Belohnungszentrum 
Am 24. April 2026 gelang es dem unabhängigen Forscher Giancarlo Lelli, mittels öffentlich zugänglicher Quantenhardware einen privaten Schlüssel aus einem öffentlichen Schlüssel auf einer 15-Bit-Elliptischen-Kurve abzuleiten. Er setzte eine Variante von Shors Algorithmus ein und erzielte damit einen Erfolg. Die Organisation Project Eleven, die sich der Quantensicherheitsforschung widmet, verlieh ihm den Q-Day-Preis von 1 Bitcoin – für den bislang größten dokumentierten Quantenangriff auf die Kryptographie, die Bitcoin, Ethereum und zahlreiche andere Blockchains schützt.
Ein 15-Bit-Schlüssel ist im Vergleich zu den 256-Bit-Schlüsseln, die reale Wallets schützen, gering. Bitcoin ist dadurch nicht kompromittiert. Dennoch verringert sich die Kluft zwischen den aktuellen Fähigkeiten von Quantencomputern und den Anforderungen, um reale Wallets zu gefährden, schneller als vielen Akteuren bewusst ist. Drei wichtige Forschungsarbeiten aus dem ersten Quartal 2026 haben den Zeitplan für die Entwicklung spürbar beeinflusst.
Was Lelli tatsächlich getan hat und warum es relevant ist
Der Angriff richtete sich gegen das Elliptic Curve Discrete Logarithm Problem (ECDLP). Dieses mathematische Problem ermöglicht die Generierung eines öffentlichen Schlüssels aus einem privaten, macht jedoch den umgekehrten Weg mittels klassischer Computer de facto unmöglich. Bei jeder Bitcoin-Transaktion signiert Ihre Wallet mit dem privaten Schlüssel und veröffentlicht den zugehörigen öffentlichen Schlüssel. Wer das ECDLP für den öffentlichen Schlüssel löst, kann den privaten Schlüssel rekonstruieren und hätte Zugriff auf die Coins.
Lellis Angriff auf einen 15-Bit-Schlüssel umfasste einen Suchraum von 32.767 möglichen Werten – winzig im Vergleich zu den 2^256 Möglichkeiten eines echten Bitcoin-Schlüssels. Dennoch ist der Kontext entscheidend: Der bisherige Rekord lag bei einem 6-Bit-Schlüssel im September 2025 durch Steve Tippeconnic mit nur 64 Optionen. Lelli erzielte einen 512-fachen Fortschritt – und das auf frei zugänglicher Cloud-Quantenhardware, nicht in einem geschlossenen Labor.
Die Relevanz liegt nicht in der Schlüsselgröße, sondern in der Geschwindigkeit der Fortschritte. Quantenforscher demonstrieren ECDLP-Lösungen nun praktisch auf verfügbarem Gerät – weniger als ein Jahr nach ersten Theoriestudien.
Wie weit sind 15 Bit von 256 Bit entfernt?
15 und 256 Bit trennen Welten: Ein 256-Bit-ECC-Schlüssel hat etwa 10^77 mögliche Werte. Gegenwärtige Quantenprozessoren erreichen etwa 1.000 bis 1.500 Qubits, oft zu fehleranfällig für stabile Kryptorechnungen. Ein realer Bitcoin-Schlüssel würde deutlich mehr Qubits und eine wesentlich höhere Qubit-Qualität mit funktionierender Fehlerkorrektur voraussetzen, als sie heute verfügbar ist.
Allerdings gab es Anfang 2026 einen Paradigmenwechsel: Drei Forschungsarbeiten senkten die geschätzten Anforderungen für einen erfolgreichen Angriff auf einen 256-Bit-ECDLP-Schlüssel drastisch.
Google Quantum AI veröffentlichte im März 2026 ein 57-seitiges Whitepaper, das belegt, wie zwei optimierte Quanten-Schaltungen das ECDLP-256 mit weniger als 1.200 bis 1.450 logischen Qubits und 70 bis 90 Millionen Toffoli-Gates lösen könnten. Für reale Hardware mit Oberflächen-Code-Fehlerkorrektur ergibt das weniger als 500.000 physische Qubits (vorherige Schätzung: etwa 10 Millionen). Google reduzierte die Prognose um den Faktor 20.
