Spätestens mit der FTX-Insolvenz machten sich wieder bei vielen Krypto-Investoren weltweit altbekannte Sorgen breit – nämlich wie sicher die erworbenen digitalen Vermögenswerte bei den Krypto-Handelsplätzen wirklich sind.

Hintergrund

Seit am 11. November 2022 die weltweit drittgrößte Börse für Kryptowährungen Insolvenz anmelden musste, werden insbesondere die Kunden der kollabierten Kryptobörse FTX von der Angst getrieben, ob ihre Gelder noch vorhanden sind. Wegen dem Bankrott ist nicht nur der Zugriff auf die Gelder gesperrt, es wurde auch bekannt, dass mehrere hundert Millionen Euro an Kundengeldern veruntreut worden sein sollen. US-Amerikanische Ermittler gehen sogar noch weiter und werfen dem FTX-Gründer Sam Bankman-Fried vor, Kundengelder sogar in Milliardenhöhe abgezweigt zu haben. Aufgrund der Aktualität kann die genaue Summe noch nicht bestimmt werden, fest steht jedoch bereits jetzt, dass es neben dem monetären Verlust vor allem zu einem weiteren herben Vertrauensverlust und kollektiven Schaden in der Krypto-Branche gekommen ist.

Die FTX-Ereignisse nahmen daher viele Anleger anderer Börsen zum Anlass Gelder und Einlagen abzuziehen, wodurch es in der gesamten Branche zu signifikanten Liquiditätsabflüssen kam. Auf das verloren gegangene Vertrauen als auch auf die enormen Liquiditätsabflüsse, reagieren manche zentralen Börsen nun mit der Etablierung bzw. der Einführung eines neuartigen „Transparenzmechanismus“ – dem Proof of Reserves (PoR). 

(Anmerkung: Beim Gebrauch der Bezeichnung „zentralen Börse“ ist damit generell gemeint, dass die Nutzer Geld einzahlen müssen, um mit dem Handel beginnen zu können (anders als bei dezentralen Börsen). Zudem handelt es sich nicht um klassische (Wertpapier)Börsen wie die Börse Stuttgart, sondern vielmehr um Unternehmen, die den Erwerb und Verkauf von Kryptowährungen unter anderem mittels App oder Online-Account ermöglichen. Daher wird in diesem Artikel wiederholt von „Börsen“ gesprochen, wobei aber immer berücksichtigt werden muss, dass Homepages und Apps, über die sich Kryptos kaufen, verkaufen und verwahren lassen, nicht mit klassischen (Wertpapier)Börsen gleichzusetzen oder gar zu verwechseln sind.)

Was ist Proof of Reserves?

Grundsätzlich gewann Proof-of-Reserves nach dem Zusammenbruch von FTX sprunghaft an Bedeutung. Dabei handelt es sich um eine Methode, die eine kryptografische Überprüfung verwendet, um den Besitz von digitalen Vermögenswerten nachzuweisen. Zentralisierte Börsen reagierten auf die Forderung nach öffentlichen Bestätigungen ihrer Reserven, indem sie den Proof of Reserves (PoR) verwenden, um ihre Zahlungsfähigkeit nachzuweisen und den Kunden zu versichern, dass die Börse in der Lage sein wird, Kundeneinlagen auch in Zeiten hoher Marktvolatilität auszuzahlen.

Der PoR bezieht sich dabei allein auf digitale Vermögenswerte, die durch On-Chain-Methoden wie das Tracking von Wallets verifiziert werden können. Er umfasst keine Off-Chain-Vermögenswerte wie Bargeldreserven oder andere Fiat-Vermögenswerte.

Vereinfacht ausgedrückt kommt es durch den PoR vor allem zu einer extern durchgeführten Überprüfung der Krypto-Einlagen von Kunden auf Krypto-Börsen, welche im Optimalfall durch seriöse Auditoren (Accounting Firmen) durchgeführt wird. Dieses Audit soll mittels Bestandsaufnahme sicherstellen, dass die jeweilige Börse auch tatsächlich im Besitz der Krypto-Vermögenswerte ihrer Kunden ist und diese sicher verwahrt.

Wie funktionieren Proof of Reserves Audits?

Wie bereits erwähnt, ist ein Proof of Reserves (PoR) ein unabhängiges Audit (Prüfung), das von einer dritten (externen) Partei durchgeführt wird, um sicherzustellen, dass beispielweise ein Verwahrer die Vermögenswerte tatsächlich hält, die er im Namen seiner Kunden zu verwalten und verwahren behauptet. 

