Ein Drittel des Bitcoin-Vorrats wird mit einem ausreichend starken Quantencomputer stehlbar. Ich arbeite im Bereich der Krypto-Selbstverwahrung, und BIP 360 und BIP 361 sind die Antwort der Entwickler auf dieses Szenario.
TL;DR
BIP-360 definiert quantenresistente bc1z-Adressen via Soft Fork mit einem neuen Pay-to-Merkle-Root-(P2MR-)Output und einer Witness-Struktur, die den SegWit-Discount auf Post-Quanten-Signaturen anwendet. BIP-361 schichtet einen gestuften Freeze darüber: nach rund 3 Jahren keine neuen Sends an Legacy-Adressen, nach rund 5 Jahren werden Legacy-ECDSA- und Schnorr-Signaturen deprecated und 6,9 Mio. BTC eingefroren, darunter Satoshis geschätzte 1,1 Mio. BTC. Die Community ist gespalten. Die Deployment-Sektion von BIP-361 wurde vor Approval von GitHub zurückgezogen. Im April 2026 gewann Giancarlo Lelli 1 BTC, indem er einen 15-Bit-ECC-Schlüssel auf Quanten-Hardware brach.
BIP-360 Das Adressformat
BIP-360 ist der Bauplan. Er definiert, wie Bitcoin Post-Quanten-Kryptografie hinzufügen kann, ohne das bestehende Protokoll zu brechen.
Hunter Beast, Ethan Heilman und Isabel Foxen Duke reichten den Vorschlag am 18. Dezember 2024 beim offiziellen BIP-Repository ein. Er führt einen neuen Output-Typ ein: Pay-to-Merkle-Root (P2MR), gebaut auf SegWit Version 2 Outputs mit dem Adress-Encoding bc1z (bech32m). Wer bc1q (SegWit) oder bc1p (Taproot) kennt, sieht die Linie.
Was P2MR ändert: Taproot erlaubt zwei Spend-Wege. Der Keypath-Spend nutzt den Public Key direkt, der Scriptpath-Spend läuft über den Merkle-Tree. Der Keypath ist effizient, aber quanten-verwundbar, weil er den Public Key offenbart. P2MR entfernt den Keypath. Jeder Spend läuft über die Merkle-Root des Skript-Trees. Der Public Key erscheint im Normalbetrieb nie On-Chain.
Signaturschemata: BIP-360 legt Adressformat und Witness-Struktur fest. Das konkrete PQC-Verfahren ist offen. Kandidaten sind ML-DSA (Dilithium) auf Lattice-Basis und SLH-DSA (SPHINCS+) auf Hash-Funktions-Basis. Beide gehören zu den NIST-FIPS-Standards, finalisiert 2024. Der Trade-off ist Grösse: eine Dilithium-Signatur belegt ca. 2 420 Bytes gegen rund 72 Bytes für eine Standard-ECDSA-Signatur. 33-mal grösser.
FALCON wird wegen seines Aggregations-Potenzials separat geprüft. Mehrere Signaturen zu einer zusammenzufassen wird kritisch, wenn jede Signatur 2 420 Bytes belegt. SQIsign auf Isogenie-Basis schied aus, nachdem Benchmarks 15 000-mal langsamere Verifikation als ECC zeigten. Theoretische Eleganz hilft nicht, wenn ein Full Node Blöcke nicht in vernünftiger Zeit validiert.
Testnet-Status: BTQ Technologies betreibt ein öffentliches Testnet für BIP-360 mit aktivierten Post-Quanten-Opcodes. Der Vorschlag bewahrt Kompatibilität mit Lightning Network, BitVM und Ark.
Tieferer Blick auf Bitcoins Skript-System und wie Taproot die Grundlage dafür legte: Technical Deep Dive.
BIP-361 Der Freeze-Vorschlag
BIP-361 ist die schwerere Konversation. Er fragt: was tun wir mit den Coins, die nicht migriert werden können?
