Een Google Quantum AI-whitepaper gepubliceerd op 30 maart 2026 identificeert ongeveer 6,9 miljoen Bitcoin (BTC) — ongeveer een derde van de totale voorraad — in adressen die kwetsbaar zijn voor quantumaanvallen “in rust”, inclusief naar schatting 1,1 miljoen coins die worden gelinkt aan de pseudonieme bedenker van het netwerk, Satoshi Nakamoto.
TL;DR
- Google Quantum AI ontdekte dat het kraken van Bitcoins 256-bit elliptische-curvecryptografie mogelijk minder dan 500.000 fysieke qubits vergt — een twintigvoudige daling ten opzichte van eerdere schattingen.
- Ongeveer 6,9 miljoen BTC staan op adressen waar publieke sleutels permanent zijn blootgesteld, waardoor ze doelwitten zijn voor toekomstige quantumaanvallen in rust.
- P2PK-adressen uit het Satoshi-tijdperk kunnen door niemand worden geüpgraded, wat lastige governancevragen oproept: slapende coins bevriezen of kwetsbaar laten?
Wat er écht in Google’s whitepaper staat
De paper heeft een lange titel: “Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations.” Het beslaat 57 pagina’s en vormt de meest gedetailleerde quantum‑cryptografische dreigingsanalyse die ooit door een groot technologiebedrijf is gepubliceerd.
Zes Google Quantum AI‑onderzoekers — Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar en Hartmut Neven — schreven de paper. Externe medewerkers waren onder meer Thiago Bergamaschi van UC Berkeley, Justin Drake van de Ethereum Foundation en Dan Boneh van Stanford.
De centrale technische bijdrage is een paar geoptimaliseerde quantumcircuits die Shor’s algoritme implementeren voor het Elliptic Curve Discrete Logarithm Problem op 256‑bit curves.
Dat is precies het cryptografische primitief dat Bitcoin beveiligt.
Eén circuit gebruikt minder dan 1.200 logische qubits en 90 miljoen Toffoli‑poorten. Het andere gebruikt minder dan 1.450 logische qubits en 70 miljoen Toffoli‑poorten.
Google schat dat deze circuits in enkele minuten kunnen draaien op een supergeleidend quantumcomputer met minder dan 500.000 fysieke qubits. Eerdere schattingen vereisten drastisch meer hardware. Een veel aangehaalde paper uit 2022 van de University of Sussex projecteerde 317 miljoen fysieke qubits voor een aanval van een uur en 1,9 miljard voor een venster van tien minuten. Google’s resultaat comprimeert die vereiste met ongeveer een factor 20.
In een ongebruikelijke stap voor een resource‑schattingspaper heeft Google de daadwerkelijke circuitimplementaties achtergehouden. In plaats daarvan publiceerde het een zero‑knowledge‑bewijs met SP1 en Groth16 SNARK. Onafhankelijke onderzoekers kunnen de claims verifiëren zonder toegang te krijgen tot de details van de aanval zelf.
Dit bouwt voort op eerdere quantumdoorbraken bij Google.
De Willow‑chip, aangekondigd in december 2024 en gepubliceerd in Nature, demonstreerde 105 supergeleidende qubits met de eerste “below‑threshold” quantumfoutcorrectie op een supergeleidende processor. Foutpercentages halveerden bij elke stap van 3x3 naar 5x5 naar 7x7 qubit‑roosters. Willow voltooide een benchmark in minder dan vijf minuten die naar schatting 10 septiljoen jaar zou kosten op de Frontier‑supercomputer.
Toch was Google expliciet dat Willow vandaag geen cryptografische dreiging vormt.
Charina Chou, directeur en COO van Google Quantum AI, zei in december 2024 tegen The Verge dat de chip moderne cryptografie niet kan breken en dat ongeveer 4 miljoen fysieke qubits nodig zouden zijn om RSA te kraken.
