Ein Google Quantum AI whitepaper published vom 30. März 2026 identifiziert rund 6,9 Millionen Bitcoin (BTC) – etwa ein Drittel des gesamten Angebots –, die in Adressen liegen, die für Quanten-„At-Rest“-Angriffe verwundbar sind, darunter schätzungsweise 1,1 Millionen Coins, die mit dem pseudonymen Netzwerkgründer Satoshi Nakamoto in Verbindung stehen.
TL;DR
- Google Quantum AI stellte fest, dass das Brechen der 256-Bit-Elliptische-Kurven-Kryptographie von Bitcoin weniger als 500.000 physikalische Qubits erfordern könnte – eine 20-fache Reduktion gegenüber früheren Schätzungen.
- Rund 6,9 Millionen BTC liegen in Adresstypen, bei denen die öffentlichen Schlüssel dauerhaft offengelegt sind und dadurch zu Zielen zukünftiger Quanten-At-Rest-Angriffe werden.
- P2PK-Adressen aus der Satoshi-Ära können von niemandem aufgerüstet werden, was heikle Governance-Fragen aufwirft, ob ruhende Coins eingefroren oder verwundbar bleiben sollen.
Was Googles Whitepaper tatsächlich sagt
Das Papier trägt einen langen Titel: „Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations.“ Es runs über 57 Seiten und stellt die bislang detaillierteste quantenkryptographische Bedrohungsanalyse dar, die je von einem großen Technologieunternehmen erstellt wurde.
Sechs Google-Quantum-AI-Forscher – Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar und Hartmut Neven – verfassten das Papier gemeinsam. Externe Mitwirkende waren unter anderem Thiago Bergamaschi von der UC Berkeley, Justin Drake von der Ethereum Foundation und Dan Boneh von Stanford.
Der zentrale technische Beitrag ist ein Paar optimierter Quanten-Schaltkreise, die Shors Algorithmus für das Elliptic Curve Discrete Logarithm Problem auf 256-Bit-Kurven implement.
Das ist genau das kryptographische Primitive, das Bitcoin absichert.
Ein Schaltkreis verwendet weniger als 1.200 logische Qubits und 90 Millionen Toffoli-Gatter. Der andere benötigt weniger als 1.450 logische Qubits und 70 Millionen Toffoli-Gatter.
Google schätzt, dass diese Schaltkreise auf einem supraleitenden Quantencomputer mit weniger als 500.000 physikalischen Qubits innerhalb weniger Minuten ausgeführt werden könnten. Frühere Schätzungen gingen von drastisch mehr Hardware aus. Ein häufig zitiertes Papier von 2022 der University of Sussex projected 317 Millionen physikalische Qubits für einen einstündigen Angriff und 1,9 Milliarden für ein zehnminütiges Zeitfenster. Googles Ergebnis reduziert diese Anforderung um etwa das 20-Fache.
In einem ungewöhnlichen Schritt für ein Ressourcen-Schätzungspapier hielt Google die tatsächlichen Schaltkreisimplementierungen zurück. Stattdessen veröffentlichte das Unternehmen einen Zero-Knowledge-Beweis unter Verwendung von SP1 und Groth16-SNARK. Unabhängige Forscher können die Behauptungen verifizieren, ohne selbst Zugriff auf die Angriffsdetails zu erhalten.
Dies builds auf früheren Quantenmeilensteinen bei Google auf.
Der Willow-Chip, im Dezember 2024 angekündigt und in Nature veröffentlicht, demonstrierte 105 supraleitende Qubits mit der ersten „unterhalb der Schwelle“ liegenden Quantenfehlerkorrektur auf einem supraleitenden Prozessor. Die Fehlerraten halbierten sich mit jedem Schritt von 3x3 über 5x5 bis 7x7 Qubit-Gitter. Willow absolvierte einen Benchmark in weniger als fünf Minuten, für den der Supercomputer Frontier schätzungsweise 10 Septillionen Jahre benötigen würde.
Dennoch stellte Google klar, dass Willow heute keine kryptographische Bedrohung darstellt.
Charina Chou, Geschäftsführerin und COO von Google Quantum AI, sagte The Verge im Dezember 2024, dass der Chip moderne Kryptographie nicht brechen könne und dass etwa 4 Millionen physikalische Qubits nötig wären, um RSA zu knacken.
