IBM-Quantum-Hardware knackt 15-Bit-ECC-Schlüssel, doch Bitcoin-Entwickler behaupten, dass zufällige Bits mit dem Ergebnis übereinstimmen

• Project Eleven verlieh dem Forscher Giancarlo Lelli am 24. April 1 BTC (78.000 US-Dollar) für das Knacken eines 15-Bit-ECC-Schlüssels auf IBM-Quantenhardware.
• Bitcoin-Entwickler zeigten, dass sich Lellis Ergebnis mit zufälligem Rauschen reproduzieren lässt, was auf keinen Quantenvorteil gegenüber klassischen Methoden hindeutet.
• Die Lücke zwischen 15 Bit und Bitcoins 256-Bit-secp256k1 bleibt eine technische Kluft von 2^241, wodurch die Sicherheit von BTC vorerst unberührt bleibt.

Project Eleven überreicht Giancarlo Lelli 1 BTC für 15-Bit-ECC-Quanten-Break, doch Softwareentwickler bezeichnen es als Rauschen

Project Eleven beschrieb die Leistung als eine 512-fache Steigerung der Komplexität des Suchraums gegenüber einem früheren 6-Bit-ECC-Durchbruch, den der Ingenieur Steve Tippeconnic im September 2025 auf IBM-Hardware vollbracht hatte. CEO Alex Pruden stellte die Errungenschaft als Beweis dafür dar, dass Quantenangriffe auf ECC keine nationalen Labore oder proprietäre Hardware mehr erfordern.

Der Preis, der zum Zeitpunkt der Vergabe einen Wert von rund 78.000 US-Dollar hatte, sollte reproduzierbare öffentliche Messungen von Quantenangriffen auf ECC für Schlüsselgrößen zwischen 1 und 25 Bit ermöglichen. Lellis Einreichung, einschließlich des vollständigen Codes und der Ausführungsprotokolle, ist auf Github öffentlich zugänglich.

Lelli implementierte eine Zwei-Register-Variante von Shors Algorithmus auf IBM Quantum-Cloud-Hardware und zielte dabei auf elliptische Kurven der Form ab, wie sie im secp256k1-Standard von Bitcoin verwendet wird. Die Schaltung lief auf mehreren IBM Heron r2-Prozessoren, darunter ibm_torino und ibm_fez, und stützte sich auf Techniken, die für verrauschte Quanten-Geräte mittlerer Größenordnung entwickelt wurden.

Bitcoin-Entwickler und Kryptografen wiesen das Ergebnis umgehend zurück und argumentierten, dass die Quantenhardware keinen nennenswerten Mehrwert für das Ergebnis gebracht habe. Der X-Beitrag von Project Eleven, in dem dieser Meilenstein angekündigt wurde, enthält nun eine Faktenprüfung in den Community Notes, in der festgestellt wird, dass der zur Wiederherstellung des 15-Bit-ECC-Schlüssels verwendete Ansatz auf einer klassischen Verifizierung von Ausgaben beruht, die von zufälligem Rauschen nicht zu unterscheiden sind, was effektiv auf klassisches Raten hinausläuft.

Der ehemalige Bitcoin-Core-Maintainer Jonas Schnelli analysierte Lellis Beitrag und stellte fest, dass der IBM-Schaltkreis, der etwa 98.000 Gatter mit einer Genauigkeit von ca. 99,5 % pro Gatter betrieb, Ausgaben erzeugte, die statistisch nicht von zufälligen Münzwürfen zu unterscheiden waren.

Schnelli reproduzierte die vollständige Schlüsselwiederherstellung in etwa 20 Zeilen Python unter Verwendung reiner Zufallsbits, ohne dass Quantenhardware zum Einsatz kam. Seine Schlussfolgerung war eindeutig: Der Quantencomputer fügte der klassischen Zufälligkeit kein nachweisbares Signal hinzu. Rodolfo Novak, Gründer von Coinkite, beharrte darauf, dass Project Eleven die Öffentlichkeit irreführt, und bezeichnete dessen Quantenbehauptungen als „Theater“. Auf X argumentierte er, dass „der private Schlüssel klassisch gelöst wird, noch bevor der Quantenschaltkreis überhaupt läuft“ und dass das System „nichts findet – ihm wird die Antwort mitgeteilt“, wobei er hinzufügte, dass die Ergebnisse auf einem „klassischen Verifizierungsfilter“ beruhen. Novak kam zu dem Schluss, dass zwar „die Quantenbedrohung für Bitcoin real, aber fern“ sei, die heutigen Demos jedoch „klassische Berechnungen in Quantenkostümen“ seien.