Lees ook: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking
Waarom Satoshi’s coins het meest blootstaan
De kwetsbaarheid in het centrum van Google’s analyse gaat terug op een ontwerpkeuze uit de eerste dagen van Bitcoin. Toen Satoshi Nakamoto het netwerk op 3 januari 2009 lanceerde, stuurde de mining‑software block rewards naar P2PK‑outputs (Pay‑to‑Public‑Key). In dit formaat staat de volledige publieke sleutel vanaf binnenkomst van de coins permanent zichtbaar op de blockchain.
Het locking‑script is simpelweg de publieke sleutel gevolgd door een OP_CHECKSIG‑opdracht. Dat betekent dat de 65‑byte ongecomprimeerde of 33‑byte gecomprimeerde publieke sleutel blootligt voor iedereen die de chain leest.
Er zit geen hashlaag ter bescherming omheen.
Satoshi implementeerde ook P2PKH (Pay‑to‑Public‑Key‑Hash), dat alleen een hash van de publieke sleutel opslaat. P2PKH‑adressen — de herkenbare die met “1” beginnen — verschenen binnen twee weken na het genesis‑blok op de blockchain.
Het ontwerp was bewust. Satoshi besefte dat elliptische‑curvecryptografie zou kunnen bezwijken voor een aangepaste versie van Shor’s algoritme, uitgevoerd op een toekomstige quantumcomputer.
Ondanks dat inzicht bleef de mining‑software in 2009 en 2010 standaard P2PK gebruiken voor coinbase‑beloningen. Sergio Demian Lerner’s baanbrekende Patoshi‑patroononderzoek, voor het eerst gepresenteerd in 2013, identificeerde dat één entiteit ongeveer 22.000 blokken heeft gemined tussen januari 2009 en medio 2010. Die entiteit verzamelde ongeveer 1,0 tot 1,1 miljoen BTC.
Het mininggedrag week af van de openbaar uitgebrachte client. Het gebruikte multithreaded nonce‑scanning en leek de output bewust te beperken om de netwerkstabiliteit te beschermen.
Slechts ongeveer 907 BTC uit die stash zijn ooit uitgegeven. De beroemdste transactie stuurde 10 BTC naar Hal Finney in de eerste persoon‑tot‑persoon‑Bitcoinoverdracht op 12 januari 2009.
Omdat deze coins nooit zijn verplaatst, blijven hun publieke sleutels permanent blootgesteld. Een quantumcomputer die Shor’s algoritme draait, zou de bijbehorende privésleutels zonder tijdsdruk kunnen afleiden. Dat is de kern van de aanvalsvector “in rust”.
Lees ook: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud
Drie aanvalsvectoren en de blootstelling van 6,9 miljoen BTC
Google’s whitepaper formaliseert een taxonomie van quantumaanvallen op cryptovaluta die de schaal van verschillende dreigingsvectoren verduidelijkt.
Aanvallen in rust (at‑rest) richten zich op publieke sleutels die permanent blootliggen op de blockchain. De aanvaller heeft onbeperkt de tijd — dagen, maanden of jaren — om de privésleutel af te leiden. Deze categorie omvat drie hoofdtype adressen:
- P2PK‑adressen, waar de publieke sleutel vanaf binnenkomst van de coins zichtbaar is in het locking‑script
- Hergebruikte P2PKH‑adressen, waar de publieke sleutel werd onthuld na de eerste uitgaande transactie
- P2TR/Taproot‑adressen, die een “getweakte” publieke sleutel per ontwerp rechtstreeks on‑chain opslaan
Google identificeert Taproot als een beveiligingsregressie vanuit quantumperspectief. Zelfs tragere quantumarchitecturen zoals neutraal‑atoom‑ of ion‑trap‑systemen zouden aanvallen in rust kunnen uitvoeren, omdat er geen tijdsdruk is. De on‑chainanalyse vindt ongeveer 1,7 miljoen BTC in P2PK‑scripts en circa 6,9 miljoen BTC in totaal over alle kwetsbare adrestypes wanneer hergebruik en Taproot‑blootstelling worden meegerekend.
On‑spend‑aanvallen, voorheen “in‑transit” genoemd, richten zich op transacties in de mempool.
Wanneer een gebruiker een transactie uitzendt, wordt de publieke sleutel blootgelegd in de input. Een aanvaller moet de privésleutel afleiden vóórdat de transactie wordt bevestigd — ongeveer 10 minuten bij Bitcoin.
Google’s paper geeft aan dat een snel klokkende supergeleidende quantumcomputer ECDLP in ongeveer negen minuten zou kunnen oplossen, wat neerkomt op circa 41% kans om de bevestiging vóór te zijn.
On‑setup‑aanvallen richten zich op vaste protocolparameters zoals trusted‑setup‑ceremonies. Bitcoin is immuun voor deze vector. Maar Ethereum (ETH) Data Availability Sampling en protocollen zoals Tornado Cash zouden kwetsbaar kunnen zijn.
Het cruciale punt is dat proof‑of‑work‑mining niet wordt bedreigd. Grover’s algoritme biedt slechts een kwadratische versnelling tegen SHA‑256, waardoor de effectieve veiligheid daalt van 256 bits naar 128 bits — nog steeds ver buiten de haalbare grenzen. Een paper uit maart 2026 van Dallaire‑Demers et al. toonde aan dat quantummining ruwweg 10²³ qubits en 10²⁵ watt vermogen zou vereisen, wat neerkomt op energie op de schaal van een beschaving.
Lees ook: Bitcoin Faces Six Bearish Months But ETF Demand Grows
Hoe ver weg is Q‑Day voor Bitcoin?
De kloof tussen huidige quantumhardware en cryptografische relevantie blijft groot, maar verkleint sneller dan verwacht.
De toonaangevende processors van vandaag omvatten Google’s Willow met 105 supergeleidende qubits, IBM’s Nighthawk met 120 qubits en verbeterde fideliteit, Quantinuum’s Helios met 98 gevangen‑ion‑qubits en Caltech’s recordbrekende array van 6.100 neutraal‑atoom‑qubits.
Het grootste algemene systeem blijft IBM’s Condor met 1.121 qubits. Tegenover Google’s bijgestelde doel van minder dan 500.000 fysieke qubits varieert de kloof van grofweg 80‑ tot 5.000‑voudig, afhankelijk van de architectuur.
Several developments in 2025 en 2026 zijn de tijdlijnen versneld:
- Microsoft unveiled Majorana 1 in feb. 2025 — de eerste processor die topologische qubits gebruikt, ontworpen om op te schalen naar 1 miljoen qubits op een chip ter grootte van een handpalm, hoewel onafhankelijke replicatiestudies de vraag hebben opgeworpen of de topologische effecten afdoende zijn aangetoond
- De Ocelot-chip van Amazon, ook uit feb. 2025, uses “katqubits” die de overhead van foutcorrectie tot 90% verminderen
- Een begeleidend artikel dat samen met Google’s whitepaper werd uitgebracht, stelde dat neutraal-atoomarchitecturen onder optimistische aannames ECC-256 zouden kunnen kraken met slechts 10.000 fysieke qubits
Schattingen van experts over de tijdlijn lopen sterk uiteen. Google heeft intern 2029 als deadline vastgesteld om zijn eigen systemen te migreren naar post-kwantumcryptografie.
Ethereum-onderzoeker Justin Drake estimates een kans van minstens 10% dat tegen 2032 een kwantumcomputer een secp256k1 ECDSA-privésleutel kan achterhalen. De roadmap van IonQ mikt op 80.000 logische qubits tegen 2030.
