You can also read the English version of this article.
Seit dem 30. Dezember 2024 ist die „Transfer of Funds Regulation“ (ToFR) – auch bekannt als „Travel Rule“ – in allen Mitgliedstaaten der Europäischen Union in Kraft. Ziel dieser Regelung ist es, Geldwäsche und andere kriminelle Aktivitäten mit Kryptowährungen einzudämmen. Um diese neue Vorschrift einzuhalten, benötigen viele Broker und Börsen zusätzliche Verifizierungsmaßnahmen, wenn man Bitcoin oder andere Kryptowährungen auf dem Börsenkonto ein- oder auszahlen möchte.
Auch wenn BitBox-Kunden von solchen Regelungen nicht direkt betroffen sind, da die BitBox02 eine unabhängige und selbstverwahrte Wallet ist, können die genannten Verifizierungsverfahren trotzdem lästig sein und zu Problemen führen, an die manche Dienstleister vielleicht nicht gedacht haben. Lass uns genauer anschauen, was sogenannte „Satoshi-Tests“ überhaupt sind, was man bei einer Testtransaktion beachten sollte und vor allem, wie dieser Verifizierungsprozess durch das Address Ownership Proof Protokoll (AOPP) erheblich verbessert werden könnte.
Satoshi Tests
Beim Senden oder Abheben von Kryptowährungen von einem Börsenkonto kann die Börse einen Nachweis darüber verlangen, dass man die Kontrolle über die empfangende oder sendende Wallet hat, bevor die Ein- oder Auszahlung durchgeführt wird. Zum Beispiel kann dies erforderlich sein, um die ToFR oder andere lokale Vorschriften einzuhalten. Aus technischer Sicht gibt es verschiedene Möglichkeiten, einen solchen Nachweis umzusetzen, wobei keine davon ihr Ziel wirklich erfüllt – wie wir später sehen werden.
„Satoshi-Tests“ sind wohl die primitivste Methode für eine solche Verifizierung. Der Nutzer, der nachweisen möchte, dass er die Kontrolle über eine Bitcoin-Adresse hat, erstellt eine Testtransaktion mit einem kleinen Betrag an die Börse. Sobald die Testtransaktion eingegangen ist, weiß die Börse, dass der Kunde die Kontrolle über die Bitcoin-Adresse hat, und kann die Transaktion wie gewünscht durchführen.
Abgesehen von einer schlechteren Benutzererfahrung führt dies zunächst zu schlechten Anreizen für die Privatsphäre des Nutzers. Da Testtransaktionen Geld und Zeit kosten, werden Nutzer aktiv dazu ermutigt, Auszahlungsadressen mehrfach zu verwenden, was ein Kompromiss für die Privatsphäre darstellt.
Schlechte Nutzererfahrung
Auch wenn Satoshi-Tests für Anbieter einfach umzusetzen sind, bringen sie eine sehr schlechte Erfahrung für Endnutzer von Hardware-Wallets wie der BitBox02 mit sich. Dies liegt an mehreren Gründen, die einem bewusst sein sollten, bevor man selbst einen solchen Test durchführt.
Henne-Ei-Problem
Um eine Testtransaktion erstellen zu können, benötigt man zunächst Bitcoin. Dies ist ein offensichtliches Problem für Nutzer, die noch keine Bitcoin haben: Um Bitcoin abzuheben, muss man zuerst die Wallet-Adresse verifizieren – was man natürlich nicht kann, weil man noch keine Coins hat.
Falls die Börse dem Nutzer keine Bitcoin für den Test bereitstellt, zwingt diese sich im Kreis drehende Logik zu Alternativen. Entweder müsste man sich einen anderen Dienst mit einer anderen Verifizierungsmethode suchen, um eine kleine Menge Bitcoin zu kaufen, oder einen Freund um ein paar Satoshis bitten. In jedem Fall ist dies aus Nutzersicht ärgerlich und schafft eine unnötige Einstiegshürde für die Selbstverwahrung.
