Im April 2026 wurde ein 15-Bit-Elliptic-Curve-Schlüssel auf einem echten Quantencomputer geknackt. Damit gewann ein Forscher das Q-Day Prize von Project Eleven und 1 BTC für die bislang größte öffentliche Demonstration einer Angriffsklasse, die sämtliche Bitcoin-Wallets betrifft. Der geknackte Schlüssel war winzig – 256-Bit-ECDSA ist davon aktuell weit entfernt –, doch die Richtung ist klar. Rund 6,9 Millionen BTC befinden sich auf Adressen mit offengelegtem öffentlichen Schlüssel, darunter schätzungsweise 1 Million Coins von Satoshi. Jeder Fortschritt bei Quantenhardware verkleinert die Lücke zwischen „theoretischer Bedrohung“ und „praktischer Umsetzbarkeit“.
Bitcoin-Entwickler beobachten diese Entwicklung seit Jahren. BIP-360, veröffentlicht am 11. Februar 2026 und in das offizielle BIP-Repository aufgenommen, ist ihre Antwort. Es führt einen neuen Output-Typ namens Pay-to-Merkle-Root (P2MR) ein, der Taproot (P2TR) sehr ähnelt, aber das eine Element entfernt, das Quantencomputer in Zukunft ausnutzen könnten. BTQ Technologies stellte im März 2026 die erste funktionsfähige Implementierung im Bitcoin Quantum Testnet v0.3.0 bereit.
Warum Taproot ein Quantenrisiko birgt
Um zu verstehen, was BIP-360 behebt, muss man wissen, welche Informationen Taproot offenlegt.
Als Bitcoin das Taproot-Upgrade im November 2021 aktivierte, wurde P2TR (Pay-to-Taproot) eingeführt, das zwei Ausgabenpfade bietet. Der erste ist der Keypath-Ansatz, bei dem ein einzelner öffentlicher Schlüssel direkt auf der Blockchain gespeichert wird und der Eigentümer nachweist, dass er den passenden privaten Schlüssel besitzt. Der zweite ist der Scriptpath, bei dem Ausgabebedingungen in einem Merkle-Baum von Skripten verborgen sind und nur der genutzte Ast beim Ausgeben offengelegt wird.
Der Keypath ist für normale Anwendungsfälle schnell, günstig und privat. Allerdings ist der öffentliche Schlüssel in Klartext on-chain sichtbar. Das ist derzeit sicher, da kein Computer ECDSA vom öffentlichen auf den privaten Schlüssel zurückrechnen kann. Ein ausreichend starker Quantencomputer mit Shors Algorithmus könnte genau das erreichen. Googles Whitepaper von April 2026 schätzt, dass für einen vollständigen Angriff auf 256-Bit-ECC weniger als 500.000 physikalische Qubits benötigt würden – frühere Schätzungen gingen von Millionen aus. Ein separates Papier von Caltech und Oratomic veranschlagt sogar nur 10.000 Qubits in einer Neutralatom-Architektur.
Solche Maschinen existieren bislang nicht. Doch die Schätzungen sinken weiter, und die Adressen mit offengelegten Schlüsseln bleiben bestehen. Jeder P2TR-Keypath-Output, jeder Legacy Pay-to-Public-Key (P2PK) Output aus den Anfangsjahren und jede Adresse, die jemals eine Transaktion gesendet hat (wodurch der öffentliche Schlüssel offengelegt wurde), steht in einem wachsenden Pool quantenanfälliger Coins.
Wie P2MR die Schwachstelle beseitigt
Die Lösung von BIP-360 ist elegant, da sie fast nichts an der Funktionsweise von Bitcoin-Skripting ändert.
P2TR-Outputs beziehen sich auf einen modifizierten öffentlichen Schlüssel, der sowohl den Keypath als auch die Merkle-Wurzel des Scriptbaums kodiert. P2MR verzichtet komplett auf den Keypath. Statt einen öffentlichen Schlüssel zu modifizieren, bezieht sich P2MR direkt auf die Merkle-Wurzel des Scriptbaums. Kein öffentlicher Schlüssel erscheint zu irgendeinem Zeitpunkt on-chain, es sei denn, ein Skript-Ast wird ausgeführt – und selbst dann ist der Schlüssel nur im genutzten Ast sichtbar.
