Machen Sie sich keine Sorgen mehr über die Quantenbedrohung durch Bitcoin – Warum Google Ihre BTC nicht stehlen kann und schlechte Akteure Jahrzehnte im Rückstand sind

Der Stand des Quantencomputings und was nötig wäre, um Bitcoin zu bedrohen

Das Quantencomputing hat in den letzten 18 Monaten erhebliche Fortschritte gemacht, aber der Bereich befindet sich weiterhin im Übergang von lauter Hardware zu früher Fehlertoleranz.

Die Schlüsselverschiebung geht weg von der reinen Anzahl physischer Qubits und hin zu logischen Qubits, Gate-Treue, Laufzeit und Fehlerkorrektur. Diese Verschiebung ist für Bitcoin wichtig, da Risikoschätzungen eher von logischen Qubits und fehlertoleranten Operationen als von Gesamthardware-Gesamtzahlen bestimmt werden.

Wie ist der aktuelle Stand der Fortschritte im Quantencomputing?

Der Fortschritt ist an drei Fronten sichtbar: Fehlerkorrektur unterhalb des Schwellenwerts, kleine Demonstrationen logischer Qubits und tiefere Schaltkreise mit geringerem Rauschen.

Ende 2024 demonstrierte der Willow-Chip von Google eine Fehlerkorrektur unterhalb des Schwellenwerts, wobei die Fehlerraten mit zunehmender Skalierung des codierten Systems sanken. IBM gibt an, dass seine aktuellen Systeme bestimmte Schaltkreise mit mehr als 5.000 Zwei-Qubit-Gattern betreiben können, und hat einen Fahrplan für ein fehlertolerantes System mit 200 logischen Qubits bis 2029 veröffentlicht.

Quantinuum hat 48 fehlerkorrigierte logische Qubits und 64 fehlererkannte logische Qubits aus 98 physischen Qubits gemeldet, zusammen mit 50 fehlererkannten logischen Qubits auf Helios mit einer Leistung, die besser als die Gewinnschwelle ist. Microsoft und Atom Computing berichteten über 24 verschränkte logische Qubits und Berechnungen mit 28 logischen Qubits auf Hardware mit neutralen Atomen.

Dem Sektor mangelt es weiterhin an einer großen fehlertoleranten Maschine. Das ist einer der Gründe, warum es die Quantum Benchmarking Initiative der DARPA gibt.

Ihr Ziel ist ein Quantencomputer, dessen Rechenwert bis 2033 seine Kosten übersteigt, und die Agentur validiert immer noch konkurrierende Architekturen, anstatt zu bescheinigen, dass ein Team diesen Punkt bereits erreicht hat.

Was können Quantencomputer heute?

Die heutigen Systeme können mit Glaubwürdigkeit vier Dinge tun. Sie können Benchmark-Aufgaben ausführen, die über klassische Brute-Force-Methoden hinausgehen, darunter Googles Random Circuit Sampling und neuere Arbeiten zu Quantenechos.

Sie können begrenzte, spezialisierte Simulationen in Physik und Chemie durchführen, oft in hybriden Arbeitsabläufen mit klassischem Hochleistungsrechnen. Sie können logische Qubits und fehlertolerante Unterprogramme im kleinen Maßstab demonstrieren. Sie fungieren auch als Prüfstände für Fehlerkorrektur-, Dekodierungs- und Steuerungssysteme.

Was sie heute nicht tun können, ist der Teil, der für Bitcoin zählt.

Kein öffentliches System verfügt auch nur annähernd über die Anzahl logischer Qubits, das fehlertolerante Gate-Budget oder die anhaltende Laufzeit, die für kryptografisch relevante Angriffe auf secp256k1 erforderlich sind. Googles Willow enthält 105 physikalische Qubits.

Die führenden öffentlichen Demonstrationen logischer Qubits gehen nach wie vor in die Zehner- und nicht in die Tausenderklasse. Eine aktuelle Schätzung von Google-Forschern und Co-Autoren geht davon aus, dass ein Bitcoin-relevanter Angriff im Bereich von 1.200 bis 1.450 logischen Qubits und zig Millionen Toffoli-Gattern liegt, was eine große Lücke zwischen aktuellen Maschinen und einem kryptografisch relevanten System hinterlässt.

Was ist von hier aus erforderlich, um Quantencomputer zu schaffen, die Bitcoin auf einer bestimmten Ebene knacken können?

Der kritische Schwellenwert ist ein kryptografisch relevanter Quantencomputer, der Shors Algorithmus gegen das Problem des diskreten Logarithmus mit elliptischen Kurven auf secp256k1 ausführen kann.

Laut dem Google-Papier vom März 2026 könnten weniger als 1.200 logische Qubits und 90 Millionen Toffoli-Gatter bzw. weniger als 1.450 logische Qubits und 70 Millionen Toffoli-Gatter ECDLP-256 prinzipiell lösen.

Unter supraleitenden Annahmen mit 10-3 physikalischen Fehlerraten und planarer Konnektivität schätzen die Autoren, dass ein solcher Angriff mit weniger als 500.000 physikalischen Qubits in Minuten ausgeführt werden könnte.

Das stellt das technische Problem dar. Der Weg nach vorn ist nicht einfach ein linearer Aufstieg von etwa 100 physikalischen Qubits auf 500.000. Die schwierigere Herausforderung besteht darin, eine große Anzahl stabiler logischer Qubits aufzubauen, Dutzende Millionen fehlertoleranter Operationen aufrechtzuerhalten, schnelle Zykluszeiten zu erreichen und all dies mit Echtzeitdekodierung, kryogenen oder photonischen Verbindungen, klassischer Steuerung und herstellbaren Modulen zu integrieren.

In derselben Arbeit wird argumentiert, dass schnell taktende Systeme wie supraleitende und photonische Plattformen für On-Spend-Angriffe relevanter sind als langsamer taktende Systeme wie Ionenfallen und neutrale Atome, da die Laufzeit innerhalb eines Mempool-Fensters entscheidend sein kann.

Für Bitcoin bedeutet „auf einer bestimmten Ebene zu knacken“ nicht, dass das Netzwerk in einem Schritt zerstört wird. Das frühere Risiko besteht darin, private Schlüssel von offengelegten öffentlichen Schlüsseln wiederherzustellen oder Ausgaben anzugreifen, während öffentliche Schlüssel sichtbar sind.

In seiner Forschungsoffenlegung zu Schwachstellen in Kryptowährungen sagt Google, dass Blockchains, die auf ECDLP-256 basieren, einen Post-Quantum-Migrationspfad benötigen und weist auf kurzfristige Abhilfemaßnahmen hin, wie etwa die Vermeidung offengelegter oder wiederverwendeter anfälliger Wallet-Adressen.

Ist Googles jüngste Prognose für 2029 wirklich realistisch?

Diese Frage bedarf einer Unterscheidung. In Googles eigener Sprache ist 2029 ein Post-Quantum-Migrationsziel, kein endgültiges Datum für eine Bitcoin-Knackermaschine.

Am 25. März 2026 gab Google bekannt, dass es einen Zeitplan dafür festlegt