Vitalik Buterin warnt, dass leistungsfähige Quantencomputer die Ethereum-Kryptografie früher als erwartet brechen könnten, und fordert die Community auf, das Netzwerk innerhalb weniger Jahre schrittweise auf quantensichere Verfahren und Smart-Contract-Wallets umzustellen.
Kurz erklärt
- Buterin sieht ein reales Risiko, dass Quantencomputer ECDSA-Signaturen von Ethereum angreifen und Private Keys aus öffentlichen Schlüsseln ableiten könnten.
- Im Fokus steht Ethereum-Mitgründer Vitalik Buterin, der konkrete Notfall- und Migrationspläne für das Netzwerk skizziert.
- Laut von ihm zitierten Prognosen besteht rund 20 % Chance auf kryptografisch relevante Quantencomputer vor 2030, die elliptische Kurven wie secp256k1 bedrohen.
Was warnt Vitalik Buterin konkret vor einer Quantum-Bedrohung für Ethereum?
Vitalik Buterin bezieht sich auf Prognosen der Forecasting-Plattform Metaculus und spricht von „etwa 20 % Chance“, dass Quantencomputer, die heutige Public-Key-Kryptografie brechen können, noch vor 2030 verfügbar sind. Die Median-Erwartung dieser Prognosen liege näher bei 2040.
Auf einem Auftritt bei Devconnect in Buenos Aires warnte er, elliptische Kurven – die Basis von Ethereum- und Bitcoin-Signaturen – könnten „vor der nächsten US-Präsidentschaftswahl 2028“ gebrochen werden. Er fordert daher, Ethereum innerhalb von rund vier Jahren auf quantenresistentere Grundlagen zu stellen.
Buterin betont, es gehe nicht um Panik, sondern um ingenieurmäßige Vorsorge: Selbst ein „Tail-Risiko“ rechtfertige Vorbereitung, weil die globale Migration kryptografischer Systeme viele Jahre dauere. Quantenrisiken sollten daher aktiv in die Ethereum-Forschungs-Roadmap aufgenommen werden.
„Elliptische Kurven werden sterben“ – Vitalik Buterin, Mitgründer von Ethereum
Wie bedrohen Quantencomputer Ethereum und warum ist ECDSA besonders kritisch?
Die Sicherheit von Ethereum beruht heute wesentlich auf der elliptischen Kurven-Diskreten-Logarithmus-Problematik (ECDLP), konkret auf ECDSA-Signaturen über der Kurve secp256k1. Aus einem privaten Schlüssel wird dabei effizient ein öffentlicher Schlüssel berechnet, der Rückweg gilt auf klassischer Hardware als praktisch unmöglich.
Adressen im Ethereum-Netzwerk sind Hashes des öffentlichen Schlüssels. Solange ein Nutzer nie von einer Adresse gesendet hat, ist nur dieser Hash on-chain sichtbar, der auch nach aktuellem Stand als relativ quantenrobust gilt. Mit der ersten ausgehenden Transaktion wird jedoch der vollständige öffentliche Schlüssel veröffentlicht.
Ein ausreichend großer Quantencomputer könnte mithilfe von Shor’s Algorithmus aus diesem öffentlichen Schlüssel den privaten Schlüssel in polynomieller Zeit rekonstruieren. Das würde Angreifern ermöglichen, betroffene Konten zu leeren oder Signaturen zu fälschen – ein struktureller Bruch für ECDSA, RSA, Diffie-Hellman und verwandte Verfahren.
Buterin unterstreicht, dass nicht Keccak oder die grundlegenden Datenstrukturen von Ethereum im Zentrum der Bedrohung stehen, sondern alle Konten, deren Public Key jemals on-chain sichtbar wurde. Dazu zählen die meisten Benutzer-Wallets sowie zahlreiche Smart-Contract-Treasuries und Multisigs.
Internationale Standardisierungsstellen wie die Internet Engineering Task Force und das US National Institute of Standards and Technology (NIST) sehen klassische elliptische Kurven in Gegenwart kryptografisch relevanter Quantencomputer (CRQC) ebenfalls als verwundbar. Daher treibt NIST seit Jahren sein Programm zur Post-Quantum-Kryptografie voran.
Im Jahr 2024 hat NIST erste Standards für quantensichere Verfahren finalisiert: ML-KEM für Schlüsselaustausch sowie ML-DSA und SLH-DSA für digitale Signaturen. Diese sollen langfristig ECDSA, RSA und ähnliche Verfahren in kritischen Infrastrukturen ersetzen.
Hardwareseitig zeigen aktuelle Systeme, dass die Gefahr noch nicht akut ist, aber realer werden könnte. Der Google-Quantenchip „Willow“ mit 105 physischen Qubits und ersten fehlerkorrigierten logischen Qubits ist zwar ein Fortschritt, kann laut Googles Quantum-AI-Leitung moderne Kryptografie aber noch nicht brechen und bräuchte dazu Millionen physischer Qubits.
Wissenschaftliche Analysen gehen davon aus, dass ein Angriff auf 256-Bit-Elliptic-Curve-Kryptografie innerhalb einer Stunde unter Nutzung fehlerkorrigierter Qubits zig bis hunderte Millionen physischer Qubits erfordern würde – weit jenseits aktueller Systeme. Dennoch bewegen sich viele Experten-Schätzungen für „Q‑Day“ in einem 10- bis 20-Jahres-Fenster, mit vereinzelten optimistischen Szenarien bereits Ende der 2020er.
