Eine dezentrale Währung, die unabhängig von Staaten und Banken funktioniert: Das ist die Vision hinter Kryptowährungen. Doch die erste und berühmteste unter ihnen, der Bitcoin, hat einen schlechten Ruf: »Bitcoin verbraucht doppelt so viel Energie wie die Schweiz«, heißt es zum Beispiel im »Beobachter«, »Klimasünder Bitcoin« schreibt »Der Standard« und »Stromverschwendung in einer Krise« titelt das »Crypto Valley Journal«. Einige Länder haben deshalb das so genannte Bitcoin-Mining verboten, darunter Venezuela und China.

Dabei ließe sich der Stromverbrauch drastisch reduzieren, davon sind viele Expertinnen und Experten überzeugt. Die zweitgrößte Kryptowährung Ethereum hat es vorgemacht: Indem sie ihr System von einer technischen Lösung namens Proof of Work auf den so genannten Proof of Stake umgestellt hat, ist der Energieverbrauch auf einen winzigen Bruchteil geschrumpft. Doch die Bitcoin-Community wehrt sich gegen einen solchen Schritt. »It's not a bug, it's a feature«, lautet ihr Motto angesichts des Stromverbrauchs, denn dieser garantiere die Sicherheit der Kryptowährung. Allerdings teilen diese Ansicht nicht alle.

Die größte Schwierigkeit bei der Entwicklung einer dezentralen digitalen Währung bestand lange Zeit darin, sicherzustellen, dass niemand betrügt. Schließlich lassen sich digitale Daten einfach kopieren – bei digitalem Geld wäre das fatal. Einen Ansatz für eine Lösung lieferte der Kryptograf David Chaum im Jahr 1982, als er über ein Prinzip nachdachte, das heute als Blockchain bekannt ist – eine Art dezentrales Kassenbuch.

Will Frau Müller digitales Geld an das Konto von Herrn Meyer schicken, prüft eine Gruppe von Netzwerkteilnehmern die anstehende Überweisung. Gemeinsam entscheiden sie, ob die Transaktion gültig ist – also ob Frau Müllers Konto gedeckt ist. Falls alles passt, landet die Überweisung, ebenso wie viele andere, auf einer Liste: einem Block, der der bestehenden Blockchain angehängt wird. Diese ist durch Verschlüsselungsverfahren so gestaltet, dass sie sich im Nachgang nicht manipulieren lässt.

Einigkeit in einem dezentralen System

Die Frage ist aber: Wie gelingt es den Netzwerkteilnehmern, sich zu einigen? Mit anderen Worten: Wie kommen sie übereinstimmend zu dem Schluss, dass eine Transaktion erlaubt ist? Da es hierbei um ein Geldsystem geht, könnten Personen absichtlich fehlerhafte Transaktionen einstreuen, um sich zu bereichern. Ein digitales Geldsystem wie Bitcoin, Ethereum und Co. muss solche Aktionen erkennen und ihnen entgegenwirken können.

Eine technische Lösung dieses Problems fand sich erstmals im Bitcoin-Whitepaper, das 2008 erschien. Sie besteht darin, dass einige Teilnehmer des Netzwerks, so genannte Miner, an einem aufwändigen Wettrechnen teilnehmen, aus dem etwa alle zehn Minuten eine Partei als Sieger hervorgeht. Diese Miner-Partei darf den nächsten Transaktionsblock an die Blockchain hängen und erhält dafür eine finanzielle Belohnung. Da das Lösen der Aufgabe sehr viel Rechenleistung beansprucht – und somit hohe Kosten verursacht –, haben die Miner einen Anreiz, nur gültige Transaktionen zu berücksichtigen, andernfalls gehen sie ohne Belohnung aus. Wer betrügt, wird von den anderen Netzwerkteilnehmern abgestraft. Die übrigen Bitcoin-Knotenpunkte des Netzwerks prüfen die neu erzeugten Blöcke und verbreiten sie dann über das Netzwerk.