Vergleichen Sie es so: Taproot ist wie ein Tresor, bei dem ein Schlüssel außen am Haken hängt (praktisch, aber sichtbar) und Ersatzschlüssel in nummerierten Umschlägen im Inneren liegen. P2MR entfernt den Haken komplett. Jeder Schlüssel bleibt im Tresor, und man öffnet nur den benötigten Umschlag.
Die technische Umsetzung nutzt SegWit Version 2, wodurch P2MR ein eigenes Adresspräfix erhält. Mainnet-P2MR-Adressen beginnen mit bc1z (bech32m-Standard, Version 2 = z). P2TR-Adressen starten mit bc1p (Version 1), Legacy-SegWit-Adressen mit bc1q (Version 0). Das neue Präfix macht P2MR-Adressen sofort erkennbar.
Was die Testnet-Implementierung enthält
BTQ Technologies veröffentlichte im März 2026 das Bitcoin Quantum Testnet v0.3.0 mit vollständiger BIP-360-Implementierung. Das ist kein theoretisches Konzept mehr – Nutzer erzeugen und verwenden P2MR-Transaktionen auf einem laufenden Testnetz.
Das Testnet umfasst fünf Dilithium-Post-Quantum-Signatur-Opcodes im P2MR-Tapscript-Kontext. Dilithium (nun von NIST als ML-DSA standardisiert) ist ein gitterbasiertes Signaturschema, das Quantencomputern mit bisherigen Algorithmen standhält. Während Bitcoin aktuell auf ECDSA und Schnorr-Signaturen setzt, die beide durch Shors Algorithmus gefährdet wären, sind Dilithium-Signaturen gegen Quantenangriffe resistent, da sie auf mathematischen Problemen basieren, die auch Quantenhardware nicht effizient lösen kann.
Die Implementierung enthält ferner vollständige P2MR-Consensus-Validierung, Merkle-Root-Commitment-Prüfung, Kontrolle der Control-Blocks sowie CLI-Wallet-Tools zum Erstellen und Ausgeben quantenresistenter Transaktionen. Entwickler können damit den gesamten Ablauf testen.
Ein wichtiger Designansatz von BIP-360 ist Rückwärtskompatibilität: P2MR nutzt bestehende P2TR-Tapleaf- und Tapscript-Komponenten aus Bitcoin Core. Wallets, Börsen und Bibliotheken mit Taproot-Support können dadurch viel Code für P2MR wiederverwenden, was die Hürde für eine spätere Mainnet-Adoption deutlich senkt.
Was bedeuten eigentlich 6,9 Millionen angreifbare BTC?
Die Zahl wirkt beachtlich und sollte Aufmerksamkeit erzeugen, dennoch ist Kontext entscheidend.
Project Eleven schätzt, dass rund 6,9 Millionen BTC, etwa ein Drittel des Gesamtbestands, auf Adressen mit bereits on-chain sichtbarem öffentlichen Schlüssel liegen. Dazu gehören alle P2PK-Outputs aus den ersten beiden Jahren (inklusive Satoshis Coins), jede Adresse, die mindestens eine Transaktion gesendet hat (wodurch der öffentliche Schlüssel in der Signatur erscheint) und alle P2TR-Keypath-Outputs.
Kommt jemals ein Quantencomputer in Betrieb, der 256-Bit-ECC mit Shors Algorithmus knacken kann, könnten diese Coins theoretisch entwendet werden. Der Angreifer würde den privaten Schlüssel aus dem öffentlichen Schlüssel ableiten und die Mittel abziehen.
