200 logische Qubits und 90 Millionen Toffoli-Gates, während ein zweiter weniger als 1.450 logische Qubits und 70 Millionen Toffoli-Gates verwendet.
Die Forscher schätzen, dass diese Schaltkreise auf einem kryptografisch relevanten Quantencomputer mit supraleitenden Qubits (CRQC) mit weniger als 500.000 physischen Qubits innerhalb weniger Minuten ausgeführt werden könnten, unter der Annahme von Hardware-Fähigkeiten, die mit einigen der wichtigsten Quantenprozessoren von Google übereinstimmen. Die Erkenntnis bedeutet eine etwa 20-fache Reduktion der Anzahl physischer Qubits, die zur Lösung von ECDLP-256 erforderlich sind, verglichen mit früheren Schätzungen, und setzt einen Trend zur schrittweisen Optimierung beim Kompilieren von Quantenalgorithmen zu fehlertoleranten Schaltkreisen fort.
Google hat zuvor 2029 als mögliches Meilenstein-Ziel für nützliche Quanten-Systeme genannt, und die aktualisierten Ressourcenschätzungen deuten darauf hin, dass die Lücke zwischen aktueller Technologie und einem tragfähigen Angriff kleiner sein könnte als zuvor angenommen. Das Unternehmen leitet seit 2016 Bemühungen zur Migration zu Post-Quanten-Kryptografie.
Echtzeit-Transaktionsangriffe könnten 41% der Zeit die Bestätigung übertreffen
Die Forschung skizziert zwei potenzielle Angriffsarten, die auf im Umlauf befindliche Bitcoin-Transaktionen abzielen. Wenn eine Bitcoin-Transaktion ausgesendet wird, wird der öffentliche Schlüssel des Absenders kurz offengelegt, bevor die Transaktion bestätigt wird. Ein ausreichend schneller Quantencomputer könnte den zugehörigen privaten Schlüssel aus diesem öffentlichen Schlüssel berechnen und die Gelder umleiten, bevor sich die ursprüngliche Transaktion abschließt.
Nach Googles Modell könnte ein Quanten-System einen Teil der Berechnung im Voraus vorbereiten und dann den Angriff in etwa neun Minuten abschließen, sobald eine Transaktion im Netzwerk erscheint. Bitcoin-Transaktionen benötigen typischerweise etwa 10 Minuten, um bestätigt zu werden, was einem Angreifer ungefähr eine 41%-Wahrscheinlichkeit gibt, die Gelder erfolgreich umzuleiten, bevor die ursprüngliche Übertragung finalisiert wird.
Ethereum ist möglicherweise weniger von diesem konkreten Risiko betroffen, weil seine schnelleren Blockzeiten weniger Zeit für einen Angriff lassen. Allerdings basieren beide Netzwerke auf derselben elliptischen-Kurven-Kryptografie-Grundlage und würden eine Migration zu Post-Quanten-Kryptografie erfordern, um auch in Zukunft gegen Quantenbedrohungen sicher zu bleiben.
Taproot-Upgrade macht mehr Wallets für potenzielle Quantenangriffe anfällig
Die Studie schätzt, dass ungefähr 6,9 Millionen Bitcoin, etwa ein Drittel der gesamten Gesamtversorgung, bereits in Wallets liegen, in denen der öffentliche Schlüssel auf irgendeine Weise offengelegt wurde. Dazu gehören ungefähr 1,7 Millionen Bitcoin aus den frühen Jahren des Netzwerks, Gelder, die von Adresswiederverwendung betroffen sind, sowie Bitcoin, das in Wallets gehalten wird, die das 2021 eingeführte Taproot-Adressformat verwenden.
Taproot, das 2021er-Upgrade von Bitcoin, das entwickelt wurde, um Privatsphäre und Effizienz zu verbessern, machte öffentliche Schlüssel standardmäßig auf der Blockchain sichtbar und entfernte damit eine Schutzschicht, die in älteren Adressformaten verwendet wurde. Googles Forscher geben an, dass diese Designentscheidung die Anzahl der Wallets erhöhen könnte, die für zukünftige Quantenangriffe verwundbar sind, da offengelegte öffentliche Schlüssel es Angreifern ersparen, die Hash-Funktion zu durchbrechen, die Legacy-Adressen schützt.
Die Ergebnisse stehen im Gegensatz zu jüngsten Schätzungen von CoinShares, die argumentierten, dass sich nur etwa 10.200 Bitcoin in einer Weise konzentrieren, die Märkte erheblich bewegen würde, wenn sie gestohlen würden. Googles Analyse legt nahe, dass der Pool der gefährdeten Bitcoin deutlich größer ist.
Google legt Schwachstellen mit Hilfe von Zero-Knowledge-Proofs offen, um Angriff-Roadmaps zu vermeiden
Google entwickelte eine neue Methode, um Quanten-Schwachstellenforschung offenzulegen, ohne eine Roadmap für böswillige Akteure bereitzustellen. Anstatt schrittweise Details zu veröffentlichen, wie man kryptografische Systeme bricht, nutzte das Team einen Zero-Knowledge-Proof, um zu zeigen, dass ihre Ergebnisse korrekt sind, ohne die zugrunde liegende Methode offenzulegen. Das ermöglicht Dritten, die Ergebnisse zu verifizieren, während das Risiko begrenzt wird, dass die Forschung missbraucht werden könnte.
Das Unternehmen arbeitete mit der US-Regierung bei der Entwicklung dieses Offenlegungsansatzes zusammen und forderte andere Forschungsteams auf, ähnliche Praktiken zu übernehmen. Google stellte fest, dass die Offenlegung von Sicherheitslücken in Blockchain-Technologien dadurch kompliziert wird, dass Kryptowährungen ihren Wert sowohl aus digitaler Sicherheit als auch aus öffentlichem Vertrauen ableiten, und unsachgemäße Ressourcenschätzungen selbst einen Angriff darstellen können – durch Angst, Unsicherheit und Zweifel.
Die Forschung wurde in Zusammenarbeit mit dem Stanford Institute for Blockchain Research, der Ethereum Foundation und Coinbase durchgeführt, im Rahmen breiterer Branchenbemühungen, auf Post-Quanten-Kryptografie umzusteigen.
Empfehlungen für die Migration zu Post-Quanten-Kryptografie
Googles Papier liefert Empfehlungen für die Krypto-Community, um die Sicherheit und Stabilität zu verbessern, bevor Quantenangriffe realistisch werden. Die wichtigste Empfehlung ist, Blockchains auf Post-Quanten-Kryptografie umzustellen, die widerstandsfähig gegen Quantenangriffe ist und einen gut verstandenen Weg zur Post-Quanten-Sicherheit von Blockchains darstellt.
Weitere Empfehlungen umfassen, es zu unterlassen, verwundbare Wallet-Adressen offenzulegen oder wiederzuverwenden, die Einführung von Adressformaten zu beschleunigen, die öffentliche Schlüssel erst dann verraten, wenn Gelder ausgegeben werden, und politische Optionen in Betracht zu ziehen, um verlassene Kryptowährungen zu adressieren, die möglicherweise anfällig werden.
Die Forscher stellten fest, dass es zwar tragfähige Post-Quanten-Lösungen gibt, diese aber Zeit brauchen werden, um sie über dezentrale Netzwerke hinweg umzusetzen, was die Dringlichkeit erhöht, zu handeln. Googles Zeitplan von 2029 für nützliche Quanten-Systeme steht für ein Ziel der Migration, nicht für eine unmittelbare Bedrohung; die aktualisierten Ressourcenschätzungen deuten jedoch darauf hin, dass der Planungszeitraum möglicherweise kürzer sein könnte als zuvor verstanden.
FAQ
Wie viele Qubits wären nötig, um die Kryptografie von Bitcoin zu brechen?
Googles Forscher schätzen, dass das Brechen der elliptischen-Kurven-Kryptografie, die von Bitcoin und Ethereum verwendet wird, weniger als 500.000 physische Qubits und ungefähr 1.200 bis 1.450 hochwertige logische Qubits erfordern würde. Dies stellt eine 20-fache Reduktion gegenüber früheren Schätzungen dar, die in den Millionenbereich reichten.
Wie wirkt sich das Taproot-Upgrade von Bitcoin auf die Quantenverwundbarkeit aus?
Taproot, das 2021er-Upgrade von Bitcoin, macht öffentliche Schlüssel standardmäßig auf der Blockchain sichtbar und entfernt damit eine Schutzschicht, die in älteren Adressformaten verwendet wurde. Google schätzt, dass dies den Pool verwundbarer Wallets auf ungefähr 6,9 Millionen Bitcoin erweitert hat, einschließlich etwa 1,7 Millionen Bitcoin aus den frühen Jahren des Netzwerks.
Wie würde ein Echtzeit-Quantenangriff auf Bitcoin funktionieren?
Ein Angreifer könnte Transaktionen ins Visier nehmen, die sich noch in der Übertragung befinden, und dabei den öffentlichen Schlüssel verwenden, der während der Aussendung offengelegt wird, um den entsprechenden privaten Schlüssel mit einem ausreichend schnellen Quantencomputer zu berechnen. Nach Googles Modell könnte ein Angriff in etwa neun Minuten abgeschlossen werden und möglicherweise das 10-minütige Bestätigungsfenster etwa 41% der Zeit übertreffen.
