Ethereums Quanten-Plan vor dem Q-Day mit Justin Drake

Ein Interview mit Justin Drake, Forscher bei der Ethereum Foundation, über Ethereums Post-Quanten-Roadmap, die Lean-Ethereum-Vision, Durchbrüche in der formalen Verifikation und eine offene Diskussion über existenzielle KI-Risiken.

Dieses Transkript ist eine barrierefreie Kopie des ursprünglichen Video-Transkripts (opens in a new tab), das von Bankless veröffentlicht wurde. Es wurde zur besseren Lesbarkeit leicht bearbeitet.

Einführung und die Quantenbedrohung (0:00)

Justin Drake: Ein interessanter Bewusstseinswandel für mich in den letzten Monaten ist, dass ich aufgehört habe, Post-Quanten als eine Hürde zu betrachten, die wir überwinden müssen, und es vielmehr als eine Chance sehe. Es ist eine Chance für Ethereum, sich als das allererste globale Finanzsystem hervorzutun, das Post-Quanten-sicher ist, nicht nur im Vergleich zu seinen Konkurrenten wie Bitcoin und dergleichen, sondern auch im Vergleich zu Fiat und TradFi. Und ich denke, es würde eine sehr starke Botschaft senden und eine Art sehr natürliches Verkaufsargument in puncto Sicherheit für die Welt sein, zu Ethereum zu migrieren.

Ryan Sean Adams: Bankless Nation, wir haben wieder einmal Justin Drake zu Gast. Wir werden über Quantencomputing in Bezug auf Krypto, Bitcoin und auch Ethereum sprechen. Justin, willkommen zurück im Podcast.

Justin Drake: Hallo Leute. Danke, dass ich wieder dabei sein darf.

David Hoffman: Quantencomputing ist also zu einer Art großen, drohenden Gefahr für unsere Branche geworden. Wir haben das irgendwie schon immer gewusst. Es war größtenteils theoretisch. In den letzten etwa sechs Monaten hat sich das Thema Quanten fest von etwas Theoretischem zu etwas entwickelt, das unsere Branche erheblich beeinflusst. Angefangen beim Bitcoin-Preis, denn Fondsmanager – sogar BlackRock hat Artikel über die Bedrohung durch Quanten für die Sicherheit und damit den Wert von Bitcoin veröffentlicht. Wir haben also anekdotisch gesehen, dass Leute Bitcoin in ihrem Portfolio untergewichten. Vielleicht drückt das auch den Preis aller anderen Vermögenswerte in der Branche.

Um nicht nur über den Preis zu sprechen, aber so wie wir es verstehen, wirkt sich Quantencomputing wirklich auf die Funktionsweise von Blockchains aus. Das scheint also ein grundlegendes Problem unserer gesamten Branche zu sein. Eine Hürde, die unsere Branche überwinden muss – als Krypto und Blockchain überhaupt erst erschaffen wurden, waren wir als Branche nicht dafür gerüstet, Post-Quanten-sicher zu werden. Um vielleicht mit etwas Kontext zu beginnen: Wie sieht hier der Zeitplan aus? Wann kommt diese Hürde? Ich habe gehört, dass dies Q-Day genannt wird. Wann ist der Q-Day? Wie viel Zeit haben wir, um diese Quantenhürde zu überwinden?

Justin Drake: Ja. Ich möchte also nur ein wenig zurückgehen und betonen, was du gesagt hast, nämlich dass wir in den letzten 6 bis 12 Monaten große Durchbrüche hatten. Einer davon ist dieses Konzept der Fehlerkorrektur. Wir sind in der Lage, von sogenannten physischen Qubits, die sehr verrauscht und fehleranfällig sind, zu perfekten logischen Qubits überzugehen. Im Moment können wir im Grunde ein logisches Qubit herstellen, aber es ist immer noch ein sehr wichtiger Null-auf-Eins-Moment, und jetzt geht es darum, dies auf mehrere logische Qubits zu skalieren. Ein weiterer großer Durchbruch liegt auf der algorithmischen Seite. Früher dachten wir, es würde Millionen, eigentlich zig Millionen physischer Qubits erfordern, um unsere geliebte Kryptographie zu knacken. Aber letztes Jahr gab es ein Paper, das eine 10-fache Verbesserung brachte und die Zahl auf 1 Million physische Qubits senkte. Und dieses Jahr haben wir eine weitere 10-fache Verbesserung, die sie auf 100.000 Qubits senkt.

Die Torpfosten rücken also immer näher, und man hat in gewissem Sinne diese doppelt exponentielle Entwicklung, die sich irgendwann kreuzen wird. Und dann ist noch etwas auf der Investitionsseite passiert – viele der Quanten-Startups haben Milliarden von Dollar eingesammelt. Letztes Jahr sprechen wir, glaube ich, von einer Größenordnung von 5 Milliarden Dollar, was beispiellos ist. Zuvor sprachen wir von Hunderten von Millionen. Und ich denke, der Höhepunkt all dieser Dinge hat die Öffentlichkeit wirklich aufgerüttelt und zu diesem Narrativ geführt, das tatsächlich potenziell den Preis von Bitcoin und Ether beeinflusst hat.

Wenn ich nun in die Zukunft blicke, ist mein persönlicher Q-Day im Jahr 2032. Das ist eine etwas optimistische Sichtweise in dem Sinne, dass es möglich ist, dass sie etwas später eintreffen, aber wir müssen auf das Worst-Case-Szenario vorbereitet sein. Ich würde also sagen, es gibt eine Wahrscheinlichkeit von mindestens 1 %, dass der Q-Day im Jahr 2032 liegt, wahrscheinlicher ist jedoch ein zweistelliger Prozentsatz. Verschiedene Experten werden Ihnen etwas zwischen 2031 und 2038 sagen. Einer meiner Freunde in der Branche, Steve Bryley, Gründer und CEO eines der größten Unternehmen für Quantenfehlerkorrektur der Welt, das zufällig in Cambridge ansässig ist, wo ich auch bin – sein persönlicher Q-Day war 2032, aber er hat dieses Datum schon seit 15 Jahren

Wann ist der Q-Day und wie bereiten wir uns vor? (5:08)

und es ist immer gleich geblieben.

Ryan Sean Adams: Wow, das ist eine beeindruckende Kontinuität.

Justin Drake: Und im Grunde muss man nur die Exponentialfunktionen extrapolieren, und da landet man dann. Was wir also bei Ethereum versuchen, ist sicherzustellen, dass wir alles weit vor 2032 unter Dach und Fach haben. Und mein Zieldatum, an dem Ethereum vollständig Post-Quanten-sicher ist, ist 2029.

David Hoffman: Vor einem Jahr hatten wir dich zusammen mit Scott Aaronson zu Gast, der eine Art Pate in diesem Bereich ist. Wir haben einige Fragen zum Q-Day gestellt. Ist eine gute Definition für den Q-Day der Tag, an dem Quantencomputer unsere Signaturschemata wie ECDSA knacken können? Ist es das, was Q-Day eigentlich bedeutet?

Justin Drake: Ja, genau. Wir haben also diesen neuen Begriff namens CRQC – kryptographisch relevanter Quantencomputer. Wenn man die Augen ein wenig zusammenkneift, wird das Q in der Mitte zu einem O und es ist wie ein Krokodil, „Croc“. Das ist der Zeitpunkt, an dem es für uns relevant wird. Es ist möglich, dass es andere Anwendungen geben wird, die Quantencomputer für die Chemie oder Physik nützlich machen, aber das wird erst etwas später kommen.

David Hoffman: Ich erinnere mich, dass er sich damals etwas bedeckt hielt. Das war vor einem Jahr, im Januar 2025, und er sagte, dass wir innerhalb von 10 Jahren brauchbare, fehlertolerante Quantencomputer haben sollten, aber er betonte sehr vorsichtig, dass dies nicht bedeutet, dass wir ECDSA knacken könnten. Er wollte sich auf kein Datum festlegen, weil er sagte, es sei ein unfassbar schwieriges technisches Problem. Mir ist aufgefallen, dass sich sein Tonfall im vergangenen Jahr geändert hat, und tatsächlich ist er einigen Organisationen und Stiftungen beigetreten, um Kryptowährungen dabei zu helfen, sich im Quantenbereich zurechtzufinden. Liegt das an den drei Gründen, die du hervorhebst – Durchbrüche bei Algorithmen, Fehlerkorrektur, die es uns ermöglicht, logische Qubits zu skalieren, und dann die Milliarden an VC-Finanzierung, die in diesen Bereich fließen? Hat sich seine Meinung geändert?

Justin Drake: Ich kann nicht für ihn sprechen, aber eines sollten wir festhalten: Scott ist in erster Linie ein Theoretiker. Er hat sehr lange an der Theorie gearbeitet und weniger an der alltäglichen Praxis von Quantencomputern, und ich denke, das war teilweise der Grund, warum er sich so bedeckt hielt. Was immer mehr passiert, ist, dass es echte Unternehmen und echte Unternehmer gibt, die diese Dinge bauen, und er hat einen Insider-Blick. Er nimmt im Grunde all diese Informationen auf. Eines der Dinge, die er kürzlich sagte, ist, dass die US-Regierung beginnt, bei der Veröffentlichung von Ideen einzugreifen. Wir haben also Unternehmen und Akademiker, die möglicherweise Verbesserungen für Shors Algorithmus entwickeln, und diese werden nicht vollständig offengelegt, möglicherweise aus Gründen der nationalen Sicherheit.

Physische Qubits, logische Qubits und das Brechen von ECDSA (10:11)

David Hoffman: Wow. Okay. Es klingt also so, als würden sich Regierungen hier einmischen. Wir wissen eigentlich nicht genau, welche Arbeit hinter den Kulissen stattfindet – wir sind uns derzeit nur der kommerziell nutzbaren Arbeit bewusst. Was den Teil mit den logischen Qubits angeht, sagtest du, dass wir im Moment ein logisches Qubit haben. Es gibt physische Qubits und logische Qubits, und das, was skaliert werden muss, sind die logischen Qubits. Um ECDSA zu brechen, wie viele logische Qubits brauchen wir eigentlich? Das ist eine Metrik, auf die ich schaue, aber ist das überhaupt die richtige Zahl? Ich habe Leute darüber reden hören, dass man tausend oder vielleicht 1.500 braucht. Ist das eine Zahl, auf die wir achten sollten?

Justin Drake: Ja, es gibt also mehrere relevante Metriken. Da ist die Gesamtzahl der physischen Qubits, die Gesamtzahl der logischen Qubits und auch die Gesamtzahl der Schritte, die zur Ausführung des Algorithmus erforderlich sind. Und das hat echte Auswirkungen, denn es wird bestimmen, ob es eine Minute dauert, einen Schlüssel zu brechen, einen Tag, eine Woche, einen Monat oder ein Jahr.

David Hoffman: Und was sind die Skalierungsfaktoren für jeden davon – physisch, logisch und dann die Zeit zur Ausführung des Algorithmus?

Justin Drake: Grob gesagt liegt die Anzahl der physischen Qubits, um heute ein logisches Qubit zu erhalten, bei ein paar Hundert – sagen wir tausend. Was passieren sollte, ist, dass die Qualität der physischen Qubits, die sogenannten Fidelities (Genauigkeiten), steigen sollte, und wir sollten auch bessere Codes für die Löschcodierung entwickeln, die dieses Verhältnis verbessern. Es ist also möglich, dass wir in Zukunft nur noch 100 physische Qubits für jedes logische benötigen, oder vielleicht nur 10.

Wenn man sich den Algorithmus zum Brechen des diskreten Logarithmus und von ECDSA ansieht, ist es grob gesagt ein kleines Vielfaches der Anzahl der Bits in der Kurve. Wir arbeiten mit dieser Kurve namens secp256k1. Die 256 steht für 256-Bit. Man nimmt also diese Zahl und multipliziert sie mit fünf oder sechs, und das ergibt ungefähr die Anzahl der logischen Qubits, die man benötigt – sagen wir also 1.500. Da wir heute bei einem logischen Qubit stehen, sind wir in gewissem Sinne drei Größenordnungen entfernt, also dreimal 10x, um dorthin zu gelangen. Aber auch hier werden wir Verbesserungen bei der Fehlerkorrektur haben, die dieses Verhältnis verringern, und Verbesserungen auf der algorithmischen Seite, die die Anzahl der benötigten logischen Qubits reduzieren.

Was nun die Laufzeiten betrifft, ist das ziemlich interessant, denn es gibt zwei Arten von Quantencomputern – mit schnellem Takt (fast clock) und mit langsamem Takt (slow clock). Der schnelle Takt arbeitet wirklich schnell, quasi mit Lichtgeschwindigkeit. Es gibt die supraleitenden Quantencomputer und die photonischen Quantencomputer – photonisch nutzt, wie der Name schon sagt, Photonen, also Licht, was erklärt, warum es so schnell ist. Dann gibt es den langsamen Takt – gefangene Ionen und neutrale Atome. Die Namen spielen keine große Rolle, aber grob gesagt arbeiten sie tausendmal langsamer. Jede Architektur und Modalität hat ihre eigenen Vor- und Nachteile. Es ist also durchaus möglich, dass sich anfangs eine Modalität mit langsamem Takt durchsetzt, in dem Sinne, dass sie die ersten sein werden, die einen Schlüssel brechen, aber sie werden lange dafür brauchen – es könnte eine Woche oder einen Monat dauern. In gewissem Sinne ist der Q-Day also nicht völlig schwarz-weiß; es wird eine Phase geben, in der es quasi gebrochen ist, aber nur für die allerwichtigsten, hochwertigsten Adressen.

David Hoffman: Interessant. Aber der Q-Day könnte auch hinter den Kulissen stattfinden, ohne dass wir wissen, wie weit wir wirklich sind.

Justin Drake: Ja. Und wenn es tatsächlich ein Nationalstaat sein wird, der als Erster Zugang zu diesen Quantencomputern hat, werden sie, sofern Krypto keine große systemische Rolle in der Welt spielt, ihre Fähigkeiten höchstwahrscheinlich nutzen, um Dinge auf heimliche Weise anzugreifen – zum Beispiel, um ihre Gegner auszuspionieren. Das spielt uns also in die Karten. Aber wenn man es mit einer rein rationalen Entität zu tun hat, die von Geld motiviert ist, könnten sie tatsächlich auf Bitcoin oder Ethereum abzielen.

Quanten-Rechenzentren und das Q-Day-Angriffsszenario (15:10)

David Hoffman: Letzte Frage zu Qubits. Werden derzeit Quantencomputer-Rechenzentren gebaut? Wir erleben diesen massiven Ausbau von Rechenzentren für KI. Beginnt etwas Ähnliches bei Quantencomputern?

Justin Drake: Ja. Ich habe diese Pressemitteilung von Continuum gelesen. Sie bauen einen photonikbasierten Quantencomputer und agieren sehr im Verborgenen. Sie haben viel Geld gesammelt – Milliarden von Dollar, teilweise von der australischen Regierung – und sie wollen Quantencomputer quasi auf einen Schlag realisieren. Viele andere Unternehmen bauen kleine Proof-of-Concepts und skalieren dann hoch, aber sie wollen von Tag eins an das komplette System bauen. Also errichten sie dieses riesige Rechenzentrum. Ich denke, das liegt an der Modalität – Photonik erfordert nicht die extrem niedrigen Temperaturen, die andere Modalitäten wie Supraleitung benötigen. Man kann also ein viel traditioneller aussehendes Rechenzentrum nehmen und seinen Quantencomputer dort unterbringen.

Ryan Sean Adams: Du hast gerade darüber gesprochen, dass der Q-Day nicht wirklich schwarz-weiß ist. Es gibt eine Reihe verschiedener Aspekte einer Blockchain, die für Quantencomputer relevant sind, jeder mit einem anderen Grad an Quantenanfälligkeit. Aber ich möchte den Standpunkt vertreten, dass der Q-Day tatsächlich ein akutes, spezifisches Ereignis ist – es ist der Moment, in dem der eigentliche Angriff stattfindet und infolgedessen etwas kaputtgeht. Vielleicht ist das für verschiedene Blockchains unterschiedlich, weil die Risikoprofile der verschiedenen Blockchains nicht einheitlich sind. Aber wir können über den Q-Day für Bitcoin unter der Annahme sprechen, dass Bitcoin nichts unternimmt. Wenn wir davon ausgehen, dass Bitcoin sich nicht anpasst, gibt es einen bestimmten Tag, an dem Bitcoin angegriffen wird. Wie sieht das aus? Was würde an diesem Tag passieren? Was ist das leichteste Ziel für einen Quantencomputer, um Bitcoin anzugreifen?

Justin Drake: Im Grunde muss man sich die Anreize für einen Angriff ansehen. Der rationale Schritt für einen Angreifer ist es, sich die größten Adressen vorzunehmen, und vielleicht sogar noch davor, sich entweder Adressen mit perfekter Privatsphäre oder Adressen mit glaubhafter Abstreitbarkeit zu holen. Lass mich diese nacheinander durchgehen. Das allererste Ziel wird wahrscheinlich Zcash sein, denn wenn man Zcash angreift, kann man eine beliebige Anzahl von ZEC prägen und niemand wird es erfahren. Der Q-Day wird also nicht öffentlich gemacht werden.

David Hoffman: Moment, nur um das klarzustellen – Zcash ist im Moment nicht post-quanten-sicher? Obwohl es ZK-SNARKs und all das verwendet?

Justin Drake: Ja, es verwendet SNARKs, die auf Kurven basieren, die anfällig dafür sind, von Quantencomputern gebrochen zu werden.

David Hoffman: Okay. Und eine weitere potenzielle Gruppe von Opfern könnten Leute sein, die gestorben sind und einfach ihre Coins verloren haben. Wenn jemand ihre Coins stiehlt, wird sich niemand beschweren – es gibt ein gewisses Maß an glaubhafter Abstreitbarkeit.

Ryan Sean Adams: Aber das würden wir doch bemerken, ich meine, wenn wir anfangen würden, Coins von Leuten zu sehen –

Justin Drake: Ja und nein, denn das sehen wir heute schon. Etwa jedes Quartal gibt es irgendeine Zombie-Adresse, die sich seit 13 Jahren nicht bewegt hat, und sie erwacht wieder zum Leben, und niemand kennt den wahren Grund.

Ryan Sean Adams: Richtig? Es ist wie eine 13 Jahre alte Bitcoin-Wallet, die keine Transaktion mehr hatte, seit sie vor Ewigkeiten die 50 Bitcoins geschürft hat, und sie macht ihre erste Transaktion seit 13 Jahren. Ob diese Person noch lebt und nur eine ruhende Wallet aufweckt oder ob es sich um einen Quantencomputer-Angriff handelt – ein naiver Beobachter, der sich nur die Bitcoin-Blockchain ansieht, kann den Unterschied nicht erkennen.

Justin Drake: Genau. Ja. Und dann würde man wahrscheinlich die größten Fische angreifen, was vielleicht eine Börse sein könnte, die nicht die richtige Infrastruktur eingerichtet hat, um sich zu schützen. Es stellt sich heraus, dass es eine sehr einfache Maßnahme gegen Quantencomputer gibt, zumindest gegen die allerersten – verwende deine Adressen nicht wieder. Wenn du deine Adresse wiederverwendest, verwendest du den öffentlichen Schlüssel wieder, und das bedeutet, dass ein Angreifer Zeit hat, den entsprechenden privaten Schlüssel zu knacken und dann deine Gelder zu stehlen, wenn du die Adresse das zweite Mal verwendest. Die beste Vorgehensweise sollte also sein, dass, wenn du Gelder in einem langfristigen Cold Storage aufbewahrst, es sich um eine saubere Adresse handeln sollte, für die der entsprechende öffentliche Schlüssel noch nie preisgegeben wurde. Nur um das glasklar zu machen: Was ein Quantencomputer dir ermöglicht,

Anfällige Bitcoin-Adressen und die Satoshi-Coins (20:08)

tun, ist, vom öffentlichen Schlüssel zurück zum privaten Schlüssel zu gelangen. Es gefährdet also wirklich die Grundlagen des Eigentums.

Ryan Sean Adams: Also sind lange ruhende Coins, egal auf welcher Blockchain, deren öffentlicher Schlüssel offengelegt wurde – was nicht auf alle ruhenden Coins zutrifft, aber auf einen großen Prozentsatz – gefährdet. Das sind die Satoshi-Coins. Satoshi hat seine Coins in einer Wallet, die die Leute kennen. Deshalb nennen wir sie die Satoshi-Coins, weil wir wissen, wo sie sind. Welcher Prozentsatz der Bitcoins ist dafür anfällig?

Justin Drake: Ja, es gibt da diese Webseite namens „Qisk List“ – geschrieben mit einem Q statt einem C – von dieser Firma namens Project 11, wo sie dieses Dashboard haben, das einem eine Live-Ansicht der anfälligen Adressen gibt. Ich glaube, es liegt in der Größenordnung von 35 %.

David Hoffman: 35 % der Bitcoins.

Justin Drake: Ja. Also Millionen von Bitcoin – sagen wir sechs oder sieben Millionen. Ja, das sind Hunderte von Milliarden Dollar. Und du hast recht, dass das die rund 1 Million BTC einschließt, die Satoshi hält. Nun, eine der interessanten Eigenschaften von Satoshis BTC ist, dass sie alle in Schritten von 50 Bitcoin vorliegen, weil das die Blockbelohnung war und er jedes Mal, wenn er gemint hat, eine neue Adresse verwendet hat. So war die Standardsoftware damals programmiert. Wenn es, sagen wir, einen Tag oder auch nur 10 Minuten dauert, einen öffentlichen Schlüssel zu hacken, wird man sehen, wie Satoshis Coins in etwa der gleichen Geschwindigkeit abgezogen werden, in der sie damals gemint wurden – etwa einmal alle 10 Minuten.

Es wird ein Prozess sein, der sich über die Zeit erstreckt. Und eine interessante Konsequenz ist, dass man, wenn man ein kleiner Fisch ist und deutlich weniger als 50 Bitcoins auf seiner Adresse hat, auf der sicheren Seite ist. Man wird gewissermaßen von Satoshi vor einem abgeschirmt.

David Hoffman: Richtig?

Justin Drake: Ja. Genau.

Ryan Sean Adams: In der Analogie, vor Zombies wegzulaufen, darf man einfach nicht der Langsamste sein. In diesem Fall dürfen wir nicht die größten Wallets haben, die quantenunsicher sind, weil sie einfach auf die größeren Wallets losgehen werden.

Justin Drake: Genau.

David Hoffman: Also passiert der Q-Day in einem Justin-Drake-Szenario – vielleicht ist Zcash das erste Ziel einer Art von Angriff, dann sieht man vielleicht einige Adressen Onchain, die nicht sehr auffällig sind, weil der Angreifer keine Aufmerksamkeit erregen möchte. Einige Adressen auf Bitcoin, aber dann würde der Angreifer einen Gang zulegen und auf immer größere Schatzquellen losgehen. Nach meinem Verständnis von Nick Carters Artikeln gibt es einen Teil des Bitcoin-Angebots im Szenario der verlorenen Coins – entweder ist die Person verstorben, hat ihre privaten Schlüssel verloren, oder es ist Satoshi selbst. Ich glaube, Nick schätzte die Mindestgrenze auf 1,7 Millionen Bitcoin, was 8,6 % des geminten Angebots entspräche. Das ist weniger als die 35 %, die für einen Angriff anfällig sind. Leute, die versuchen, dem Zombie-Angriff einen Schritt voraus zu sein, werden auf nicht anfällige Adressen ausweichen. Aber wenn die Coins verloren sind, wenn es keinen Zugang zu den privaten Schlüsseln gibt, kann man sie nicht bewegen. Und dann besagen andere Schätzungen, dass bis zu 15 % der Bitcoins anfällig sein könnten. Welche Zahlen hast du gesehen?

