Quantum Horizon: An evaluation of quantum computing as a threat to Bitcoin and Ethereum

Das Papier argumentiert, dass das Quantencomputing eine erhebliche, aber beherrschbare Bedrohung für Bitcoin und Ethereum darstellt, primär durch den Shor-Algorithmus, der digitale Signaturen statt des Minings bricht, wobei die entscheidende Herausforderung nicht in der Technologie selbst, sondern in der rechtzeitigen, durch Governance gesteuerten Migration zu Post-Quanten-Kryptographie liegt, bei einer projizierten Wahrscheinlichkeit von 60 %, dass bis 2050 ein kryptographisch relevanter Quantencomputer entsteht.

Das Wesentliche

Das große Ganze: Ein heraufziehender, aber beherrschbarer Sturm

Stellen Sie sich Bitcoin und Ethereum wie zwei riesige, hochsichere Tresore vor. Jahrelang haben sich die Leute Sorgen gemacht, dass ein superintelligenter „Quantencomputer“ eines Tages die Schlösser dieser Tresore knacken könnte.

Diese Arbeit argumentiert, dass die Bedrohung zwar real ist, aber keine Katastrophe, die schon morgen vor der Tür steht. Die Autoren sagen, wir haben eine klare Sicht auf die Gewitterwolken, wir wissen genau, welche Schlösser schwach sind, und wir besitzen die Blaupausen, um sie zu ersetzen. Das Einzige, was einen Absturz verursachen könnte, wäre, wenn die Verantwortlichen (die „Governance“-Teams) zu langsam handeln.

Hier ist die Aufschlüsselung der Hauptpunkte der Arbeit:

---

1. Die zwei verschiedenen „Superkräfte“ (Shor vs. Grover)

Die Leute verwechseln oft zwei verschiedene Arten von Quantencomputer-Angriffen. Die Arbeit sagt, wir müssen aufhören, diese zu vermischen.

• Die echte Bedrohung (Shor-Algorithmus): Der Generalschlüssel.
  • Die Analogie: Stellen Sie sich vor, Ihr Bankkonto hat eine digitale Signatur (ein einzigartiges Siegel), die beweist, dass Ihnen das Geld gehört. Der Shor-Algorithmus ist wie ein magisches Gerät, das Ihr öffentliches Siegel betrachten und sofort Ihren geheimen privaten Schlüssel entschlüsseln kann.
  • Das Ergebnis: Wenn ein Quantencomputer dies erreicht, kann er Ihre Signatur fälschen und Ihre Münzen stehlen. Das ist die Gefahr.
• Die vermeintliche Bedrohung (Grover-Algorithmus): Das schnelle Raten.
  • Die Analogie: Bitcoin-Mining ist wie eine riesige Lotterie, bei der Computer Zahlen raten, um zu gewinnen. Der Grover-Algorithmus ist wie ein Geschwindigkeitsboost beim Raten. Er lässt den Computer doppelt so schnell raten (oder genauer gesagt: mit der Quadratwurzel der Zeit).
  • Das Ergebnis: Die Arbeit sagt, dies ist kein Problem. Es ist, als würde man einem Menschen einen etwas schnelleren Taschenrechner in einem Rennen gegen einen Ferrari geben. Das Netzwerk würde einfach die Schwierigkeit anpassen (die Lotterie schwerer machen), und der Quantencomputer wäre immer noch zu langsam, um die Kontrolle zu übernehmen. Das Mining ist sicher.

2. Der Zeitplan: „Bald“, aber nicht „Jetzt“

Wann wird diese magische „Generalschlüssel“-Maschine existieren?

• Heute: Wir haben sie nicht. Die besten Maschinen, die wir heute haben, sind wie ein einzelnes Fahrrad im Vergleich zu dem Supertanker, der benötigt wird, um die Schlösser zu brechen. Wir sind etwa 400 bis 500 Mal davon entfernt, die nötige Leistung zu besitzen.
• Die Prognose: Die Autoren haben eine komplexe Simulation durchgeführt (wie eine Wettervorhersage), die Expertenmeinungen und den Fortschritt der Hardware kombiniert.
  • Bis 2035: Es gibt eine Wahrscheinlichkeit von etwa 1 zu 6, dass die Maschine existiert.
  • Bis 2040: Die Chance steigt auf 30 %.
  • Bis 2050: Die Chance liegt bei etwa 60 %.
• Das Fazit: Es ist keine „Panikzeit“, aber es ist definitiv „Zeit, die Koffer zu packen“. Wir haben ein Fenster von vielleicht 10 bis 15 Jahren, um die Dinge zu regeln, bevor die Maschine eintrifft.

3. Wer ist tatsächlich in Gefahr? (Die „exponierten“ Coins)

Nicht jeder Bitcoin oder Ethereum-Coin ist gefährdet. Es kommt darauf an, wo das „Siegel“ (der öffentliche Schlüssel) sichtbar ist.

• Die Sicherheitszone (Frische Adressen): Wenn Sie Ihr Geld in eine brandneue, ungenutzte Adresse legen, ist Ihr geheimer Schlüssel hinter einem Einwegspiegel verborgen. Selbst ein Quantencomputer kann ihn nicht sehen, bis Sie versuchen, das Geld auszuge besten.
• Die Gefahrenzone (Wiederverwendete Adressen): Wenn Sie schon einmal von einer Adresse aus getätigt haben, ist Ihr „Siegel“ nun für immer öffentlich auf der Blockchain sichtbar. Ein Quantencomputer könnte jedes Geld stehlen, das dort liegt.
• Die „Verlorene“ Zone (Unvermeidbares Risiko):
  • Bitcoin: Etwa 2,3 Millionen Coins sind „dormant“ (schlafend – verlorene Schlüssel oder aus den ganz frühen Tagen wie von Satoshi). Diese Besitzer können sie nie wieder bewegen. Wenn der Quantencomputer kommt, sind diese Coins für immer weg. Dies ist ein permanenter Verlust, aber es ist eine feste Menge (et und etwa 12 % aller Bitcoins).
  • Ethereum: Da Ethereum wie ein Bankkonto funktioniert (wo man dieselbe Adresse wiederholt), sind etwa 50–65 % aller Ether derzeit „exponiert“. Im Gegensatz zu den verlorenen Bitcoins können diese Besitzer ihr Geld jedoch noch in Sicherheit bringen.

4. Das Rennen: Können wir es rechtzeitig reparieren?

Die Arbeit vergleicht die Zeit, die für das Software-Upgrade (Migration) benötigt wird, mit der Zeit, bis der Quantencomputer ankommt.

• Der Upgrade-Plan: Wir haben bereits die neuen „quantensicheren“ Schlösser (Standards wurden 2024 finalisiert).
  • Ethereum hat einen einfachen Weg: Es kann einzelne Konten erlauben, ihre Schlösser nacheinander zu aktualisieren, ohne das gesamte Netzwerk abzuschalten.
  • Bitcoin hat einen schwierigeren Weg: Es erfordert eine massive gemeinschaftliche Einigung, um die Regeln zu ändern, was politisch schwierig ist.
• Das Rennergebnis: Wenn wir jetzt mit dem Upgrade beginnen (2026), werden wir die Aufgabe bis 2029–2031 abgeschlossen haben. Das liegt selbst vor der optimistischsten Vorhersage, wann der Quantencomputer ankommt (2035), um mehrere Jahre voraus.
• Die wahre Gefahr: Der einzige Weg, wie wir verlieren, ist durch Verzögerung. Wenn die Gemeinschaft zu lange streitet und erst 2033 beginnt, könnten wir mit offener Tür erwischt werden.

5. Das große Ganze (Andere Kryptowährungen)

Die Autoren haben die Top 20 Kryptowährungen untersucht.

• Die schlechte Nachricht: Keine von ihnen ist bisher vollständig sicher. Sie verwenden alle die gleiche Art von „Schlössern“, die Quantencomputer brechen können.
• Die gute Nachricht: Einige (wie XRP und Solana) testen bereits neue Schlösser. Andere (wie Dogecoin) hinken hinterher.
• Die Lehre: Es spielt keine Rolle, welche Mathematik sie verwenden; entscheidend ist, ob sie einen Plan für ein Upgrade haben und ob sie ihre Schlüssel verstecken, bis das Geld ausgegeben wird.

Zusammenfassung: Was sollten Sie tun?

Die Arbeit schließt mit einer Haltung der „Vorbereiteten Dringlichkeit“, nicht der Panik.

1. Für Nutzer: Verwenden Sie alte Adressen nicht mehr. Wenn Sie Geld in einer alten, wiederverwendeten Adresse haben, verschieben Sie es auf eine frische Adresse. Planen Sie den Wechsel zu „quantensicheren“ Wallets, sobald diese verfügbar sind.
2. Für die Netzwerke: Beginnen Sie sofort mit dem Upgrade-Prozess. Warten Sie nicht auf einen Notfall.
3. Der Kernpunkt: Die Bedrohung ist real und der Zeitplan wird kürzer, aber das Problem ist lösbar. Das Einzige, was das System brechen kann, ist, wenn wir zu langsam beim Reparieren sind. Der „unvermeidbare“ Verlust (die verlorenen Coins) ist klein und bekannt, aber der Rest des Netzwerks kann gerettet werden.

Technische Zusammenfassung

Technische Zusammenfassung: Quantum Horizon

Problemstellung
Das Paper befasst sich mit der Bedrohung der kryptografischen Sicherheit von Bitcoin und Ethereum durch das Quantencomputing. Es zielt speziflich auf die Vermischung zweier unterschiedlicher Quantenalgorithmen ab: Shors Algorithmus, der elliptische digitale Signaturen bedroht (ECDSA auf secp256k1 und BLS auf BLS12-381), und Grovers Algorithmus, der die unstrukturierte Suche beschleunigt. Die zentrale Frage ist, ob ein kryptografisch relevanter Quantencomputer (CRQC) entstehen wird, bevor diese Netzwerke zu Post-Quanten-Standards migrieren können, und wie groß das Ausmaß der Exposition für bestehende Bestände ist.

Methodik
Die Autoren verwenden einen facettenreichen Ansatz, der Ressourcenabschätzung, Hardware-Modellierung und Chain-Analyse kombelt:

• Ressourcenabschätzung: Das Paper synthetisiert algorithmische Fortschritte (speziell die Reduktion der Toffoli-Gate-Anzahlen für die Faktorisierung in den Jahren 2025–2026) mit Hardware-Skalierungsmodellen. Es unterscheidet zwischen logischen Qubits (fehlerkorrigiert) und physischen Qubits und wendet einen „Fault-Tolerance Readiness Lag“ an, um die technologische Lücke zwischen rohen Qubit-Zahlen und funktionsfähigen Maschinen zu berücksichtigen.
• Monte-Carlo-Prognose: Um die Ankunft eines CRQC vorherzusagen, integriert das Modell vier Signale: (1) die sinkenden Ressourcenanforderungen aufgrund algorithmischer Verbesserungen, (2) Hardware-Skalierungsraten (Verdopplung der physischen Qubits), (3) den Fault-Tolerance Readiness Lag und (4) Expertenbefragungen (Global Risk Institute, Mosca). Anstatt diese divergierenden Signale zu mitteln, bewahrt das Modell deren Uneinigkeit, was zu einer bimodalen Wahrscheinlichkeitsverteilung führt.
• Expositionsanalyse: Das Paper führt eine granulare On-Chain-Analyse von Bitcoin und Ethereum durch, um zwischen „irreduziblem“ Risiko (schlafende/verlorene Coins) und „migrierbarem“ Risiko (aktive Coins) zu unterscheiden. Es nutzt Chain-Scans, um den Prozentsatz des Angebots zu quantifizieren, bei dem öffentliche Schlüssel dauerhaft offengelegt sind gegenüber solchen, die hinter Hash-basierten Adressen verborgen sind.
• Modellierung der Mining-Wettbewerbsfähigkeit: Ein kalibriertes Modell evaluiert die Auswirkungen von Grovers Algorithmus auf Proof-of-Work (PoW), unter Berücksierung von fehlertoleranten Kosten pro Operation, Parallelisierungsgrenzen und Netzwerk-Schwierigkeitsanpassungen.

Wesentliche Beiträge

1. Entkopplung der Bedrohungen: Das Paper trennt rigoros die Bedrohung der Signaturen (Shor) von der Bedrohung des Minings (Grover). Es kommt zu dem Schluss, dass während Signaturen verwundbar sind, das PoW-Mining durch quadratische Einschränkungen, hohe Fehlertoleranzkosten und die Quadratwurzel-Parallelisierungswand nicht signifikant bedroht ist.
2. Bimodale Zeitplanprognose: Anstatt einer Schätzpunkt-Angabe präsentiert das Paper eine bimodale Verteilung für die Ankunft eines CRQC. Ein Modus spiegelt Expertenbefragungen wider (zentriert um ~2038–2040), der andere spiegelt Bottom-up-Physikmodelle wider (zentriert um ~2052). Die kombinierte Prognose weist eine Chance von etwa 1 zu 6 für einen CRQC bis 2035 aus, die auf ~60 % bis 2050 ansteigt.
3. Expositions-Stratifizierung: Die Autoren quantifizieren den „irreduziblen“ Risikoboden. Für Bitcoin schätzen sie, dass 2,3 Millionen BTC (12 % des Angebots) irreduzibel gefährdet sind (schlafend/verloren), während ~3,7 Millionen BTC migrierbar sind. Für Ethereum schätzen sie, dass 50–65 % des Angebots in „genutzten“ Accounts mit offengelegten Schlüsseln liegen, merken jedoch an, dass dies weitgehend via Account Abstraction migrierbar ist.
4. Governance als bindende Beschränkung: Das Paper argumentiert, dass der primäre Engpass nicht die technologische Machbarkeit, sondern die Governance ist. Eine rechtzeitige Migration ab 2026 wird voraussichtlich bis 2029–2031 abgeschlossen sein und damit selbst einen optimistischen CRQC im Jahr 2035 überholt. Das Risiko des Scheiterns liegt in der Governance-Paralyse, nicht in der Unfähigkeit, Post-Quanten-Kryptografie zu implementieren.

Ergebnisse

• Hardware-Lücke: Stand Juni 2026 besitzt die beste Hardware ~1.000–1.200 physische Qubits und höchstens ~100 logische Qubits. Das Brechen von secp256k1 erfordert ~1.200–2.330 logische Qubits, was eine Lücke von 400–500× gegenüber aggressiven Schätzungen impliziert, und um Größenordnungen größer gegenüber konservativen Schätzungen ist.
• Mining-Sicherheit: Eine einzelne Quantenmaschine mit einer optimistischen Gate-Geschwindigkeit von 100 GHz würde ~21 TH/s erreichen, was etwa einem Zehntel eines modernen ASICs entspricht. Die Netzwerk-Schwierigkeitsanpassung würde jeden Quanten-Mining-Vorteil neutralisieren, wodurch die Bedrohung durch einen „Quanten-Miner“ vernachlässigbar wird.
• Verteilung der Verwundbarkeit:
  • Bitcoin: ~30 % des Angebots sind im Ruhezustand quantenexponiert. Davon sind ~12 % irreduzibel (schlafend/verloren) und ~19 % migrierbar.
  • Ethereum: ~50–65 % des Angebots sind aufgrund von Account-Reuse im Ruhezustand exponiert, aber die Exposition ist strukturell leichter über Account Abstraction (EIP-7702/8141) zu beheben als das Bitcoin-UTXO-Modell.
• Marktreife: Eine Umfrage unter den Top-20-Kryptowährungen zeigt, dass keine vollständig Post-Quanten-fähig ist. Die Bereitschaft wird durch den Migrationsfortschritt und Expositionsmodelle (UTXO vs. Account) bestimmt und nicht durch die spezifische Kurve, die verwendet wird. Bitcoin und Ethereum befinden still am weniger fertigen Ende der großen Chains aufgrund der Governance-Komplexität, obwohl sie konkrete Migrationspfade haben.

Bedeutung und Behauptungen
Das Paper behauptet, dass die Quantenbedrohung für Bitcoin und Ethereum real, breit gefächert, aber begrenzt und wesentlich abmilderbar ist.

• Abmilderbarkeit: Die Bedrohung beschränkt sich auf digitale Signaturen; die zugrunde liegenden Konsensmechanismen (PoW/PoS) und Hash-Funktionen bleiben sicher.
• Handlungsfähigkeit: Die „bindende Beschränkung“ ist die Geschwindigkeit der Governance. Die Autoren behaupten, dass eine zeitnahe Migration ab 2026 es den Netzwerken ermöglicht, Upgrades Jahre vor der wahrscheinlichen Ankunft eines CRQC abzuschließen.
• Restrisiko: Der einzige unheilbare Verlust ist der „irreduzible Kern“ schlafender Coins (z. B. Satoshi-Ära Bitcoin), was einen begrenzten, charakterisierbaren Verlust darstellt und keinen systemischen Kollaps.
• Haltung: Das Paper plädiert für „vorbereitete Dringlichkeit“ statt für Alarmismus. Es kommt zu dem Schluss, dass sich der Zeitrahmen aufgrund algorithmischer Fortschritte zwar verkürzt hat, das Zeitfenster für die Migration jedoch offen bleibt, sofern dezentrale Communities effektiv koordinieren, um Post-Quanten-Standards (wie NISTs ML-DSA und SLH-DSA) zu aktivieren, bevor ein CRQC auftritt.