Buterins „20 % bis 2030“ und sein Verweis auf 2028 ordnen sich damit in eine breitere Risikospanne ein. Die Kernaussage lautet: Die Unsicherheit ist hoch, die Vorwarnzeit im Ernstfall aber kurz, während der Migrationsprozess für ein globales Netzwerk wie Ethereum viele Jahre beansprucht.
Um für ein beschleunigtes Quantumszenario gerüstet zu sein, skizziert Buterin einen Notfall-Hard-Fork-Plan. Im Zentrum stehen ein gezielter Chain-Rollback, das Einfrieren klassischer Externally Owned Accounts (EOAs) und eine Massenmigration in quantensichere Smart-Contract-Wallets mithilfe von Zero-Knowledge-STARKs.
In einem hypothetischen „Quantum-Notfall“ würde zunächst der Zeitpunkt identifiziert, ab dem großflächige Diebstähle durch Quantenangriffe sichtbar werden. Ethereum könnte dann zu dem letzten Block vor diesem Punkt zurückgesetzt werden, um gestohlene Mittel rückgängig zu machen.
Anschließend würden klassische EOA-Transaktionen deaktiviert, um weitere Abflüsse über bereits exponierte öffentliche Schlüssel sofort zu stoppen. Von da an dürften Mittel nur noch über neue, quantensichere Mechanismen bewegt werden.
Ein neuer Transaktionstyp soll es Nutzern erlauben, mithilfe eines Zero-Knowledge-STARK-Beweises zu zeigen, dass sie die ursprüngliche Seed oder den Ableitungspfad (z. B. eines BIP-32-HD-Wallets) eines betroffenen Accounts kontrollieren. Der Beweis bleibt privat, weist aber die Berechtigung nach und definiert gleichzeitig die Logik einer neuen Smart-Contract-Wallet.
Nach erfolgreicher Verifikation würden die Gelder in diese Smart-Contract-Wallet verschoben, die nur noch quantensichere Signaturen akzeptiert. Damit könnten Benutzer wieder sicher über ihre Mittel verfügen, ohne ihre Seed offenzulegen.
Da STARK-Beweise groß sind und on-chain teuer werden könnten, sieht der Plan Batch-Verfahren vor. Aggregatoren bündeln viele Einzelbeweise in einer Transaktion, um Gas-Kosten pro Nutzer zu reduzieren und die Massenmigration praktikabel zu machen.
Buterin betont, dass dieser Hard-Fork-Mechanismus als letzte Verteidigungslinie gedacht ist, nicht als Standardweg. Wichtiger sei es, die notwendigen Bausteine frühzeitig zu entwickeln: robuste Account-Abstraktion, etablierte ZK-Infrastruktur und standardisierte, erprobte quantensichere Signaturverfahren.
Parallel dazu arbeitet die Ethereum-Community bereits an einer schrittweisen Verschiebung von einfachen EOAs hin zu Smart-Contract-Wallets mit Account Abstraction (z. B. nach ERC‑4337). Solche Wallets können ihre Signatur-Logik upgraden, ohne die Adresse zu wechseln – ein entscheidender Vorteil für künftige PQC-Umstellungen.
Auf Prototyp-Ebene existieren bereits Wallets, die quantenresistente Verfahren wie Lamport-Signaturen oder XMSS (eXtended Merkle Signature Scheme) auf Ethereum demonstrieren. Für den produktiven Einsatz müssen jedoch Größen, Verifizierungskosten und Integration in Smart Contracts sorgfältig abgewogen werden.
Darüber hinaus muss Ethereum „krypto-agil“ werden, also in der Lage, mehrere Signaturfamilien nebeneinander zu unterstützen und bei Bedarf geordnet zu wechseln. Dies betrifft nicht nur Benutzer-Schlüssel, sondern auch andere zentrale Bausteine wie BLS-Signaturen, KZG‑Commitments und bestimmte Rollup-Protokolle, die ebenfalls auf der Härte diskreter Logarithmen beruhen.
Auf Governance-Ebene weist Buterin darauf hin, dass ein echter Quantum-Notfall erheblichen sozialen und politischen Koordinationsaufwand bedeuten würde. Block-Rollbacks, das Einfrieren alter Accounts oder erzwungene Schlüssel-Migrationen wären umstritten und nur mit breiter Zustimmung durchsetzbar.
Als Vorbereitung schlägt er unter anderem „Quantum-Canary“-Mechanismen vor: bewusst schwächer gesicherte Test-Assets, deren nachweisbare Kompromittierung automatisch bestimmte Migrationsregeln auslöst. So könnte die Community objektive Signale für den Ernstfall definieren.
Für Nutzer und Institutionen ergeben sich daraus kurzfristig drei praktische Empfehlungen: möglichst Wallet-Setups wählen, deren Kryptografie upgradefähig ist, Adresswiederverwendung vermeiden, um möglichst wenige Public Keys on-chain zu exponieren, und die künftige Auswahl quantensicherer Signaturen im Ethereum-Ökosystem genau verfolgen, um rechtzeitig migrieren zu können.
Langfristig, so die Analogie Buterins, sollte Quantum-Risiko behandelt werden wie Erdbeben- oder Hochwasserrisiko im Bauwesen: Es zerstört das „Haus“ nicht zwangsläufig in diesem Jahr, ist aber über Jahrzehnte hinweg wahrscheinlich genug, um die Fundamente resilient auszulegen.
Fazit
Wenn Ethereum die von Vitalik Buterin genannten vier Jahre nutzt, um Account-Abstraktion, quantensichere Signaturen und Notfallmechanismen zu etablieren, könnte das Netzwerk deutlich besser gewappnet sein, sollte eine kryptografisch relevante Quantenmaschine bereits Ende der 2020er Realität werden.