Justin Drake: Ja, die grobe Zahl, die ich im Kopf habe, stimmt damit überein. Es sind etwa 2 Millionen Bitcoin, sagen wir 10 %. Wir haben die 1 Million von Satoshi und dann ungefähr eine weitere Million, die sich seit sehr langer Zeit nicht bewegt hat. Wir müssen davon etwas abziehen, weil einige Zombie-Adressen legitim sind und wieder aufleben werden, aber wir sollten es auch erhöhen, weil es einige kürzlich ausgegebene Adressen geben könnte, die verloren gehen werden. Also sind 5 bis 15 % der richtige Bereich. Ich würde auf etwa 10–12 % tippen, was sehr beträchtlich ist – definitiv in den Hunderten von Milliarden Dollar.

Die Debatte: Verbrennen vs. Bergen bei Bitcoin (25:24)

Man könnte hier gewissermaßen die Spieltheorie durchdenken. Option A ist der Versuch, die Coins zu verbrennen. Der Vorteil ist, dass man nicht den Verkaufsdruck in Höhe von Hunderten Milliarden Dollar hat. Wenn man dies aus einer kurzfristigen Perspektive betrachtet, ist das der rationale Schritt. Aber die ganze Geschichte von Bitcoin dreht sich um starke Eigentumsrechte. Wenn man also eine längerfristige Perspektive einnimmt, sollte man die Coins nicht verbrennen wollen. Es ist sehr schwer vorherzusagen, welchen Weg die Community einschlagen wird. Es ist möglich, dass die Entscheidung letztendlich von großen Haltern getroffen wird – zum Beispiel von Michael Saylor und MicroStrategy. Denn diese großen Halter werden eine Kopie beider Versionen des Bitcoins erhalten – die mit dem Verbrennen und die ohne – und sie können sich entscheiden, diejenige abzustoßen, die ihnen nicht gefällt. Und wir wissen, dass Saylor für das Verbrennen ist, also kann er potenziell im Alleingang den Markt manipulieren und das von ihm gewünschte Ergebnis erzielen.

Ryan Sean Adams: Können wir klarstellen, was du meinst? Zwei Optionen für wen? Wir haben also ein Szenario nach dem Q-Day – wenn man glaubt, dass der Q-Day kommt, werden wir sagen wir 10 % des gesamten Bitcoin-Angebots haben, das von demjenigen angegriffen werden kann, der den besten Quantencomputer besitzt. Sie können zugreifen und sich die Bitcoin über Tage, Wochen und vielleicht Monate hinweg holen, indem sie diese Adressen eine nach der anderen abräumen. Und diese 10 % können von jemandem entwendet werden. Du sagst, die Bitcoin-Community hat Optionen, was sie mit diesen 10 % auf der sozialen Schicht, der Hard-Fork-Schicht, tun kann. Diese Optionen sind zweierlei.

Entweder können sie die Coins verbrennen oder einfrieren – also faktisch sagen, das sind tote Adressen, wir wissen, dass sie tot sind, wir wollen nicht, dass sie quantenanfällig sind, also machen wir einen Hard Fork und sagen, dass diese Coins niemals bewegt werden dürfen. Es sind 21 Millionen abzüglich der 10 %, die eingefroren wurden. Das ist die eine Option.

Die andere Option ist, dass sie diese 10 % einfach demjenigen überlassen, der den Quantencomputer bauen kann, damit er sie beansprucht. Fast wie bei der Bergung eines Schiffswracks – wer das U-Boot baut, um das Gold zu holen, kann es beanspruchen. Aber das sind erzwungene Optionen. Egal was passiert, wenn der Q-Day eintritt, muss die Bitcoin-Community eine dieser beiden wählen. Entweder eingreifen, verbrennen und einfrieren, oder es der geopolitischen oder kommerziellen Macht überlassen, die in der Lage ist, Quantencomputer zu entwickeln und den Preis zu beanspruchen. Ist es das, was wir sagen?

Justin Drake: Ja, das ist sehr gut gesagt. Aber eine kleine Korrektur: Das muss nicht am Q-Day oder nach dem Q-Day passieren. Es kann auch schon vorher passieren. Zu jedem Zeitpunkt kann die Bitcoin-Community oder ein Teil davon vorschlagen, einen Fork durchzuführen. Bei der Blocknummer des Forks gäbe es zwei Versionen des Vermögenswerts Bitcoin – genau wie beim Bitcoin-Cash-Fork. Und letztendlich wird dies vom Markt entschieden. Börsen werden die beiden Versionen des Vermögenswerts einrichten und der Markt entscheidet, welche der wahre Bitcoin ist. Und es ist möglich, dass allein aufgrund kurzfristiger Liquiditätsdynamiken die Version, die die Coins verbrennt, möglicherweise noch vor dem Q-Day, diejenige sein wird, die gewinnt.

Das Michael-Saylor-Szenario und Schelling-Punkte (30:29)

Ryan Sean Adams: Richtig. Also, ich bin Michael Saylor, ich besitze 2–3 % des Bitcoin-Angebots, insbesondere des liquiden Angebots. Ich bekomme beide Kopien. Wir forken die Bitcoin-Blockchain genau wie in den Bitcoin-Fork-Kriegen von 2017. Ich möchte meinen Wert erhalten, also verkaufe ich alle Bitcoins, die quantenanfällig sind, und behalte alle Bitcoins auf der Version, die die quantenanfälligen Coins verbrannt hat. Der Preis der unangetasteten Blockchain sinkt. Der Preis der verbrannten Version bleibt hoch, weil niemand sie verkauft – Saylor verkauft nicht, BlackRock verkauft nicht. Du sagst also, der Preis des quantengelösten Bitcoins wird höher sein und durch Marktkräfte zum kanonischen Bitcoin werden.

Justin Drake: Ja. Und Michael könnte sich sogar entscheiden, die verbrannte Version mit den Erlösen der anfälligen Version zu kaufen und von 5 % auf fünfeinhalb Prozent zu steigen.

David Hoffman: Richtig? Aber bedeutet das nicht, dass es ein gewisses Maß an Top-down-Koordination darüber geben muss, welche Wallets eingefroren werden? Klar können wir Satoshis Coins markieren und diese einfrieren, aber dann müssen wir noch ein paar mehr einfrieren. Es gibt einige Wallets, bei denen wir uns ziemlich sicher sein können – diese Person ist tot. Aber wir wissen eigentlich nicht, wo wir die Grenze ziehen sollen, welche Wallets legitimerweise eingefroren werden dürfen und welche tatsächlich Menschen gehören, die nur inaktiv sind. Gibt es da eine klare Grenze?

Justin Drake: Nun, es gibt ein Konzept namens Schelling-Punkt – wie kommt man in Abwesenheit eines zentralen Koordinators zu einem Konsens? Für Bitcoin könnte der Schelling-Punkt der Block sein, in dem ein Halving stattfindet. Man könnte das erste Halving, das zweite Halving oder das dritte Halving wählen. Das erscheint einigermaßen glaubwürdig neutral – jeder Coin, der sich seit dem zweiten Halving nicht bewegt hat, gilt als verbrannt.

David Hoffman: Wir wählen also einfach ein Datum und sagen: Hey, wenn du deine Bitcoins bis zu diesem Datum in einer quantenunsicheren Wallet lässt, werden wir deine Coins auf dieser sekundären Blockchain verbrennen, die wir forken werden.

Justin Drake: Ja, es gibt einen relativ großen Gestaltungsspielraum und einige Leute haben versucht, kreativ zu sein. Zum Beispiel versuchen einige Leute, zwei Probleme auf einmal zu lösen – sowohl das Quantenproblem als auch das Problem des Sicherheitsbudgets –, wobei der Vorschlag lautet: Lasst uns die 2 Millionen Coins nehmen und sie, anstatt sie zu verbrennen, der Emission hinzufügen. Das verschiebt das Problem des Sicherheitsbudgets auf später.

David Hoffman: Ich wette, das wird in Bezug auf die Bitcoin-Koordination noch ehrgeiziger. Ich weiß nicht, ob man die Koordinationsfähigkeit von Bitcoin überlasten möchte.

Justin Drake: Ja. Wenn ich ein Wettender wäre, würde ich einfach auf das sehr einfache Verbrennen wetten, sagen wir, nach dem zweiten Halving.

David Hoffman: Okay.

Ryan Sean Adams: Das ist jedoch so schwierig, denn um auf deinen früheren Punkt zurückzukommen, Justin, das zerstört das Narrativ der Unbestechlichkeit, das Narrativ der Eigentumsrechte. Jede Entscheidung über ein Einfrieren oder Verbrennen zerstört in gewisser Weise die reine Natur dessen, was Bitcoin ist. Nick Carter geht in seinen Essays also eine andere Geschichte durch – kein Verbrennungs- und Einfrier-Szenario, sondern das Bergungs-Szenario. In seinem Szenario knackt ein privates Quantenlabor ECDSA früher als geplant. Sie haben zufällig ihren Sitz in den USA. Die US-Regierung verstaatlicht sie schnell im Geheimen. Sie fangen an, den Bitcoin zu erwerben, koordinieren sich mit der Schatzkammer, koordinieren sich mit den großen ETF-Anbietern, BlackRock, den Michael Saylors dieser Welt. Und am Ende landen die USA mit 10 % des Bitcoin-Angebots in der Schatzkammer. Er geht fiktive Preischarts durch – wenn die Leute erkennen, dass das Bitcoin-Netzwerk unter einem Quantenangriff steht, stürzt der Preis um 73 % ab. Aber wenn dann enthüllt wird, dass die US-Regierung ihn hat und sie maritime Bergungsgesetze anwenden, um ihn legal zu beschlagnahmen, erholt sich der Markt, weil die USA diese strategische Bitcoin-Reserve-Schatzkammer haben. Das ist also sein anderes Szenario. Hältst du das für plausibel? Denn zumindest in diesem Szenario verletzt man keine Eigentumsrechte.

Es ist sicherlich unglaublich, dass dies einem Multi-Billionen-Dollar-Netzwerk mit einem so großen Preisgeld passiert sein wird. Es ist beispiellos. Aber das könnte auch passieren, und vielleicht ist das ein besseres Ergebnis für Bitcoin.

Beweis der Seed-Phrase und das Problem der Post-Quanten-Signaturgröße (35:06)

Justin Drake: Ja. Ich habe dazu ein paar Gedanken. Der erste ist, dass es einen ziemlich raffinierten Weg gibt, den Besitz von Bitcoin nachzuweisen, ohne über den privaten Schlüssel zu gehen. Dies ist als Beweis der Seed-Phrase bekannt. Die Ableitung einer Bitcoin-Adresse erfolgt in drei Schritten: Schritt eins, man generiert seine Seed-Phrase; Schritt zwei, man führt einige Manipulationen an der Seed-Phrase durch, einschließlich Hashing, um seinen privaten Schlüssel abzuleiten; dann leitet man aus dem privaten Schlüssel den öffentlichen Schlüssel ab, was die Adresse ist, die Onchain geht. Nun ist der private Schlüssel leider nichts mehr, was den Besitz beweisen kann. Aber aufgrund des Hashing-Schritts ist das Wissen um die Seed-Phrase immer noch ein Besitznachweis. Eine Sache, die also passieren könnte – und technisch gesehen der solideste Weg nach vorne ist –, besteht darin, die Bitcoin einzufrieren, aber jedem zu erlauben, seine Bitcoin mit einem Beweis der Seed-Phrase wiederzubeleben.

Nun ist der Beweis der Seed-Phrase leider ziemlich kompliziert. Er erfordert einen SNARK, einen Zero-Knowledge-Beweis, was Bitcoin erheblich verkomplizieren würde. Aber meine Vorhersage ist, dass Bitcoin SNARKs haben wird, um das Größenproblem von Post-Quanten-Signaturen zu lösen. Bitcoin ist sehr dafür bekannt, seine Blockgröße nicht erhöhen zu wollen. Leider sind Post-Quanten-Signaturen etwa zehnmal größer als ECDSA. Um konkrete Zahlen zu nennen: ECDSA hat 64 Bytes, eine winzige Signatur. Die kleinste NIST-standardisierte Post-Quanten-Signatur ist Falcon mit 666 Bytes – mehr als zehnmal so groß. Wenn man ECDSA naiv gegen etwas Post-Quanten-Sicheres austauscht, ohne die Blockgröße zu erhöhen, sinkt der Transaktionsdurchsatz um etwa das Zehnfache. Die TPS auf Bitcoin würden von drei auf 0,3 sinken, was meiner Meinung nach ein Ausschlusskriterium ist.