Auch lesenswert: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
Warum Satoshis Coins am stärksten exponiert sind
Die Verwundbarkeit im Zentrum von Googles Analyse geht auf eine Designentscheidung aus den ersten Tagen von Bitcoin zurück. Als Satoshi Nakamoto das Netzwerk am 3. Januar 2009 startete, schickte die Mining-Software Blockbelohnungen an P2PK-(Pay-to-Public-Key-)Outputs. In diesem Format ist der vollständige öffentliche Schlüssel ab dem Moment, in dem Coins eintreffen, dauerhaft auf der Blockchain sichtbar.
Das Locking Script besteht einfach aus dem öffentlichen Schlüssel gefolgt von einem OP_CHECKSIG-Befehl. Das bedeutet, dass der 65 Byte große unkomprimierte oder 33 Byte große komprimierte öffentliche Schlüssel für jeden, der die Chain liest, offengelegt ist.
Es gibt keine Hash-Schicht, die ihn schützt.
Satoshi implemented außerdem P2PKH (Pay-to-Public-Key-Hash), das nur einen Hash des öffentlichen Schlüssels speichert. P2PKH-Adressen – die vertrauten, die mit „1“ beginnen – tauchten innerhalb von zwei Wochen nach dem Genesis-Block auf der Blockchain auf.
Das Design war bewusst gewählt. Satoshi erkannte, dass Elliptic-Curve-Kryptographie durch eine modifizierte Version von Shors Algorithmus auf einem zukünftigen Quantencomputer gebrochen werden könnte.
Trotz dieses Bewusstseins setzte die Mining-Software in den Jahren 2009 und 2010 weiterhin standardmäßig P2PK für Coinbase-Belohnungen ein. Sergio Demian Lerners bahnbrechende Patoshi-Pattern-Forschung, erstmals 2013 vorgestellt, identified, dass eine einzelne Entität zwischen Januar 2009 und Mitte 2010 etwa 22.000 Blöcke gemint hat. Diese Entität akkumulierte rund 1,0 bis 1,1 Millionen BTC.
Das Mining-Verhalten unterschied sich vom öffentlich veröffentlichten Client. Es nutzte Multithreading für das Nonce-Scanning und schien die Hashrate absichtlich zu drosseln, um die Netzstabilität zu schützen.
Aus diesem Bestand wurden nur etwa 907 BTC jemals ausgegeben. Die berühmteste Transaktion schickte 10 BTC an Hal Finney in der ersten Bitcoin-Überweisung von Person zu Person am 12. Januar 2009.
Da diese Coins nie bewegt wurden, bleiben ihre öffentlichen Schlüssel dauerhaft offengelegt. Ein Quantencomputer, der Shors Algorithmus ausführt, könnte die entsprechenden privaten Schlüssel ohne Zeitdruck ableiten. Das ist der zentrale „At-Rest“-Angriffsvektor.
Auch lesenswert: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
Drei Angriffsvektoren und die Exposition von 6,9 Millionen BTC
Googles Whitepaper formalizes eine Taxonomie quantenbasierter Angriffe auf Kryptowährungen, die das Ausmaß verschiedener Bedrohungsvektoren verdeutlicht.
At-Rest-Angriffe zielen auf öffentliche Schlüssel, die dauerhaft auf der Blockchain offengelegt sind. Der Angreifer hat unbegrenzt Zeit – Tage, Monate oder Jahre –, um den privaten Schlüssel abzuleiten. Diese Kategorie umfasst drei Hauptadresstypen:
- P2PK-Adressen, bei denen der öffentliche Schlüssel von dem Moment an, in dem Coins eintreffen, im Locking Script sichtbar ist
- Wiederverwendete P2PKH-Adressen, bei denen der öffentliche Schlüssel nach der ersten ausgehenden Transaktion offengelegt wurde
- P2TR-/Taproot-Adressen, die per Design einen modifizierten öffentlichen Schlüssel direkt on-chain speichern
Google identifies Taproot aus Quantensicht als Rückschritt in der Sicherheit. Selbst langsamere Quantenarchitekturen wie Neutralatom- oder Ionenfallen-Systeme könnten At-Rest-Angriffe ausführen, da es keine Zeitbeschränkung gibt. Die On-Chain-Analyse findet rund 1,7 Millionen BTC in P2PK-Skripten und insgesamt etwa 6,9 Millionen BTC in allen verwundbaren Adresstypen, wenn Wiederverwendung und Taproot-Exposition einbezogen werden.