Wechseladressen
Noch komplizierter wird es, wenn man berücksichtigt, wie Bitcoin-Wallets eigentlich funktionieren: Wenn jemand Bitcoin „besitzt“, kontrolliert er einen Ausgang einer Transaktion, der noch nicht ausgegeben wurde, also einen sogenannten Unspent Transaction Output (UTXO). Ähnlich wie bei echten Geldscheinen im physischen Geldbeutel können diese UTXOs nur vollständig ausgegeben werden, was uns zum Konzept von Wechselgeld (sog. Change-Outputs) bringt. Wenn die Inputs einer Transaktion größer sind als der Betrag, den man ausgeben möchte, erstellen Bitcoin-Wallets automatisch eine neue Wechseladresse, auf die das Wechselgeld in der gleichen Transaktion zurückgesendet wird.
Erstellt man nun eine Testtransaktion, um eine Adresse zu verifizieren, entscheidet die Wallet automatisch, welche UTXOs für diese Transaktion verwendet werden sollen. Dies geschieht nicht zufällig, sondern optimiert auf Faktoren wie Gebühren oder die Privatsphäre. Das bedeutet jedoch, dass der für den Satoshi-Test verwendete UTXO zufällig von einer Wechseladresse stammen könnte.
Wechseladressen sind reguläre Bitcoin-Adressen, werden jedoch in Wallet-Software wie der BitBoxApp anders behandelt. Um Verwirrung und Unübersichtlichkeit zu vermeiden, werden Zahlungen an Wechseladressen nicht in der Transaktionshistorie angezeigt, sondern lediglich zum Gesamtbestand dazu addiert. Das bedeutet, dass zukünftige Auszahlungen von der Börse auf diese Wechseladresse nicht im Transaktionsverlauf sichtbar wären.
Um dies zu vermeiden, sollten Nutzer der BitBoxApp die Coin Control Funktion verwenden, um manuell einen geeigneten UTXO für die Testtransaktion auszuwählen. Da die BitBoxApp UTXOs auf Wechseladressen als „Wechselgeld“ kennzeichnet, kannst du diese UTXOs für Testtransaktionen einfach vermeiden. Wähle stattdessen einen beliebigen anderen UTXO aus, um eine Adresse zu verifizieren.
Da es sich hierbei um eine fortgeschrittene Funktion der BitBoxApp handelt, entsteht eine weitere Hürde für die Selbstverwahrung von Bitcoin.
Doppelte Einzahlungen
Leider wird es noch umständlicher, wenn Börsen Satoshi-Tests auch für Einzahlungen verlangen. Testtransaktionen für Einzahlungen sind an sich eigentlich überflüssig, da schließlich die Einzahlung selbst bereits ein Nachweis über die Kontrolle der Wallet ist. Dennoch gibt es manche Anbieter, die einen solchen Nachweis benötigen.
Stellen wir uns einen Nutzer vor, der über einen einzigen UTXO von 1 BTC verfügt und auf seinem Börsenkonto einzahlen möchte. Die Börse verlangt nun eine Testtransaktion ausgehend von der Adresse, die für die Einzahlung genutzt werden soll, die der Nutzer ausführt. Aufgrund von Wechselgeld, erstellt die Wallet jetzt eine kleine Zahlung an die Börse, z. B. 0,00001 BTC, und schickt das Wechselgeld über etwa 0,99999 BTC zurück an eine neue Wechseladresse.
Die frisch verifizierte Einzahlungsadresse ist jetzt leer, und der Nutzer müsste den Restbetrag in einer weiteren Transaktion zurück an die verifizierte Adresse senden, bevor er die eigentliche Einzahlung durchführen kann – insgesamt also drei Transaktionen für eine einzige Einzahlung. Abgesehen von dem Transaktionsaufwand und den höheren Gebühren führt dies vor allem zu unnötiger Verwirrung bei Nutzern, die die komplexen internen Abläufe von Bitcoin-Transaktionen nicht verstehen.
Nachrichten signieren
Technisch gesehen ist eine Bitcoin-Transaktion nichts weiter als eine digital signierte Nachricht – wobei die Nachricht die Transaktion selbst ist. Im Kontext eines Satoshi-Tests dient das Signieren der Transaktion lediglich dazu, zu sagen „Ja, ich habe die Kontrolle über diese Wallet!“. Warum also nicht direkt eine solche Nachricht mit dem privaten Schlüssel der Bitcoin-Adresse signieren, anstatt eine Bitcoin-Transaktion durchzuführen?
Genau das machen einige Anbieter, indem von Nutzern verlangt wird, manuell eine Nachricht zu signieren, um so die Kontrolle über die gewünschte Bitcoin-Adresse zu bestätigen. Das Signieren von Nachrichten hat die bereits genannten Nachteile nicht und verursacht auch keine Transaktionsgebühren. Dennoch erfordert es technisches Wissen, da Nutzer den gesamten Prozess manuell durchführen müssen, indem sie zusätzliche Software installieren und Signaturen manuell hin und her kopieren müssen. Wieder einmal wird hier eine vermeidbare Einstiegshürde geschaffen. Falls du Hilfe benötigst, um eine Nachricht mit der Sparrow Wallet und deuber BitBox02 zu signieren, findest du hier eine Anleitung dazu.
AOP-Protokoll
Das Address Ownership Proof Protokoll (AOPP) wurde entwickelt, um den Prozess des Signierens von Nachrichten zu automatisieren und somit eine nahtlose Nutzererfahrung zu schaffen. Die BitBoxApp unterstützt dieses Protokoll seit 2021, doch die Akzeptanz unter Börsen, Brokern und anderen Wallets ist bisher eher gering, unter anderem weil bisher für die meisten Anbieter keine Adressverifizierung erforderlich war. Wir glauben, dass das AOPP die Situation rund um komplizierte Satoshi-Tests oder manuelles Signieren von Nachrichten erheblich verbessern könnte.
Aus Nutzersicht ist die Adressverifizierung mit AOPP in der BitBoxApp denkbar einfach:
- Klicke auf der Website deiner Börse auf „Adresse verifizieren“.
- Die BitBoxApp öffnet sich und fragt, ob du fortfahren möchtest.
- Die BitBox02 fordert dich auf, die Aktion zu bestätigen, bevor die Nachricht signiert wird.
- Nach der Bestätigung werden die Adresse und die signierte Nachricht automatisch an die Börse gesendet.
- Fertig!
Vielleicht hast du AOPP selbst schon einmal genutzt, falls du einen Auftrag bei Pocket Bitcoin oder Bittr mit deiner BitBox02 erstellt hast.
Insgesamt ähnelt dies dem Signieren einer Bitcoin-Transaktion, nur mit noch weniger Schritten, die man als Nutzer beachten muss. Im Gegensatz zu einigen Missverständnissen verschlechtert das AOPP nicht die Privatsphäre der Nutzer. Es tauscht lediglich Daten aus, die man ohnehin mit der Börse teilen müsste, nämlich eine einzelne Bitcoin-Adresse und die dazugehörige Signatur. Es ist ein Werkzeug, das die Selbstverwahrung erleichtert. Da die Adressverifizierung mit AOPP innerhalb weniger Sekunden erledigt werden kann, entfällt die manuelle und aufwändige Verifizierung neuer Adressen, was durch das Nutzen von neuen Adressen letztlich die Privatsphäre der Nutzer verbessern kann.
Sinnlose Verifizierungen
Aus technischer Sicht kann man argumentieren, dass Verifizierungen wie Satoshi-Tests oder das Signieren von Nachrichten völlig sinnlos sind. Es ist von Natur aus unmöglich, eindeutig zu überprüfen, wer die Kontrolle über eine Bitcoin-Wallet hat. Private Schlüssel sind lediglich große Zahlen, die keine Informationen darüber enthalten, wer sie erstellt hat oder mit wem sie geteilt wurden. Selbst wenn solche Informationen enthalten wären, wäre es unmöglich, diese wirklich zu verifizieren, da es im Bitcoin-Netzwerk keine zentrale Instanz gibt, die Nutzer „registriert“.
Ein Test durch eine Transaktion oder eine signierte Nachricht bestätigt lediglich, dass jemand über die Verifizierung Bescheid weiß. Wer diese Person ist, bleibt jedoch unbekannt. Es wäre problemlos möglich, die Verifizierungsanfrage – sei es die Adresse für einen Satoshi Test oder eine AOPP-Anforderung – an eine andere Person weiterzuleiten, die die erforderlichen Schritte durchführt. Dies ist nicht einmal weit hergeholt, da die beiden Parteien ohnehin miteinander kommunizieren müssten, um die Bitcoin-Adresse auszutauschen.
Kriminelle, die von diesen Vorschriften ins Visier genommen werden, könnten alle technischen Verifizierungsmaßnahmen problemlos umgehen, wenn sie dies wirklich wollten, was diese Maßnahmen im Grunde überflüssig macht. Dies soll keineswegs kriminelle Aktivitäten rechtfertigen, noch das Ziel, diese zu bekämpfen, infrage stellen, sondern lediglich die technische Realität des Bitcoin-Netzwerks aufzeigen.
Zusammenfassung
Wir hoffen, dieser Artikel hat etwas Licht ins Dunkel rund um Satoshi-Tests gebracht und gezeigt, worauf man achten sollte, wenn man in Zukunft selbst einen durchführen muss. Die Einhaltung von Vorschriften wie der ToFR kann sowohl für den Endnutzer, als auch für Dienstleister ziemlich lästig sein. Doch technische Verbesserungen wie das AOP-Protokoll existieren bereits und können die Nutzererfahrung, besonders für technisch weniger erfahrene Benutzer, verbessern und so letztlich die Selbstverwahrung für jeden zugänglicher machen.
Deine bevorzugte Börse unterstützt AOPP nicht? Nimm direkten Kontakt auf und melde dich mit deinem Feedback. Gerne kannst du auf die offizielle Spezifikation von AOPP verweisen.
Häufig gestellte Fragen
Gibt das AOPP Informationen über meine Wallet preis?
Nein, das Signieren von Nachrichten mit AOPP gibt keine privaten Informationen über deine Wallet preis. Es teilt lediglich eine Bitcoin-Adresse zusammen mit einer digitalen Signatur mit dem Anbieter, die du ohnehin teilen müsstest, wenn du deren Dienste nutzen möchtest.
Gehört AOPP zu BitBox?
Nein, das AOP-Protokoll ist ein Open-Source-Standard, den BitBox zusammen mit 21 Analytics spezifiziert hat, aber unabhängig von BitBox ist. Wir würden uns freuen, wenn auch andere Wallets und Dienste AOPP integrieren würden.
Warum unterstützt meine Börse AOPP nicht?
Wenn du möchtest, dass deine bevorzugte Börse AOPP unterstützt, anstatt umständliche Satoshi-Tests oder das manuelle Signieren von Nachrichten zu verlangen, solltest du direktes Feedback geben. Gemeinsam können Nutzer von Börsen einen stärkeren Einfluss auf solche Funktionswünsche ausüben.
Du hast noch keine BitBox?
Deine Kryptowährungen sicher zu halten muss nicht schwer sein. Die BitBox02 Hardware Wallet speichert die privaten Schlüssel deiner Kryptowährungen offline. So kannst du deine Coins sicher verwalten.
Die BitBox02 gibt es auch als Bitcoin-only-Version mit einer radikal fokussierten Firmware: weniger Code bedeutet weniger Angriffsfläche, was deine Sicherheit weiter verbessert, wenn du nur Bitcoin speicherst.
Hol dir eine in unserem Shop!
Die BitBox-Produkte werden von Shift Crypto, einem privaten Unternehmen mit Sitz in Zürich, Schweiz, entwickelt und hergestellt. Unser Team aus Bitcoin-Entwicklern, Krypto-Experten und Sicherheitsingenieuren entwickelt Produkte, die unseren Kunden eine stressfreie Reise vom Anfänger zum Meister der Kryptowährung ermöglichen. Die BitBox02, unsere Hardware-Wallet der zweiten Generation, ermöglicht es den Nutzern, Bitcoin und andere Kryptowährungen zu speichern, zu schützen und mit Leichtigkeit zu handeln – zusammen mit der dazugehörigen Software, der BitBoxApp.