Eine neue Forschungsarbeit von a16z crypto hat eine alte Angst neu entfacht: Wird ein leistungsfähiger Quantencomputer Bitcoin und andere Blockchains eines Tages einfach „abschalten“ können? In der Studie versucht Justin Thaler, Research Partner bei a16z und Informatikprofessor an der Georgetown University, genau diese Panik zu relativieren.
Kaum war der Text draußen, folgte allerdings scharfer Widerspruch von Investoren wie Nic Carter und Alex Pruden. Die Fronten sind klar: Das eine Lager sieht viel Hype, das andere Lager sieht echten Handlungsdruck und eine Branche, die sich in falscher Sicherheit wiegt.
a16z: „Die Quantum-Panik ist überzogen – das eigentliche Risiko liegt woanders“
In seinem Paper „Quantum computing and blockchains: Matching urgency to actual threats“ macht Thaler von Anfang an klar, dass er die gängigen „Q-Day“-Szenarien für aufgeblasen hält. Er kritisiert, viele Zeitpläne für einen kryptografisch relevanten Quantencomputer seien rein spekulativ, oft marketinggetrieben und würden Teams zu übereilten Entscheidungen treiben. Statt nüchterner Risikoabwägung entstehe eine Stimmung, in der „sofort irgendwas Post-Quantum-mäßiges“ eingebaut werden müsse – egal, wie unausgereift die Verfahren sind.
Thaler führt den Begriff des „cryptographically relevant quantum computer“ (CRQC) präzise ein: Gemeint ist keine Labor-Demo mit ein paar Qubits, sondern eine voll fehlerkorrigierte Maschine, die Shor’s Algorithmus auf einem Niveau ausführen kann, mit dem sich RSA-2048 oder elliptische Kurven wie secp256k1 in etwa einem Monat Rechenzeit brechen lassen.
Auf dieser Basis argumentiert er, dass kein öffentlich bekanntes System auch nur in die Nähe der nötigen Größenordnung kommt. Weder bei Ionenfallen, noch bei supraleitenden Qubits oder bei Neutralatomen existiert heute eine Architektur, die die geforderten Hunderttausenden bis Millionen physischer Qubits mit den nötigen Fehlerraten und Schaltkreis-Tiefen liefern könnte.
Für Thaler ist deshalb ein wirklich kryptografisch relevanter Quantencomputer in den 2020er-Jahren „extrem unwahrscheinlich“. Vor 2030 sieht er keine belastbare Grundlage, ernsthaft von einem produktionsreifen CRQC auszugehen. Genau deshalb sei es gefährlich, heute so zu tun, als stünde das Damoklesschwert unmittelbar über dem Bitcoin-Netzwerk.
Verschlüsselung vs. Signaturen: Warum nicht jede Kryptografie gleich bedroht ist
Ein Kernpunkt der a16z-Argumentation ist die klare Trennung zwischen klassischer Verschlüsselung und digitalen Signaturen. Bei Verschlüsselung gibt es das „harvest now, decrypt later“-Problem: Angreifer können heute verschlüsselte Daten absaugen, speichern und irgendwann in der Zukunft mit einem Quantencomputer entschlüsseln.
Alles, was sehr lange vertraulich bleiben muss – medizinische Daten, staatliche Geheimnisse, Finanzdaten –, ist daher aus Sicht von Thaler akut post-quantum-relevant. Deswegen sehe man auch heute schon, dass große Anbieter TLS und Messaging-Protokolle auf hybride PQ-Key-Establishment-Verfahren umstellen.
Für Signaturen gilt dieses nachträgliche Risiko in dieser Form nicht. Alte Transaktionen auf einer Blockchain sind öffentlich, enthalten keine Geheimnisse, die „aufgedeckt“ werden könnten. Das Problem ist ein anderes: Sobald ein Angreifer einen CRQC hat, könnte er ab diesem Zeitpunkt Signaturen fälschen und damit Guthaben bewegen, für die der öffentliche Schlüssel sichtbar ist.
Der Angriff ist also vorwärtsgerichtet, nicht rückwirkend. Thaler folgert daraus, dass die typische „Harvest now, decrypt later“-Bedrohung für viele Public Blockchains schlicht nicht der richtige Bezugsrahmen ist. Es geht nicht um Decryption, sondern um Signaturfälschung, und das verschiebt die Dringlichkeit.
Bitcoin als Sonderfall: Langsame Governance, alte UTXOs und begrenzte Kapazität
Trotzdem macht Thaler keinen Hehl daraus, dass Bitcoin bestimmte Probleme hat, die andere Chains in dieser Form nicht kennen. Die Governance ist träge, Konsensänderungen sind politisch schwierig und oft jahrelang umstritten. Dazu kommt, dass ein erheblicher Teil der historischen Coins auf sehr alten Ausgabentypen liegt, bei denen der öffentliche Schlüssel bereits on-chain sichtbar ist – insbesondere P2PK-Adressen aus der Frühzeit, einschließlich der Coins, die Satoshi zugeschrieben werden.
Ein weiteres praktisches Problem ist die begrenzte Transaktionskapazität. Selbst wenn sich die Community einig wäre, welche Post-Quantum-Signaturschemata eingesetzt werden sollen, könnte man nicht einfach „über Nacht“ alle gefährdeten UTXOs migrieren.
Bei der heutigen Blockgröße und Transaktionsrate würde eine vollständige Umschichtung aller relevanten Coins in PQ-sichere Outputs Monate dauern. Und das setzt voraus, dass alle Besitzer überhaupt noch Zugriff auf ihre Schlüssel haben – was bei alten, möglicherweise verlorenen Wallets fraglich ist.
Gleichzeitig warnt Thaler vor vorschnellen Basislayer-Upgrades. Hash-basierte Signaturen sind zwar kryptografisch konservativ, aber technisch unhandlich: Signaturen sind groß, Schlüssel und Zustandsverwaltung komplex. Lattice-basierte Verfahren wie ML-DSA und Falcon sind deutlich kompakter, aber die Implementierungen sind noch frisch, und es gibt bereits Side-Channel- und Fault-Injection-Angriffe auf reale Libraries.
Aus seiner Sicht besteht die reale Gefahr darin, dass eine Blockchain sich aus Panik ein junges, fehleranfälliges PQ-Verfahren in den Konsens holt und damit mehr Sicherheitslücken einbaut, als der theoretische Gewinn rechtfertigt.
Die Gegenposition: „Ihr unterschätzt die Geschwindigkeit und die Anreize“
Genau an dieser Stelle setzen Nic Carter und Alex Pruden an. Carter formuliert es auf X ohne Umschweife: a16z unterschätze die Bedrohung und überschätze die zur Verfügung stehende Zeit. Pruden legt in einem langen Thread nach und argumentiert, dass sich Thaler bei zwei Dingen irrt: bei der Einschätzung des technischen Fortschritts und bei der Rolle, die Blockchains als Angriffsziel spielen.
Pruden verweist auf jüngste Durchbrüche in Neutralatom-Systemen, bei denen inzwischen über 6.000 physische Qubits in einer kohärenten Architektur demonstriert wurden. Für ihn ist wichtig, dass es sich dabei nicht um Quantum Annealing oder Speziallösungen handelt, sondern um Architekturen, die prinzipiell für die Ausführung universeller Algorithmen wie Shor geeignet sind. Projekte wie die 6.100-Qubit-Tweezer-Arrays von Caltech zeigen, dass großskalige Qubit-Arrays im Labor bereits Realität sind.
Er ergänzt, dass Oberflächen-Code-Fehlerkorrektur inzwischen experimentell demonstriert wurde und sich von einer reinen Forschungsfrage in Richtung Ingenieursaufgabe verschoben hat. Parallel dazu gebe es Fortschritte bei Color Codes und LDPC-Codes, die die Effizienz der Fehlerkorrektur verbessern. Noch deutlicher wird es bei Googles aktualisierten Ressourcenabschätzungen.
Wo das Unternehmen 2019 noch von rund 20 Millionen physikalischen Qubits für das Brechen von RSA-2048 ausging, reichen den neuen Berechnungen zufolge etwa eine Million Qubits und ungefähr eine Woche Laufzeit. Pruden wertet das als Beleg dafür, dass die Ressourcenabschätzungen innerhalb weniger Jahre um ein bis zwei Größenordnungen gesunken sind. Für ihn ist die Schlussfolgerung klar: Es ist keine Übertreibung mehr zu sagen, dass ein CRQC vor 2030 möglich ist.
Blockchains als Prioritätsziel: Öffentliche Keys mit sichtbarem Wert
Der zweite Hauptangriffspunkt von Pruden betrifft die Frage, welches System ein Angreifer mit einem funktionsfähigen Quantencomputer als erstes ins Visier nehmen würde. Thaler betont zurecht, dass klassische HNDL-Risiken insbesondere staatliche und industrielle Verschlüsselung betreffen. Pruden hält dagegen, dass Blockchains einen anderen, viel direkteren Anreiz bieten: Auf der Blockchain sind öffentliche Schlüssel mit unmittelbar sichtbarem, handelbarem Wert verknüpft.
Bei Bitcoin und ähnlichen Systemen sind öffentliche Schlüssel entweder direkt im Output (wie bei P2TR) oder spätestens bei der ersten Ausgabe sichtbar. Diese Public Keys lassen sich heute problemlos massenhaft sammeln. Sobald ein CRQC existiert, könnte ein Angreifer sich gezielt die wertvollsten UTXOs vornehmen, private Schlüssel berechnen und die Coins einfach wegbewegen. Besonders brisant sind alte Bestände, etwa die Satoshi-Zuschreibungen, die Pruden grob mit einem Wert von 150 Milliarden Dollar beziffert.