Was wir für Ethereum bauen, ist diese ausgeklügelte Post-Quanten-Signatur-Aggregationstechnologie, sodass man die rohen Signaturen nicht Onchain stellt, selbst wenn sie groß sind – man stellt nur diesen Aggregationsbeweis bereit. Und meine Wette ist, dass Bitcoin die Lösung übernehmen wird, die Ethereum entwickelt, weil es einfach keinen anderen technisch soliden Weg nach vorne gibt.

Ryan Sean Adams: Verstehe. Und deshalb wettest du gegen das Rettungsszenario – weil du denkst, dass sie diesen Ansatz wählen werden, und wenn sie das tun, gibt es ihnen eine Möglichkeit, die Vermögenswerte glaubwürdiger und neutraler einzufrieren. Wenn man den Besitz nachweisen kann, kann man auf die alten Legacy-Bitcoin zugreifen.

Justin Drake: Ja. Wenn man ein Maximalist in Bezug auf Eigentumsrechte ist, ist das nun leider nicht völlig zufriedenstellend.

Ryan Sean Adams: Nein.

Justin Drake: Und der Grund dafür ist, dass es eine Teilmenge der eingefrorenen Adressen gibt, für die keine Seed-Phrase bekannt ist. Der Seed-Phrase-Standard kam erst einige Jahre nach Genesis. Alle frühen Adressen – zum Beispiel alle Satoshi-Adressen – werden also keine entsprechende Seed-Phrase haben. Und es gibt einige Wallets, zum Beispiel MPC-basierte Wallets, bei denen es keine entsprechende Seed-Phrase gibt. Es ist also keine perfekte Lösung, aber man erreicht damit 80 %.

David Hoffman: So chaotisch. Das ist so chaotisch, egal wie man es betrachtet.

Justin Drake: Ja. Die andere Sache, die ich hervorheben wollte, ist, dass viele Leute denken, dass der Preis von BTC abstürzen wird, wenn man Bitcoin stiehlt, und der gestohlene Vermögenswert wertlos sein wird.

Aber es gibt tatsächlich eine Möglichkeit, den Preis von Bitcoin abzusichern, was sehr einfach ist – man geht einfach short auf BTC. Nehmen wir an, man weiß sicher, dass man den privaten Schlüssel einer Wallet geknackt hat, die 100.000 BTC hält. Man geht mit 100.000 BTC short. Das sichert den Gewinn. Und dann, egal was der Preis von Bitcoin macht, hat man seinen Gewinn gesichert, der in die zig Milliarden Dollar gehen könnte.

Die Herausforderung der sozialen Schicht von Bitcoin und der Vorteil von Ethereum (40:07)

David Hoffman: Nun, ich möchte darauf hinweisen, Justin, dass du auf eine bestimmte Art und Weise denkst, und die Art, wie du denkst, ist der Grund, warum du bei Ethereum bist. Wenn du ein Bitcoiner wärst, würdest du anders denken. Die Denkweise der Bitcoiner ist sehr einzigartig, sehr ausgeprägt – eine Art Maximalist für Eigentumsrechte. Ich glaube, was Justin tun würde, wenn er für Bitcoin verantwortlich wäre, unterscheidet sich stark von dem, was die allgemeine Masse der Bitcoiner tun würde. Ich habe hier keine konkrete Frage, aber ich möchte das nur hervorheben.

Ryan Sean Adams: Oh ja. Was Bitcoiner tun, ist wahrscheinlich nicht das, was du tun wirst. Der Vorwurf von Nick Carter lautet im Grunde, dass viele der Bitcoin-Core-Entwickler den Kopf in den Sand stecken und sagen, der Q-Day sei nicht real oder werde in den nächsten 20 bis 30 Jahren nicht real sein.

Justin Drake: Nur um das klarzustellen: Meine Vorhersage, dass sich das Verbrennen durchsetzen wird, ist eine Vorhersage dessen, was ich für am wahrscheinlichsten halte. Es ist nicht das, was ich tun würde – ich würde Bitcoin tatsächlich nicht anrühren und die Eigentumsrechte respektieren. Ich habe diese kurzfristige Zeitpräferenz nicht, und ich denke, viele Bitcoiner werden mir zustimmen. Aber leider hat Michael Saylor einen so starken Einfluss, dass Bitcoin in gewissem Sinne auf der sozialen Schicht zentralisiert wurde, und das bringt große Macht und große Verantwortung mit sich.

Ryan Sean Adams: Da stimme ich dir eigentlich zu. Das würde ich auch tun. Ich würde die Schatzsuche und die Bergung zulassen. Ich würde nichts anrühren. Das ist das Wichtigste, was Bitcoin tut, und man sollte die Dinge einfach auf sich zukommen lassen. Lass mich dir aber dieselbe Frage stellen. Es ist nicht nur ein Teil des Bitcoin-Angebots, der post-quanten-unsicher ist – Ethereum hat dieses Problem auch, aber mit einem anderen Prozentsatz des Angebots. Kannst du dasselbe Problem skizzieren? Wir kommen zu einem Post-Q-Day-Szenario. Jemand sammelt die Satoshi-Bitcoin ein. Was passiert zu diesem Zeitpunkt bei Ethereum? Welcher Prozentsatz des Angebots wäre anfällig? Nehmen wir an, Ethereum hätte das Quantenproblem noch nicht gelöst.

Justin Drake: Ein Vorteil, den Ethereum hat, ist, dass es nicht diese 5 % des Angebots gibt, die von einer einzigen Person, Satoshi, kontrolliert werden und als verloren gelten. Der andere Vorteil ist, dass Ethereum weniger alt ist und vom ersten Tag an einen Preis hatte. Es gab also von Anfang an einen Grund, auf seine Ether aufzupassen, während es in den frühen Tagen von Bitcoin nur Monopoly-Geld war und die Leute keine sehr gute Hygiene mit ihren privaten Schlüsseln hatten. Es ist also viel wahrscheinlicher, dass die 1,7 Millionen BTC von Nick Carter tatsächlich wirklich verloren sind.

Als ich beim Ultrasound-Projekt war, versuchten wir unter anderem, die Menge der bekanntermaßen verlorenen Coins zu berechnen, um sie zusätzlich zum Verbrennen dem Dashboard hinzuzufügen. Es war einfach eine so vernachlässigbare Menge, dass wir uns nicht einmal die Mühe gemacht haben.

David Hoffman: Was ist mit dem Parity-Hack? Ist das nicht ein großer Teil?

Justin Drake: Ja, sehr guter Punkt. Das war der erste Punkt auf der Liste. Aber es handelt sich zufällig um einen unbrauchbaren Smart Contract, der nicht anfällig für Quantencomputer ist.

David Hoffman: Also die –

Ryan Sean Adams: Es steckt eigentlich nur fest. Es geht nicht darum, die privaten Schlüssel nicht zu haben. Es steckt buchstäblich fest.

Justin Drake: Es ist unbrauchbar. Ja. Genau. Und dann gibt es noch ein paar Fallstudien von Leuten – wenn man in den Reddit-Diskussionen wirklich gräbt, findet man einiges –, aber im Großen und Ganzen sind es insgesamt weniger als 0,1 %. Das ist das bekanntermaßen verlorene Angebot. Aber realistischerweise wird sich näher am Q-Day herausstellen, dass einige Coins verloren sind. Wenn ich raten müsste, liegt das im niedrigen einstelligen Bereich – vielleicht 2, 3, 4, 5 %.

David Hoffman: Du denkst also, dass maximal 2–5 % des Ethereum-Angebots sowohl verloren als auch in quantenknackbaren Adressen liegen.

Justin Drake: Genau. Ja. Wenn ich eine konkrete Vorhersage machen müsste, würde ich sagen, etwa 2 %, was ungefähr eine Größenordnung weniger ist als bei Bitcoin. Und dieser quantitative Unterschied hat qualitative Konsequenzen: Im Fall von Ethereum würde ich stark dafür plädieren, nichts zu tun und die Eigentumsrechte wirklich zu respektieren, denn am Ende des Tages sind 2 % keine große Sache. Im Fall von Bitcoin sind 15 % eine gewaltige Sache.

Ethereums dreischichtiges Post-Quanten-Upgrade (45:05)

David Hoffman: Ethereum wird also dieselbe Wahl treffen müssen. Sagen wir 3 % – ob man einfriert und verbrennt oder es einfach eine Schatzsuche sein lässt. Deine Hoffnung ist, dass wir uns für die Schatzsuche entscheiden, was bedeutet, dass ein Quanten-Angreifer diese 1–3 % der Ether abräumen wird. Und wenn man das große Ganze betrachtet, bewegen wir uns im Grunde darauf zu, dass Ether ein viel besseres Geld als BTC wird. Es wird nicht-interventionistisch sein, Eigentumsrechte respektieren, quantensicher sein und nicht das Problem mit dem Sicherheitsbudget haben, das Bitcoin in ein paar Halvings plagen wird. Ich denke also, das ist eine große Chance für den Vermögenswert.

Ryan Sean Adams: Okay. Wir haben über das weiche soziale Problem gesprochen. Es gibt auch viele technische Herausforderungen, denen wir uns stellen müssen. Ich möchte diesen Tweet von Hasu Kareshi, einem Freund der Show, hervorheben. Er hat einen Beitrag von Vitalik über Ethereums Quanten-Roadmap zitiert und gesagt: „Ethereum hat eine schwierigere Roadmap, um Post-Quanten-sicher zu werden, als Bitcoin – tatsächlich gibt es viele Abhängigkeiten, bevor man EOAs und private Schlüssel aufgrund der Post-Quanten-Beweisgrößen angehen kann.“ Seine Meinung ist also, dass die vor Ethereum liegenden Herausforderungen viel schwieriger sind als bei Bitcoin. Was denkst du?

Justin Drake: Es gibt zwei Probleme zu lösen: das technische und das soziale. Was das technische betrifft, hat Hasu recht, dass Ethereum im Grunde drei Probleme lösen muss – auf jeder der verschiedenen Schichten. Da ist die Konsensschicht, wo wir BLS haben. Da ist die Datenschicht, wo wir KZG haben. Und die Ausführungsschicht, wo wir ECDSA haben. Jeder dieser Teile der Kryptographie ist angreifbar. Das ist eine Obermenge von Bitcoin, das nur das ECDSA-Problem hat. In gewissem Sinne müssen wir also dreimal so viele Dinge aktualisieren.

Aber wenn man das große Ganze betrachtet, würde ich behaupten, dass das größere Problem – vielleicht 80 % davon – sozialer Natur ist. Wir haben bereits angesprochen, ob wir verbrennen sollen oder nicht. Aber es gibt etwas noch Grundlegenderes: Akzeptieren wir überhaupt, dass dies ein Problem ist? Im Bitcoin-Land gibt es diese Immunreaktion, die im Grunde jedes Narrativ ablehnt, das schlecht für den Preis sein könnte. Es gibt Leute wie Adam Back, die sagen, dass Quantencomputer noch mindestens Jahrzehnte entfernt sind. Schritt null ist also eine Art Akzeptanz, dass es ein Problem gibt. Und es ist möglich, dass Bitcoin etwas zu spät dran sein wird, was viel größere Konsequenzen hätte als auf der technologischen Seite.

David Hoffman: Du denkst also generell, dass Bitcoin ein größeres Problem haben wird, weil ihre soziale Schicht diese Realität einfach nicht anerkennt und weniger bereit ist, sich damit auseinanderzusetzen?

Justin Drake: Ja. Lass es mich so sagen: Ich bin bereit, einen großen Betrag darauf zu wetten, dass alle drei Schichten von Ethereum vor der einzigen Schicht von Bitcoin aktualisiert werden.

David Hoffman: Richtig. Wir haben also ein dreimal so großes Problem. Aber auf der Ethereum-Seite ist es am Ende des Tages nur ein technisches Problem. Und nicht nur das, es ist ein technisches Problem, das Ethereum direkt angeht. Während das technische Problem von Bitcoin kleiner ist, ist es ein soziales Problem, ein Koordinationsproblem, das grundlegend schwerer zu überwinden ist.

Justin Drake: Ja. Genau. Und selbst auf der technischen Seite ist dies ein Problem, an dem wir seit fast einem Jahrzehnt arbeiten. Wenn man ins Jahr 2018 zurückgeht, haben wir StarkWare einen Zuschuss von 5 Millionen Dollar gewährt, um Hash-basierte Post-Quanten-SNARKs zu untersuchen und die Grundlagen mit SNARK-freundlichen Hashfunktionen zu legen. Daraus ist die Poseidon-Hashfunktion entstanden. Kürzlich, im Jahr 2024, gab es die Ankündigung der Lean Consensus Chain, früher bekannt als Beam Chain. Wir hatten letztes Jahr Post-Quanten-Workshops in Cambridge. Wir haben jetzt ein engagiertes Post-Quanten-Team mit Tom und Emil. Und wir haben diese Roadmap, die

(50:00)

Aktualisierung der Ausführungsschicht: Signatur-Aggregation (50:00)

beschreibt wirklich einige der wichtigsten Meilensteine zur Umsetzung dieser Upgrades im Detail.

Ryan Sean Adams: Können wir über jedes dieser Probleme nacheinander sprechen? Ich weiß, Justin, du kannst bei der Kryptographie extrem ins Detail gehen – wir wollen das auf einem Niveau halten, das David und ich verstehen können. Aber wir verstehen die verschiedenen Schichten des Ethereum-Stacks. Vielleicht können wir mit der Ausführungsschicht beginnen, denn darüber haben wir hauptsächlich gesprochen. ECDSA ist das Signaturschema hinter sowohl Bitcoin- als auch Ethereum-Adressen – das ist das, was in einer Post-Quanten-Welt geknackt werden würde. Wie sieht der Upgrade-Pfad für ECDSA aus? Das ist ein langjähriges kryptographisches Werkzeug – haben wir etwas, das es ersetzen kann?

Justin Drake: Ja. Zunächst einmal möchte ich betonen, dass dies eine sehr große Aufgabe ist – wir verändern grundlegend die Säulen von Blockchains, die Basis-Kryptographie, und tauschen sie gegen etwas Neues mit völlig anderen Eigenschaften aus. Wenn man nun ein Laie wäre, könnte die Antwort lauten: „Es ist ganz einfach. Wir haben das NIST, das National Institute of Standards and Technology. Sie haben einen Wettbewerb für Post-Quanten-Signaturen ins Leben gerufen und einige ausgewählt – nämlich Falcon, Dilithium und SPHINCS+. Wir müssen uns nur für eine oder mehrere dieser Optionen entscheiden.“

Das Problem ist, dass das NIST nicht für den Blockchain-Anwendungsfall entworfen hat. Sie haben für einzelne Signaturen für einzelne Nachrichten, die im Internet verwendet werden, entworfen. Im Kontext von Blockchains hat man Stapel von Transaktionen – bei Bitcoin Tausende von Transaktionen pro Block. Und wir haben dieses Größenproblem, da Post-Quanten-Signaturen mindestens 10-mal, wenn nicht sogar 100-mal größer sind. Meiner Meinung nach ist es völlig aussichtslos, diese einzelnen Signaturen naiv verpackt und in Blöcken aneinandergereiht zu betrachten.

Die einzige Lösung, die ich sehe, nennt sich Signatur-Aggregation, bei der man mehrere Signaturen nimmt und sie zu einer Mehrfachsignatur zusammenquetscht. Die Verifizierung dieser Master-Mehrfachsignatur ist dasselbe wie die Verifizierung aller einzelnen Bestandteile. Wenn man sich den Gestaltungsspielraum für aggregierbare Post-Quanten-Signaturen ansieht, gibt es nicht viele Optionen. Es gibt im Grunde nur eine Option, die meiner Meinung nach praktikabel ist: die Nutzung von SNARKs, genauer gesagt Post-Quanten-SNARKs. Es gibt im Grunde eine große Familie – Hash-basierte SNARKs.

Die Grundidee ist, dass man einzelne Post-Quanten-Signaturen nimmt und das Wissen über alle beweist, um am Ende einen finalen SNARK-Beweis zu erhalten. Wenn man sich nun für Hash-basierte SNARKs entscheidet, kann man genauso gut auch Hash-basierte Leaf-Signaturen verwenden – die unaggregierten Rohsignaturen. Der Grund dafür ist, dass dies Vorteile in Bezug auf Einfachheit und Sicherheit bietet. Es sind die minimalsten Sicherheitsannahmen, die man haben kann – man geht einfach davon aus, dass die Hashfunktion sicher ist. In der Welt der Blockchains sind Hashfunktionen grundlegend. Wir haben sie überall – für das Erstellen von Blöcken, Merkle-Bäumen, Zustandsbäumen und Blockchains, bei denen die Verkettung mit Hashes erfolgt.

Die Ethereum Foundation hat viel Aufwand betrieben, um mit Hash-basierten Signaturen zu beginnen und diese so SNARK-freundlich wie möglich zu gestalten, damit die Kosten der Aggregation so gering wie möglich sind. Ich freue mich, berichten zu können, dass die Leistung dieses Ansatzes tatsächlich für alle Blockchains gut genug ist. Unabhängig vom Transaktionsdurchsatz der Chain kann man einen Aggregator auf vernünftiger Hardware – zum Beispiel einer Laptop-CPU – haben, der all diese Transaktionen aggregiert und einen finalen Beweis erstellt, der dem Block beigefügt wird.

Und eine der ironischen Seiten dieses Ansatzes ist, dass er im Vergleich zu dem, was wir heute haben, tatsächlich eine Erhöhung der Skalierbarkeit darstellt. Der Grund dafür ist, dass man nicht die Fixkosten von 64 Bytes pro Transaktion hat. Die Transaktionen haben null Bytes an Signaturdaten, und dann hat man diese eine Master-Signatur, die sich über alle Transaktionen im Block amortisiert.

Den Branchenstandard durch Zusammenarbeit mit Bitcoin setzen (55:28)

David Hoffman: Okay. Das ist also ein Upgrade für viele andere Smart-Contract-Blockchains, die Ethereum nachgelagert sind, insbesondere für diejenigen, die auf Geschwindigkeit optimiert sind –

Justin Drake: Nicht nur Smart Contracts – auch Bitcoin. ECDSA.

David Hoffman: Ja. Richtig. Was ich also zu Beginn dieser Episode dachte, war, dass Chains wie Solana durch massivere Signaturen belastet würden, genau wie die TPS von Bitcoin auf 0,3 Transaktionen pro Sekunde sinken. Solana würde sich ähnlich verlangsamen, weil Transaktionen in einer Post-Quanten-Welt massiver wären. Aber du sagst, dass das mit dieser Technologie nicht der Fall sein wird – sie wird es Chains tatsächlich ermöglichen, im Allgemeinen schneller zu werden.

Justin Drake: Ja, genau. So wie Satoshi mit ECDSA einen De-facto-Standard für die gesamte Branche gesetzt hat – wir haben im Grunde sogar die secp256k1-Kurve kopiert, was sehr ungewöhnlich ist. Niemand weiß, warum er diese Kurve gewählt hat, aber sie wurde zum De-facto-Standard. Ich denke, es gibt hier eine Chance für Ethereum, ein Vorreiter zu sein und den De-facto-Standard zu setzen.

Die Strategie, die wir verfolgen, ist die Zusammenarbeit mit den Bitcoinern. Im Bitcoin-Land gibt es ein paar Leute – Mikhail Komarov und Nick Jonas. Beide sind Teil von Blockstream und beide sind Experten für Hash-basierte Signaturen. Wir arbeiten mit ihnen zusammen, um sicherzustellen, dass alles, was wir im Ethereum-Land entwickeln, auch auf Bitcoin anwendbar ist. Und wenn Bitcoin und Ethereum diesen Standard verwenden, dann wird vermutlich auch die gesamte Branche diesen Standard nutzen.

Ryan Sean Adams: Das ist fantastisch. Wir haben also einen Weg, das Post-Quanten-Upgrade der Ausführungsschicht ohne Leistungseinbußen zu lösen. Lass mich aber noch eine andere Frage stellen – wie sieht es mit der Sicherheit aus? Das ist neuere Kryptographie im Vergleich zu ECDSA, das es schon ewig gibt und sich bewährt hat. Sollten wir uns Sorgen machen, dass es irgendeinen versteckten Fehler oder Zero-Day-Exploit gibt, der das, was wir aufgebaut haben, komplett zerstören könnte?

Justin Drake: Dazu habe ich ein paar Gedanken. Wir nehmen Sicherheit extrem ernst, und insgesamt erwarte ich, dass die Lösung, die wir bereitstellen, um Größenordnungen sicherer sein wird als das, was wir heute mit ECDSA haben. Lass es mich erklären. ECDSA basiert auf elliptischen Kurven – ausgefallenen, strukturierten mathematischen Objekten. Es ist möglich, dass ein cleverer Mathematiker einen Algorithmus entwickelt, um den diskreten Logarithmus mit einem raffinierten mathematischen Trick zu knacken, der der Menschheit bisher nicht bekannt war. Das ist in der Vergangenheit schon passiert – wir haben immer bessere Algorithmen für die Faktorisierung und für den diskreten Logarithmus. Und eine Möglichkeit mit dem Aufkommen von KI ist, dass wir Mathematiker haben, die 100-mal schlauer sind als menschliche Mathematiker, die verborgene Strukturen in elliptischen Kurven entdecken und unsere Kryptographie knacken können. Die Kryptographie, die wir also aufbauen, ist nicht nur Post-Quanten-, sondern auch Post-KI-sicher.

Um auf die andere Sache zurückzukommen, die ich gesagt habe – es verlässt sich nur auf Hashfunktionen. Jedes Signaturschema beruht auf zwei Dingen: der Hashfunktion und einer optionalen zusätzlichen Härteannahme, die der diskrete Logarithmus sein könnte, oder im Fall von gitterbasierten Signaturen, strukturierte Gitter. Aber im Fall von Hash-basierten Signaturen gibt es diese zusätzliche Härteannahme nicht – es sind nur Hashfunktionen. Wenn deine Hashfunktion sicher ist, bist du auf der sicheren Seite. In diesem Sinne erwarte ich, dass es eine Verbesserung gegenüber dem Status quo sein wird.

Nun gibt es zwei Vorbehalte, die ich hervorheben möchte. Vorbehalt Nummer eins ist, dass wir es mit komplexeren Objekten zu tun haben, und die Lösung, die wir hier haben, ist das, was wir tiefe End-to-End Formale Verifikation nennen.

Formale Verifikation, Poseidon und die Konsensschicht (1:00:33)

Wir haben unser kryptographisches Objekt und wollen mathematisch beweisen, dass es fehlerfrei ist – dass es unmöglich ist, eine Signatur zu fälschen. Und das wollen wir nicht nur für die Mathematik tun, sondern auch für den Code. Hätten Sie mich vor 2–3 Jahren gefragt, ob das machbar ist, hätte ich ja gesagt, aber es war extrem mühsam und teuer. Was wir mit dem Aufkommen von KI sehen, ist, dass diese mühsame und teure Arbeit 100-mal schneller und 100-mal billiger erledigt werden kann.

Wir beginnen, hochmoderne, weltklasse Mathematik zu sehen – zum Beispiel ein kürzliches Ergebnis, das die Fields-Medaille gewonnen hat, das Äquivalent zum Nobelpreis für Mathematik. Dieses Ergebnis wurde von einer KI in fünf Tagen formal verifiziert. Sie produzierten eine halbe Million Zeilen Code – einen maschinell überprüfbaren Beweis, dass dies tatsächlich ein gültiges Theorem ist – und fanden dabei alle möglichen Tippfehler in dem von Menschen geschriebenen Papier. Das ist die Art von Sorgfaltspflicht, die wir wollen, um Fehler zu vermeiden.

Nun gibt es noch eine weitere Sache, die ich hervorheben möchte: die Hashfunktion selbst. Historisch gesehen wurden Blockchains entweder auf SHA-256 im Fall von Bitcoin oder Keccak im Fall von Ethereum aufgebaut. Unser Vorschlag für ein Post-Quanten-Ethereum ist die Einführung einer weiteren Hashfunktion namens Poseidon, die eine andere Art von Hashfunktion ist, da sie SNARK-freundlich ist. Bis wir Poseidon einführen, sollte es ziemlich sicher sein – es wird dann volle 10 Jahre lang analysiert worden sein, wird viele Milliarden Dollar durch die Layer 2 (L2) gesichert haben und wird von allen Top-Experten auf diesem Gebiet einer Kryptoanalyse unterzogen worden sein. Wir haben auch gerade einen Preis von 1 Million Dollar angekündigt, um zu versuchen, Poseidon zu knacken. Aber es ist in der Tat möglich, dass Poseidon geknackt werden könnte.

Leider ist die Art und Weise, wie man Hashfunktionen entwirft, so, dass man nicht beweisen kann, dass sie sicher sind. Das Beste, was man tun kann, ist das Ausbleiben eines Angriffs – es gibt im Grunde diese Reifezeit. Und die Größenordnung, die ich im Sinn habe, ist acht Jahre. Warum acht Jahre? Weil SHA-256 acht Jahre alt war, als Satoshi es auswählte. Als Vitalik Keccak auswählte, war es zufällig acht Jahre alt. Ich möchte also, dass Poseidon mindestens acht Jahre alt ist, was der Fall sein wird, wenn wir es auf Ethereum bereitstellen.

Ryan Sean Adams: Okay. Das ist also die Ausführungsschicht. Könntest du kurz über die Datenschicht sprechen? KZG muss auf etwas Post-Quanten-Sicheres aktualisiert werden, und die Konsensschicht, wo wir BLS-Signaturen haben. Ist das vom Aufwand her ähnlich wie der Austausch von ECDSA?

Justin Drake: Lass mich mit der Konsensschicht beginnen, weil das eine einfachere Antwort ist. In erster Näherung ist es im Grunde ein Copy-Paste. Wir haben ein ähnliches Konzept, bei dem Akteure Signaturen erstellen, es gibt viele Signaturen, sie nehmen Platz ein, und wir wollen sie komprimieren. Das Problem auf der Konsensschicht ist, dass wir viel mehr Signaturen haben als auf der Ausführungsschicht. Den Leuten ist das nicht bewusst, aber wir haben eine Million Validatoren – das ist eine Million Signaturen pro Epoche, 32.000 Signaturen pro Slot, Tausende von Signaturen pro Sekunde. Das ist mehr als bei Solana in Bezug auf Stimmen-Transaktionen.

Um eine bestimmte Leistungsoptimierung freizuschalten, die nur auf der Konsensschicht verfügbar ist, haben wir dieses Konzept einer zustandsbehafteten Signatur – die Nachrichten, die man signiert, haben einen Zähler, der sich jedes Mal erhöht. Erinnert dich das nicht an etwas? Die Slot-Nummer. In Ethereum auf der Konsensschicht wird man immer nur eine einzige Nachricht pro Slot signieren. Wenn man zwei signiert, wird man einem Slashing unterzogen. Wir nutzen diese Einschränkung, um Signaturen zu haben, die 10-mal effizienter zu aggregieren sind.

Lean VM, die Lean-Consensus-Roadmap und der Zeitplan für 2029 (1:05:17)

Das ist der Hauptunterschied – zustandslose Hashfunktionen auf der Ausführungsschicht im Vergleich zu zustandsbehafteten Signaturen auf der Konsensschicht, wo sich die Slot-Nummer erhöht. Die Aggregationstechnologie hat einen Namen: Lean VM, eine minimale zkVM für Hash-basierte Kryptographie. Im Grunde würde die Lean VM beweisen, dass dies eine korrekte Merkle-Wurzel ist. Die Hauptsache, bei der wir uns noch nicht ganz sicher sind, ist, ob dieser Ansatz das erschließen kann, was ich die „Tera-Gas-Grenze“ nenne – 1 Gigagas pro Sekunde auf Layer 1 (L1), 10.000 TPS, aber noch ehrgeiziger: 1 Teragas, 10 Millionen Transaktionen pro Sekunde auf Layer 2 (L2) unter Nutzung der Datenverfügbarkeit.

Wir sprechen von 1 Gigabyte pro Sekunde an Datenverfügbarkeit, und die Frage ist, ob die zkVM leistungsfähig genug sein kann, um 1 GB an Daten pro Sekunde zu verarbeiten. Das muss auf der Grundlage zukünftiger Optimierungen erst noch ermittelt werden.

David Hoffman: Was wir jedoch mit Sicherheit wissen, ist, dass Ethereum über die DA (Datenverfügbarkeit) verfügen wird, um 1 Gigabyte pro Sekunde für L1 sowie eine Handvoll L2s bereitzustellen.

Ryan Sean Adams: Ich denke, die Zuhörer könnten an diesem Punkt denken: „Okay, es klingt, als hätte Ethereum einen Plan für ein Post-Quanten-Upgrade. Sie erkennen an, dass Quantencomputer existieren werden und es einen Q-Day gibt.“ Jetzt fragen sie sich nach dem Zeitplan und dem Aufwand. Ich habe Vitaliks Tweet zur Post-Quanten-Roadmap genommen, ihn in Claude geworfen und gefragt: „Wie hoch ist hier der Aufwand?“ Claude sagte: „Stell dir das wie eine Neun von Zehn vor.“ Dies ist eines der bedeutendsten Upgrades, die Ethereum jemals durchführen wird. Wir haben es mit dem Merge verglichen, bei dem wir ein Flugzeug mitten im Flug hatten und die Proof-of-Work (PoW)-Engine gegen Proof-of-Stake (PoS) ausgetauscht haben. Jetzt tauschen wir einen Großteil der Kern-Kryptographie aus. Kannst du das für uns einordnen? Werden wir bis 2032 bereit sein? Wie schwierig ist das? Erscheint es entmutigend?

Justin Drake: Ja. Die Antwort besteht aus zwei Teilen. Erstens ist es tatsächlich noch ehrgeiziger, als du es formuliert hast. Die Änderung an der Kryptographie ist so tiefgreifend, dass es im Grunde zumindest eine Neuschreibung der Konsensschicht ist. Und wenn wir die Konsensschicht schon neu schreiben, können wir sie auch gleich richtig neu schreiben – all die guten Sachen einbauen und die gesamten technischen Altlasten beseitigen. Das ist das Lean-Consensus-Projekt, bei dem wir mehrere Neuschreibungen bündeln, einschließlich der Single-Slot-Endgültigkeit zusammen mit dem Post-Quanten-Upgrade.

Also ja, es ist sehr ehrgeizig. Wir fangen bei null an und bauen etwas erstaunlich Schönes, Einfaches, Effizientes und nachweislich Sicheres. Die gute Nachricht ist, dass es in vielerlei Hinsicht einfacher ist, ganz von vorn anzufangen, weil man nicht die ganzen technischen Altlasten hat. Wir können die Spezifikation so umschreiben, dass sie so minimal und einfach wie möglich ist. Daher kommt auch der Begriff „lean“ (schlank) – maximale Einfachheit, bei der die gesamte Zustandsübergangsfunktion im Grunde aus tausend Zeilen Python-Code besteht, die ein schlauer Gymnasiast einfach lesen kann.

Im Moment haben wir Devnets für Lean Consensus. Und die Spezifikationen sind so leicht zu erfassen, dass wir etwa 10 Teams gesehen haben, die sie implementiert haben, dem Devnet beigetreten sind und dies getan haben, ohne überhaupt die Ethereum Foundation zu kontaktieren. Die Eintrittsbarriere ist relativ niedrig. Wir befinden uns in einer Welt, in der KI-Entwicklung bedeutet, dass man seinen Client zu einem großen Teil per „Vibe-Coding“ programmieren kann. Das ist ein Hauptgrund, warum wir so viele Clients haben – oft Ein-Personen-Teams oder Zwei- bis Drei-Personen-Teams.

Ich denke, das wird interessante Konsequenzen sowohl für die Nachhaltigkeit als auch für die Governance haben. Was die Governance betrifft, so ist die Art und Weise, wie wir es heute machen, grob gesagt

Ethereum-Governance und das Abschlussdatum 2029 (1:10:41)

dass wir fünf Konsensschicht-Clients haben und sie alle das Upgrade implementieren müssen, um voranzukommen. In Zukunft, wenn wir 10 oder 15 Clients haben, können wir einfach die besten 80 % oder die schnellsten 80 % verlangen, um voranzukommen. Das ist eher ein darwinistischer Wettbewerb, der es uns ermöglicht, uns viel schneller zu bewegen, ohne auf den langsamsten Client zu warten.

David Hoffman: Werden wir also bis 2032 bereit sein? Zu welchem Zeitpunkt werden wir bereit sein?

Justin Drake: Die gesamte Roadmap hat alles bis 2029 dargelegt,

David Hoffman: Was im Grunde genau dieselbe Roadmap ist, die du bei deinem DevCon-Vortrag vorgestellt hast, als du die Beam Chain eingeführt hast. Und damals haben die Leute sie gehasst.

Justin Drake: Ja, es war meine meistgehasste Folie, weil sie sich über viereinhalb Jahre erstreckte. Historisch gesehen war ich schlecht mit Zeitplänen – viel zu optimistisch. Aber je älter ich werde und weiße Haare bekomme, desto besser werde ich mit Zeitplänen. Ich denke, es war ein realistischer, konservativer Zeitplan, der die Leute verärgert hat. Aber so ist es nun mal.

David Hoffman: Nur zur Einordnung: Die Leute waren teilweise verärgert, weil dies während des Höhepunkts des Solana-Momentums geschah, im Gegensatz zu einem wahrgenommenen Mangel an technischem Momentum auf der Ethereum-Roadmap. Es war nicht nur der Vierjahresplan – es war auch der Kontext des Moments.

Justin Drake: Genau. Wir sind jetzt also noch etwa drei Jahre entfernt. Ich bin relativ zuversichtlich, dass wir den Meilenstein 2029 erreichen können, und ich denke, es gibt dank KI sogar die Möglichkeit, schneller voranzukommen.

David Hoffman: Bis 2029 wäre also all das implementiert, wenn es der Roadmap entspricht – alles, worüber wir gerade gesprochen haben.

Justin Drake: Versprichst du das? Alles.

Ryan Sean Adams: Habe ich da nicht etwas im Hinterkopf von irgendeinem uralten Softwareentwickler, der mir sagte, dass Rewrites nie funktionieren? Warum gilt das hier nicht?

Justin Drake: Eine gute Nachricht ist, dass wir diese Art von großem Rewrite, wie du angedeutet hast, bereits mit dem Merge durchgeführt haben. Wir haben die Konsensgrundlagen von Ethereum komplett von Proof-of-Work (PoW) auf Proof-of-Stake (PoS) umgestellt. Das ist ein Existenzbeweis dafür, dass es machbar ist. Ethereum sind ehrgeizige Projekte nicht fremd – wir hatten andere sehr ehrgeizige Dinge wie Danksharding und Datenverfügbarkeits-Sampling in einer ähnlichen Größenordnung.

Eine weitere gute Nachricht ist, dass wir keine Wahl haben. Wir müssen die Kryptographie ändern. Das ist ein sehr starker zwingender Faktor, und das allein ist ohnehin schon ein 80%iger Rewrite.

Das macht die Koordination und die Konsensfindung viel einfacher.

Quantencomputer sind nicht nur ein Krypto-Problem (1:15:06)

David Hoffman: Ich denke, wir sollten betonen, dass nicht nur Ethereum keine Wahl hat – niemand im Krypto-Bereich hat dazu eine Alternative. Jeder im Krypto-Bereich muss den Code neu schreiben. Bei Bitcoin ist es nur ECDSA, aber das allein reicht schon.

Justin Drake: Ja. Es ist möglich, dass Ethereum mehr umschreiben muss als andere Chains, und das hat mit der Anzahl der Validatoren zu tun. Wenn man nur 100 Validatoren hat, kann man die Kosten für die 10-mal größeren Signaturen auf der Konsensschicht auffangen. Für die meisten Proof-of-Stake (PoS)-Chains braucht man nicht die Raffinesse, die wir haben. Aber für Ethereum hoffen wir auf Zehntausende von Validatoren, die in jedem einzelnen Slot abstimmen – Tausende von Signaturen pro Sekunde – und da müssen wir sehr kreativ sein.

Wo ich dir zustimmen würde, ist, dass es für alle Blockchains auf der Ausführungsschicht eine sehr große Änderung geben muss. Aber die gute Nachricht für andere Chains ist, dass Ethereum die ganze Hausaufgabe macht. Wir bauen die Lean VM, wir werden das Ganze formal verifizieren, und sie können es einfach kopieren und einfügen. Es ist größtenteils eine einfache Aufgabe, das zu integrieren.

Ryan Sean Adams: Nick Carter hat getwittert: „Einer der dümmsten Irrtümer ist, dass die Leute denken, ihr Coin wird gewinnen, wenn nur Bitcoin stirbt – wie die Zcash-Leute, die Bitcoin wegen Quantencomputern bekämpfen. Es ist genau das Gegenteil. Wenn Bitcoin stirbt, wird niemand jemals wieder Internetgeld vertrauen. Alle Coins schwimmen in Bitcoins Fahrwasser.“ Was ist deine Reaktion auf diese Ansicht?

Justin Drake: Ich bin da anderer Meinung als Nick Carter. Nick hat sich immer aufgeregt, wenn ich über das Sicherheitsbudget getwittert habe. Er denkt, es sei destruktiv für die gesamte Branche, darüber zu sprechen, auch wenn die Fundamentaldaten mit dem übereinstimmen, was ich sage. Ironischerweise macht er beim Thema Quantencomputer genau das Gleiche, was ich beim Sicherheitsbudget mache – er versucht, die Diskussion und Veränderungen zu erzwingen.

Ryan Sean Adams: Aber was ist mit der übergeordneten Perspektive? Nehmen wir an, wir schreiben das Jahr 2032, Ethereum ist quantensicher, Bitcoin nicht, Bitcoin wird auf einige der von uns beschriebenen Arten angegriffen – es gibt diese Schatzsuche und Marktunsicherheit. Was Nick sagt, ist: Jubelt nicht darüber, denn es wird für jede Chain im Krypto-Bereich schlecht sein. Er sagt: Wie es Bitcoin ergeht, so ergeht es allen. Wenn man das Narrativ von Internetgeld als Wertspeicher will, muss Bitcoin dabei die Führung übernehmen. Es gibt kein „Flipping“-Szenario, in dem Ethereum sagen kann: „Unsere Chain ist post-quantensicher und wir haben nicht die Probleme, die Bitcoin hat.“ Er sagt, das wird den gesamten Krypto-Raum mit nach unten ziehen, zumindest aus der Perspektive von Internetgeld als Wertspeicher.

Justin Drake: Da bin ich anderer Meinung. Man kann sich einfach historische Analysen ansehen – Muscheln wurden durch Salz abgelöst, dann durch Silber, dann durch Gold, und jetzt löst möglicherweise Bitcoin Gold ab. Nur weil Gold scheitert, heißt das nicht, dass das Nächste auch scheitern muss. Ich würde sagen, Ethereum ist der ganz natürliche Nachfolger von Bitcoin als Internetgeld. Und nur weil Bitcoin scheitert, heißt das nicht, dass Ethereum scheitern muss. Ich stimme zu, dass es kurzfristig schmerzhaft sein könnte, aber wir sprechen hier auch von langfristigen Gewinnen.

Die Post-Quanten-Chance und die Neubewertung des Sicherheitsbudgets (1:20:27)

David Hoffman: Was haben wir also am Ende davon? 2030 ist Ethereum Post-Quanten-sicher, weil Justin es versprochen hat. Was wird aus Ethereum? Ist es das einzige seiner Klasse, oder erwartest du, dass andere Blockchains folgen und ebenfalls Post-Quanten-Sicherheit erreichen? Kannst du das System beschreiben, das wir 2030 haben werden, wenn all das eintritt?

Justin Drake: Ein interessanter Bewusstseinswandel für mich in den letzten Monaten ist, dass ich aufgehört habe, Post-Quanten-Sicherheit als eine Hürde zu betrachten, die es zu überwinden gilt. Ich sehe es eher als eine Chance. Es ist eine Chance für Ethereum, sich als das allererste globale Finanzsystem hervorzutun, das Post-Quanten-sicher ist – nicht nur im Vergleich zu Konkurrenten wie Bitcoin, sondern auch im Vergleich zu Fiat und TradFi. Ich denke, das würde eine sehr starke Botschaft senden und ein sehr natürliches Sicherheitsargument für die Welt sein, zu Ethereum zu migrieren.

Es ist nicht nur eine Chance für Ethereum, sich von seinen Mitbewerbern abzuheben, sondern auch eine Chance für Ethereum, die beste Version seiner selbst zu werden. Das geht auf die Idee zurück, dass der Übergang zu Post-Quanten im Grunde ein Rewrite ist und dies eine massive Gelegenheit bietet, mit einem unbeschriebenen Blatt zu beginnen und technische Schulden abzubauen.

Ein interessanter Datenpunkt: Die OG Beacon Chain startete 2020, und das Design wurde ein Jahr zuvor, 2019, eingefroren. Wenn wir also 2029 die Lean Beacon Chain ausliefern, werden wir etwas aktualisieren, das 10 Jahre alt ist. Im Krypto-Bereich sind 10 Jahre eine Ewigkeit. Wir haben so viel gelernt, dass sich die Lean Beacon Chain stark von der OG Beacon Chain unterscheiden wird. Man kann sie sich als Proof-of-Stake (PoS) 2.0 vorstellen.

Ryan Sean Adams: Wir befinden uns in einer sehr interessanten Zeit in Bezug auf die Computertechnologie. Es scheint drei Computerplattformen und Paradigmen an der vordersten Front zu geben: KI, die jedem bekannt ist; Quantencomputing, das vielleicht dort steht, wo KI 2018 war; sowie Krypto und Kryptographie, beispielhaft dargestellt durch Blockchains wie Ethereum und Bitcoin. Es scheint fast so, als würden wir in eine Singularität dieser drei Dinge eintreten, in der KI Quantencomputing und Kryptographie beschleunigt, und Kryptographie ein Gegengewicht zu einigen der Zentralisierungsvektoren von KI bilden wird. Was denkst du über all das?

Justin Drake: Es ist sehr schwer vorherzusagen, aber wie du sagtest, gibt es diesen sehr seltsamen Zufall, dass 2032 das Jahr zu sein scheint, in dem die Computertechnologie im Allgemeinen die Singularität erreicht. Die Leute sprechen davon, dass die KI-Singularität möglicherweise sogar schon vor 2032 eintritt. Es gibt "AI 2027", den sehr berühmten Artikel. Ich glaube nicht, dass wir 2027 eine Superintelligenz haben werden, aber ich halte es bis 2032 für wahrscheinlich.

Wir fangen bereits an zu sehen – erst gestern hat Dario Amodei, einer der KI-OGs, damit begonnen, KIs sich selbst autonom rekursiv verbessern zu lassen, was extrem beängstigend ist. Das ist im Grunde das, was die exponentielle Entwicklung hin zur Superintelligenz auslösen sollte.

Bitcoins Krise des Sicherheitsbudgets und die Abrechnung 2032 (1:25:12)

Wir haben 2032 potenziell als Q-Day, und wir haben auch 2032, wo Bitcoin das haben wird, was ich für sein letztes Halving halte. Man könnte es B-Day nennen – den Bitcoin-Tag, an dem es eine Art Abrechnung gibt, weil die Emission viel zu niedrig sein wird, um ihn abzusichern.

In zwei Jahren werden wir ein Halving haben, und in sechs Jahren, 2032, werden wir ein weiteres haben. Die Sicherheitsgeschichte für Bitcoin in den letzten 15–16 Jahren war, dass Transaktionsgebühren die Emission ersetzen werden. Ich lade Sie ein, sich die Daten anzusehen – es passiert einfach nicht. Transaktionsgebühren machen heute 0,6 % der Emission aus. Vergessen Sie also die Transaktionsgebühren.

Wir werden einen exponentiellen Zerfall der Bitcoin-Sicherheit erleben. Heute wird Bitcoin durch etwa 10 Gigawatt gesichert. Und hier ist eine verblüffende Statistik: Jeden einzelnen Tag installiert China ein Gigawatt, hauptsächlich aus Solarenergie. Also reichen 10 Tage dieses Ausbaus in China aus, um einen 51%-Angriff auf Bitcoin durchzuführen.

David Hoffman: Was die Energiekosten betrifft – diese Sache, die Bitcoin schützt – produziert China alle 10 Tage so viel Energie, wie nötig ist, um Bitcoin zu sichern.

Justin Drake: Was den Stromverbrauch angeht, zieht Bitcoin 10 Gigawatt. Ein Gigawatt entspricht in etwa einem Kernkraftwerk, also 10 Kernkraftwerke. China installiert jeden einzelnen Tag das Äquivalent eines Kernkraftwerks. Und das ist einer der Hauptengpässe. Der andere Engpass ist die Hardware – eine Million Rigs. Es würde etwa 10 Milliarden Dollar kosten, das durchzuziehen, was im Großen und Ganzen absolute Peanuts sind, sowohl im Verhältnis zur Marktkapitalisierung von Bitcoin als auch für einen nationalstaatlichen Angreifer.

David Hoffman: Wenn du so über Bitcoin sprichst, lässt mich das fast glauben, dass du nicht mehr denkst, dass Bitcoin die Speerspitze von Krypto sein sollte. Die Darstellung ist, dass Bitcoin aus der Perspektive des Sicherheitsbudgets und der Quantenperspektive Schwächen hat und Ethereum Krypto danach anführen wird.

Justin Drake: Ich bleibe optimistisch, was Quantencomputer angeht – letztendlich ist es eine technische Herausforderung, die bewältigt werden kann. Das größere Problem ist das Sicherheitsbudget, denn das betrifft die Kern-DNA von Bitcoin: die Obergrenze von 21 Millionen und Proof-of-Work (PoW). Ich sehe nicht, wie man Proof-of-Work und eine Obergrenze von 21 Millionen kombinieren kann. Man muss eines davon aufgeben.

Es besteht die Möglichkeit, dass sich der Vermögenswert BTC von der Bitcoin-Chain entkoppeln und auf einer sichereren Chain leben könnte – zum Beispiel als ERC-20-Token auf Ethereum. Aber diese Worte auszusprechen – Bitcoiner denken nicht so.

David Hoffman: Nein, das tun sie nicht.

Justin Drake: Und wenn ich andere Worte sagen würde wie: „Wir werden einfach das Limit von 21 Millionen aufheben, weil das Sicherheitsbudget nicht ausreicht“ – Bitcoiner denken auch nicht so. Sie steuern sehr schnell auf eine Wand zu, und 2032 ist der Tag der Abrechnung.

Jetzt sammeln, später entschlüsseln — Quantenrisiken jenseits von Krypto (1:30:09)

Ryan Sean Adams: Wie verhält es sich mit der Quantentechnologie in Bezug auf den Rest der Gesellschaft? Das ist nicht nur ein Krypto-Problem. Blockchains sind in besonderem Maße anfällig, aber auch andere Bereiche der Gesellschaft sind betroffen. Inwieweit stellt ein Post-Quanten-Ethereum ein Werkzeug für die Gesellschaft dar, um in einer Post-Quanten-, Post-KI-Welt Probleme zu lösen und Dinge zu verhindern?

Justin Drake: Es gibt im Grunde zwei Arten der Kryptographie. Es gibt die Echtzeit-Kryptographie, bei der man Nachrichten in Echtzeit signiert, ohne dass dies wesentliche Auswirkungen auf vergangene Aktionen hat. Ein Upgrade auf Post-Quanten-Sicherheit sollte für den Großteil des Internets relativ unkompliziert sein. Es gibt einige Ausnahmen – zum Beispiel Satelliten, die bereits bereitgestellt wurden und buchstäblich nicht aktualisiert werden können.

Dann gibt es noch ein weiteres Problem mit der Verschlüsselung: Wenn Material heute verschlüsselt wurde und man keine Post-Quanten-sichere Verschlüsselung verwendet, können diese Daten in der Zukunft entschlüsselt werden. Es gibt diese ganze Klasse von Angriffen, die „Harvest now, decrypt later“ (Jetzt sammeln, später entschlüsseln) genannt wird. Ich halte es für realistisch, dass wir in der Gesellschaft Massenentschlüsselungen erleben werden – viele Signal-Nachrichten, Telegram-Nachrichten oder Unmengen von Gmail-Nachrichten, die alle gleichzeitig entschlüsselt werden. Das könnte sehr erhebliche Auswirkungen auf die Gesellschaft haben.

Ethereum als defensiver Akzelerationismus und existenzielles KI-Risiko (1:30:09)

Ryan Sean Adams: Justin, als wir über diese drei Computertechnologien sprachen, hatte man das Gefühl, dass KI diejenige ist, die heraussticht. Du hast davon gesprochen, dass 2032 eine Art AGI-Moment sein wird. Eine allgemeine Frage: Als extrem talentierter Kryptograph bist du keine AGI. Die Sorge ist, dass, wenn wir in die Computer-Singularität eintreten, alle Wetten hinfällig sind. All die gut durchdachten Pläne, die wir 2026 machen, um unsere Blockchains quantenresistent zu machen – was ist, wenn eine AGI herausfindet, wie sie unsere quantenresistente Kryptographie auf andere Weise knacken kann? Machst du dir als Kryptograph Sorgen über die unbekannten Unbekannten der künstlichen allgemeinen Intelligenz und die Dinge, die sie knacken könnte? Was ist, wenn wir auf eine Post-Quanten-Welt vorbereitet sind, aber nicht auf eine Post-AGI-Welt?

Justin Drake: Was die Kryptographie angeht, bin ich ziemlich zuversichtlich, was die Solidität betrifft. Der Grund dafür ist, dass man mathematisch beweisen kann, dass seine Kryptographie korrekt ist. Kryptographie ist ein Teilgebiet der Mathematik. Man kalibriert diese schwierigen Probleme im Allgemeinen so, dass jemand, der sie rechnerisch knacken wollte, mehr Energie verbrauchen würde, als im Sonnensystem vorhanden ist.

Um auf die kryptographischen Grundlagen zurückzukommen, die wir für das Post-Quanten-Ethereum vorschlagen – Hashes –, stärker geht es nicht. Das ist die schwächste Kryptographie, die man sich erhoffen kann. Das ist ein Grund, warum ich vorsichtig bin, die Grundlagen des Internets der Werte auf Gitter (Lattices) zu stützen. NIST hat zwei Hauptarten von Post-Quanten-Signaturen: Hash-basierte und Gitter-basierte. Die gitterbasierten Sachen erinnern sehr an elliptische Kurven – hochstrukturierte Objekte. Es ist plausibel, dass eine AGI oder sogar ASI, künstliche Superintelligenz, die tausendmal intelligenter ist als die gesamte Menschheit zusammen, sie knacken könnte. Aber bei den Hashfunktionen gibt es Gründe zu der Annahme, dass sie stark sind.

Auch wenn ich mir wegen der Kryptographie keine allzu großen Sorgen mache, mache ich mir Sorgen um etwas viel Tiefergehendes. Wenn man das große Ganze betrachtet, mache ich mir immer mehr Sorgen um das existenzielle Risiko für die Menschheit. Immer mehr Menschen beginnen zu verstehen, was Eliezer vor nicht allzu langer Zeit bei Bankless zu sagen versuchte.

Ich halte es für plausibel, dass Ethereum, falls die Menschheit überlebt, eine Schlüsselrolle dabei spielt. Meine Metapher dafür ist, dass die Menschheit ein Auto mit 100 Meilen pro Stunde fährt. Es gibt diese Moloch-Falle, in der die großen Nationalstaaten, TSMC, Nvidia, OpenAI – sie alle drücken aufs Gas. Und das Auto hat keine Bremsen, keinen Sicherheitsgurt, keinen Airbag. Heute können wir bei 100 mph noch relativ bequem lenken. Nächstes Jahr werden wir bei 200 sein, dann bei 300. Irgendwann werden wir unverantwortlich schnell fahren und einen Unfall bauen.

Die Arbeit an Ethereum hat für mich in den letzten Monaten eine völlig neue Bedeutung bekommen. Ich habe KI größtenteils ignoriert, teilweise weil ich von Blockchain-Dingen besessen war, aber auch, weil es vor nicht allzu langer Zeit noch ein Spielzeug war. Aber durch meine Arbeit, insbesondere mit formaler Verifikation und Entwicklung

Die Bedeutung der Arbeit an Ethereum im Zeitalter der KI (1:35:08)

und beim Programmieren sehe ich, wie mächtig dieses Zeug ist. In den letzten Wochen und Monaten war ich von KI besessen und habe so viel gelernt, wie ich konnte. Ich bin keineswegs ein Experte, und vielleicht ist das nur eine Phase, die Menschen durchmachen, wenn sie die Büchse der Pandora öffnen. Aber für mich geht es bei der Arbeit an Ethereum jetzt ganz um defensiven Akzelerationismus.

Ich sehe nicht, dass andere Teile der Gesellschaft am Bremssystem arbeiten – es wird nur Vollgas gegeben. Die gute Nachricht ist, dass Ethereum viele der Denkansätze und Werkzeuge besitzt, die einige der Lösungen bieten könnten. Vom ersten Tag an gehen wir von einer feindlichen Umgebung aus. Vom ersten Tag an nutzen wir Technologien wie Kryptographie, die die Schwachen stärken und sicherstellen, dass selbst die beliebig Starken bestimmte Dinge nicht brechen können. Wir versuchen, eine Quelle der Wahrheit zu sein, dezentral zu sein und den Menschen Souveränität zu geben.

Ich halte es für möglich, dass wir in den kommenden Monaten und Jahren eine Art Erwachen erleben werden, bei dem die Gesellschaft denkt: „Oh Scheiße.“ Und es könnte zu einem moralischen Imperativ werden, an defensivem Akzelerationismus zu arbeiten. Vielleicht werden einige der klügsten Köpfe ganz natürlich zu Ethereum als potenzieller Lösung kommen – als Teil einer Reihe von Lösungen, die wir brauchen, um dies anzugehen.

Ryan Sean Adams: Ich finde es toll, dass du darüber nachdenkst, und es klingt, als würde dir deine Arbeit an Ethereum einen Sinn geben. Ich habe noch eine andere Frage. Da ich offensichtlich ein großer Fan von Ethereum bin, ist eine meiner Sorgen, falls das KI-Schicksal wahr wird, dass es auf einer bestimmten Ebene zwar eine defensive akzelerationistische Technologie ist – dezentral, erlaubnisfrei und Macht eher den Kleinen als den Großen gebend. Aber auf einer anderen Ebene ist sie digital. Wir haben ein System für Eigentumsrechte geschaffen, und es scheint durchaus möglich, dass eine AGI oder ASI unseren unveränderlichen, nicht abschaltbaren Weltcomputer für Dinge nutzen könnte, die die Menschheit nicht will. Machst du dir auf irgendeiner Ebene Sorgen, dass sie Ethereum einfach nutzt – „Hey Menschheit, danke für das Eigentumsrechtssystem, wir übernehmen ab hier“ – und du damit eigentlich eine Technologie beschleunigt hast, die gegen die Menschheit gerichtet ist?

Justin Drake: Ich denke, das ist ein sehr berechtigter Punkt. Letztendlich ist Ethereum ein Werkzeug, das sowohl von Menschen als auch von KIs genutzt werden könnte. Vielleicht rede ich mir das nur schön, aber wenn man Ethereum wegnimmt, scheint es im Bereich des defensiven Akzelerationismus nicht viele andere alternative Produkte zu geben. Es ist so ziemlich alles akzelerationistisch. Also ja, vielleicht wird Ethereum einige Dinge beschleunigen, aber es ist eine der einzigen Hoffnungen, die wir für eine defensive Beschleunigung haben. Daher halte ich es immer noch für rational, die Roadmap bis 2029 umzusetzen und mein Bestes zu tun, um sicherzustellen, dass Ethereum für ein Zeitalter der künstlichen Superintelligenz bereit ist.

Ryan Sean Adams: Nur noch eine letzte Frage, da wir uns dem Ende nähern. Das war absolut fantastisch. Vielleicht ist das eine persönliche Frage, da du in den letzten Monaten ein KI-Erwachen hattest. Mir fällt jetzt auf, dass du einschränkst mit „wenn die Menschheit überlebt“ – „Ethereum spielt eine Schlüsselrolle, wenn die Menschheit überlebt.“ Diese Worte fallen mir schwer auszusprechen. Die reale Möglichkeit, dass technologischer Akzelerationismus bedeutet, dass die Menschheit nicht überlebt. Wie gehst du persönlich damit um?

Justin Drake: Ich sehe das relativ gelassen. Ich habe einen Punkt erreicht, an dem ich bereit bin zu sterben. Ich habe ein sehr glückliches Leben geführt.

Abschließende Gedanken zur Wahrscheinlichkeit des Untergangs (1:40:04)

Ryan Sean Adams: Was?

David Hoffman: Das hat uns schockiert.

Ryan Sean Adams: Das war nicht die Antwort, die ich erwartet habe.

Justin Drake: Ich denke, man muss einfach die Hoffnung bewahren. Man muss die sogenannte P(doom) – die Wahrscheinlichkeit des Untergangs – beiseitelegen. Meine P(doom) ist mittlerweile relativ hoch. Ich glaube, sie liegt bei über 50 %. Aber ich möchte das nicht laut aussprechen. Ich möchte nicht...

Ryan Sean Adams: Du möchtest nicht in diesem Pessimismus leben.

Justin Drake: Genau. Ich möchte mich nicht selbst entmutigen und mir das Leben schwer machen. Und was vielleicht noch wichtiger ist: Ich möchte andere Menschen nicht entmutigen und sie die Hoffnung verlieren lassen. Ich denke, wir sollten das Beste aus dem machen, was wir haben. Die Zukunft ist höchst unvorhersehbar. Auch wenn meine P(doom) in den letzten Wochen und Monaten stark gestiegen ist, ist dies eine starke Meinung, an der ich nicht starr festhalte. Ich möchte, dass sehr kluge Leute auf mich zukommen und mir sagen, warum ich nicht so viel Angst haben sollte und optimistischer und hoffnungsvoller sein kann.

Wie gesagt, ich denke darüber buchstäblich erst seit Wochen und Monaten nach. Ich kratze gerade erst an der Oberfläche. Der große Weckruf für mich war Opus 4.5, als Emil mir sagte: „Von nun an hilft mir KI tatsächlich, produktiver zu werden.“ Davor hat sie ihn unterm Strich eher ausgebremst. Und was wir dann in den letzten Wochen gesehen haben, sind noch beeindruckendere Ergebnisse. Vor etwa einem Monat wurde eines der wichtigsten Lemmas bei Hash-basierten SNARKs – das Polyshakes-Spielman-Lemma – in 8 Stunden formal verifiziert, was 200 Dollar kostete. Etwas, das 100-mal mehr gekostet hätte, wenn ein Mensch es getan hätte, und 100-mal länger gedauert hätte.

Ich habe auch das Fields-Medaillen-Ergebnis erwähnt, bei dem es nur 5 Tage dauerte, einen 500.000 Zeilen langen Beweis zu generieren. Es ist ziemlich offensichtlich, wohin das führt: Wir werden alle bekannten mathematischen Theoreme von KI überprüfen und verifizieren lassen, wobei alle Tippfehler korrigiert werden. Für eine kleine Teilmenge von „Theoremen“ werden wir durch Gegenbeispiele tatsächlich demonstriert bekommen, dass sie falsch sind. Das Programmieren ist größtenteils bereits gelöst, als Nächstes werden wir den wissenschaftlichen Fortschritt lösen. Die Dinge werden extrem schnell philosophisch – vielleicht ist das ein Thema für eine andere Episode.

Ryan Sean Adams: Ich denke, das ist etwas für eine andere Episode. Es ist aber eine fantastische Antwort. Ich schätze deine Einsicht, an diese Sache mit einem gewissen Maß an Stoizismus und dann mit Handlungsfähigkeit heranzugehen – an Dingen zu arbeiten, die für dich bedeutsam sind. Wir hoffen, falls die Menschheit überlebt, in Zukunft noch viele weitere dieser Podcasts mit dir zu machen. Es ist immer ein Vergnügen, dich hier zu haben, Justin Drake. Vielen Dank.

Justin Drake: Danke.