On-Spend-Angriffe, früher „In-Transit“-Angriffe genannt, zielen auf Transaktionen im Mempool ab.
Wenn ein Nutzer eine Transaktion sendet, wird der öffentliche Schlüssel im Input revealed. Ein Angreifer muss den privaten Schlüssel ableiten, bevor die Transaktion bestätigt wird – bei Bitcoin etwa 10 Minuten.
Googles Paper deutet darauf hin, dass ein supraleitender Quantencomputer mit schneller Taktung das ECDLP in etwa neun Minuten lösen könnte, was eine Erfolgswahrscheinlichkeit von rund 41 % ergibt, die Bestätigung zu schlagen.
On-Setup-Angriffe richten sich gegen feste Protokollparameter wie Trusted-Setup-Zeremonien. Bitcoin ist gegen diesen Vektor immun. Ethereum (ETH) Data Availability Sampling und Protokolle wie Tornado Cash könnten jedoch verwundbar sein.
Der entscheidende Punkt ist, dass Proof-of-Work-Mining nicht bedroht ist. Grovers Algorithmus bietet nur eine quadratische Beschleunigung gegen SHA-256 und reduziert die effektive Sicherheit von 256 Bit auf 128 Bit – immer noch weit jenseits der Machbarkeit. Ein Papier von Dallaire-Demers et al. vom März 2026 demonstrated, dass Quanten-Mining ungefähr 10²³ Qubits und 10²⁵ Watt Leistung erfordern würde – nahezu energieaufwändig im Maßstab einer ganzen Zivilisation.
Auch lesenswert: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Wie weit ist der Q-Day für Bitcoin entfernt?
Die Lücke zwischen heutiger Quantenhardware und kryptographischer Relevanz bleibt groß, schrumpft jedoch schneller als erwartet.
Zu den führenden Prozessoren heute include Googles Willow mit 105 supraleitenden Qubits, IBMs Nighthawk mit 120 Qubits und verbesserter Fehlertoleranz, Quantinuums Helios mit 98 Ionenfallen-Qubits und der rekordbrechende Neutralatom-Array von Caltech mit 6.100 Qubits.
Das größte Allzwecksystem bleibt IBMs Condor mit 1.121 Qubits. Gegenüber Googles neuem Ziel von weniger als 500.000 physikalischen Qubits reicht die Lücke, je nach Architektur, von grob dem 80- bis zum 5.000-Fachen.
Mehrere Entwicklungen in den Jahren 2025 und 2026 haben sich die Zeitpläne beschleunigt:
- Microsoft unveiled Majorana 1 im Februar 2025 – der erste Prozessor, der topologische Qubits verwendet und dafür ausgelegt ist, auf 1 Million Qubits auf einem handtellergroßen Chip zu skalieren, auch wenn unabhängige Replikationsstudien in Frage gestellt haben, ob die topologischen Effekte zweifelsfrei nachgewiesen sind
- Der Ocelot-Chip von Amazon, ebenfalls aus dem Februar 2025, uses „Katzen-Qubits“, die den Overhead der Fehlerkorrektur um bis zu 90 % reduzieren
- Ein Begleitpapier, das zusammen mit Googles Whitepaper veröffentlicht wurde, behauptete, dass Neutralatom-Architekturen unter optimistischen Annahmen ECC-256 mit nur 10.000 physischen Qubits brechen könnten
Die Zeitschätzungen von Expertinnen und Experten decken ein breites Spektrum ab. Google hat sich intern eine Frist bis 2029 gesetzt, um seine eigenen Systeme auf Post-Quantum-Kryptografie umzustellen.
Der Ethereum-Forscher Justin Drake estimates mindestens eine 10%ige Wahrscheinlichkeit, dass bis 2032 ein Quantencomputer einen secp256k1-ECDSA-Privatschlüssel wiederherstellen kann. Die Roadmap von IonQ zielt bis 2030 auf 80.000 logische Qubits ab.