Aan de sceptische kant verwerpt Blockstream-CEO Adam Back tijdlijnen richting 2028 als ongeloofwaardig. NVIDIA-CEO Jensen Huang schat bruikbare kwantumcomputers op 15 tot 30 jaar in de toekomst. NIST raadt aan om de migratie naar post-kwantumcryptografie uiterlijk in 2035 te voltooien.
De trend van algoritmische verbeteringen vergroot de urgentie. De vereiste aantallen fysieke qubits om elliptische-curvecryptografie te breken zijn tussen 2010 en 2026 met vier tot vijf ordes van grootte gedaald. Google’s nieuwste circuits betekenen opnieuw een twintigvoudige reductie ten opzichte van de beste eerdere schattingen.
Ook lezen: Chainalysis Launches AI Bots To Fight Crypto Crime
De race om Bitcoins protocol kwantum-proof te maken
De Bitcoin-ontwikkelaarscommunity heeft zich mobilized rond verschillende voorstellen, al blijven er fundamentele governance-uitdagingen.
BIP-360 (Pay-to-Merkle-Root), geschreven door Hunter Beast van MARA/Anduro, Ethan Heilman en Isabel Foxen Duke, werd in feb. 2025 in de officiële BIP-repository opgenomen. Het introduces een nieuw SegWit versie 2-outputtype met een bc1z-prefix dat alleen commit naar een Merkle-root van de scripttree. Daarmee wordt de kwantumkwetsbare key-path spend van Taproot verwijderd. BIP-360 introduceert zelf geen post-kwantumhandtekeningen maar creëert het raamwerk ervoor.
BTQ Technologies heeft een werkende BIP-360-implementatie deployed op zijn Bitcoin Quantum-testnet. Er zijn meer dan 50 miners en 100.000 blokken geproduceerd vanaf maart 2026.
Het Lopp/Papathanasiou-voorstel, unveiled op de Quantum Bitcoin Summit in juli 2025, schetst een soft fork in drie fasen.
Fase A verbiedt het sturen naar legacy ECDSA-adressen drie jaar na activatie van BIP-360. Fase B maakt alle legacy-handtekeningen ongeldig, waardoor kwantumkwetsbare coins twee jaar later permanent bevroren worden. Fase C biedt een optioneel herstelpad via zero-knowledge-bewijs van bezit van een BIP-39 seed.
Het QRAMP-voorstel van Agustin Cruz is strenger. Het proposes een verplichte migratiedeadline via een hard fork, waarna ongemigreerde coins onuitgeefbaar worden. Het Hourglass-voorstel van Hunter Beast en Michael Casey bij Marathon Digital biedt een middenweg — het beperkt de beweging van kwantum-blootgestelde coins tot één UTXO per blok, waardoor een potentiële aanval wordt uitgerekt van uren tot ongeveer acht maanden.
Op het gebied van standaarden finalized NIST in aug. 2024 zijn eerste drie post-kwantumcryptografiestandaarden: ML-KEM (gebaseerd op CRYSTALS-Kyber) voor sleutel-encapsulatie, ML-DSA (gebaseerd op CRYSTALS-Dilithium) voor digitale handtekeningen en SLH-DSA (gebaseerd op SPHINCS+) als back-uphandtekeningstandaard.
Een vijfde algoritme, HQC, werd in maart 2025 selected als back-upmechanisme voor sleutel-encapsulatie.
De grootste uitdaging voor integratie in Bitcoin is de grootte van de handtekeningen. Dilithium-handtekeningen zijn ongeveer 2.420 bytes, tegenover grofweg 72 bytes voor ECDSA — een 33-voudige toename die de blockruimte onder druk zou zetten en transactiekosten aanzienlijk zou verhogen.
Voorbij Bitcoin beweegt het bredere ecosysteem snel.
De Ethereum Foundation designated post-kwantumbeveiliging als kernprioriteit in jan. 2026, met de lancering van een vierfasige hard-fork-roadmap met als middellangetermijndoel kwantumresistentie tegen 2029. Coinbase formed een onafhankelijke adviesraad voor kwantumcomputing met Scott Aaronson, Dan Boneh en Justin Drake.
Ook lezen: Cardano Whales Grab $53M In ADA But Price Stays Flat
Wat Bitcoin-houders nu zouden moeten doen
Voor individuele Bitcoin-houders is het praktische advies eenvoudig, ook al gaat het protocoldebat door. Coins opgeslagen in P2WSH-adressen (SegWit witness script hash, bc1q met 62 tekens) of P2WPKH-adressen (SegWit, bc1q met 42 tekens) die nooit voor uitgaande transacties zijn gebruikt, offer momenteel de sterkste beschikbare bescherming.
Alleen een hash van de publieke sleutel is on-chain zichtbaar.
P2TR/Taproot-adressen (bc1p) moeten worden vermeden voor grote of langetermijnholdings. Zij stellen de publieke sleutel per ontwerp bloot.
De belangrijkste praktijk is om nooit adressen te hergebruiken. Zodra Bitcoin vanaf een adres wordt uitgegeven, wordt de publieke sleutel onthuld en worden resterende of toekomstige fondsen op dat adres kwantumkwetsbaar. Gebruikers kunnen hun blootstelling controleren met de open-source Bitcoin Risq List van Project Eleven, die tracks elk kwantumkwetsbaar Bitcoin-adres op het netwerk.
Het verplaatsen van fondsen van een blootgesteld adres naar een vers, nooit eerder gebruikt hash-based adres elimineert de kwetsbaarheid in rust.
Zoals Unchained, een Bitcoin-bewaarder, waarschuwt: pas op voor oplichters die kwantumangst kunnen gebruiken om tot overhaaste overdrachten aan te zetten. Er is geen onmiddellijke noodactie vereist.
Het diepere probleem blijft de ongeveer 1,7 miljoen BTC in P2PK-adressen — inclusief Satoshi’s geschatte 1,1 miljoen — waarvan de sleutels onherroepelijk zijn blootgesteld en waarvan de eigenaars vrijwel zeker niet in staat zijn ze te migreren. De vraag of deze coins moeten worden bevroren, gelimiteerd of blootgelaten aan uiteindelijke kwantumdiefstal, lijkt uit te groeien tot een van de meest verregaande governancediscussies in de geschiedenis van Bitcoin.
Zoals Jameson Lopp het frames: het toestaan van kwantumherstel van Bitcoin komt neer op herverdeling van rijkdom naar degenen die de technologische race om kwantumcomputers te bemachtigen winnen.
Ook lezen: Saylor Quiet On Bitcoin After 13-Week Buying Spree
Conclusie
Google’s whitepaper van maart 2026 onthulde geen onmiddellijke dreiging. Geen enkele kwantumcomputer kan vandaag de cryptografie van Bitcoin breken. Wat het wel deed, was de geschatte benodigde middelen drastisch terugbrengen en een tijdlijn formaliseren die voorbereiding urgent in plaats van theoretisch maakt.
De reductie tot minder dan 500.000 fysieke qubits, gecombineerd met de daling van schattingen met vier tot vijf ordes van grootte in de afgelopen 15 jaar, betekent dat de marge tussen de huidige capaciteit en cryptografische relevantie kleiner wordt volgens een traject dat kruist met industriële roadmaps voor de late jaren 2020 tot vroege jaren 2030. De kwetsbaarheid in rust van 6,9 miljoen BTC is een bekend, gekwantificeerd risico zonder terugwerkende oplossing voor P2PK-adressen met verloren sleutels.
De kwantumdreiging voor Bitcoin is niet primair een hardwareprobleem. Het is een governance- en migratieprobleem. De vereiste protocolupgrades en sociale-consensusprocessen hebben in het Bitcoin-ecosysteem historisch five to 10 years in Bitcoin's ecosystem gekost. De klok begon te tikken op het moment dat Google published those numbers.
Lees hierna: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares