Googles Quantum-Team rückt das Szenario Quantencomputer und Bitcoin näher an die Realität: Neue Berechnungen zeigen, dass Angriffe deutlich weniger Rechenleistung benötigen könnten als bisher gedacht. Damit wird aus einer theoretischen Gefahr ein konkretes Risiko für Bitcoins Sicherheit.
Gleichzeitig erschien ein zweites Paper von Oratomic, Caltech und UC Berkeley, das die Schwelle auf rund 10'000 rekonfigurierbare atomare Qubits drückt. Zusammen markieren beide Veröffentlichungen die bisher schärfste Kompression der geschätzten Quantenbedrohung für Krypto-Netzwerke. Google nennt neben der Krypto-Industrie auch Coinbase, das Stanford Institute for Blockchain Research und die Ethereum Foundation als Partner für eine verantwortungsvolle Transition.
20-fache Reduktion der benötigten Ressourcen
Googles Forscher Ryan Babbush und Hartmut Neven präsentieren zwei Quantenschaltkreise, die Shors Algorithmus auf ECDLP-256 anwenden. Dabei kommt die effizientere Variante mit unter 1'200 logischen Qubits und 70 Millionen Toffoli-Gates aus. Auf einem supraleitenden Quantencomputer mit weniger als 500'000 physischen Qubits liesse sich die Berechnung in wenigen Minuten durchführen. Das entspricht einer rund 20-fachen Reduktion gegenüber früheren Schätzungen.
Auffällig ist der gewählte Veröffentlichungsmodus: Google verzichtet auf die Publikation der konkreten Schaltkreise und validiert die Ergebnisse stattdessen über einen Zero-Knowledge-Beweis. So können Dritte die Resultate verifizieren, ohne eine Anleitung für potenzielle Angreifer zu erhalten. In einem begleitenden Blogpost betonen die Autoren, dass sie vor der Veröffentlichung mit der US-Regierung zusammengearbeitet haben. Sie fordern andere Forschungsteams auf, einen ähnlich verantwortungsvollen Ansatz zu wählen.
Das Whitepaper modelliert auch einen Live-Angriff auf Bitcoin-Transaktionen. Dabei würde ein Quantenangreifer den öffentlichen Schlüssel während einer Transaktion abfangen und den privaten Schlüssel in etwa 9 Minuten berechnen. Bei Bitcoins 10-Minuten-Blockzeit ergibt das eine Erfolgswahrscheinlichkeit von 41 Prozent. Ethereum wäre aufgrund kürzerer Bestätigungszeiten weniger exponiert.
Ein solcher Quantencomputer existiert heute allerdings nicht. Die geschätzten Anforderungen schrumpfen allerdings seit zwei Jahrzehnten kontinuierlich. 2012 lag die Schätzung für Shors Algorithmus noch bei rund einer Milliarde physischer Qubits. Google hat diesen Wert nun auf unter 500'000 gedrückt. Oratomic geht noch weiter herunter.
Oratomic drückt Schwelle auf 10'000 Qubits
Das parallel veröffentlichte Paper des Startups Oratomic nutzt Googles Schaltkreise als Ausgangspunkt und überträgt sie auf eine andere Hardware-Architektur: Neutralatom-Quantencomputer. Bei diesem Ansatz werden einzelne Atome mit Laserpinzetten eingefangen und als Qubits eingesetzt. Die Atome lassen sich während der Berechnung dynamisch umordnen, was eine flexiblere Fehlerkorrektur ermöglicht.
If today’s Google announcement wasn’t enough...
Oratomic, Caltech, and UC Berkeley show quantum computers can break crypto with just 10,000 reconfigurable atomic qubits.
It's clearer than ever that blockchains need post-quantum cryptography. pic.twitter.com/hBtEFz7p1s
— Project Eleven (@projecteleven) March 31, 2026
Die Autoren zeigen konkret, dass ein System mit rund 26'000 Qubits ECC-256 in etwa 10 Tagen knacken könnte. Im Minimalfall genügen 10'000 physische Qubits. Für RSA-2048, den Verschlüsselungsstandard vieler Finanzinstitutionen, wären rund 102'000 Qubits und drei Monate nötig.