Am skeptischen Ende lehnt Blockstream-CEO Adam Back Zeitpläne für 2028 als nicht glaubwürdig ab. NVIDIA-CEO Jensen Huang verortet nützliche Quantencomputer in 15 bis 30 Jahren. NIST empfiehlt, die Umstellung auf Post-Quantum-Kryptografie bis 2035 abzuschließen.
Der Trend algorithmischer Verbesserungen erhöht den Handlungsdruck. Die Anforderungen an physische Qubits zum Brechen der elliptischen Kurvenkryptografie sind zwischen 2010 und 2026 um vier bis fünf Größenordnungen gesunken. Googles neueste Schaltkreise stellen eine weitere 20-fache Reduktion gegenüber den bisher besten Schätzungen dar.
Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime
Das Rennen um ein quantensicheres Bitcoin-Protokoll
Die Bitcoin-Entwickler-Community hat sich mobilized und verschiedene Vorschläge vorgelegt, obwohl grundlegende Governance-Herausforderungen bestehen bleiben.
BIP-360 (Pay-to-Merkle-Root), verfasst von Hunter Beast von MARA/Anduro, Ethan Heilman und Isabel Foxen Duke, wurde im Februar 2025 in das offizielle BIP-Repository aufgenommen. Es introduces einen neuen SegWit-Output-Typ der Version 2 mit einem bc1z-Präfix, der sich nur auf eine Merkle-Root des Skriptbaums bezieht. Dadurch wird der quantenverwundbare Key-Path-Spend aus Taproot entfernt. BIP-360 selbst führt keine Post-Quantum-Signaturen ein, schafft aber den Rahmen dafür.
BTQ Technologies hat deployed eine funktionierende BIP-360-Implementierung in seinem Bitcoin-Quantum-Testnet. Bis März 2026 wurden mehr als 50 Miner und 100.000 Blöcke produziert.
Der Vorschlag von Lopp/Papathanasiou, unveiled auf dem Quantum Bitcoin Summit im Juli 2025 vorgestellt, skizziert einen dreiphasigen Soft Fork.
Phase A verbietet das Senden an Legacy-ECDSA-Adressen drei Jahre nach der Aktivierung von BIP-360. Phase B macht alle Legacy-Signaturen ungültig und friert die quantenverwundbaren Coins zwei Jahre später dauerhaft ein. Phase C bietet einen optionalen Wiederherstellungspfad über einen Zero-Knowledge-Beweis des Besitzes eines BIP-39-Seeds.
Der QRAMP-Vorschlag von Agustin Cruz verfolgt eine härtere Linie. Er proposes eine verpflichtende Migrationsfrist per Hard Fork, nach deren Ablauf nicht migrierte Coins nicht mehr ausgebbar werden. Der Hourglass-Vorschlag von Hunter Beast und Michael Casey bei Marathon Digital bietet einen Mittelweg – die Bewegungen quantenexponierter Coins werden auf einen UTXO pro Block begrenzt, wodurch sich ein potenzieller Angriff von Stunden auf etwa acht Monate streckt.
Auf der Standardisierungsseite hat NIST im August 2024 seine ersten drei Standards für Post-Quantum-Kryptografie finalized: ML-KEM (basiert auf CRYSTALS-Kyber) für Schlüsselkapselung, ML-DSA (basiert auf CRYSTALS-Dilithium) für digitale Signaturen und SLH-DSA (basiert auf SPHINCS+) als Backup-Signaturstandard.
Ein fünfter Algorithmus, HQC, wurde im März 2025 als Backup-Schlüsselkapselungsmechanismus selected ausgewählt.
Die Hauptherausforderung für die Integration in Bitcoin ist die Signaturgröße. Dilithium-Signaturen sind ungefähr 2.420 Byte groß, gegenüber rund 72 Byte bei ECDSA – eine 33-fache Vergrößerung, die den Blockspace belasten und die Transaktionskosten deutlich erhöhen würde.
Über Bitcoin hinaus bewegt sich das breitere Ökosystem schnell.
Die Ethereum Foundation hat im Januar 2026 designated Post-Quantum-Sicherheit zu einer zentralen Priorität erklärt und eine vierphasige Hard-Fork-Roadmap mit einem mittelfristigen Ziel der Quantenresistenz bis 2029 gestartet. Coinbase hat ein unabhängiges Independent Advisory Board on Quantum Computing formed, dem Scott Aaronson, Dan Boneh und Justin Drake angehören.
Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat
Was Bitcoin-Halter jetzt tun sollten
Für einzelne Bitcoin-Halter ist die praktische Empfehlung klar, auch wenn die Debatte auf Protokollebene weitergeht. Coins, die in P2WSH- (SegWit Witness Script Hash, bc1q mit 62 Zeichen) oder P2WPKH-Adressen (SegWit, bc1q mit 42 Zeichen) gehalten werden und von denen noch nie ausgehende Transaktionen getätigt wurden, offer den derzeit stärksten verfügbaren Schutz.
On-Chain ist nur ein Hash des öffentlichen Schlüssels sichtbar.
P2TR/Taproot-Adressen (bc1p) sollten für große oder langfristige Bestände vermieden werden. Sie legen den öffentlichen Schlüssel grundsätzlich offen.
Die wichtigste Praxis ist, Adressen niemals wiederzuverwenden. Sobald Bitcoin von einer Adresse ausgegeben wird, wird der öffentliche Schlüssel offengelegt, und verbleibende oder zukünftige Guthaben auf dieser Adresse werden quantenverwundbar. Nutzer können ihre Exponierung mit der Open-Source-Bitcoin-Risq-Liste von Project Eleven überprüfen, die tracks jede quantenverwundbare Bitcoin-Adresse im Netzwerk nachverfolgt.
Das Verschieben von Guthaben von einer exponierten Adresse auf eine frische, noch nie verwendete, hash-basierte Adresse beseitigt die Verwundbarkeit im Ruhezustand.
Wie Unchained, ein Bitcoin-Verwahrunternehmen, warnt: Man sollte sich vor Betrügern hüten, die Angst vor Quantencomputern nutzen könnten, um zu übereilten Überweisungen zu drängen. Es besteht kein Bedarf für sofortige Notfallmaßnahmen.
Das tiefere Problem bleiben die etwa 1,7 Millionen BTC in P2PK-Adressen – einschließlich der geschätzten 1,1 Millionen von Satoshi –, deren Schlüssel unumkehrbar offengelegt sind und deren Eigentümer sie mit hoher Wahrscheinlichkeit nicht mehr migrieren können. Ob diese Coins eingefroren, in ihrer Beweglichkeit begrenzt oder dem eventualen Quanten-Diebstahl überlassen werden sollen, entwickelt sich zu einer der folgenreichsten Governance-Debatten in der Geschichte von Bitcoin.
Wie Jameson Lopp es frames formuliert, kommt die Ermöglichung der quantengestützten Wiedererlangung von Bitcoin einer Vermögensumverteilung zugunsten derjenigen gleich, die das technologische Rennen um Quantencomputer gewinnen.
Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Fazit
Googles Whitepaper vom März 2026 hat keine unmittelbare Bedrohung offengelegt. Kein Quantencomputer kann heute die Kryptografie von Bitcoin brechen. Was es getan hat, war, die geschätzten Ressourcenanforderungen drastisch zu reduzieren und einen Zeitplan zu formalisieren, der Vorbereitung zu einer dringlichen, nicht nur theoretischen Aufgabe macht.
Die Reduktion auf weniger als 500.000 physische Qubits, kombiniert mit dem Rückgang der Schätzungen um vier bis fünf Größenordnungen in den letzten 15 Jahren, bedeutet, dass die Lücke zwischen aktueller Leistungsfähigkeit und kryptografischer Relevanz auf einer Flugbahn schrumpft, die sich mit den Roadmaps der Industrie für die späten 2020er bis frühen 2030er Jahre schneidet. Die Verwundbarkeit von 6,9 Millionen BTC im Ruhezustand ist ein bekanntes, quantifiziertes Risiko ohne rückwirkende Lösung für P2PK-Adressen mit verlorenen Schlüsseln.
Die Quantenbedrohung für Bitcoin ist in erster Linie kein Hardwareproblem. Sie ist ein Governance- und Migrationsproblem. Die dafür erforderlichen Protokoll-Upgrades und Prozesse des sozialen Konsenses haben in Bitcoins Ökosystem historisch gesehen five to 10 years in Bitcoin's ecosystem in Anspruch genommen. Die Uhr begann zu ticken in dem Moment, als Google published those numbers.
Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares