@ Genexyz

Warum werden die vorhandenen Mittel einer öffentlich einsehbaren Blockchain nicht verwendet, um eine gewisse Sicherheit zu schaffen und ein Vertrauen in Dritte soweit zu reduzieren, dass man immerhin das gute alte Bitcoin-Meme "Don't Trust, Verify!" auf die Arbeit Dritter anwenden kann? Proof of Reserves (PoR) ist ein Ansatz, der von vielen als der neue Standard gesehen wird, der zumindest bei Handelsplattformen ein gewisses Grundvertrauen erzeugen soll. Doch wie genau funktioniert PoR und ist es wirklich so effektiv, wie es uns verkauft wird? Wer sichergehen möchte, dass sich seine/ihre Guthaben bei Anbietern von Börsen, Handelsplattformen oder anderen Verwahrungsdienstleistern tatsächlich in Form von liquiden bitcoins in der direkten Kontrolle des Anbieters befinden, sollte a) seine Guthaben abheben und in die Selbstverwahrung gehen, oder b) zumindest mit einem Anbieter arbeiten, der Transparenz schafft und dem/der Kund//in ermöglicht zu überprüfen, dass die Einlagen wirklich vorhanden sind. Analog zum traditionellen Bankensystem lässt sich bei jedem Anbieter, ob über die Website, eine App oder sonstwie leicht ein Dashboard generieren, das einem sein Bitcoin-Guthaben anzeigt. Allerdings hat der/die Nutzer//in meistens keinen Einblick darüber, ob die angezeigte Menge Bitcoin auch wirklich im Falle eines Bankruns auszahlbar ist. So auch bei Banken. Ein Kontoauszug gibt lediglich Auskunft über das in der Banken-Datenbank gutgeschriebene Guthaben (oder Schuld), man bekommt aber keine Auskunft darüber, ob eine Bank auch die finanziellen Mittel besitzt, um alle Forderungen zu bedienen, sollten sich alle Kund//innen gleichzeitig entscheiden ihre Vermögen von den Konten abzuheben. Im Bankensystem spricht man von Fractional-Reserve-Banking ➡️ wer mehr darüber lesen möchte, kann sich den Artikel anschauen, in dem ich mehr über das Thema schreibe: https://www.genexyz.org/post/11-block-752065-fractional-reserve-banking-wird-durch-bitcoin-obsolet-bdpznh/ Bei Bitcoin spricht man von Paper-Bitcoin oder Fake-Bitcoin. Hierbei handelt es sich um vermeintliche Bitcoin-Guthaben, die Nutzern von Börsen oder Handelsplattformen suggeriert werden, ohne dass die tatsächliche Menge Bitcoin verwahrt wird (ähnlich Fractional Reserve Banking). Ob die tatsächlichen Bitcoin wirklich vom "Verwahrer" gehalten werden, lässt sich (zumindest teilweise) mit ️Proof of Reserves überprüfen. Wie wir letzte Woche festgestellt haben, bieten Blockchain-basierte Systeme (neben vielen anderen) den Vorteil, dass der Informationsfluss komplett transparent und öffentlich einsehbar ist. Im Gegensatz zum traditionellen Finanzsystem, befinden sich viele Daten, wie Adressen und Transaktionen, direkt auf der Chain und sind somit für jedermann jederzeit und von überall abrufbar. Dies schafft mehr Transparenz , da diese Daten nicht durch Dritte herausgegeben werden, sondern von jedem/r interessierten Nutzer//in direkt abgerufen werden können, und so kann in der Theorie jede Bewegung, aber auch jeder Kontostand nachverfolgt werden. Anders als bei On-Chain-Analyse, die auf Heuristik besteht, um gewisse Trends oder Sentiments anhand von Daten aufzuspüren, ist die Prämisse bei Proof of Reserves ziemlich simpel: Die Adressen zeigen eine gewisse Menge von bitcoins oder nicht. <img src="https://blossom.primal.net/7403f46c842c8342678ba665bab31e890aa6608088143d375df91f1871414891.gif"> Doch wie veröffentlichen Dienstleister wie Börsen und Handelsplattformen diese Information über die Vermögenswerte, die diese für ihre Kund//innen verwahren? Im Idealfall verfügen die Anbieter über Mittel, die alle Vermögenswerte der Nutzer//innen zu 100% abdecken, und darüber hinaus noch zusätzliche Reserven für Notfälle. Einfach gesprochen bedeutet dies, dass jedesmal, wenn ein/e Nutzer//in Bitcoin einzahlt oder Bitcoin erwirbt, diese zusätzliche Menge Bitcoin direkt und in voller Höhe in den Reserven des Dienstleisters landet, um sicherzustellen, dass die Kundengelder vollständig abgedeckt und gesichert sind. Um Nutzer//innen die Möglichkeit zu geben nachzuvollziehen, dass die eigenen Vermögenswerte wirklich zu 100% durch Reserven abdeckt sind, nutzen Dienstleister sogenannte Merkle-Trees, die jedem/jeder Nutzer//in ermöglichen, seine/ihre Vermögensbestände mit seiner/ihrer eigenen generierten Merkle-Hash und Datensatz-ID zu überprüfen. Was sind Merkle-Trees? 🌳 Um Merkle-Trees zu verstehen, muss man zunächst das Konzept von Hashes verstanden haben. Ein sicherer Hash-Algorithmus (auch SHA genannt) ist in der Kryptografie eine mathematische Formel, die eine Datenkette beliebiger Größe in eine feste Größe transformiert und komprimiert, die sich vollständig von den ursprünglichen Daten unterscheidet. Beispiele: - SHA1("The quick brown fox jumps over the lazy dog") Output: 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12 - SHA1("The quick brown fox jumps over the lazy cog") Output: de9f2c7fd25e1b3afad3e85a0bd17d9b100db4b3 - SHA1("") Output: da39a3ee5e6b4b0d3255bfef95601890afd80709 Wie man an dem Beispiel erkennt, erzeugen die fast identischen Sätze, in denen nur das D in dog mit einem C ersetzt wurde komplett neue Hash-Werte, die aber in Größe identisch sind und sogar die gleiche Größe besitzen, wie zum Beispiel der Hash-Wert des Eingabe-Werts G. <img src="https://blossom.primal.net/2b2c90851e9a3094d2dc339ee09374f6e19e5b8e1c515275331b6dadced820e9.gif"> In dem Beispiel oben sehen wir einen SHA-1 Hash-Algorithmus. Das Bitcoin-Protokoll bedient sich des SHA-256, eine von der NSA entwickelte Variante der SHA-2 Funktion, wobei die 256 die Länge der ausgegebenen Bitfolge angibt. Außerdem funktionieren SHA Funktionen als Einbahnstraßen, es gibt eine Eingabe (z.B. beliebiger Satz, oder Passwort) und es gibt eine Ausgabe (in Form eines Hash-Werts), es ist absolut unmöglich, die Eingabe eines Hash-Werts aus der Ausgabe neu zu erstellen. Ein häufig gesehenes Anwendungsbeispiel ist die Verschlüsselung von Passwörtern. Anstatt das eigentliche Passwort des/r Nutzers//in zu kennen, muss ein Server nur den Hash-Wert dieses Passworts überprüfen. Dies schützt vor Angriffen auf Datenbanken der Unternehmen, da bei einem Angriff nur die Hash-Werte und nicht die tatsächlichen Passwörter preisgegeben werden. Weiter zu Merkle-Trees 🦜 Das von Ralph Merkle entwickelte Konzept beschreibt im Prinzip eine Verkettung von Hash-Werten in Form eines umgekehrten Baums (auf deutsch auch Hash-Baum genannt). Die Hash-Werte stellen in dieser Datenstruktur die Blätter, oder Leaves dar (L1, L2, L3 und L4 im Diagramm). Die Wurzel des Baums wird als Top-Hash oder Root-Hash bezeichnet. <img src="https://blossom.primal.net/74ec8d2316ce09f286b3b52edef639d6db46a7aa7a2e77168b4e2b90f442ea43.png"> Der Vorteil dieser Datenstruktur liegt darin, dass alle Leaves veränderbar sind und dennoch an der Wurzel verifiziert werden können. Im Gegensatz zu einer flachen Struktur, in der man jede Veränderung separat nachvollziehen muss, kann man im Merkle-Tree den Top-Hash verifizieren und hat damit eine Garantie, dass jede darunterliegende Veränderung durchgereicht wurde. Besonders in einem Peer-to-Peer-Netzwerk kann somit sichergestellt werden, dass zwischen Peers gesendete Blöcke unverändert und unbeschädigt empfangen werden. Es ermöglicht damit, dass jeder Teil des Trees zur Verifizierung mit dem vertrauenswürdigen Top-Hash verglichen werden kann, um festzustellen, ob der Hash beschädigt oder sogar gefälscht ist. <img src="https://blossom.primal.net/dda18e9dcd1b9f6710eee61b4aaa636a1386cb7aec0105a4531e56c049a218ad.png"> In der traditionellen Buchhaltung wird die Intaktheit oder Unversehrtheit der Unternehmensbücher durch einen Wirtschaftsprüfer oder anderen vertrauenswürdigen Dritten attestiert. In einer perfekten Welt stellt dieser Prüfer die Garantie dafür, dass die geprüften Bücher vollständig und korrekt geführt sind, also Vermögen und Verbindlichkeiten korrekt eingegeben wurden. Allerdings stellen Bitcoin- und Kryptobörsen dieses System vor ein Problem, da die riesige Menge an Transaktionen in einem 24/7/365-offenen Markt von einem Prüfer nie zu jedem Zeitpunkt festgestellt werden kann, sondern wenn überhaupt punktuell. Anders gesagt, Prüfungen finden nur punktuell statt, also im Quartal, Halbjahr oder jährlich. Das gibt einem bösartig gesinnten Anbieter viel Zeit Kundengelder zu veruntreuen. Außerdem, ganz in guter Bitcoin-Manier, lautet eines der wichtigsten Credos: **☝️ DON'T TRUST, VERIFY!** Merkle-Trees bieten die einzige Möglichkeit den Nutzer//innen einen direkten Weg zur Überprüfung der Gesundheit / Vollständigkeit ihrer persönlichen Einlagen. Doch auch bei Proof of Reserves auf Basis von Merkle-Trees gibt es einige Probleme. Zunächst mal ist das Konzept nicht einheitlich definiert. Es gibt Anbieter, die lediglich den Merkle-Root-Hash veröffentlichen, um damit zu zeigen, dass sie über mindestens soviel (im Idealfall sogar mehr) Bitcoin verfügen, wie von Nutzer//innen auf der Plattform verwaltet. <img src="https://blossom.primal.net/b812121df67d06e62eb2df3f2fa7edfdb07b1f23241e11690961c9a69d991ba0.png"> Ein Problem liegt darin, dass die Hash-Roots vom Unternehmen selbst veröffentlicht werden müssen. Dies allein birgt einige Risikos, denn Hash-Roots müssen häufig genug veröffentlicht werden, um ein Fehlverhalten durch den Anbieter auszuschließen. Wie wir anhand des Bildes oben erkennen können, wurde der letzte sogenannte Snapshot von Binance am 22. November veröffentlicht, also vor 3 Wochen. Darüber hinaus wird die Information von dem Unternehmen selbst auf seinem eigenen Medium (z.B. Website) veröffentlicht, was es für den/die Nutzer//in schwierig macht nachzuvollziehen, ob die Information allen Nutzer//innen identisch angezeigt wird. https://x.com/jespow/status/1596227031637045248 Ein weiteres Problem liegt darin, dass Proof of Reserves in dieser Art lediglich einen Proof of Assets, also einen Beweis für vorhandene Vermögen, darstellt. Bei einer vollständigen Prüfung muss ein Unternehmen auch etwaige Verbindlichkeiten zum Nachweis der Zahlungsfähigkeit aufweisen, denn diese können in der Theorie die Höhe der Vermögen bei Weitem übersteigen (➡️siehe BlockFi mit Vermögen von 1 Milliarde US Dollar vs. Verbindlichkeiten in Höhe von 10 Milliarden US Dollar). > Viel schlimmer noch: Wir können uns nicht einmal wirklich sicher sein, dass es sich um tatsächliche Vermögenswerte handelt, da diese ja unter Umständen schon verliehen oder als Sicherheit anderweitig verwendet worden sind. Des Weiteren muss auch hier ein Dritter die Integrität der gehashten Daten testieren, denn der Merkle-Root-Hash ist immer nur so korrekt, wie die eingespeisten zugrunde liegenden Informationen. Theoretisch kann ein Unternehmen private Schlüssel, die nicht im exklusiven Besitz stehen, also fremdverwertet werden können, oder sogar negative Kontostände einbeziehen, die im Hashing-Vorgang als absolute Zahlen dargestellt werden. Also stehen wir zumindest bei der komplett unabhängigen Verifizierung durch den Nutzer am Ausgangsproblem: Trust! <img src="https://blossom.primal.net/510afaa74fe88d88a2de7e9940fef8ba611a5108e1a8ba9090b2d11b4105de2d.png"> Börsen wie Kraken oder Coinbase lassen ihre Reserven durch Wirtschaftsprüfungsfirmen belegen, um den Unzulänglichkeiten der einfachen Offenlegung der Merkle-Trees entgegenzuwirken, doch löst dies nicht das Problem des Vertrauens in die genannten Prüfer. <img src="https://blossom.primal.net/b54781ced46098a4a7cd96a4a63c9a25ee56fb1cc3726cb416315931acb9868d.gif"> Die einzige 100% sichere und vertrauenswürdige Methode, um sicherzustellen, dass Guthaben sicher und geschützt sind, besteht darin seine Einlagen sofort nach dem Kauf von Börsen und anderen Dienstleistern zu nehmen und sie in die Selbstverwahrung zu holen. Denn selbst wenn das Unternehmen ein solventes Verhältnis von Vermögen zu Verbindlichkeiten aufweist und darüber hinaus testieren kann, dass die in den Hashing-Algorithmen verwendeten Keys zu 100% unversehrt und authentisch sind, besteht immer noch die Chance, dass das Unternehmen vom Saubermann zum Schwindler wird und sich mit dem angehäuften Vermögen aus dem Staub macht. In diesen Fällen werden gerne IT- und Netzwerkprobleme, oder Ungereimtheiten bei den Nutzerdaten aufgrund von irgendwelchen KYC/AML Regularien zitiert, die den/die Nutzer//in daran hindern, das Guthaben auszuzahlen. https://www.nobsbitcoin.com/hoseki-launches-real-time-proof-of-reserves Unternehmen wie Hoseki haben schnell reagiert und einen Service angeboten, der Nutzer//innen, die weiterhin ihr Guthaben einem Dienstleister anvertrauen wollen, einen One-Stop-Shop anbieten soll, den sie nutzen können, um schnell und einfach zu verifizieren, welche Dienstleister wirklich Bitcoin in der angegebenen Menge verwahren. Die Übersicht ist sehr übersichtlich gestaltet und benutzerfreundlich. Die Identifizierung für Unternehmen erfolgt durch Twitter-Authentifizierung und das gehaltene Vermögen wird beglaubigt, indem das Unternehmen den Besitz seiner Adressen mit einer Signatur beweist. Somit können Adressen auf Dauer überwacht werden, um sicherzustellen, dass das Vermögen auch über einen längeren Zeitraum nicht verschoben wird. **💡Jede/r Nutzer//in kann seine/ihre Wallet-Adresse verifizieren indem er/sie in der Wallet eine Signatur einer Nachricht vornimmt. Dieser Verifizierungsprozess beweist, dass man tatsächlich der/die Inhaber//in der Adresse ist, denn nur mit dem Private-Key und dem Public-Key zusammen, kann solch eine Signatur erstellt werden.** **Zu diesem Zeitpunkt hat nur Peter McCormacks Fussball-Verein Real Bedford FC die Verifizierung vollzogen, doch wer sich anschauen möchte, ob in Zukunft weitere Unternehmen folgen, kann das hier tun:** **https://www.hoseki.app/verified** **Auch Coinmarketcap.com haben in der Zwischenzeit ein Feature eingeführt, dass den Nutzer//innen einen einfachen Überblick über die eingelagerten Vermögenswerte bieten soll:** **https://coinmarketcap.com/rankings/exchanges** Abschließend bleibt wie immer nur zu sagen, dass einer der großen Vorteile von Bitcoin im Gegensatz zu den meisten anderen Anlageklassen darin besteht, dass man über sein Vermögen zu 100% selbst bestimmen kann. Oder um mit Satoshis Worten zu schließen: > The result is a distributed system with no single point of failure. Users hold the crypto keys to their own money and transact directly with each other, with the help of the P2P network to check for double-spending. 🫳🎤 --- In diesem Sinne, 2... 1... Risiko!‌