Das Wort „theoretisch“ ist hier aber entscheidend. Der Q-Day-Preis-Gewinner im April 2026 hat einen 15-Bit-Schlüssel geknackt. Bitcoin verwendet 256-Bit-Schlüssel. Diese Lücke ist nicht linear, sondern stellt einen enormen Unterschied im Rechenaufwand dar. Das 15-Bit-Ergebnis übertrifft das bisherige Rekordniveau um das 512-Fache und ist ein bedeutender Fortschritt für die Forschung. Aber der Sprung von 15 auf 256 Bit erfordert viel höhere Qubit-Zahlen, Fehlerkorrektur und Kohärenzzeiten, mit denen derzeit keine Roadmap rechnet.
Eine realistische Darstellung ist: Die Bedrohung existiert, der Zeitrahmen ist ungewiss und Bitcoin kann sich vorbereiten. BIP-360 ist diese Vorbereitung.
Was BIP-360 nicht leistet
BIP-360 ist ein Vorschlag, keine Protokolländerung. Es müssen mehrere Schritte erfolgen, bevor es Auswirkungen auf Ihre Bitcoins hat.
Er ist noch nicht im Mainnet aktiviert. Das Testnet beweist zwar die Machbarkeit, doch die Aktivierung im Mainnet erfordert einen Konsens der Community über einen Soft Fork. Solche Veränderungen dauern in der Bitcoin-Geschichte Jahre – SegWit benötigte etwa vier Jahre, Taproot rund drei Jahre von der ersten Diskussion bis zur Umsetzung.
Bestehende Adressen werden nicht automatisch geschützt. Sollte BIP-360 aktiviert werden, müssten Nutzer ihre Coins in neue P2MR-(bc1z)-Adressen transferieren, um Quantenschutz zu erhalten. Coins auf alten Adresstypen bleiben weiterhin angreifbar, bis sie übertragen werden. Das ist eine freiwillige Migration, kein automatisches Upgrade. Wer mit seinem aktuellen Adresstyp zufrieden ist, kann die Coins dort belassen.
Bitcoin wird dadurch nicht absolut „quantenfest“. BIP-360 schützt vor Angriffen auf elliptische Kurven durch Shors Algorithmus. Sollten andere Angriffsvektoren auf Hashfunktionen oder gitterbasierte Kryptografie entstehen, wären weitere Upgrades erforderlich. Der Vorschlag adressiert die derzeit am besten verstandene Bedrohung, nicht jede denkbare.
Es betrifft auch nicht das Bitcoin-Mining. Bitcoin-Mining nutzt SHA-256-Hashfunktionen, die resistent gegenüber Shors Algorithmus sind. Quantencomputer könnten durch Grovers Algorithmus einen begrenzten Vorteil erlangen, was die effektive Hash-Sicherheit halbieren würde – sie bliebe aber auf 128-Bit-Niveau und damit ausreichend hoch.
Zeitrahmen für Trader
Wer BTC hält, muss aktuell nichts unternehmen, sollte den Fortschritt aber beobachten.
Meilenstein | Status | Bedeutung |
| BIP-360 veröffentlicht und gemerged | Abgeschlossen (Feb 2026) | Vorschlag ist offiziell und geprüft |
| Erste Testnet-Implementierung | Abgeschlossen (März 2026) | Code funktionsfähig, Entwickler können testen |
| Q-Day-Preis (15-Bit-ECC geknackt) | Abgeschlossen (April 2026) | Quantengefahr ist real, nicht mehr rein theoretisch |
| Mainnet-Soft-Fork-Aktivierung | Noch nicht begonnen | Benötigt Community-Konsens, vermutlich erst in einigen Jahren |
| P2MR-Support in Wallets/Börsen | Noch nicht begonnen | Infrastruktur muss bc1z-Adressen unterstützen |
| Nutzer-Migration zu bc1z-Adressen | Noch nicht relevant | Coins müssen bei Verfügbarkeit manuell transferiert werden |
Das Muster ähnelt früheren Bitcoin-Upgrades: Die Technik entsteht Jahre vor der Aktivierung. Taproot wurde 2018 vorgeschlagen und 2021 aktiviert. BIP-360 ist im frühen Stadium; selbst optimistische Zeitpläne sehen die Mainnet-Aktivierung erst in einigen Jahren.