Dieses Prinzip heißt Proof of Work. Die Wahrscheinlichkeit, einen Block mit den Transaktionen der letzten zehn Minuten anhängen zu dürfen und die Belohnung einzustreichen, ist umso höher, je mehr Rechenleistung man in das Wettrechnen investiert. Die Belohnung pro Block beträgt aktuell 3,125 Bitcoin plus die Gebühren für die enthaltenen Transaktionen (pro Block sind das insgesamt durchschnittlich 0,03 Bitcoin). Bei einem aktuellen Bitcoin-Kurs von rund 90 000 Euro (Stand Mai 2025) macht das eine Belohnung von mehr als 280 000 Euro pro Block. Da alle zehn Minuten ein Block gefunden wird, ergibt das ein jährliches Volumen von mehr als 14 Milliarden Euro. Mining ist Big Business.

• Zwei Möglichkeiten
  Aktuell fußen die meisten Kryptowährungen auf einem von zwei Verfahren: dem Proof-of-Work-System oder dem Proof-of-Stake-System. Sie unterscheiden sich grundlegend voneinander.
• Wettrechnen bei Proof of Work

  Alle Miner arbeiten parallel anstehende Bitcoin-Transaktionen ab. Über einen Algorithmus, der ein nicht vorhersagbares Ergebnis produziert, rechnen sie milliardenfach einen Zufallswert in eine andere Symbolfolge (einen Hash) um. Gesucht wird ein Hash, der innerhalb eines festgelegten Zahlenbereichs liegt. Der Algorithmus passt die Schwierigkeit so an, dass einer Miner-Partei durchschnittlich alle zehn Minuten ein solcher Zufallsfund gelingt. Wer den gesuchten Hash als Erstes findet, kann seinen Block mit den aufgezeichneten Transaktionen an die Blockchain hängen und die Belohnung erhalten. Danach beginnt das Spiel von Neuem.

• Wettbieten bei Proof of Stake

  Wer beim Erstellen und Prüfen von Blöcken mitwirken will, muss mindestens 32 Ether (aktuell rund 80 000 Euro) auf ein Konto einzahlen. Wer keine 32 Ether besitzt, um sich als Validator zur Verfügung zu stellen, kann sich mit einem beliebig kleinen Beitrag einem »Staking Pool« anschließen, einer Art Wettgemeinschaft. Die individuelle oder gepoolte Einzahlung von 32 Ether ist wie ein Los, mit dem man an einer Ziehung teilnimmt. Je mehr Lose man hält, desto öfter wird man gezogen.

  Eine Ethereum-»Epoche« dauert 6 Minuten 24 Sekunden und besteht aus 32 »Slots«. Pro Slot entsteht ein neuer Block. Für jede Epoche zieht ein Algorithmus ein Komitee, bestehend aus mindestens 128 Validatoren. Von denen fungiert jeweils einer pro Slot als Blockersteller. Er fasst (wie ein Miner beim Bitcoin) Transaktionen zusammen und erhält dafür eine Belohnung. Die sonstigen Validatoren prüfen den Block und werden dafür ebenfalls entlohnt.

Ressourcenverbrauch des Bitcoins

Klar ist: Der Mining-Prozess benötigt viele Ressourcen. Jährlich verbrauchen Bitcoin-Miner schätzungsweise 175 Terawattstunden an Energie – in etwa so viel wie ganz Dänemark im Jahr 2023. Zu diesem Ergebnis kommen Forschende der University of Cambridge im ihrem alle 24 Stunden aktualisierten Cambridge Bitcoin Electricity Consumption Index. Die Forschenden schätzten außerdem den CO₂-Fußabdruck der Kryptowährung und kommen auf 91 Megatonnen CO₂ jährlich – das liegt laut dem Informationsportal Our World in Data zwischen dem Ausstoß von Tschechien und Kuwait im Jahr 2023. Allerdings muss man für diese Angaben wissen, mit welchen Energiequellen die Mining-Zentren betrieben wurden. Die Zahlen für den Energiemix hat das Cambridge-Projekt jedoch zuletzt im Januar 2022 aktualisiert.

