Korrekt ist, dass SHA-256 dagegen relativ immun ist
Man sollte das ruhig allgemeingültiger formulieren:
Hashes sind prinzipbedingt "immun" gegen Quantencomputer.
Ein Hash lässt sich nicht "rückwärts rechnen", also bringt auch der schönste Quantencomputer nix.
Wo nix zu rechnen ist, nützt ein Rechner nix.
Konkreter muss man natürlich auf die hierbei relevante Gefahr hinweisen.
Der Quantencomputer kann bestimmte Brute Force Attacken wesentlich schneller, nämlich im idealisierten Fall quasi in einem einzelnen Rechenschritt für alle möglichen Permutationen, durchführen. Er benötigt dann allerdings ein Muster, gegen das er die Ergebnisse vergleichen kann, da ihm ansonsten die vollständige Kenntnis aller Ergebnisse zunächst auch nichts nützt. Er müsste im Zweifelsfall alle Ergebnisse gegen alle potentiellen Muster vergleichen, was wiederum nur mit linearem Aufwand, quasi "Schritt für Schritt", geht.
Dieses Muster wäre im konkreten Fall Bitcoin der Public Key.
Ist der Public Key nicht bekannt, kann ein Quantencomputer somit eine Bitcoin-Adresse nicht "knacken".
Korrekt ist deshalb auch, dass Coins auf Adressen ohne ausgehende Transaktion quantencomputersicher sind.
Der lieben Vollständigkeit halber: auch Adressen, mit denen einmal eine Nachricht signiert wurde, haben ihren Public Key veröffentlicht, und sind ebenso "unsicher".
Die Frage ist für mich, ob das Bitcoin-Protokoll derart geändert werden kann, sodass man Coins nicht verschieben muss, wenn sie auf sicheren Adressen (also solchen ohne ausgehender Transaktion) befinden.
IMHO sehr eindeutig nein, bzw. nicht ohne Zentralisierung.
Wenn wir das Gedankenexperiment durchführen, dass heute jemand einen Superquantencomputer hat, mit dem er Private Keys zu veröffentlichten Public Keys quasi instantan errechnen kann, ist klar, dass Bitcoin "broken" ist.
Um gegenüber dem Netzwerk zu beweisen, dass ich "Eigentümer" eines Bitcoin bin, muss ich meinen Public Key veröffentlichen, diese Information kann ich zwangsläufig nur an einem oder wenigen Punkten im Netzwerk einspeisen.
Gelingt es dem Angreifer, meine übermittelte Information zu lesen, bevor sie von der Mehrheit des Netzwerks gekannt wird, ist es ihm zumindest mit größerer Wahrscheinlichkeit als Null möglich, selbst den Private Key zu errechnen, und die Information, dass er Eigentümer des Bitcoin ist, schneller an eine Mehrheit des Netzwerks zu übermitteln.
Die einzige "Lösung" für dieses Problem wäre Zentralisierung.
Man dürfte quasi die Eigentümerschaft eines Bitcoin gegenüber einer zentralen Instanz nachweisen, und diese würde autoritativ bestimmen, dass die Übermittlung der Information an sie zuerst stattgefunden hat.
Denkbar wäre, dass diese zentrale Autorität selbst ein wenig dezentral gestaltet würde, indem sie z.B. einen Proof of Work erbringen müsste, aber damit wäre man immer noch an einem Punkt, wo wenige "Oligarchen" zumindest diesen Übergangsschritt ins Post-Quantum-Bitcoin kontrollieren.
Aber natürlich ist so ein Gedankenexperiment sehr realitätsfern.
Wenn Quantencomputer sich in eine Richtung entwickeln, dass sie in absehbarer Zukunft eine potentielle Gefahr für Bitcoin darstellen, lässt sich sehr einfach migrieren. Über Nacht passiert da nix.
Man kann auch sagen, dass es quasi "circumstantial evidence" dafür gibt, dass sich die wichtigsten Informatiker im Bereich Bitcoin / Krypotgraphie absolut einig und sicher sind, dass Quantencomputer auf absehbare Zeit keinerlei Bedrohung für Bitcoin darstellen:
Börsen bewahren Hunderttausende Bitcoins auf einzelnen Adressen.
Die Informatiker dieser Börsen (und die Börsen können und werden sich gute Informatiker als Berater leisten) lassen die Coins auf diesen Adressen.
Anders gesagt: die Informatiker der Börsen wetten zig Milliarden Euro darauf, dass Quantencomputer eine Adresse nicht knacken können.
) könnten hier doch sicherlich Funktionen wie eine Sperre einbauen. Ist zwar auch wieder blöd, wenn man nicht ans Konto rankommt. 