Eine Folgearbeit von Caltech und Oratomic ging noch weiter und schätzte, dass eine Neutral-Atom-Quantenarchitektur denselben Angriff mit nur 10.000 physischen Qubits ermöglichen könnte. Diese Architektur ist noch experimentell, aber Unternehmen wie QuEra und Pasqal investieren Milliarden in diese Entwicklung.
Der Sprung von "10 Millionen Qubits nötig" zu "vielleicht reichen 10.000" passierte in nur drei Monaten. Project Eleven-Forschende beschreiben die Entwicklung offen: Die Distanz zwischen 15 Bit und 256 Bit wird zunehmend als Ingenieurs- statt als physikalisches Problem betrachtet.
Welche Bitcoin-Adressen sind tatsächlich gefährdet?
Nicht alle Bitcoin-Adressen sind gleichermaßen betroffen. Das Quantenrisiko betrifft insbesondere Adressen, deren öffentlicher Schlüssel bereits in der Blockchain sichtbar ist.
Wer Bitcoin empfängt und nie ausgibt, veröffentlicht nur den Hash des öffentlichen Schlüssels. Das Hashing bietet einen zusätzlichen Schutz: Ein erfolgreicher ECDLP-Angriff reicht dann nicht, solange der Hash nicht ebenfalls kompromittiert ist. Erst beim Ausgeben einer Adresse wird der vollständige öffentliche Schlüssel im Netzwerk übertragen – und bleibt sichtbar.
Project Eleven schätzt, dass etwa 6,9 Millionen BTC auf Adressen mit sichtbaren öffentlichen Schlüsseln liegen – rund ein Drittel des Gesamtangebots. Dazu gehören auch Satoshi Nakamotos geschätzte 1,1 Millionen BTC aus den Anfangstagen, als der Pay-to-Public-Key-Standard noch vorherrschte.
Für Nutzer ergibt sich: Wer eine moderne Wallet nutzt und nach jeder Transaktion eine neue Adresse generiert, ist aktuell weniger dem Risiko eines Quantenangriffs ausgesetzt als Halter alter Adressen.
| Adresstyp | Öffentlicher Schlüssel sichtbar? | Quantenrisiko |
|---|---|---|
| Nie ausgegeben (nur Hash) | Nein | Gering – solange Hash sicher |
| Mindestens einmal ausgegeben | Ja | Hoch, falls ECDLP gelöst |
| Pay-to-Public-Key (frühes BTC) | Standardmäßig ja | Hoch |
| Taproot (P2TR) | Schlüssel im Keypath sichtbar | Moderat |
Was Bitcoin-Entwickler zum Schutz vorbereiten
Die Community ist nicht untätig geblieben. BIP-360 sieht einen neuen Transaktionstyp (Pay-to-Merkle-Root, P2MR) vor, der ähnlich wie Taproot funktioniert, aber den quantenanfälligen Keypath entfernt. Statt elliptischer Kurven kämen post-quantenkryptographische Verfahren zum Einsatz. BTQ Technologies hat die Implementierung auf dem Testnet Anfang 2026 begonnen.
Darauf aufbauend wurde BIP-361 am 14. April 2026 eingereicht: "Post Quantum Migration and Legacy Signature Sunset". Es legt einen Migrationsplan mit Frist vor: Nach einer Übergangszeit könnten Ausgaben aus alten ECDSA-Adressen ungültig werden. Nicht migrierte Coins würden eingefroren.
Diese Regelung wird intensiv diskutiert: Das Einfrieren betrifft auch Satoshis geschätzte 1,1 Millionen BTC und andere alte Wallets. Befürworter sehen den Schutz des Netzwerks als Priorität, Kritiker warnen vor einer Schwächung der Eigentumsgarantie. Ein Konsens existiert noch nicht.
Google schlägt die Migration auf post-quantenkryptographische Standards bis 2029 vor. Bitcoin hätte somit drei Jahre Zeit, eine Soft Fork für den Algorithmuswechsel umzusetzen – bei Taproot dauerte dies vier Jahre.