Der Ökonom Alex de Vries arbeitet an der niederländischen Zentralbank, hat an der Freien Universität Amsterdam zur Nachhaltigkeit neuer Technologien promoviert und betreibt das Zahlenportal Digiconomist. 2021 schätzte er zusammen mit dem Energiewissenschaftler Christian Stoll von der TU München den beim Mining anfallenden Elektroschrott auf jährlich 31 Kilotonnen. Das macht etwa ein 30stel des von deutschen Bürgerinnen und Bürgern erzeugten Elektroschrotts im Jahr 2022 aus. Der Schrott entsteht, weil professionelle Miner in der Regel spezialisierte Computerchips nutzen, die für das Proof-of-Work-System optimiert sind. Für andere Zwecke sind die Geräte kaum nützlich.

Insgesamt folgt der Ressourcenverbrauch des Bitcoins einer kontraintuitiven Logik. Nicht die Zahl der abgewickelten Transaktionen ist dafür entscheidend, sondern der Wert des Bitcoins: »Wenn der Bitcoin-Preis steigt, steigt auch die Rentabilität des Mining und damit der Anreiz, dem Netzwerk mehr Rechenressourcen hinzuzufügen«, sagt de Vries. »Das treibt den Stromverbrauch in die Höhe und damit auch den CO₂-Fußabdruck und den anfallenden Elektroschrott.«

Grüner Bitcoin?

Dass viele Ressourcen verbraucht werden, bestreiten die Befürworterinnen und Befürworter des Bitcoins nicht. Oft kritisieren sie jedoch die herangezogenen Vergleiche mit ganzen Staaten – diese sind nur ein grober Indikator für die Größenordnung der jeweiligen Verbrauchswerte, räumen auch die Forschenden der University of Cambridge ein. Zum Vergleich: Laut einer Analyse der Wirtschaftsprüfungsgesellschaft KPMG verbraucht der Betrieb von Wäschetrocknern weltweit ähnlich viel Strom wie die Kryptowährung Bitcoin.

Die Bitcoin-Community verweist auch gern darauf, dass der Stromverbrauch an sich kein ernsthaftes Problem darstelle, weil vor allem grüne – im besten Fall sogar überschüssige grüne – Energie zum Minen genutzt werde. Leider gibt es bislang (Stand Mai 2025) keine neueren Studien zum Strommix, der 2022 noch von fossilen Ressourcen dominiert war: 36,6 Prozent Kohle, 25 Prozent Gas, 14,9 Prozent Wasserkraft, 11,3 Prozent Kernkraft, 6,5 Prozent Wind- und 3,2 Prozent Solarenergie.

Doch selbst wenn die Mining-Zentren nur mit grünem Strom betrieben würden, sei der Bitcoin alles andere als nachhaltig, argumentierte de Vries 2019 in einem Kommentar, da in jedem Fall weiterhin massenhaft Elektroschrott anfalle.

Ethereum macht es anders

Es scheint also auf eine Glaubensfrage hinauszulaufen. Ist der gesellschaftliche, wirtschaftliche oder politische Beitrag des Bitcoins so groß, dass er den hohen Ressourcenverbrauch der Währungstechnologie rechtfertigt? Zumindest wäre das die große Frage, gäbe es nicht eine Ressourcen sparende Alternative: einen Umstieg von Proof of Work auf Proof of Stake. Die zweitgrößte Kryptowährung nach Marktkapitalisierung Ethereum hat das im Herbst 2022 getan.

Seit diesem Wechsel verzichtet Ethereum auf das Ressourcen fressende Wettrechnen. Die Wahrscheinlichkeit, einen Block zu erzeugen und eine Belohnung einzustreichen, richtet sich nicht mehr nach der Rechenleistung der Teilnehmer, sondern nach der Höhe des eingefrorenen (»gestakten«) Kapitals.

In einer 2022 erschienenen Veröffentlichung schätzte de Vries, wie sich der Ressourcenverbrauch von Ethereum durch die Umstellung verändert hat. Im schlechtesten Szenario kommt er auf eine Reduktion von 99,835 Prozent – im besten sind es 99,9996 Prozent. Ethereum selbst gibt eine Reduktion um 99,95 Prozent an.

»Würde der Bitcoin umsteigen, ließe sich auch sein Ressourcenverbrauch auf einen Bruchteil senken«Alex de Vries, Ökonom

Ist der Verbrauch an Hardware und CO₂ ähnlich stark gesunken? Ja, glaubt de Vries. »Wahrscheinlich bewegt es sich in der gleichen Größenordnung, da alle Verbrauchsarten eng miteinander verbunden sind.« Und er meint: Würde der Bitcoin ebenfalls umsteigen, ließe sich auch dessen Ressourcenverbrauch auf einen Bruchteil senken.

Ein solcher Umstieg müsste in der Software von Bitcoin Core stattfinden, die auf der Hardware von Minern läuft. Bitcoin Core wird von einer selbst verwalteten Community auf der Programmcode-Plattform GitHub entwickelt. Alle, die wollen, können Änderungen am Code vorschlagen. Fünf Maintainer – als eine Art oberstes Gremium – prüfen die Vorschläge und bauen sie ein oder lehnen sie ab. Auf eine Anfrage von »Spektrum.de«, was gegen einen Umstieg spricht, haben die Bitcoin-Maintainer nicht geantwortet.

Sicherheitsbedenken Zentralisierung

In einer mitunter feindseligen öffentlichen Debatte fragen die einen ungläubig, warum die Bitcoin-Community in Zeiten des drohenden Klimakollapses auf dem Proof-of-Work-Modell beharrt. Bitcoiner hingegen erwidern, dass die Gegenseite die Technologie nicht verstehe und das andere Modell unsicher sei. Vor allem gibt es Bedenken, dass sich das Proof-of-Stake-System leichter dominieren lasse, weil nicht die Rechenleistung, sondern das Kapital die entscheidende knappe Ressource ist. Man müsse nur genügend Geld besitzen, um zu einer zentralen Instanz zu werden – was dem dezentralen Gedanken einer Kryptowährung wie Bitcoin widerspricht.

Das müsse man jedoch differenzierter betrachten, sagt Vincent Schaaf. Der Wirtschaftsinformatiker am Fraunhofer-Institut für Angewandte Informationstechnik FIT und der Frankfurt University of Applied Sciences hat eine Untersuchung zum Energieverbrauch von Kryptowährungen sowie eine Metastudie zur Sicherheit von Proof-of-Stake- und Proof-of-Work-Systemen mitverfasst. Im Gespräch mit »Spektrum.de« sagt er: »Es ist sicherlich schwierig und extrem kapitalintensiv, von Grund auf riesige Rechenkapazitäten aufzubauen und diese mit dem nötigen Strom zu versorgen, um die Rechenleistung im Bitcoin-Netzwerk zu dominieren und so zur zentralen Instanz zu werden. Auf den ersten Blick muss man bei einem Proof-of-Stake-System nur mehr als ein Drittel der gestakten Coins besitzen, um dem Netzwerk schaden zu können.« Für superreiche Einzelpersonen und Staaten wäre das zumindest finanziell machbar.

• Sicherheit bei Proof of Work
  Trotz der zu erwartenden Ressourcenersparnis beim Umstieg auf Proof of Stake hält die Bitcoin-Community weiterhin an Proof of Work fest. Grund dafür sind die Sicherheitsbedenken, die sie gegenüber dem anderen Modell haben. Um das zu verstehen, muss man die verschiedenen Angriffsszenarien kennen, die bei dezentralen Geldsystemen möglich sind.
• Double Spending

  Das Schlüsselszenario bei allen Kryptowährungen ist das so genannte Double Spending: Ein Angreifer gibt sein Geld doppelt aus. Das gelingt ihm nur, wenn er selbst ein Miner ist und seine zweite – illegitime – Transaktion in seinen Block aufnimmt. Da das kryptografische System der Blockchain sicherstellt, dass kein Geld doppelt ausgegeben werden kann, existieren in dem Fall zwei unterschiedliche Blockchain-Versionen mit je einer der getätigten Transaktionen. Die Frage lautet nun: Welche Version setzt sich durch?