Der Forscher Yuval Adam bestätigte diese Erkenntnis unabhängig, indem er Lellis IBM-Quanten-Backend gegen /dev/urandom, den klassischen Zufallszahlengenerator von Linux, austauschte und den Zielschlüssel identisch wiederherstellte. Die 15-Bit-Kurve umfasst einen Suchraum von nur 32.767 möglichen privaten Schlüsseln – klein genug, dass ein klassischer Prüfer, der Kandidaten gegen den öffentlichen Schlüssel abgleicht, durch nahezu zufällige Stichproben mit hoher Wahrscheinlichkeit eine Übereinstimmung findet.

Der Bitcoin-Befürworter Jimmy Song beschrieb den Quantencomputer als ein Gerät, das dieselbe Funktion wie /dev/urandom erfüllt. Der X-Account TFTC merkte in einem vielgelesenen Thread an, dass jede bisherige öffentliche Demonstration von Shors Algorithmus auf ECC auf klassischer Vorberechnung beruht, die die Antwort effektiv in den Schaltkreis kodiert, bevor die Quantenhardware läuft.

Kritiker wiesen zudem auf einen Interessenkonflikt in der Preisstruktur hin. Project Eleven, unterstützt von Coinbase Ventures, Castle Island Ventures, Variant und Balaji Srinivasan, schuf den Preis, ließ die Einreichungen von drei unabhängigen Physikern bewerten, vergab die Prämie und veröffentlichte anschließend Pressemitteilungen, in denen gewarnt wurde, dass etwa 6,9 Millionen BTC, die in Wallets mit offengelegten öffentlichen Schlüsseln gehalten werden, einem potenziellen langfristigen Risiko ausgesetzt seien. Das Unternehmen verkauft Tools für postquantene Kryptografie.

Gründer von Project Eleven geht auf die Kritik ein

Pruden räumte in einem Folge-Thread ein, dass das Ergebnis kein „Q-Day“ war und dass Experimente in der NISQ-Ära routinemäßig auf klassische Unterstützung angewiesen sind. Er argumentierte, die Demo stelle dennoch einen schrittweisen, reproduzierbaren Fortschritt auf zugänglicher öffentlicher Hardware dar und dass die Migrationsplanung für Post-Quantum-Kryptografie weiterhin eine vernünftige langfristige Priorität sei. Der Geschäftsführer von Project Eleven fügte hinzu:

„Fazit: Dies ist ein schrittweiser Fortschritt in einem unruhigen, noch jungen Forschungsfeld – kein Q-Day. Es verdeutlicht, warum wir Ressourcenreduktionen verfolgen und warum die Planung der Migration zur Post-Quantum-Kryptografie für die langfristige Sicherheit wichtig ist. Skepsis ist gesund; das Verschieben von Zielvorgaben ist es nicht. Gerne diskutiere ich die technischen Details oder teile das Feedback aus dem Repo und von den Juroren.“

Die Kluft zwischen Lellis Ergebnis und einer praktischen Bedrohung für Bitcoin ist beträchtlich. Die secp256k1-Kurve von Bitcoin bietet eine Sicherheit von 256 Bit. Der Abstand von 15 Bit zu 256 Bit entspricht einem Faktor von 2 hoch 241 in Bezug auf den Rechenaufwand. Selbst optimistische aktuelle Forschungsergebnisse, darunter ein im April 2026 veröffentlichtes Google-Papier, schätzen, dass zum Knacken von 256-Bit-ECC weniger als 500.000 physikalische Qubits erforderlich wären – eine Schwelle, die aktuelle Quantenhardware bei weitem nicht erreicht.

Die Episode verdeutlicht eine Spannung, die in der Berichterstattung über Quantencomputing seit jeher besteht: Schrittweise Meilensteine bei der Hardware sorgen für Schlagzeilen, doch der Abstand zwischen Demonstrationen im Spielzeugmaßstab und produktionsreifen kryptografischen Systemen bleibt eine technische Lücke, für die es keine kurzfristige Lösung gibt. Das Sicherheitsmodell von Bitcoin hängt von dieser Lücke ab, und Entwickler sagen, dass sie weiterhin intakt ist.