Keine Konsensänderungen erforderlich: Starkwares CPO entwickelt quantensichere Bitcoin-Transaktionen auf Basis bestehender Regeln

• Avihu Levy, CPO bei Starkware, veröffentlichte am 9. April 2026 QSB, das quantensichere Bitcoin-Transaktionen ohne jegliche Protokolländerungen ermöglicht.
• Levys Konzept kostet 75 bis 150 US-Dollar an GPU-Rechenleistung pro Transaktion und erreicht eine Präimage-Resistenz von etwa 118 Bit gegen Quantenangriffe.
• QSB ist das erste bekannte Verfahren, das laufende Bitcoin-Transaktionen gegen Shors Algorithmus absichert, wobei ausschließlich die bestehenden, historischen Script-Regeln von Bitcoin verwendet werden.

Wie ein Führungskraft von Starkware Quantenresistenz in Bitcoin integrierte, ohne das Protokoll zu verändern

Avihu Levy, Chief Product Officer bei Starkware und Mitautor von BIP-360, veröffentlichte am 9. April 2026 ein vollständiges Forschungspapier und eine Open-Source-Implementierung. Das Schema heißt Quantum Safe Bitcoin, kurz QSB. Es erfordert keinen Softfork, keine Abstimmung innerhalb der Community und keine neuen Opcodes. Es läuft vollständig innerhalb der bestehenden Script-Beschränkungen von Bitcoin mit 201 Opcodes und 10.000 Bytes.

Die Bedrohung, auf die QSB abzielt, ist spezifisch. Bitcoins primäres Signaturschema, ECDSA über der elliptischen Kurve secp256k1, ist mit Shors Algorithmus auf einem ausreichend leistungsstarken Quantencomputer vollständig knackbar. Ein Angreifer mit dieser Fähigkeit könnte private Schlüssel aus jedem offengelegten öffentlichen Schlüssel wiederherstellen, Signaturen fälschen und Gelder umleiten. P2PK-Outputs, Legacy-Adressen und Taproot-Keyspend-Pfade sind alle gefährdet, sobald ein öffentlicher Schlüssel in der Blockchain erscheint.

Levys Schema unterbricht diese Abhängigkeit auf Transaktionsebene. Anstatt sich auf die Sicherheit elliptischer Kurven zu verlassen, baut QSB die Sicherheit auf der Präbildresistenz von RIPEMD-160 auf, einer Hash-Funktion, die Quantencomputer nur mit Grovers Algorithmus angreifen können, der eine quadratische Beschleunigung statt einer vollständigen Knackung bietet. Ein 160-Bit-Hash behält gegenüber einem Quantenangreifer eine Präbildresistenz von etwa 80 Bit bei, was einen komfortablen Spielraum lässt. Die Konstruktion modifiziert ein früheres, von Robin Linus entwickeltes Schema namens Binohash und behebt zwei Probleme, die Binohash gegenüber Quantenangriffen unsicher machten. Das erste war ein Proof-of-Work-Rätsel (PoW) in Signaturgröße, das davon abhing, kleine r-Werte elliptischer Kurven zu finden – etwas, das Shors Algorithmus mühelos knackt. Das zweite war eine ungelöste Sighash-Flag-Sicherheitslücke, die es einem Angreifer ermöglichen könnte, eine gültige Rätselsignatur über verschiedene Transaktionen hinweg wiederzuverwenden.

Ersetzen des Puzzles zur Signaturgröße

QSB ersetzt das Puzzle zur Signaturgröße durch das, was Levy als „Hash-to-Sig“-Puzzle bezeichnet. Der Ausgeber durchläuft die Transaktionsparameter so lange, bis der RIPEMD-160-Hash eines aus der Transaktion abgeleiteten öffentlichen Schlüssels eine gültige, DER-kodierte ECDSA-Signatur erzeugt. Dieses Ereignis tritt mit einer Wahrscheinlichkeit von etwa 1 zu 70 Billionen ein. Da das Puzzle ein fest codiertes SIGHASH_ALL-Flag verwendet, wird die Sighash-Sicherheitslücke als Nebeneffekt beseitigt.

Der Ausgeber führt dann zwei Digest-Runden unter Verwendung einer Lamport-Signaturstruktur im HORS-Stil durch und wählt Teilmengen von Dummy-Signaturen aus, die den Sighash der Transaktion über einen älteren Script-Mechanismus namens FindAndDelete verändern. Jede Teilmenge erzeugt eine andere Hash-Ausgabe. Die Teilmenge, die eine gültige DER-kodierte Signatur liefert, wird zum Digest für diese Runde. Die Offenlegung der entsprechenden Vorbilder im Witness schließt die quantensichere Ausgabe ab.