  Zu solchen »Forks« – also konkurrierenden Blockchain-Versionen – kommt es regelmäßig (zumindest kurzzeitig) auch ohne betrügerische Absichten. Miner beim Bitcoin sind über ein spinnennetzartiges Netzwerk weltweit miteinander verbunden. Dadurch werden Informationen zeitverzögert übertragen: Miner X hat als Erster einen neuen Block gefunden. Die Information darüber ist aber noch nicht bei Miner Y angekommen, der in der Zwischenzeit seinerseits einen neuen Block findet und verbreitet.

  Konkurrieren zwei Blockchain-Versionen miteinander, kennt das Bitcoin-Netzwerk eine einfache Regel – die Longest-Chain-Rule: Die gültige Kette ist jene, in der am meisten Arbeit steckt. Dafür zählt zum einen die Zahl der enthaltenen Blöcke und zum anderen die in den jeweiligen Blöcken steckende Rechenarbeit.

  Dieses Prinzip lässt sich ausnutzen: Verfügt ein Angreifer über mehr als 50 Prozent der gesamten Rechenleistung, findet er regelmäßig schneller neue Blöcke als das übrige Miner-Netzwerk. Damit ist seine Version der Blockchain immer die längste und damit auch oft jene mit der meisten Arbeit. Somit kann er entscheiden, welche Version sich durchsetzt. Der Angreifer kann so stets sicherstellen, dass eine betrügerische Transaktion in der gültigen Version der Blockchain landet.

  Konkret könnte das so aussehen: Mit Transaktion a kauft der Angreifer beispielswiese Einheiten in einer anderen Kryptowährung. Mit Transaktion b überweist er vom gleichen Bitcoin-Nummernkonto einen Betrag an ein Konto, das er selbst kontrolliert. Die zwei Transaktionen tauchen in konkurrierenden Versionen der Blockchain auf. Auf Grund seiner Dominanzposition im Netzwerk kann er sicherstellen, dass sich Transaktion b durchsetzt und Transaktion a ungültig wird. Der Betrüger hat eine Gegenleistung erhalten, der Verkäufer aber, der an die Gültigkeit der Transaktion geglaubt hat, wurde um die Bezahlung betrogen.

  Allerdings kann von der Regel, dass die längste Kette automatisch die gültige ist, in Ausnahmefällen abgewichen werden. Kommen die ehrlichen Miner mehrheitlich zum Schluss, dass betrogen wurde, könnten sie sich entscheiden, auf einen anderen, kürzeren Zweig der Blockchain zu setzen. Dann gäbe es zwei Versionen der Blockchain und zwei Varianten des Bitcoins. In der öffentlichen Akzeptanz, die für den Wechselkurs und die Marktkapitalisierung entscheidend ist, würde sich mit hoher Wahrscheinlichkeit die »ehrliche« Version durchsetzen.

• Eigennütziges Mining

  Ein Miner findet als Erster im Netzwerk einen Block. Anders als vorgesehen, veröffentlicht er ihn nicht sofort. Er sucht nach dem nächsten Block und vielleicht noch nach einem dritten. Bei diesem Spiel hat der Angreifer einen leichten, unfairen Zeitvorteil: Denn wenn er einen Block vor allen anderen findet und ihn nicht veröffentlicht, rechnen die anderen Miner im Netzwerk weiterhin an diesem Block x. Er hingegen kann seine Rechenleistung schon in die Suche nach Block x+1 investieren.

  Der Angreifer beobachtet das Netzwerk. Besteht die Gefahr, dass die öffentliche Blockchain die von ihm privat geführte Blockchain in ihrer Länge einholt, verbreitet er seine Version. Die wird dann gemäß der Longest-Chain-Regel als gültig angesehen. Der Nutzen, so Vincent Schaaf, ist dabei vor allem, dass man die Einnahmen maximieren kann, weil man dann für alle betreffenden Blöcke den Jackpot einstreichen kann. Das funktioniere aber nur für kleine Abschnitte mit wenigen Blöcken.

