Der Juni war ein intensiver Monat für Updates der Blockchain-Technologie, in dem Entwickler Datenschutzlücken schlossen, große Upgrades neu terminiert, Vorschläge zur Quantenresistenz vorangetrieben und im Wettlauf die Sicherheit gegen eine wachsende Welle von Supply-Chain-Angriffen verstärkt haben. Von Bitcoin Core bis Ethereum, von Zcash bis Polygon beschleunigt sich das Tempo der Protokolländerungen – und einige der jetzt getroffenen Entscheidungen werden bestimmen, wie diese Netzwerke im nächsten Jahrzehnt bestehen.
Summary
Wichtigste Erkenntnisse
- Bitcoin Core 31.1 behebt eine Datenschutzschwachstelle in der Funktion -privatebroadcast der Version 31.0, die die IP-Adresse des Transaktionsinitiators offenlegen konnte.
- Ethereums Glamsterdam-Upgrade wurde auf die zweite Jahreshälfte verschoben; der Hegotá-Hard-Fork ist für Ende 2026/Anfang 2027 anvisiert.
- EIP-8182, ein Vorschlag für native private Transfers, wurde offiziell für die Aufnahme in den Hegotá-Hard-Fork vorgeschlagen.
- Consensys-CEO Joseph Lubin erwartet, dass Ethereum innerhalb von 3 bis 5 Jahren zu einem vollständig Zero-Knowledge-Proof-basierten Protokoll wird.
- Polygon zkEVM Mainnet Beta wird den Betrieb am 1. Juli 2026 einstellen – Nutzer müssen ihre Vermögenswerte vor Ablauf der Frist abziehen.
- Das SlowMist Security Team bestätigte aktive Malware-Varianten in 23 npm-Paketen, mit 408 GitHub-Repositories, die gestohlene Zugangsdaten enthalten.
- Microsofts Quantenchip Majorana 2 ist Berichten zufolge 1.000-mal zuverlässiger als sein Vorgänger, mit durchschnittlichen Qubit-Lebensdauern von 20 Sekunden.
Bitcoin Core behebt Datenschutzschwachstelle in v31.1
Ein Fehler in der neu eingeführten -privatebroadcast-Funktion von Bitcoin Core wurde diesen Monat öffentlich – und die Auswirkungen für datenschutzbewusste Nutzer sind subtiler als bei den meisten Bug-Meldungen. Version 31.0 enthielt eine Schwachstelle, die unter bestimmten Netzwerkbedingungen die IP-Adresse eines Transaktionsinitiators gegenüber dem empfangenden Node offenlegen konnte.
Wie das IP-Leck tatsächlich entsteht
Die Schwachstelle tritt auf, wenn Private Broadcast einen IPv4- oder IPv6-Node auswählt, der den BIP324-v2-Transport unterstützt. Wenn der v2-Handshake fehlschlägt, fällt Bitcoin Core auf einen v1-Retry zurück – aber diese erneute Verbindung umgeht den Tor-Proxy vollständig und stellt eine direkte IPv4- oder IPv6-Verbindung zum Peer her. Das Ergebnis: Eine Funktion, die den Datenschutz verbessern soll, bewirkt unter bestimmten Fallback-Bedingungen das Gegenteil.
Der betroffene Umfang ist spezifisch. Nodes, die Bitcoin Core 31.0 mit aktiviertem -privatebroadcast ausführen, Transaktionen über den sendrawtransaction-RPC senden und in der Lage sind, direkte ausgehende IPv4/IPv6-Verbindungen herzustellen, sind gefährdet. Wallet-RPC-, Onion- und I2P-Verbindungen sind nicht betroffen.
Vor dem Upgrade auf Version 31.1 rät Bitcoin Core betroffenen Nutzern, entweder -privatebroadcast zu deaktivieren, den v2-Transport zu deaktivieren oder den ausgehenden IPv4/IPv6-Verkehr über Tor zu leiten. Der Release Candidate 31.1rc1 ist bereits auf der offiziellen Bitcoin-Core-Website zum Testen verfügbar und enthält Korrekturen in den Bereichen Validierung, P2P-Netzwerk, Wallet-Migration, MuSig, Build-System, Tests und CI-Module.