Bedeutung für Ethereum und andere Blockchains
Das Quantenrisiko betrifft auch Ethereum und alle Chains, die ECDSA oder ähnliche elliptische Kurvensignaturen verwenden. Bei Ethereum ist das Problem akuter: Jeder Account, der je eine Transaktion gesendet hat, hat seinen öffentlichen Schlüssel dauerhaft offengelegt. Zudem werden Adressen meist wiederverwendet. Der Anteil der ETH auf quantenanfälligen Adressen dürfte höher sein als bei Bitcoin.
Ethereums Roadmap sieht im Rahmen des "Splurge"-Upgrades eine post-quanten Migration vor, jedoch ohne konkreten Zeitplan. Die Ethereum Foundation forscht an Gitter-basierten Signaturschemen, doch eine Umsetzung ist noch entfernt.
Kleinere Chains stehen vor größeren Herausforderungen; Ressourcen für eine Migration sind oft begrenzt. Ironischerweise beruhen gerade schnelle, moderne Chains oft auf denselben kryptographischen Annahmen der 1990er, die Lelli jetzt mit Quantenhardware angreifen konnte.
Häufig gestellte Fragen
Kann ein Quantencomputer jetzt schon Bitcoin stehlen?
Nein. Der 15-Bit-Schlüssel ist etwa 10^72-mal kleiner als ein echter 256-Bit-Bitcoin-Schlüssel. Öffentliche Quantencomputer verfügen nicht annähernd über genug Qubits oder Fehlerkorrektur, um produktive Schlüssel anzugreifen. Die Gefahr ist real, aber nicht unmittelbar.
Wie viele Qubits wären nötig, um Bitcoins Verschlüsselung zu brechen?
Laut Googles Whitepaper (März 2026) wären weniger als 500.000 physische Qubits (Superconducting) mit Fehlerkorrektur nötig. Caltech und Oratomic schätzen, dass 10.000 Qubits auf einer Neutral-Atom-Plattform reichen könnten. Derzeitige Computer erreichen maximal 1.000–1.500 Qubits.
Was ist BIP-360 und schützt es Bitcoin?
BIP-360 führt einen neuen Output-Typ ein, der die elliptische Kurve und damit die Quanten-Anfälligkeit entfernt. BIP-360 ist im Testnet, BIP-361 legt einen Migrationszeitplan mit möglicher Adresssperre vor. Nach Aktivierung wäre Bitcoin quantenresistent – vorausgesetzt, die Community stimmt zu und eine Soft Fork erfolgt.
Sollte ich meine Bitcoin zum Schutz auf eine neue Adresse übertragen?
Wurden Ihre Coins nie ausgegeben, ist der öffentliche Schlüssel nicht sichtbar und das Quantenrisiko geringer. Bei ausgegebenen Adressen ist der Schlüssel dauerhaft on-chain. Moderne Wallets generieren für jede Transaktion eine neue Adresse – dies kann eine sinnvolle Vorsichtsmaßnahme sein. Aktuell kann jedoch kein Quantencomputer diese Lücke ausnutzen.
Fazit
Der 15-Bit-ECC-Angriff ist kein unmittelbares Risiko für Bitcoin, sondern ein Beleg für den technischen Fortschritt bei Quantenangriffen. Die geschätzten Ressourcen für einen vollständigen 256-Bit-Bruch sanken im ersten Quartal 2026 um den Faktor 20, und die Entwicklung dürfte weiter anhalten. Mit BIP-360 und BIP-361 bereiten Entwickler Gegenmaßnahmen vor, doch die Umsetzung eines neuen Signaturschemas im gesamten Netzwerk ist ein Wettlauf mit der Zeit. Die 6,9 Millionen BTC mit offenem Schlüssel stellen das größte Risiko dar. Wer sich schützen möchte, sollte die Diskussion rund um BIP-361 aufmerksam verfolgen. Drei Jahre für die Migration einer gesamten monetären Infrastruktur sind knapp – die Frist läuft.
Dieser Artikel dient nur zu Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit erheblichen Risiken verbunden. Führen Sie stets Ihre eigene Recherche durch, bevor Sie Handelsentscheidungen treffen.
