Zum Inhalt springen
Finanzen & FinTech

Bitcoin-Apokalypse auf Abruf: 6,9 Millionen BTC durch Quantencomputer gefährdet

Quantencomputer Bitcoin, Post-Quantum-Kryptographie, Coinbase Q-Day – Analyst prüft Coinbase-Daten zu quantengefährdeten Bitcoin-Adressen auf großem Bildschirm
6,9 Millionen Bitcoin gelten laut Coinbase als quantenverwundbar – die Analyse läuft längst in den Risikoabteilungen der Börsen. (Symbolbild)

6,9 Millionen Bitcoin gelten laut aktuellem Coinbase-Jahresausblick als quantenverwundbar – fast ein Drittel aller jemals geschürften Coins. Rechnen wir nach, was diese Zahl wirklich bedeutet, wie akut die Gefahr durch Quantencomputer für Bitcoin tatsächlich ist und warum Post-Quantum-Kryptographie plötzlich vom Nischenthema zur Pflichtlektüre für jeden Wallet-Besitzer wird.

Seit wenigen Tagen kursiert eine Zahl durch die Finanzpresse, die selbst hartgesottene Krypto-Anleger aufhorchen lässt: 6,9 Millionen Bitcoin, verteilt über Adressformate, die für künftige Quantenangriffe offenstehen. Die Zahl stammt aus dem aktuellen Coinbase-Jahresausblick und wurde binnen 72 Stunden von Fortune bis Finanzen.net aufgegriffen. Unter dem Strich handelt es sich um die erste wirklich harte Zahlenbasis für ein Narrativ, das bislang eher als Science-Fiction-Warnung durch die Szene geisterte: den sogenannten Q-Day, den Tag, an dem ein Quantencomputer erstmals in der Lage wäre, die Signaturen hinter Bitcoin-Adressen zu knacken.

Die Zahl, die Coinbase jetzt konkret vorlegt

Konkret beziffert Coinbase die Menge quantenvulnerabler Bitcoin auf eine Spanne von 6,51 bis 6,9 Millionen BTC. Das betrifft vor allem zwei Adresstypen: klassische P2PK-Adressen aus der Frühzeit der Blockchain und Wallets, deren Empfangsadresse mehrfach genutzt wurde. Bei beiden liegt der öffentliche Schlüssel bereits sichtbar in der Blockchain – und genau der öffentliche Schlüssel ist der Angriffspunkt, den ein ausreichend starker Quantencomputer für Bitcoin theoretisch ausnutzen könnte.

Zum Vergleich: Andere On-Chain-Analysen kommen auf ähnliche Größenordnungen. Das Analyseprojekt Project Eleven schätzt rund 6,7 Millionen BTC beziehungsweise etwa ein Drittel des zirkulierenden Angebots als betroffen ein. Chaincode Labs zieht eine breitere Spanne von 4 bis 10 Millionen BTC, je nachdem, wie stark man Adress-Wiederverwendung gewichtet. Auch ARK Invest kommt in eigenen Auswertungen auf rund 35 Prozent des Gesamtangebots als „theoretisch“ gefährdet. Die exakte Zahl schwankt also je nach Methodik – die Größenordnung von einem Viertel bis einem Drittel des Bestands bleibt aber über alle Quellen hinweg erstaunlich stabil.

Besonders brisant: Rund 1,7 Millionen dieser gefährdeten Coins liegen in P2PK-Adressen aus der Satoshi-Ära, also den frühesten Blöcken der Bitcoin-Geschichte. Diese Coins wurden seit über einem Jahrzehnt nicht bewegt. Niemand weiß, ob ihre Eigentümer überhaupt noch Zugriff haben – aber sie bilden den größten einzelnen Honigtopf für einen zukünftigen Angriff.

Was macht diese Wallets eigentlich verwundbar?

Um zu verstehen, warum ausgerechnet diese 6,9 Millionen Bitcoin im Fokus stehen, muss man kurz auf die Kryptographie schauen, die Bitcoin absichert. Jede Transaktion wird über ECDSA beziehungsweise das Schnorr-Signaturverfahren auf der elliptischen Kurve secp256k1 signiert. Beide Verfahren sind gegen klassische Angriffe extrem robust – gegen einen ausreichend leistungsfähigen Quantencomputer wären sie es nicht.

Der Haken liegt im Detail: Nicht jede Bitcoin-Adresse zeigt ihren öffentlichen Schlüssel offen. Moderne SegWit-Adressen im bc1q-Format verstecken den Public Key so lange, bis tatsächlich eine Transaktion ausgeführt wird. Wer sein Guthaben also nie bewegt, hält den Schlüssel geheim. Bei alten P2PK-Adressen und bei jeder Adresse, die schon einmal für eine ausgehende Transaktion genutzt wurde, liegt der öffentliche Schlüssel dagegen dauerhaft offen in der Blockchain – lesbar für jeden, der genügend Rechenleistung mitbringt.

Genau hier setzt auch die Diskussion um Taproot an, das seit 2021 aktive Upgrade, das Bitcoin-Transaktionen effizienter und privater machen sollte. Fachleute weisen darauf hin, dass Taproot in bestimmten Nutzungsszenarien mehr öffentliche Schlüssel sichtbar macht als ältere Formate – ein Nebeneffekt, der den potenziell angreifbaren Bestand langfristig eher vergrößern als verkleinern könnte, sofern Bitcoin bis dahin nicht auf quantensichere Signaturen umgestellt hat.

Das Google-Papier, das die Debatte neu befeuert

Der eigentliche Auslöser der aktuellen Aufregung ist ein Whitepaper von Google Quantum AI, das die benötigte Hardware für einen praktischen Angriff auf Bitcoin-Signaturen deutlich niedriger ansetzt als frühere Schätzungen. Statt der bislang kolportierten Millionen physischer Qubits kalkulieren die Google-Forscher mit rund 1.200 bis 1.450 logischen Qubits und weniger als 500.000 physischen Qubits – nach eigenen Angaben etwa zwanzigmal weniger als noch vor wenigen Jahren angenommen. Genau dieser reduzierte Rechenaufwand ist der Kern des News-Hooks, der Coinbase, Fortune und diverse Fachmedien in den vergangenen Tagen beschäftigt hat.

Rechnerisch skizziert das Papier sogar ein Zeitfenster für einen sogenannten Live-Angriff: Wird eine Transaktion ins Mempool gesendet, bevor sie im Block bestätigt ist, läge der öffentliche Schlüssel für wenige Minuten offen sichtbar da. Mit vorberechneten Daten kalkulieren die Autoren ein Angriffsfenster von etwa 9 bis 23 Minuten, mit einer Erfolgswahrscheinlichkeit von rund 41 Prozent innerhalb der ersten 9 Minuten – vorausgesetzt, der nötige Quantencomputer würde bereits existieren. Genau dieses „vorausgesetzt“ ist der entscheidende Konjunktiv, den viele Schlagzeilen der letzten Tage großzügig unterschlagen haben.

Rechenbeispiel: Was ein Q-Day für ein Depot bedeuten würde

Rechnen wir nach, was das konkret heißen könnte, wenn man es einmal durchspielt. Nehmen wir zur Illustration einen Bitcoin-Kurs von 90.000 Euro als reine Modellgröße. Wer 0,5 BTC in einer alten, mehrfach genutzten Adresse hält, hätte in diesem Rechenbeispiel 45.000 Euro in einem theoretisch angreifbaren Format liegen. Bei den geschätzten 6,9 Millionen betroffenen Coins insgesamt ergäbe das – rein rechnerisch, ohne Kursprognose – einen Gegenwert von weit über 600 Milliarden Euro, der im Ernstfall eines funktionierenden Quantencomputers theoretisch exponiert wäre.

Der Haken an dieser Milliardensumme: Sie ist ein Was-wäre-wenn-Szenario, kein Kontostand. Damit aus der Zahl ein echtes Risiko wird, braucht es einen kryptographisch relevanten Quantencomputer, der heute schlicht nicht existiert. Zum Vergleich mit der aktuellen Realität: Der leistungsstärkste öffentlich bekannte Quantenchip aus dem Google-Umfeld arbeitet mit rund 105 Qubits – meilenweit entfernt von den benötigten Hunderttausenden fehlerkorrigierten physischen Qubits. Wer also mit dem Gedanken spielt, in Panik seine Coins zu verschieben, sollte sich diese Kluft zwischen Theorie und Hardware-Realität bewusst machen.

Nutzer migriert Bitcoin-Wallet auf quantensicheres Adressformat gegen Post-Quantum-Kryptographie-Risiken
Weg von alten P2PK-Adressen: Die Migration zu modernen Wallet-Formaten ist der erste konkrete Schutzschritt. (Symbolbild)

Der Haken: Wie akut ist die Gefahr wirklich?

Meine persönliche Einschätzung nach der Lektüre etlicher Fachanalysen: Das Q-Day-Narrativ ist eines der seltenen Fälle, in denen die Schlagzeile dramatischer klingt als die Faktenlage. Ja, die Bedrohung durch Quantencomputer für Bitcoin ist real und verdient Aufmerksamkeit. Nein, sie steht nicht kurz vor der Tür. Die überwiegende Mehrheit seriöser Einschätzungen – von NIST-nahen Analysten bis zu ARK Invest – siedelt einen praktisch relevanten Quantencomputer eher in den 2030er-Jahren an, manche Stimmen sogar erst um 2040.

Woran liegt diese Diskrepanz zwischen Kurzfrist-Angst und Langfrist-Realität? Vor allem an der Fehlerkorrektur. Aktuelle Quantensysteme liefern zwar beeindruckende Qubit-Zahlen im niedrigen vierstelligen Bereich, doch ohne stabile Fehlerkorrektur sind diese Qubits für einen Angriff auf ECDSA praktisch wertlos. Zwischen „viele Qubits besitzen“ und „viele fehlerkorrigierte, stabile Qubits im Verbund betreiben“ liegt technologisch ein Abstand, den selbst optimistische Fahrpläne nicht in wenigen Jahren schließen.

Ist das ein Grund zur Entwarnung? Nicht ganz. Denn Kryptographie-Migration ist kein Projekt, das man in einem Wochenende umsetzt. Wenn ein Netzwerk mit der Marktkapitalisierung von Bitcoin seine Signaturverfahren austauschen muss, braucht es Jahre für Konsensbildung, Software-Updates und die Migration alter Wallets. Genau deshalb mahnen Google-Forscher selbst zur frühzeitigen Vorbereitung, obwohl der eigentliche Angriffszeitpunkt noch in weiter Ferne liegt.

Was Quantencomputer nicht bedrohen: das Mining

Ein Missverständnis, das sich hartnäckig durch Kommentarspalten zieht, betrifft das Mining. Bitcoin-Mining basiert auf dem Hash-Algorithmus SHA-256, nicht auf der elliptischen Kurve, die für Signaturen genutzt wird. Fachquellen sind sich einig, dass Quantencomputer beim SHA-256-basierten Proof-of-Work keinen praktisch relevanten Vorteil bringen. Die Sorge betrifft also gezielt die Signaturen, mit denen Ausgaben autorisiert werden – nicht die Mechanik, die neue Blöcke erzeugt und das Netzwerk absichert.

Diese Unterscheidung ist mehr als Kryptographie-Pedanterie. Sie erklärt, warum selbst im theoretischen Q-Day-Szenario das Bitcoin-Netzwerk als Ganzes nicht kollabiert, sondern konkret jene Adressen betroffen wären, deren öffentlicher Schlüssel bereits offenliegt. Ein Systemcrash und ein gezielter Angriff auf einzelne Wallet-Typen sind zwei völlig unterschiedliche Bedrohungsstufen – auch wenn manche Schlagzeilen der letzten Tage das gerne verschwimmen lassen.

Historische Parallelen: Kryptographie-Wechsel sind kein Neuland

Wer den Q-Day für eine beispiellose Bedrohung hält, übersieht, dass die IT-Sicherheitsbranche solche Übergänge bereits mehrfach gemeistert hat. Als der Hash-Algorithmus SHA-1 zunehmend als unsicher eingestuft wurde, dauerte es über ein Jahrzehnt, bis Browser, Zertifizierungsstellen und Betriebssysteme flächendeckend auf SHA-256 umgestellt hatten. Die technische Lösung stand früh bereit, die eigentliche Herausforderung lag in der jahrelangen, koordinierten Umstellung Millionen einzelner Systeme.

Für Bitcoin gilt ein ähnliches Muster, nur mit einer Besonderheit: Es gibt keine zentrale Instanz, die ein Update verordnen kann. Jede Anpassung der Signaturverfahren muss durch einen Konsens von Node-Betreibern, Minern und Wallet-Anbietern getragen werden – ein Prozess, der schon bei früheren Upgrades wie Taproot mehrere Jahre gedauert hat. Genau diese strukturelle Trägheit, nicht die Kryptographie-Entwicklung selbst, ist der eigentliche Flaschenhals einer künftigen Post-Quantum-Migration.

Post-Quantum-Kryptographie: Was die Szene bereits vorbereitet

Während die Öffentlichkeit über Q-Day-Szenarien diskutiert, arbeitet die Fachwelt längst an der Antwort: Post-Quantum-Kryptographie. Das US-Standardisierungsinstitut NIST hat entsprechende Algorithmen bereits standardisiert, darunter Signaturverfahren wie CRYSTALS-Dilithium, die auf gitterbasierten Problemen statt elliptischen Kurven beruhen und als resistent gegen bekannte Quantenalgorithmen gelten. Für Bitcoin selbst existieren seit Anfang 2025 erste experimentelle Testnetze, die quantenresistente Adressformate und Signaturen erproben – bislang rein im Versuchsstadium, aber ein erstes konkretes Zeichen, dass die Migration technisch vorbereitet wird.