Unabhängig davon hat Entwickler rkrux eine Diskussion über die Entfernung des expliziten Replace-by-Fee-(RBF)-Signalisierens aus der Bitcoin-Core-Wallet angestoßen. Er argumentiert, dass BIP-125-Signale überflüssig geworden sind, seit Full-RBF Standardpolitik ist, und unnötige On-Chain-Fingerabdrücke hinterlassen könnten. Community-Mitglied Murch widersprach und wies darauf hin, dass das Stoppen von Ersetzbarkeitssignalen nicht einfach einer Entfernung von Fingerabdrücken gleichkommt – jeder Sender muss weiterhin für jeden Input eine Sequenznummer wählen, wobei bereits etwa 75 % der Transaktionen spezifische Sequenznummern verwenden, hauptsächlich MAX-2.
Ethereum verschiebt Glamsterdam und treibt Datenschutzvorschläge voran
Ethereums Entwicklungspipeline bewegt sich auf mehreren Ebenen, aber die unmittelbarste Nachricht ist eine Terminänderung: Das Glamsterdam-Upgrade – das auf ultimatives L1-Scaling und MEV-Fairness abzielt – wurde in die zweite Jahreshälfte verschoben. Devnet-5- und Devnet-6-Iterationen sind weiterhin in Arbeit, mit Gegenmaßnahmen gegen neue EIPs, die sich in aktiver Entwicklung befinden. Core-Entwickler Terence bestätigte, dass Glamsterdam Devnet-6 veröffentlicht wurde, was einen bedeutenden Fortschritt in Richtung Testnet-Deployment markiert.
Vorschlag für ein Post-Quanten-Public-Key-Register
Die Ethereum-Forscher Thomas Coratger und Tom Wambsgans veröffentlichten ein Framework zur Einrichtung eines Post-Quanten-Public-Key-Registers für Validatoren – einen gestuften Migrationspfad weg von BLS-Signaturen hin zu post-quanten-sicheren Signaturschemata. Der Ansatz sieht zunächst einen Registry-Fork vor, der es Validatoren ermöglicht, Post-Quanten-Public-Keys vorab zu registrieren, gefolgt von mehreren weiteren Forks, bevor der Signaturmechanismus offiziell umgestellt wird.
Der führende Kandidat ist das hashbasierte XMSS-Signaturschema, das einen kompakten 52-Byte-Public-Key bietet – obwohl einzelne Signaturen etwa 3.112 Byte groß sind. Die Bewältigung dieses Overheads erfordert leanVM und Post-Quanten-SNARK-Aggregation. Dies ist kein kurzfristiges Upgrade, aber die Tatsache, dass Ethereum-Forscher bereits die Migrationsarchitektur abstecken, zeigt, wie ernst das Netzwerk die Quantenbedrohung nimmt.
EIP-8182: Vorschlag für native private Transfers für Hegotá
EIP-8182, entwickelt von Tom Lehman, wurde offiziell für die Aufnahme in den Hegotá-Hard-Fork vorgeschlagen – das Upgrade, das auf Zensurresistenz, Datenschutzverbesserung und Node-Verschlankung abzielt und derzeit für das Zeitfenster Ende 2026/Anfang 2027 geplant ist.
Der Vorschlag zielt darauf ab, Datenschutz nativ in Ethereums Basisschicht zu bringen – ohne zusätzliche Gebühren, Token-Governance oder Multi-Sig-Koordination. Er verwendet Systemverträge mit festen Adressen und ZK-Verifikations-Precompiles, um einen gemeinsamen, protokollweiten Anonymitätspool zu schaffen, der allen Wallets und Anwendungen zugänglich ist. Dieser gemeinsame Pool ist wichtig: Fragmentierte Privacy-Apps teilen derzeit Liquidität und Anonymitätsmengen auf separate Implementierungen auf, was die praktischen Datenschutzgarantien für alle schwächt. Durch die Einbettung von Datenschutz auf L1 würde EIP-8182 diese Fragmentierung aufbrechen, ohne Änderungen auf Anwendungsebene zu erfordern.
Der Vorschlag konkurriert nun um einen Platz im Hard-Fork-Zeitplan der Core-Entwickler – ein Prozess, der umfangreiche technische und Community-Debatten erfordert, bevor etwas finalisiert wird.
Consensys-CEO über Ethereums Zero-Knowledge-Zukunft
Consensys-CEO Joseph Lubin gab einen längerfristigen Ausblick und erklärte, dass Ethereum innerhalb von 3 bis 5 Jahren zu einem vollständig Zero-Knowledge-Proof-basierten Protokoll werden könnte. Lubin verwies auf Layer-2-Netzwerke, die bereits eine Echtzeit-Erzeugung von ZK-Proofs erreichen, als Beleg dafür, dass sich die Technologie schnell genug entwickelt, um L1 zu erreichen. Er stellt sich eine Zukunft vor, in der mehrere formal verifizierte Prover Ethereum auf der Basisschicht unterstützen und schließlich eine brückenfreie, einheitliche atomare Ausführungsumgebung ermöglichen, die fragmentierte Liquidität zusammenführt.
Lubin ging auch auf die zukünftige Struktur der Ethereum Foundation ein und erklärte, dass es keine „zweite Foundation“ geben werde – stattdessen werden sich mindestens drei Gruppen aus der bestehenden Foundation herauslösen, die sich jeweils auf die Kernprotokollarbeit, Benutzerfreundlichkeit und Skalierbarkeit sowie institutionelle Outreach-Arbeit konzentrieren.
Fortschritte bei Ethereum Layer 2 und Abschaltung von Polygon zkEVM
Das Layer-2-Ökosystem von Ethereum verzeichnete in diesem Monat sowohl neue Starts als auch harte Fristen. Die dringendste Entwicklung für bestehende Nutzer ist die Einstellung des Betriebs von Polygon zkEVM Mainnet Beta am 1. Juli 2026 – was den Nutzern etwa zwei Wochen Zeit zum Handeln lässt.
Starknets STRK20-Datenschutz-Framework
Starknet hat STRK20 gestartet, ein Zero-Knowledge-Proof-Datenschutz-Framework, das es jedem ERC20-Asset im Netzwerk ermöglicht, private Guthaben und vertrauliche Transfers zu unterstützen. Anders als traditionelle Coin-Mixer bettet STRK20 Datenschutzfunktionen direkt in den Asset-Fluss ein, anstatt Transaktionen durch eine separate Mixing-Schicht zu leiten. Das Framework umfasst einen Viewing-Keys-Mechanismus, der es Nutzern ermöglicht, Transaktionsdaten selektiv zu Offenlegungszwecken für Compliance freizugeben. Das erste Asset, das es übernimmt, ist strkBTC.
Das Framework kann auf Transfers, Handel, Lending, Staking und Zahlungen angewendet werden – ein breiter Anwendungsbereich, der darauf hindeutet, dass Starknet STRK20 eher als Infrastruktur denn als Feature positioniert.
Polygon zkEVM Mainnet Beta stellt den Betrieb ein
Polygons zkEVM Mainnet Beta wird am 1. Juli 2026 offiziell abgeschaltet. Vermögenswerte, die in Wallets gehalten werden, in denen keine Cross-Chain-Transfers abgeschlossen wurden, werden automatisch auf das Ethereum-Mainnet migriert und können über eine dedizierte Schnittstelle beansprucht werden. Vermögenswerte, die in DeFi-Protokollen gesperrt sind, können jedoch nicht automatisch migriert werden – diese Nutzer müssen LP-Positionen und Vermögenswerte vor Ablauf der Frist manuell abziehen oder riskieren, den Zugriff dauerhaft zu verlieren.
Das Base-L2-Netzwerk hat unterdessen sein Beryl-Upgrade im Base-Sepolia-Testnet bereitgestellt, mit geplanter Mainnet-Aktivierung am 25. Juni. Beryl führt den B20-Tokenstandard für die native Ausgabe von Stablecoins und anderen Vermögenswerten direkt in der Node-Software von Base ein, verkürzt das Auszahlungsfenster von Base nach Ethereum von 7 auf 5 Tage und bringt Reth V2, um den Speicherbedarf der Nodes zu reduzieren.
Zcash-Ironwood-Upgrade und Verbesserungen der Netzwerksicherheit
Zcash bereitet ein bedeutendes Netzwerk-Upgrade vor, das darauf abzielt, eine der schwerwiegenderen Schwachstellen zu beheben, die in diesem Jahr auf einer Privacy-First-Blockchain aufgetreten sind.
Ironwood zielt auf den Orchard-Datenschutzpool
Das Zcash-Ironwood-Upgrade ist für die Aktivierung im Juli geplant und soll Schwachstellen im Orchard-Datenschutzpool beheben, die zuvor die festen Angebotsgarantien des Netzwerks bedrohten. Die Zcash Foundation hatte bereits Zebra 4.5.3 und 5.0.0 als Notfallreaktionen veröffentlicht – Zebra 4.5.3 deaktivierte Orchard-Aktionen vorübergehend im Mainnet über einen Notfall-Soft-Fork bei Blockhöhe 3.363.426, während Zebra 5.0.0 den NU6.2-Hard-Fork bei Blockhöhe 3.364.600 aktivierte und Orchard mit einem korrigierten Circuit wieder aktivierte. Die Foundation bestätigte, dass die Schwachstelle entdeckt wurde, bevor eine bekannte Ausnutzung stattfand, und dass keine unautorisierte Werterzeugung erfolgt ist.
Ironwood geht noch weiter. Es wird einen neu korrigierten Datenschutzpool einführen und den alten schrittweise außer Betrieb nehmen. Sobald dies abgeschlossen ist, können Nutzer und Nodes Guthaben aus beiden Pools aggregieren, um unabhängig zu überprüfen, dass die gesamte im Umlauf befindliche ZEC-Menge die harte Obergrenze von 21 Millionen Coins nicht überschreitet – und so das dezentrale Vertrauen in den Angebotsmechanismus von Zcash wiederherstellen.
Zcash-Core-Entwickler Sean Bowe bestätigte, dass mindestens drei große Prüfungsfirmen den Orchard-Circuit überprüfen, mehrere KI-Audit-Tools den Code durchsuchen und die formale Verifikationsarbeit voranschreitet. Die Valar Group hat ein Testnet gestartet und mit der Implementierung von Wallet-seitigen Änderungen begonnen. Laut Bowe verläuft der Fortschritt derzeit reibungslos.
Sicherheitswarnungen und Fortschritte im Quantencomputing
Zwei Entwicklungen in diesem Monat stehen an entgegengesetzten Enden der Bedrohungszeitleiste: Die eine ist ein aktiver Angriff, der derzeit im npm-Ökosystem stattfindet, die andere ist ein Meilenstein in der Quantenhardware, der für die Blockchain-Sicherheit noch theoretisch ist – sich aber schneller bewegt, als viele erwartet haben.
SlowMist warnt vor npm-Malware, die gestohlene Entwicklerzugangsdaten ausnutzt
Das SlowMist Security Team gab eine Warnung vor neuen Malware-Varianten heraus – identifiziert als Shai-Hulud, Miasma und Hades –, die mit dem gestohlenen Entwicklerkonto „czirker“ in Verbindung stehen und im npm-Ökosystem aktiv sind. Der Angriffsvektor ist präzise: Schadcode wird während npm install über eine vorkonfigurierte binding.gyp-Datei ausgelöst, was es leicht macht, ihn in Standard-Dependency-Audits zu übersehen.
Die bestätigten Zahlen sind bemerkenswert. 23 betroffene Pakete wurden identifiziert, wobei eines – leo-logger – 3.140 wöchentliche Downloads erreicht. Zusätzlich wurden 408 GitHub-Repositories mit gestohlenen Zugangsdaten entdeckt. Die bösartige Aktivität umfasst den Diebstahl von GitHub- und npm-Tokens, Cloud-Zugangsdaten über AWS, GCP und Azure, lokale Umgebungsdaten sowie den Missbrauch von GitHub-Actions-Pipelines.
SlowMist empfiehlt Sicherheitsteams, umgehend Lockfiles und Paketprotokolle zu überprüfen, betroffene Pakete zu entfernen, alle kritischen Schlüssel zu rotieren und Zwei-Faktor-Authentifizierung durchzusetzen. Das Angriffsmuster unterstreicht ein anhaltendes Risiko in Open-Source-Ökosystemen: Der Diebstahl von Zugangsdaten auf Ebene von Entwicklerkonten kann Hunderte nachgelagerter Repositories kontaminieren, bevor der Angriff entdeckt wird.
Microsofts Quantenchip Majorana 2 vorgestellt
Auf seiner jährlichen Build-Konferenz stellte Microsoft Majorana 2 vor, seinen zweiten topologischen Quantenchip. Das Unternehmen behauptet, der Chip sei 1.000-mal zuverlässiger als sein Vorgänger, mit einer durchschnittlichen Qubit-Lebensdauer von 20 Sekunden – und einigen Qubits, die bis zu 1 Minute halten. Microsoft rechnet damit, bis 2029 näher an skalierbares Quantencomputing heranzurücken, wobei KI-Agent-Tools Berichten zufolge dazu beitragen, Material-Screening, Messautomatisierung und Fertigungsoptimierung zu beschleunigen.
Die Ankündigung belebte externe Diskussionen über die langfristigen Auswirkungen des Quantencomputings auf die Sicherheit digitaler Signaturen von Bitcoin. Diese Diskussion ist es wert, ernsthaft geführt zu werden, aber der Kontext ist wichtig: Die Lücke zwischen der aktuellen Quantenhardware und der Rechenleistungsschwelle, die erforderlich wäre, um die elliptische Kurvenkryptografie von Bitcoin zu bedrohen, ist weiterhin sehr groß. Majorana 2 ist ein bedeutender Schritt in der Qubit-Zuverlässigkeit, aber keine unmittelbare Bedrohung für laufende Blockchain-Netzwerke.
Er stellt jedoch einen glaubwürdigen Grund dar, die Forschung zu Ethereums Post-Quanten-Migration zu beschleunigen – und für Projekte wie die Algorand Foundation, die eine Roadmap zur Post-Quanten-Sicherheit veröffentlicht hat und bis Ende 2027 eine breitere Quantenresistenz anstrebt, der Entwicklung voraus zu bleiben. Die praktische Frage für jedes große Blockchain-Netzwerk ist nicht mehr, ob quantenresistente Kryptografie benötigt wird, sondern wann die Migration abgeschlossen sein muss.
FAQ
Welches Datenschutzproblem wurde in Bitcoin Core Version 31.1 behoben?
Bitcoin Core 31.1 behob eine Datenschutzschwachstelle in der -privatebroadcast-Funktion der Version 31.0. Unter bestimmten Bedingungen mit einem fehlgeschlagenen BIP324-v2-Handshake fiel die Software auf eine v1-Verbindung zurück, die den Tor-Proxy umging und so potenziell die IP-Adresse des Transaktionsinitiators gegenüber dem empfangenden Node offenlegen konnte.
Wann wird Ethereums Glamsterdam-Upgrade jetzt erwartet?