Sein Punkt ist einfach: In dem Moment, in dem Signaturfälschung möglich wird, reicht der reine Besitz eines alten UTXOs aus – es spielt keine Rolle, wann er entstanden ist. Anders als verschlüsselte Daten muss keine Nachricht „entschlüsselt“ werden. Der Public Key plus Universalzugriff auf die Chain reichen, um Wert zu stehlen. Für Pruden ist deshalb offensichtlich, dass Blockchains beim ersten „cryptographically relevant use case“ ganz oben auf der Liste stehen.
Migration als eigentliche Hürde: Konsens, Nutzer und technischer Overhead
Pruden widerspricht auch der impliziten Annahme, man könne ein PQ-Update relativ kontrolliert einführen. Seine Erinnerung an Ethereums Übergang von Proof of Work zu Proof of Stake ist hier bewusst gewählt. Trotz enormer Ressourcen und vergleichsweise klarer Governance-Struktur zog sich der Merge über Jahre. Ein PQ-Upgrade wäre aus seiner Sicht noch schwieriger, weil nicht nur das Protokoll angepasst werden muss, sondern auch Millionen von Nutzern ihre Schlüssel aktiv migrieren müssen.
Jeder Account, jede Wallet, jeder UTXO, der auf einem pre-quantum Signaturschema basiert, müsste in einen PQ-sicheren Zustand gebracht werden. Das setzt voraus, dass die Nutzer ihre Keys noch haben, Transaktionen senden können und die Chain genügend Kapazität bietet. Es reicht nicht, „ein paar Zeilen Signaturalgorithmus zu tauschen“. Die komplette Toolchain – Wallets, Hardwaregeräte, Custody-Lösungen, Börsen, Smart Contracts – müsste angepasst werden. Pruden nennt jede Vorstellung, das ließe sich kurzfristig und ohne Friktion lösen, realitätsfremd.
Einig im Punkt „Panik ist gefährlich“ – uneinig in der Konsequenz
Interessanterweise sind sich beide Seiten in einem Aspekt einig: Eine panikartige Reaktion auf Quantum-News wäre toxisch. Thaler warnt davor, ungeprüfte PQ-Verfahren überstürzt in Konsensschichten zu integrieren und damit heute größere Sicherheitslücken zu öffnen als das hypothetische Quantum-Risiko morgen. Pruden stimmt ihm zu, zieht aber die genau entgegengesetzte Folgerung.
Weil Panik so gefährlich ist, müsse die Vorarbeit jetzt beginnen. Sein Szenario ist klar: Die Branche ignoriert das Thema zu lange, ein großer Quantum-Meilenstein wird publik, die Presse schreit „Bitcoin in Gefahr“, und dann entsteht genau der Panikmodus, den alle vermeiden wollen – nur eben ohne vorbereitete Pläne.
Für ihn sind drei weitverbreitete Annahmen schlicht falsch: Dass Quantum Computing langsam vorankommt, dass klassische HNDL-Risiken wichtiger seien als Blockchain-Risiken und dass die Industrie noch viele Jahre Puffer habe, bevor Handlungsdruck entsteht. Er hält alle drei Punkte für nicht mit der technischen Realität vereinbar.
Fazit: Kein akutes Todesurteil – aber ein unangenehm langes To-do
Letztlich kann festgehalten werden: Niemand behauptet, dass Bitcoin nächstes Jahr durch einen Quantencomputer „abgeschaltet“ wird. a16z hat recht, wenn sie sagen, dass das Katastrophen-Narrativ oft mehr Hype als Substanz enthält. Genauso richtig ist aber der Hinweis der Kritiker, dass die Kombination aus technologischem Fortschritt, extremen ökonomischen Anreizen und schwerfälliger Protokollmigration ein reales strategisches Risiko darstellt.
Die unangenehme Wahrheit liegt dazwischen. Die Branche hat wahrscheinlich einige Jahre Zeit – aber sicher nicht unbegrenzt. Ein PQ-Upgrade ist kein kosmetischer Patch, sondern ein mehrjähriger Prozess auf Protokoll-, Implementierungs- und Nutzerebene. Je länger man das Thema ignoriert, desto größer wird der Druck, eines Tages unter Zeitstress handeln zu müssen.
Die Quantum-Debatte ist deshalb nicht „überzogen“, sie ist der notwendige Vorlauf für ein Problem, das sich nicht mit einem Tweet und einem Soft Fork lösen lässt. Ob man sich eher bei a16z oder bei den Kritikern wiederfindet, ist letztlich eine Frage der Risikotoleranz.
Fakt ist: Wenn Quantencomputer eines Tages wirklich kryptografisch relevant werden, wird Bitcoin nur dann sicher sein, wenn die Vorarbeit längst erledigt ist. Genau darum geht es in diesem Streit – nicht um Schlagzeilen, sondern um Vorlaufzeit.