Jameson Lopp, Christian Papathanasiou, Ian Smith, Joe Ross, Steve Vaile und Pierre-Luc Dallaire-Demers reichten BIP-361 am 11. Februar 2026 ein. Er adressiert 6,9 Mio. BTC in quanten-verwundbaren Adresstypen, rund 34 % der zirkulierenden Versorgung.
Die Aufschlüsselung: ca. 1,7 Mio. BTC in P2PK-Adressen, dem frühesten Format Bitcoins (2009 bis ca. 2012). Diese speichern den Public Key direkt On-Chain, sofort verwundbar, sobald ein hinreichend mächtiger Quantencomputer existiert. Von diesen 1,7 Mio. werden geschätzte 1,1 Mio. BTC Satoshi Nakamoto zugeschrieben (Schätzung, kein verifizierter Fakt). Die verbleibenden rund 5,2 Mio. BTC sitzen in Legacy-Adresstypen, deren Public Key durch frühere Transaktionen oder Adress-Wiederverwendung offenbart wurde.
Der BIP-361-Text referenziert Testnet4-Parameter mit einem Epoch-Startzeitpunkt von 1798761600, dem 1. Januar 2027 UTC.
Der Drei-Phasen-Plan:
Phase A, rund 3 Jahre nach Aktivierung: Neue Bitcoin können nicht mehr an Legacy-Adresstypen gesendet werden. Du kannst aus Legacy-Adressen noch ausgeben, das Netzwerk akzeptiert aber keine neuen Einzahlungen mehr. Eine Einbahnstrasse, die Adoption von bc1z-Adressen vorantreibt. BIP-361 spezifiziert Phase A als rund 160 000 Blöcke nach Aktivierung.
Phase B, rund 5 Jahre nach Aktivierung: Legacy-ECDSA- und Schnorr-Signaturen werden vollständig deprecated. Bitcoin in Legacy-Adressen wird eingefroren. Bewegung mit alten Signaturschemata: nicht mehr möglich. Der harte Freeze.
Phase C, nach Phase B: Ein Zero-Knowledge-Proof-Recovery-Mechanismus aktiviert sich. Wer die Frist verpasste, aber noch die Seed-Phrase hat (BIP-39 oder später), kann Eigentum der eingefrorenen Coins beweisen und sie auf eine quantensichere Adresse migrieren. Coins mit Pre-BIP-39-Schlüsselformaten profitieren nicht. Das schliesst Satoshis Coins ein.
Wichtig: Lopp zog die Deployment-Sektion von BIP-361 vor Approval auf GitHub zurück. Der Vorschlag steht damit offener als seine technischen Spezifikationen andeuten.
Kontext zu schlafenden Coins, Erbschaftsplanung und verlorenem Zugang im Zusammenspiel mit diesem Vorschlag: Bitcoin-Erbschaft.
Die Community ist gespalten
CoinDesk berichtete am 15. April 2026, dass prominente Stimmen den Freeze-Mechanismus als "autoritär und konfiskatorisch" bezeichnen. CCN dokumentierte ähnliche Reaktionen in der Entwickler-Community. Mark Erhardt verstärkte die Kritik auf X.
Das Kernargument der Gegner: Bitcoin-Protokoll-Änderungen, die bestehende Coins deaktivieren, verstossen gegen die sozialen Grundprinzipien des Netzwerks, unabhängig davon, wie real die Quanten-Bedrohung ist. Ein Freeze ist strukturell ein anderes Angebot als ein optionales Upgrade.
Das Gegenargument der Befürworter: 6,9 Mio. BTC in quanten-verwundbaren Adressen sind keine Randnotiz. Existiert ein hinreichend mächtiger Quantencomputer, sind diese Coins nicht nur At-Risk für ihre Eigentümer, sondern eine Angriffsfläche auf die Marktstruktur von Bitcoin insgesamt.
Lopps eigener Rückzug der Deployment-Sektion zeigt, dass der Konflikt intern nicht aufgelöst ist.
Was es ohne Soft Fork kostet
Die Zahlen erklären, warum BIP-360 als dedizierter Vorschlag existiert statt als Anbau an das bestehende Transaktionsformat.
Eine ML-DSA-Signatur (Dilithium) belegt ca. 2 420 Bytes. Eine Standard-ECDSA-Signatur ca. 72 Bytes. 33-fache Grössenzunahme. In einem System mit fixem Block-Space von rund 4 MB pro Block ist das kein Komfortproblem, sondern ein strukturelles.
Bei aktuellen Gebührenraten und ohne Protokoll-Optimierung würde eine einzelne quantensichere Transaktion etwa 200 USD oder mehr kosten. Das macht Post-Quanten-Bitcoin für gewöhnliche Transaktionen unbrauchbar.
BIP-360 adressiert das mit einer optimierten Witness-Struktur spezifisch für P2MR-Outputs. Der SegWit-Witness-Discount, der Signaturdaten ohnehin 75 % Gebührenreduktion gegenüber anderen Transaktionsdaten gibt, gilt unter diesem Vorschlag auch für Post-Quanten-Signaturen.
Die längerfristige Lösung ist Signatur-Aggregation mit FALCON. Lassen sich mehrere Signaturen in einem Block zu einem einzigen Beweis kombinieren, fällt der Pro-Transaktion-Overhead drastisch. Analog zur Schnorr-Signatur-Aggregation für aktuelle Bitcoin-Transaktionen, adaptiert für Post-Quanten-Mathematik.
Project Eleven Q-Day Prize
Am 24. April 2026 gewann Giancarlo Lelli den 1-BTC-Bounty des Project Eleven Q-Day Prize. Er brach einen 15-Bit-ECC-Schlüssel auf Quanten-Hardware, rund 512-mal die Kapazität der vorherigen öffentlichen Demo. CoinDesk und The Quantum Insider berichteten unabhängig voneinander.
Das ist kein Q-Day. Ein 256-Bit-ECC-Schlüssel, wie Bitcoin ihn nutzt, liegt Grössenordnungen jenseits von 15 Bit. Aber der Abstand zwischen Proof-of-Concept und kryptografisch relevantem Angriff schliesst sich schneller, als viele Prognosen aus 2020 angenommen hatten.
Der Wert des Experiments liegt im öffentlichen Benchmark: Quantenhardware bricht heute Schlüssel, die vor wenigen Jahren ausser Reichweite lagen. Die Richtung ist bekannt. Die Geschwindigkeit bleibt offen.
Tiefergehende Analyse, wie Googles Quantenpapier die Mathematik veränderte und was es für spezifische Wallet-Typen bedeutet: Quantencomputer und Bitcoin: Was Halter wissen müssen.
Was institutionelle Halter vorbereiten sollten
Heute ist keine Aktion erforderlich. Beide Vorschläge sind in Draft. Keiner ist in den Aktivierungsprozess eingetreten, und Bitcoins Konsens-Mechanik bedeutet Jahre Review, Test und Community-Debatte vor jeder Live-Änderung.
Trotzdem ist die Richtung gesetzt. Entsteht Konsens, müssen Custodians und institutionelle Halter Schlüssel-Rotation und Adress-Migration planen. Kein passives Upgrade. Jede UTXO muss auf einen neuen Adresstyp bewegt werden. Für Institutionen, die Bitcoin über Hunderte oder Tausende Adressen halten, ist das ein erhebliches operatives Unterfangen.
Ich arbeite im Bereich der Krypto-Selbstverwahrung. Die institutionelle Konversation verschiebt sich in den nächsten 12 bis 18 Monaten von "ob" zu "wann", getrieben von Custodial-Audit-Anforderungen und Versicherungsüberlegungen. Schweizer Halter sollten beachten: FINMAs Regulierungsrahmen referenziert bereits NIST-Post-Quanten-Kryptografie-Standards. Derselbe Algorithmus-Kandidat ML-DSA in BIP-360 ist Teil von NISTs FIPS-204-Standard, finalisiert 2024.
Praktische Hinweise zur Sicherung deiner Bitcoin heute, unabhängig von Quanten-Zeitlinien: Self-Custody-Anleitung und BIP39 Seed-Phrase-Sicherheit.
Was Bitcoin-Halter jetzt tun sollten
Die Quanten-Bedrohung ist real, aber nicht unmittelbar. Was heute zählt:
Adresstypen prüfen. Generiert deine Wallet Adressen beginnend mit bc1q (P2WPKH) oder bc1p (P2TR/Taproot), nutzt du moderne Formate. Theoretisch noch quanten-verwundbar, aber der Public Key wird erst beim Spend exponiert. Das gibt dir Zeit zur Migration, sobald quantensichere Adressen verfügbar sind. Bei Coins in sehr alten Adressformaten (besonders P2PK von 2009 bis 2012) ist das Risiko höher. Vollständige Adresstyp-Aufschlüsselung: Wallets, Sicherheit.
Adressen nicht wiederverwenden. Jedes Mal, wenn du aus einer Adresse ausgibst, wird dein Public Key On-Chain offenbart. Frische Adressen pro Transaktion limitieren das Exposure-Fenster. Die meisten modernen Wallets erledigen das automatisch.
Seed-Phrase sicher halten. Aktiviert sich BIP-361 und du verpasst die Phasen-A- und -B-Fristen, hängt Phase-C-ZK-Recovery vollständig davon ab, dass du Eigentum der ursprünglichen Seed-Phrase beweisen kannst. Verlust bedeutet permanente Einfrierung. Gilt unabhängig von Quantencomputing: deine Seed-Phrase ist in jedem Szenario die letzte Verteidigungslinie.
Informiert bleiben, keine Panik. McKinsey schätzt Quantenangriffe zwischen 2027 und 2030 als realisierbar. Googles interner Quanten-Migrationstermin ist 2029. Die Bitcoin-Entwickler-Community bewegt sich, wie dieser Artikel dokumentiert. Die Zeitlinie ist in Jahren bemessen. Aber Jahre vergehen schnell, wenn Migration aktive Schritte jedes Halters verlangt.
Mehr zu Adress-Privatsphäre und Reduktion deiner On-Chain-Exposure: Bitcoin-Privatsphäre.
Quellen
- BIP-360: Hunter Beast, Ethan Heilman, Isabel Foxen Duke. "Pay to Merkle Root." Zugewiesen 18. Dezember 2024. bip360.org
- BIP-361: Jameson Lopp et al. "Legacy Signature Sunset." Formell zugewiesen 11. Februar 2026. bip361.org
- arXiv:2603.28846: Quantenbedrohungsanalyse für elliptische Kurven-Kryptografie.
- NIST Post-Quanten-Kryptografie: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+). Finalisiert 2024. csrc.nist.gov
- CoinDesk, 15. April 2026: Community-Reaktionen auf BIP-361, Freeze-Kritik dokumentiert. coindesk.com
- CoinDesk, 24. April 2026: Project Eleven Q-Day Prize, Giancarlo Lelli bricht 15-Bit-ECC-Schlüssel. coindesk.com
- The Quantum Insider, 24. April 2026: Unabhängige Bestätigung des Lelli-Experiments. thequantuminsider.com
- Project Eleven: Q-Day Prize, Analyse quanten-verwundbarer Bitcoin-Adressen. Aufschlüsselung: 1,7 Mio. P2PK + 5,2 Mio. reused P2PKH = 6,9 Mio. BTC at risk.
- CCN: "Bitcoin Devs BIP-361: Quantum Proof Bitcoin or Coin Freeze?" ccn.com
- McKinsey & Company: Quantencomputing-Realisierbarkeitsschätzungen, 2027 bis 2030 Fenster.
Was als Nächstes kommt
Dieser Artikel deckte ab, was Bitcoin-Entwickler bauen. Für die zugrundeliegende Bedrohung, wie Googles Paper die Mathematik veränderte und was es für deine spezifische Wallet bedeutet: Quantencomputer und Bitcoin: Was Halter wissen müssen.
Für die technischen Grundlagen, die diese Vorschläge ermöglichen: Technical Deep Dive. Für praktische Schritte zur Sicherung deiner Bitcoin heute: Wallets, Sicherheit.