Ethereums Glamsterdam-Upgrade wurde auf die zweite Jahreshälfte verschoben. Die Entwicklung geht mit den Devnet-5- und Devnet-6-Iterationen weiter, während der separate Hegotá-Hard-Fork auf ein Zeitfenster Ende 2026/Anfang 2027 abzielt.
Was ist EIP-8182 und welche Bedeutung hat es?
EIP-8182 ist ein Vorschlag für native private Transfers auf Ethereum, entwickelt von Tom Lehman. Er würde einen nicht verpflichtenden, protokollgebührenfreien Mechanismus für private Transfers direkt auf der L1-Schicht von Ethereum einführen, unter Verwendung von Systemverträgen mit festen Adressen und ZK-Verifikations-Precompiles. Er wurde offiziell für die Aufnahme in den Hegotá-Hard-Fork vorgeschlagen und ist bedeutsam, weil er auf Datenschutz auf Protokollebene abzielt, anstatt sich auf fragmentierte Datenschutztools auf Anwendungsebene zu stützen.
Welche Bedrohungen hebt die SlowMist-Malware-Warnung hervor?
SlowMist identifizierte Malware-Varianten (Shai-Hulud, Miasma, Hades), die das gestohlene npm-Entwicklerkonto „czirker“ ausnutzen, um Pakete während der Installation zu infizieren. Der Angriff stiehlt GitHub- und npm-Tokens, Cloud-Zugangsdaten von AWS, GCP und Azure sowie lokale Umgebungsdaten und missbraucht zudem GitHub Actions. 23 Pakete und 408 GitHub-Repositories wurden als betroffen bestätigt.
{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Welches Datenschutzproblem wurde in Bitcoin Core Version 31.1 behoben?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Bitcoin Core 31.1 behob eine Datenschutzschwachstelle in der -privatebroadcast-Funktion der Version 31.0. Unter bestimmten Bedingungen mit einem fehlgeschlagenen BIP324-v2-Handshake fiel die Software auf eine v1-Verbindung zurück, die den Tor-Proxy umging und so potenziell die IP-Adresse des Transaktionsinitiators gegenüber dem empfangenden Node offenlegen konnte.“}},{„@type“:“Question“,“name“:“Wann wird Ethereums Glamsterdam-Upgrade jetzt erwartet?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Ethereums Glamsterdam-Upgrade wurde auf die zweite Jahreshälfte verschoben. Die Entwicklung geht mit den Devnet-5- und Devnet-6-Iterationen weiter, während der separate Hegotá-Hard-Fork auf ein Zeitfenster Ende 2026/Anfang 2027 abzielt.“}},{„@type“:“Question“,“name“:“Was ist EIP-8182 und welche Bedeutung hat es?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“EIP-8182 ist ein Vorschlag für native private Transfers auf Ethereum, entwickelt von Tom Lehman. Er würde einen nicht verpflichtenden, protokollgebührenfreien Mechanismus für private Transfers direkt auf der L1-Schicht von Ethereum einführen, unter Verwendung von Systemverträgen mit festen Adressen und ZK-Verifikations-Precompiles. Er wurde offiziell für die Aufnahme in den Hegotá-Hard-Fork vorgeschlagen und ist bedeutsam, weil er auf Datenschutz auf Protokollebene abzielt, anstatt sich auf fragmentierte Datenschutztools auf Anwendungsebene zu stützen.“}},{„@type“:“Question“,“name“:“Welche Bedrohungen hebt die SlowMist-Malware-Warnung hervor?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“SlowMist identifizierte Malware-Varianten (Shai-Hulud, Miasma, Hades), die das gestohlene npm-Entwicklerkonto „czirker“ ausnutzen, um Pakete während der Installation zu infizieren. Der Angriff stiehlt GitHub- und npm-Tokens, Cloud-Zugangsdaten von AWS, GCP und Azure sowie lokale Umgebungsdaten und missbraucht zudem GitHub Actions. 23 Pakete und 408 GitHub-Repositories wurden als betroffen bestätigt.“}}]}
Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.