Allerdings ist ein ähnliches Szenario auch beim Bitcoin denkbar: Superreiche Akteure könnten große Rechenzentren kaufen, um gigantische Mining-Kapazitäten aufzubauen. Das könnte jedoch sowohl bei Bitcoin wie bei Ethereum zu einem Vertrauensverlust in die jeweilige Kryptowährung führen. Falls ein Angreifer mit großen Ressourcen seine Macht missbrauchte, um Transaktionen zu manipulieren oder zu steuern, würden sich die Nutzerinnen und Nutzer abwenden und ihr Geld von der jeweiligen Kryptowährung abziehen, was zu einem Wertverlust führen würde – ähnlich wie beim Run auf eine Bank.

Bei Proof-of-Stake-Währungen wie Ethereum wird darüber hinaus jedoch kritisiert, dass sie zu statischen Machtverhältnissen tendieren. Die Argumentation lautet dabei: Wer einmal einen gewissen Prozentsatz aller Stakes hält, behält diese Machtposition, solange er das Geld nicht abzieht. Den Anteil an der Rechenleistung beim Bitcoin muss man sich hingegen in jeder Runde neu erarbeiten. Deshalb argumentierten Forschende in einer 2022 erschienenen Arbeit, Proof of Stake neige zu plutokratischen und oligopolistischen Verhältnissen.

• Sicherheit bei Proof of Stake
  Die Kryptowährung Ethereum hat vom ressourcenintensiven Proof-of-Work-System zum Proof-of-Stake-System gewechselt. Damit eröffnen sich neue Angriffsszenarien.
• Long-Range-Attacken

  Bei Proof of Stake könnte ein Validator dem Netzwerk eine zeitweise geheim gehaltene Blockchain-Version unterjubeln. Erinnern wir uns: Bei Ethereum existiert für jede Epoche von 6 Minuten 24 Sekunden eine bekannte Gruppe von Validatoren, die Blöcke erzeugen und absegnen können. Kommt es zu verschiedenen Versionen der Blockchain, kennt auch Ethereum eine Regel, um sich zu entscheiden: Neben der Anzahl der enthaltenen Blöcke ist die Zahl der Stimmen von Validatoren relevant, welche die Blöcke bestätigt haben. (Es kann sein, dass 100 Prozent der Validatoren der jeweiligen Epoche einen Block bestätigen oder »nur« eine einfache Mehrheit.)

  Ein Angriff auf dieses Modell sieht so aus: Ein Angreifer hat in der Vergangenheit große Mengen an Stakes besessen und sie nach einer Weile aus dem Netzwerk gezogen. Er verfügt aber weiterhin über die kryptografischen Schlüssel aus der Zeit und könnte damit rückwirkend eine alternative Version der Blockchain nachbauen, die beispielsweise Double-Spending-Transaktionen enthält. Sein eigene Dominanzposition im Netzwerk kann er zusätzlich erhöhen, indem er anderen ehemaligen Validatoren ihre Schlüssel abkauft.

  Zwei Maßnahmen in der konkreten Umsetzung des Proof-of-Stake-Modells durch Ethereum erschweren solche Angriffe. Erstens gibt es unverrückbare Checkpoints, die den ersten Block jeder Epoche als für immer gültig erklären. Das bedeutet: Der Zeitraum, auf den sich eine rückwirkende Attacke beziehen kann, ist sehr eingeschränkt. Zweitens kann man nicht einfach so große Mengen von Stakes abziehen. Pro Block können nur 16 Validatoren-Lose »un-staked« werden. Das wiederum bedeutet: Es ist nicht einfach so möglich, von heute auf morgen gigantische Mengen an Stakes aus dem Netzwerk zu ziehen.

• Nothing-at-Stake-Problem

  Bei einem anderen Szenario geht es um unkollegiales Verhalten. Kursieren zwei konkurrierende Versionen eines einzelnen Blocks, müssen sich Validatoren für einen der beiden entscheiden. Wie kann es überhaupt zu zwei Versionen kommen? Beispielsweise weil Blockersteller gezielt oder auf Grund eines technischen Fehlers in der verwendeten Software irrtümlicherweise zwei Blockversionen zur gleichen Blocknummer erzeugen.