Für Trader ist nicht BIP-360 selbst entscheidend, sondern die Geschwindigkeit der Quanten-Entwicklung: Jeder neue Rekord, jedes Qubit-Meilenstein von IBM, Google oder Caltech und jede aktualisierte Prognose zu „kryptografisch relevanten Quantencomputern“ kann Auswirkungen auf die Märkte haben. Das Giancarlo Lelli Q-Day Prize Resultat führte bereits zu erhöhter Berichterstattung und kurzfristigem Druck auf den BTC-Kurs, ehe der Kontext eingepreist wurde.
Häufig gestellte Fragen
Ist Bitcoin aktuell sicher vor Quantencomputern?
Ja. Der bislang größte öffentliche Angriff auf Elliptic-Curve-Kryptografie betraf einen 15-Bit-Schlüssel (April 2026). Bitcoin setzt auf 256-Bit-Schlüssel – die rechnerische Lücke ist gewaltig. Schätzungen gehen davon aus, dass Quantencomputer für die Kryptoanalyse noch Jahre oder Jahrzehnte entfernt sind.
Was ist eine bc1z-Adresse?
Das Adressformat, das BIP-360 für Pay-to-Merkle-Root-(P2MR)-Outputs vorsieht. Das Präfix bc1z steht für SegWit Version 2 im bech32m-Standard, ähnlich wie bc1p für Taproot (Version 1) und bc1q für native SegWit (Version 0). Diese Adressen verhindern die Offenlegung öffentlicher Schlüssel on-chain.
Muss ich mein Bitcoin jetzt auf eine quantenresistente Adresse transferieren?
Nein. BIP-360 ist im Mainnet noch nicht aktiv, P2MR-Adressen existieren dort noch nicht. Sollte die Aktivierung erfolgen, müssten Sie Ihre Coins auf eine neue bc1z-Adresse übertragen, um quantenresistent zu sein. Bis dahin gelten die üblichen Empfehlungen: Verwenden Sie Adressen, deren öffentliche Schlüssel noch nicht offengelegt wurden, wenn möglich.
Was geschieht mit Satoshis Bitcoin, falls Quantencomputer Fortschritte machen?
Satoshis geschätzte 1 Million BTC liegen auf frühen Pay-to-Public-Key-(P2PK)-Outputs, bei denen der öffentliche Schlüssel dauerhaft offengelegt ist. Kann ein Quantencomputer irgendwann 256-Bit-ECDSA knacken, könnten diese Coins theoretisch von jedem mit entsprechender Technologie übernommen werden. BIP-360 kann diese Coins nicht schützen, da sie nicht auf neue Adresstypen transferiert werden können. Dies ist ein viel diskutierter Aspekt der Bitcoin-Sicherheitsdebatte.
Fazit
BIP-360 ist keine Notlösung, sondern der Versuch der Bitcoin-Community, einen Fluchtweg zu bauen, bevor es brennt. Die Quantenbedrohung ist real, aber nicht unmittelbar, und der Zeitrahmen wird kürzer, je weiter Qubit-Zahlen und Fehlerraten sinken. P2MR erlaubt eine Migration, die die Skripting-Fähigkeiten von Taproot erhält und die Keypath-Schwachstelle beseitigt, die rund 6,9 Millionen BTC theoretisch gefährdet.
Die praktische Frage für die kommenden Jahre ist nicht „Sollte ich mir Sorgen um Quantencomputer machen?“, sondern „Wie schnell schreitet die Quantenentwicklung voran?“ Jeder neue Meilenstein – vom 15-Bit-Q-Day-Preis bis zu Googles Sub-500.000-Qubit-Projektionen – verändert die Dringlichkeit. Wenn BIP-360 eines Tages Richtung Mainnet-Aktivierung geht, werden die Wallets und Börsen, die frühzeitig vorbereitet sind, einen Vorteil haben. Wer abwartet, muss aufholen. Die Chance liegt letztlich im Unterschied zwischen vorbereitet und unvorbereitet.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit erheblichen Risiken verbunden. Führen Sie immer Ihre eigene Recherche durch, bevor Sie Entscheidungen treffen.