Auch aus der Anlegerperspektive gibt es bereits Bewegung: Initiativen wie Paradigm PACTs zielen darauf ab, Bitcoin-Wallets gegen künftige Quantenangriffe zu härten, indem sie Nutzer zu sichereren Adressformaten und Migrationspfaden anleiten. Das zeigt: Post-Quantum-Kryptographie ist längst kein akademisches Gedankenspiel mehr, sondern ein Themenfeld mit konkreten Produkten und Protokoll-Vorschlägen.

Der Coinbase-Bericht selbst liest sich dabei weniger als Alarmglocke, sondern eher als strategisches Frühwarnsystem für institutionelle Anleger. Wer Milliarden an Kundengeldern verwaltet, kann sich ein „Wir schauen dann, wenn es passiert“ schlicht nicht leisten. Genau das dürfte der eigentliche Grund sein, warum ausgerechnet eine Börse wie Coinbase jetzt erstmals so präzise Zahlen vorlegt: Es geht um Risikomanagement, nicht um Panikmache.

Was Anleger jetzt konkret tun können

Wer sein Bitcoin-Depot quantenresistenter aufstellen möchte, muss nicht auf ein Protokoll-Upgrade warten. Drei Schritte lassen sich schon heute umsetzen. Erstens: Adress-Wiederverwendung konsequent vermeiden, denn jede erneute Nutzung derselben Empfangsadresse legt den öffentlichen Schlüssel offen. Zweitens: Guthaben aus alten P2PK-Formaten oder mehrfach genutzten Legacy-Adressen in moderne SegWit-Wallets im bc1q-Format überführen, bei denen der Public Key erst im Moment einer ausgehenden Transaktion sichtbar wird. Drittens: Wallets aus der Frühzeit von Bitcoin, insbesondere aus den Jahren 2009 bis 2014, auf aktuelle Wallet-Software migrieren, statt sie unangetastet liegen zu lassen.

Der Aufwand dafür ist überschaubar, die Rendite in Sicherheit dagegen erheblich – vorausgesetzt, man handelt, bevor ein Q-Day überhaupt zum realen Szenario wird und nicht erst, wenn die Schlagzeilen wieder lauter werden. Institutionelle Anleger, die größere Bestände verwalten, sollten zusätzlich die Entwicklung der NIST-Standards und etwaiger Bitcoin-Protokoll-Vorschläge zur Post-Quantum-Migration im Blick behalten, denn wer hier früh vorbereitet ist, spart sich später eine hektische Umstellung unter Zeitdruck.

Wie das Thema medial eingeordnet wird, zeigt sich exemplarisch am aktuellen Bericht bei Finanzen.net, während Fachplattformen wie Trending Topics den Q-Day zusätzlich in den größeren Kontext von Banken und Finanzsektor einordnen. Einen breiteren Blick auf Quanten- und Blockchain-Trends liefert zudem das Krypto-Magazin.

Gegenstimmen: Wird die Gefahr überschätzt?

Nicht alle Fachleute teilen die Dringlichkeit, mit der Coinbase und Google Quantum AI das Thema derzeit adressieren. Kritiker verweisen darauf, dass die Fehlerkorrektur-Hürde in der Praxis systematisch unterschätzt wird: Jede zusätzliche logische Qubit-Stufe erfordert überproportional mehr physische Qubits, und bislang hat kein Labor gezeigt, dass sich diese Skalierung linear fortsetzen lässt. Wer aus einem theoretischen Rechenmodell eine konkrete Zeitangabe ableitet, betreibe damit letztlich Spekulation, so ein verbreiteter Einwand aus der Kryptographie-Community.

Andere Stimmen halten dagegen: Selbst wenn der Zeitpunkt ungewiss bleibt, ändere sich am Grundproblem nichts. Ein Angriff, der erst in vielen Jahren möglich wird, träfe heute offengelegte Schlüssel genauso, weil Blockchain-Daten dauerhaft öffentlich bleiben. Wer seinen öffentlichen Schlüssel heute offenlegt, kann ihn nicht nachträglich verstecken – das Risiko wird durch Zuwarten also nicht kleiner.

Was bleibt?

Unter dem Strich bleibt eine Zahl, die beeindruckt, aber keinen Grund für hektischen Aktionismus liefert: 6,9 Millionen quantenvulnerable Bitcoin sind eine reale, gut belegte Kennziffer – doch der Quantencomputer, der sie tatsächlich angreifen könnte, existiert schlicht noch nicht. Ist das nun Entwarnung oder Weckruf? Vermutlich beides zugleich. Wer heute seine Wallet aufräumt, verliert nichts außer ein paar Klicks Aufwand. Wer wartet, bis aus dem Q-Day-Narrativ ein Q-Day-Ereignis wird, könnte am Ende zu spät rechnen. Welche Adressformate liegen eigentlich noch in Ihrem eigenen Bitcoin-Bestand – und wann haben Sie zuletzt nachgesehen?

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.