Die empfohlene Konfiguration, die Levy als „Config A“ bezeichnet, liegt innerhalb der 201-Opcode-Grenze und erreicht eine Präbildresistenz von etwa 118 Bit sowie eine Kollisionsresistenz von 78 Bit. Ein Quantenangreifer, der Grovers Algorithmus gegen diese Konfiguration einsetzt, muss für einen zweiten Präbildangriff etwa 2 hoch 69 Rechenaufwand bewältigen. Der Shor-Algorithmus bietet keinerlei Vorteil, da keine Annahmen über elliptische Kurven mehr zu brechen sind. Off-Chain-Berechnungen kosten bei aktuellen Spotpreisen zwischen 75 und 150 US-Dollar an Cloud-GPU-Zeit pro Transaktion. Die Arbeit ist extrem parallelisierbar und wurde in frühen Tests innerhalb weniger Stunden auf mehreren GPUs abgeschlossen. Die GPU-Farm verarbeitet nur öffentliche Berechnungen, einschließlich Schlüsselwiederherstellung und Hashing. Private HORS-Vorbilder verlassen niemals das sichere Gerät des Zahlers. Es gibt echte Einschränkungen. QSB-Transaktionen sind konsensgültig, aber nicht standardisiert und überschreiten die Standard-Relay-Richtlinien. Sie erfordern die direkte Einreichung bei einem Mining-Pool, der nicht standardisierte Transaktionen akzeptiert, beispielsweise über den Slipstream-Dienst von Marathon. Das Schema deckt noch keine Lightning-Network-Kanäle ab. Die vollständige On-Chain-Zusammenstellung und -Übertragung steht in der Open-Source-Implementierung noch aus. Levy beschreibt das Schema als eine Maßnahme der letzten Instanz, nicht als allgemeinen Ersatz für die Standardnutzung von Bitcoin. Starkware-Mitbegründer Eli Ben-Sasson befürwortete die Arbeit öffentlich und erklärte, Bitcoin könne sofort quantensicher sein. Er sagte:

„DAS IST ENORM. Bitcoin ist HEUTE quantensicher. Selbst wenn ein Quantencomputer auftauchen würde, der die herkömmlichen Bitcoin-Signaturen knackt, zeigt dies einen praktischen Weg, sichere Bitcoin-Transaktionen zu erstellen. OHNE ÄNDERUNGEN AM BITCOIN-PROTOKOLL!“

Levy teilte das Whitepaper und das Repository auf X und würdigte Robin Linus für seine grundlegende Arbeit an Binohash sowie für eine entscheidende Korrektur, die den endgültigen Kompromiss zwischen Kosten und Sicherheit geprägt hat. Die Community war von dem Whitepaper sehr angetan, da es in den sozialen Medien weit verbreitet wurde. Taproot-Experte Eric Wall schrieb auf X:

„Starkware hat einige der besten Hacker der Welt. Es ist schön zu sehen, wenn Hacker ihre Fähigkeiten für das Gute einsetzen.“

Das vollständige Whitepaper, der GPU-beschleunigte CUDA-Code, die Python-Pipeline und die kompletten Bitcoin-Skripte sind in Levys GitHub-Repository verfügbar. Die Nachricht folgt auf den kürzlich vorgestellten Prototyp, der Bitcoin-Wallets vor Quantenrisiken schützen soll. Dieser spezielle Prototyp wurde von Lightning Labs CTO Olaoluwa Osuntokun entwickelt.

Was dies für normale Bitcoin-Besitzer bedeutet

Für gewöhnliche Bitcoin-Besitzer (BTC) ist die praktische Schlussfolgerung klar. Derzeit gibt es keinen Quantencomputer, der in der Lage ist, die Kryptografie von Bitcoin zu knacken, und die meisten Forscher schätzen, dass diese Bedrohung erst in mindestens drei Jahren bis zu einem Jahrzehnt eintreten wird. Doch die Uhr beginnt zu ticken, sobald ein öffentlicher Schlüssel in der Blockchain erscheint – was jedes Mal geschieht, wenn ein Nutzer von einer Adresse aus eine Zahlung tätigt.

Bitcoin, das in einer Wallet liegt, von der noch nie eine ausgehende Transaktion getätigt wurde, ist weniger gefährdet. Bitcoin, das auf einer wiederverwendeten oder bereits genutzten Adresse geparkt ist, ist eine andere Geschichte. Wenn die Quantencomputertechnik die Schwelle erreicht, werden diese exponierten öffentlichen Schlüssel zur Zielscheibe. Es ist wichtiger, Gelder zu verschieben, bevor dieses Zeitfenster schließt, als sie danach zu verschieben.

QSB ist noch in keiner Consumer-Wallet integriert. Nutzer können heute keine Standard-Wallet öffnen und eine quantensichere Einstellung aktivieren. Was Levy geliefert hat, ist der kryptografische Beweis, dass der Weg existiert – aufgebaut auf Regeln, die bereits in Bitcoin enthalten sind, und dessen Rechenaufwand in etwa dem Preis eines Flugtickets entspricht.

Was noch zu tun bleibt, sind technische Umsetzung, Akzeptanz und Zeit. Für jemanden, der BTC hält, ist die Vorgehensweise einfach: Achten Sie auf Post-Quantum-Unterstützung durch Ihren Wallet-Anbieter, vermeiden Sie die Wiederverwendung von Adressen und verlagern Sie Gelder auf eine quantensichere Adresse, sobald diese Option in gängiger Software verfügbar ist. Die Tools zum Schutz dieser Bitcoins werden gerade entwickelt.