  Das Problem, so Schaaf: Spieltheoretisch mache es Sinn, auf zwei Pferde zu setzen. »Egal, welcher Block am Ende in der endgültigen Blockchain landet, Validatoren werden in jedem Fall ihre Belohnung erhalten. Wenn das passiert, entsteht kein klarer Konsens, was die endgültige Kette ist. Das macht die Blockchain anfälliger für Angriffe und schmälert die Funktionsfähigkeit.«

  Eine Antwort von Ethereum sind Bestrafungen, die Fehlverhalten sanktionieren (»Slashing«). Wenn Validatoren mehr als einen Block pro Slot bestätigen, wird standardmäßig ein Ether aus ihrem Stake vernichtet. Die Strafe wird höher, wenn mehr Validatoren in einem Zeitraum von mehreren Tagen geslasht werden. Das soll koordinierte Angriffe unattraktiv machen.

• Manipulation der Pseudozufallsziehung

  Beim dritten Angriff, einer so genannten Grinding-Attacke, beeinflussen Angreifer die Auswahl der Validatoren und Blockersteller. Die Auswahl läuft über einen Algorithmus namens Randao. Als Input verwendet Randao einen Hashwert (eine Prüfsumme), den der Proposer des letzten Slots der vorherigen Epoche veröffentlicht. Da es sich dabei nicht um einen echten Zufallswert, sondern um einen Wert aus dem Netzwerk handelt, spricht man von Pseudozufälligkeit.

  Ist der Angreifer in der Position des Blockerstellers beim letzten Slot, kann er sich entscheiden: Wie vorgesehen veröffentlicht er den Hashwert. Der Algorithmus errechnet die nächsten Validatoren und Blockersteller – das ist Ergebnis A. Oder er veröffentlicht ihn nicht und wird vom Netzwerk dafür per Slashing bestraft. Der Algorithmus muss ohne diesen Input auskommen und erzeugt Ergebnis B. In einigen Grenzen kann der Angreifer also das Ergebnis der Komitee-Auswahl beeinflussen und unfair die Wahrscheinlichkeit erhöhen, an der Erstellung von Blöcken beteiligt zu sein.

  Gegen Grinding-Attacken hat Ethereum momentan keine effektive Schutzmaßnahme eingebaut. Es gäbe laut Schaaf allerdings die Möglichkeit, den für die Pseudozufallsauswahl nötigen Input zu verändern, so dass eine Manipulation erschwert wird.

Vincent Schaaf gibt dabei zu bedenken, dass eine Dominanz des Ethereum-Netzwerks in der Praxis wenig praktikabel sei. Im Staking-Topf von Ethereum befinden sich aktuell etwa 34 Millionen Ether mit einem Gegenwert von etwa 85 Milliarden Euro. Kaufte jemand solch große Mengen auf, würde das zusätzlich zu einem starken Preisanstieg führen. Man müsse also dutzende oder auf Grund des Preisanstiegs vermutlich sogar hunderte Milliarden Euro in dem Topf liegen lassen, um eine Mehrheit zu haben – und einen möglichen Wertverlust riskieren. »Es lässt sich also nicht pauschal sagen, ob Proof of Work oder Proof of Stake sicherer ist. Es kommt immer auf das benötigte Kapital an, und das ist im Fall von Ethereum aktuell sogar höher als bei Bitcoin.«

Wie zwei Forscher der Princeton University in einer 2018 veröffentlichten Arbeit erklären, tendiert auch das Proof-of-Work-System zur Zentralisierung: Mining-Akteure mit großen Rechenzentren können durch ihre hohen Abnahmemengen niedrige Strompreise und Rabatte für spezialisierte Hardware aushandeln, wodurch sie weiterwachsen.

Theoretisch sicherer, praktisch: Egal?

