Ein supraleitender Quantencomputer mit weniger als 500.000 physischen Qubits und 90 Millionen Rechenschritten würde ausreichen, um den privaten Schlüssel eines Bitcoin-Nutzers zu berechnen — und damit die kryptografische Grundlage des gesamten Systems zu brechen. Das Angriffsfenster: knapp neun Minuten, also weniger als Bitcoins durchschnittliche Blockzeit von zehn Minuten. Das beschreibt ein neues Whitepaper von Google Quantum AI, das den zugehörigen mathematischen Beweis gleich mitliefert — allerdings ohne die konkreten Quantenschaltkreise zu veröffentlichen, um keine Angriffsblaupause in Umlauf zu bringen.
Das Prinzip dahinter ist nicht neu, aber die Effizienz schon. Der sogenannte Shor-Algorithmus kann die mathematischen Strukturen klassischer Kryptografie direkt ausnutzen — was für normale Rechner eine faktisch unlösbare Suchaufgabe ist, wird für einen ausreichend großen Quantencomputer zu einem lösbaren Rechenproblem. Google hat diesen Angriff jetzt so weit optimiert, dass der Ressourcenbedarf gegenüber früheren Schätzungen um etwa eine Größenordnung gesunken ist: von neun Millionen auf unter 500.000 Qubits, von 200 Millionen auf 70 Millionen Rechenschritte.
Der Angriff selbst setzt im sogenannten Mempool an — dem öffentlich einsehbaren Wartespeicher, in dem unbestätigte Transaktionen für jedermann sichtbar sind. Dort liegt der öffentliche Schlüssel des Absenders offen. Ein Quantencomputer liest ihn aus, berechnet daraus den privaten Schlüssel und schickt eine gefälschte Transaktion mit höherer Gebühr ab — die Miner bevorzugen sie, die Original-Transaktion verschwindet. Da ein Teil der Berechnung bereits vorab erledigt werden kann, reduziert sich die effektive Angriffsdauer auf rund neun Minuten.
Wer jetzt aufatmet, weil aktuelle Systeme weit davon entfernt sind — IBMs Nighthawk-Prozessor kommt auf 120 physische Qubits, Googles Willow auf ähnliche Größenordnungen —, sollte die Warnung der Forscher ernst nehmen: Die Anforderungen an einen solchen Angriff sinken durch Algorithmusverbesserungen kontinuierlich. Manche Hersteller peilen Systeme mit zwei Millionen physischen Qubits bereits für 2030 an. Die Schwelle für einen Bitcoin-Angriff wäre damit theoretisch in der zweiten Hälfte der 2030er-Jahre in Reichweite.
Dazu kommt eine strukturelle Bedrohung, die keine Echtzeit-Fähigkeit braucht: Rund 6,9 Millionen Bitcoin sind durch bereits öffentlich sichtbare Schlüssel dauerhaft exponiert — darunter 1,7 Millionen BTC in einem veralteten Adressformat, bei dem der öffentliche Schlüssel direkt auf der Blockchain gespeichert ist. Rund 2,3 Millionen dieser Coins wurden seit mindestens fünf Jahren nicht bewegt, ihre Besitzer sind nicht erreichbar oder die Schlüssel verloren. Sie können nicht migriert werden und bleiben damit ein dauerhaftes Angriffsziel im dreistelligen Milliardenbereich — darunter Coins, die Satoshi Nakamoto selbst zugeschrieben werden.
Noch breiter ist die Angriffsfläche bei Ethereum. Dort legen Konten nach der ersten Transaktion ihren öffentlichen Schlüssel dauerhaft offen. Rund 20,5 Millionen ETH in den tausend wertvollsten Konten sind dadurch gefährdet. Besonders heikel: Wer den privaten Schlüssel eines verwaltenden Kontos kennt, kontrolliert den gesamten zugehörigen Smart Contract — und damit laut Paper rund 200 Milliarden US-Dollar in Stablecoins und tokenisierten Vermögenswerten. Beim Datenverfügbarkeitsmechanismus von Ethereum würde ein einmaliger Quantenangriff sogar ausreichen, um eine dauerhaft nutzbare Hintertür zu erzeugen, die danach ohne Quantencomputer funktioniert.
Die Empfehlung der Google-Forscher: sofortige Migration zu Post-Quantum-Kryptografie. Das US-Standardisierungsinstitut NIST hat dafür bereits erste Standards verabschiedet, das BSI empfiehlt, klassische asymmetrische Verschlüsselung ab 2032 nur noch in Kombination mit quantensicheren Verfahren einzusetzen. Für Bitcoin und Ethereum ist das alles andere als trivial: In dezentralen Netzwerken braucht jede Protokolländerung einen breiten Konsens, und allein die Übertragung aller Bitcoin auf neue, quantensichere Adressen würde beim aktuellen Transaktionsdurchsatz mehrere Monate dauern. Die Uhr tickt — auch wenn der Countdown noch in Jahren gemessen wird.
Schreibe einen Kommentar