Oratomics Mitgründer Manuel Endres hatte bereits 2025 an der Caltech ein Array mit 6'100 neutralen Atom-Qubits demonstriert, publiziert in Nature. Die Grössenordnungen nähern sich damit dem technisch Erreichbaren an. Ein Vorbehalt bleibt: Alle neun Autoren des Oratomic-Papers sind Anteilseigner des Unternehmens, sechs davon Angestellte. Die Ergebnisse dienen somit auch als Roadmap für den eigenen Hardware-Ansatz.
Taproot vergrössert die Angriffsfläche Bitcoins durch Quantencomputer
Die Zahlen rücken Taproot, Bitcoins Upgrade von 2021, in ein neues Licht. Taproot verbesserte Privatsphäre und Effizienz, legt aber standardmässig öffentliche Schlüssel auf der Blockchain offen. Ältere Adressformate schützten diese hinter einem Hash. Damit wächst der Pool quantenverwundbarer Coins auf geschätzt 6.9 Millionen BTC, darunter Satoshi-Ära-Bestände und häufig wiederverwendete Adressen.
Rund ein Drittel des Bitcoin-Angebots gilt daher langfristig als potenziell exponiert. Das könnte die Bewertung alter Coins, die Taproot-Nutzung und die Hygiene bei der Adresswiederverwendung verändern. Coin-Metrics-Mitgründer Nic Carter verwies auf X darauf, dass das Oratomic-Paper möglicherweise noch beunruhigender sei als Googles eigene Veröffentlichung. Die Taproot-Nutzung ist bereits seit 2024 rückläufig: von 42 auf 20 Prozent der Transaktionen, wie Analyst Willy Woo dokumentierte.
Nicht nur Bitcoin: Quantencomputer bedrohen das halbe Internet
Googles Forschung zielt auf ECDLP-256, das mathematische Fundament hinter elliptischer Kurvenkryptografie. Dieses Problem betrifft weit mehr als Blockchains. ECC-256 sichert TLS/HTTPS-Verbindungen im Web, SSH-Schlüssel, digitale Signaturen für Code und Dokumente, Authentifizierungsprotokolle wie OAuth und FIDO2 sowie verschlüsselte Messenger und VPNs. Praktisch jede sichere Verbindung im Internet basiert auf einer Variante dieser Kryptografie.
Das Oratomic-Paper beziffert auch den Aufwand für RSA-2048, den Verschlüsselungsstandard vieler Banken: rund 102'000 Qubits und drei Monate. ECC fällt zuerst, weil die Schlüssel kürzer sind. Shors Algorithmus reagiert primär auf die Schlüssellänge.
Entsprechend hat Google die 2029-Deadline nicht für die Krypto-Branche gesetzt, sondern für die eigene gesamte Infrastruktur. NIST will ECC ab 2030 in US-Bundesbehörden auslaufen lassen und bis 2035 komplett verbieten. Banken, Cloud-Anbieter und Regierungen können ihre Systeme zentral updaten. Bitcoin braucht dafür Netzwerk-Konsens.
Bitcoins Migrationspfad: sieben Jahre, mindestens
BIP-360, der wichtigste Vorschlag zur Quantenresistenz, wurde im Februar ins offizielle BIP-Repository aufgenommen. Der Entwurf entfernt die quantenverwundbare Schlüsselpfad-Ausgabe von Taproot durch einen neuen Ausgabetyp namens Pay-to-Merkle-Root (P2MR). BTQ Technologies hat BIP-360 bereits auf einem Testnet implementiert, mit über 50 Minern und mehr als 100'000 geminten Blöcken.
BIP-360-Mitautor Ethan Heilman schätzt die vollständige Migration allerdings auf mindestens sieben Jahre, sofern sofort begonnen wird. Drei Jahre bis zur Aktivierung, danach müsste jeder Bitcoin-Halter seine Bestände aktiv auf neue Adressen verschieben. Laut einer Erhebung der Trusted Computing Group verfügen 91 Prozent der Unternehmen noch über keine formale Roadmap für quantensichere Algorithmen.
Was dabei untergeht: BIP-360 ist nur der erste Schritt. Es ersetzt weder ECDSA noch Schnorr-Signaturen durch quantenresistente Algorithmen. SegWit brauchte 8.5 Jahre bis zur breiten Adoption, Taproot 7.5 Jahre. Googles 2029-Uhr tickt schneller, als Bitcoins Governance-Modell es bisher hergegeben hat.