Einen Punkt haben die Bitcoin-Befürworter auf ihrer Seite: Bei Proof-of-Work-Systemen gibt es eine höhere Schwelle, ab der ein Angriff auf ein Netzwerk sicher erfolgreich ist: die so genannte Byzantine Fault Tolerance. Lange Zeit galt es als eine Art Gesetz, dass verteilte, offene Netzwerke maximal ein Drittel unehrlicher Teilnehmer tolerieren können. Das heißt, für ein funktionierendes Netzwerk braucht es mindestens doppelt so viele ehrliche wie betrügerische Knoten. Aber Proof of Work ist anders. »Es war die große Leistung des Bitcoins, diese Schwelle dank des Proof-of-Work-Modells auf 50 Prozent zu senken«, sagt Schaaf.

Damit haben es Angreifer bei einem Proof-of-Stake-System aus zwei Gründen tendenziell leichter. Zum einen gilt hier noch die klassische Byzantine-Fault-Tolerance-Schwelle: Man muss also »nur« ein Drittel (der Validatoren-Stimmen) und nicht die Hälfte (der Mining-Kapazitäten beim Bitcoin) kontrollieren, um das System anzugreifen. Zum anderen ist – anders als beim Bitcoin – für den Angriff keine teure Rechenleistung nötig. Bei Proof of Work kostet alles, was Miner tun, teure Rechenleistung, bei Proof of Stake nicht. Nach einem Angriff auf den Bitcoin ist die eingesetzte Rechenleistung verbraucht. Das eingefrorene Kapital bei Ethereum lässt sich hingegen im Anschluss wieder aus dem Netzwerk ziehen.

In einer 2024 erschienenen Metastudie haben Schaaf und seine beiden Kollegen Iván Abellán Álvarez und Johannes Sedlmeir von der Universität Luxemburg 26 Arbeiten rund um das Thema Blockchain-Sicherheit untersucht. Sie kamen zu dem Schluss, dass Proof of Work aus theoretischer Sicht dank der höheren Byzantine-Fault-Tolerance-Schwelle tatsächlich sicherer ist.

Allerdings argumentieren die drei Autoren, dass in der Praxis der Proof-of-Stake-Ansatz nicht viel unsicherer sei als sein Gegenstück – zumindest nicht so sehr, dass es nicht vertretbar wäre, auf das ressourcenschonendere System umzusteigen. »Die Probleme fangen beim Bitcoin schon deutlich früher als bei einer Übernahme von 50 Prozent der Mining-Kapazitäten an«, erklärt Schaaf. So könnte ein Angreifer bereits mit der Kontrolle von einem Drittel der Miner seine Macht missbrauchen, genau wie bei Proof-of-Stake-Systemen. Durch einen Trick namens »Selfish Mining« (das temporäre Geheimhalten gefundener Blöcke und das strategische Veröffentlichen) kann er dafür sorgen, dass kurze Blockchain-Abschnitte ausschließlich eigene Blöcke enthalten. »So lässt sich zwar nicht betrügen, aber trotzdem das Netzwerk schädigen, indem der Angreifer überproportional viel der Belohnungen erhält und dadurch indirekt die Netzwerksicherheit senkt.«

Es läuft auf eine Glaubensfrage hinaus: Rechtfertigt die theoretisch höhere Sicherheit von Proof of Work den enormen Ressourcenverbrauch?

Außerdem erinnert Schaaf an die schwierige Umsetzbarkeit: »Im Stake-Topf von Ethereum befinden sich aktuell umgerechnet 80 Milliarden Euro. Wenn der Bitcoin mit seiner deutlich größeren Verbreitung und Marktkapitalisierung auf Proof of Stake umstiege, wäre das gestakte Kapital wahrscheinlich noch viel höher.«

Somit läuft es am Ende also doch auf eine Glaubensfrage hinaus: Rechtfertigt die in der Theorie bestehende höhere Sicherheit von Proof of Work den enormen Ressourcenverbrauch des Bitcoins? Für diese Frage kann die Wissenschaft nur Informationen liefern. Beantworten muss sie die Gesellschaft.