Um ein Audit durchzuführen, sendet die jeweilige Börse die vollständigen Bestände der Kundensalden im Optimalfall an eine unabhängige Audit-Firma. Diese Audit-Firma nimmt anschließend eine anonymisierte Momentaufnahme der gehaltenen Guthaben und fasst sie in einem Merkle Baum (resp. Merkle Tree oder Hash Tree) zusammen. Ein Merkle-Baum ist dabei eine datenschutzfreundliche Datenstruktur, die alle Kundenguthaben kapselt. Zudem gelten Merkle Bäume generell in der Kryptografie und Informatik als besonders geeignet zur effizienten und sicheren Verifikation der Inhalte von großen Datenstrukturen jeglicher Art.

Daraus erhält der Prüfer eine Merkle-Wurzel, d.h. einen kryptografischen Fingerabdruck, der die Kombination dieser Kundenguthaben zum Zeitpunkt der Erstellung des Schnappschusses eindeutig identifiziert. So kann das Guthaben zum Zeitpunkt der Überprüfung exakt identifiziert und später sogar den einzelnen Kunden zugeschrieben werden. Letzteres lässt sich dadurch bewerkstelligen, dass der Auditor die vom Krypto-Dienstleister erstellten digitalen Signaturen einholt, die das Eigentum an den On-Chain-Adressen mit dem öffentlich überprüfbaren Guthaben belegen. 

Da ein Proof of Reserves Audit in der Regel mittels anonymer Momentaufnahme aller Kundengelder erstellt wird, kann durch die verwendete kryptografische Merkle Baum-Struktur grundsätzlich eine datenschutzgerechte Dokumentation der Bestände gewährleistet werden.

Abbildung 1: Merkle Baum (eigene Darstellung)

Erhoffte Effekte des Proof of Reserves (PoR)

Die Krypto-Handelsplätze erhoffen sich durch die transparente Offenlegung der Einlagen vor allem den Glauben als auch die Liquidität, d.h. den Abfluss von Kundenvermögen (Kryptos) zu stoppen bzw. diese Assets der Anleger wieder zurückzuerlangen. Daneben werden weitere Effekte erhofft. 

  • Überprüfbarkeit: PoR ist ein erster Schritt zum Nachweis der vollständigen Zahlungsfähigkeit und ermöglicht die Rückverfolgung von digitalen Vermögenswerten, die einem Unternehmen gehören.
  • Betrug: PoR schafft eine Grundlage für bewährte Praktiken in Bezug auf finanzielle Transparenz und hält Nutzer davon ab, mit Unternehmen zusammenzuarbeiten, die keine solchen Bescheinigungen vorlegen.
  • Kundenschutz: PoR zeigt die Bereitschaft, das Vermögen der Kunden zu schützen und die Interessen der Kunden in den Vordergrund zu stellen.
  • Gegenparteirisiko: PoR kann dazu beitragen, angstgetriebene Hackerangriffe zu verringern, die aus der Unsicherheit über die Solvenz der Vermögenswerte eines Verwahrers resultieren.

Wie aussagekräftig sind Proof of Reserves Audits?

In der Theorie sollte der Nachweis der verwahrten Einlagen den Kunden die Solvenz eines Verwahrers bzw. Börse zusichern und das Vertrauen sowohl in die Institution im Besonderen als auch in die Branche im Allgemeinen stärken. 

In der Praxis steckt der Ansatz von Proof of Reserves jedoch noch in den Kinderschuhen, hat aber a priori das Potenzial, sich in Zukunft profund weiter entwickeln zu können. Zum derzeitigen Stand bietet der PoR mehr ‚‚Scheinsicherheit“ als tatsächliche Gewährleistung und Transparenz. Indessen müssen die Nutzer entweder den Börsen selbst oder den externen Auditoren in einem sehr hohen, oftmals ungerechtfertigten, Maß vertrauen. Im Hinblick auf das zunehmende Misstrauen von Anlegern bezüglich der sicheren Verwahrung ihrer Krypto-Assets ist dieser Voraussetzung nicht gerade förderlich. Externe Prüferfirmen tragen zwar eine enorme Verantwortung, dies ist aber noch längst keine Garantie für eine vertrauenswürdige Dokumentation der Ergebnisse. Vergleichen könnte man die Situation im entferntesten Sinne, mit den US-Rating-Agenturen zu Zeiten der Subprime-Krise, die ebenfalls als dritte Parteien agierten und gleichzeitig hohes Vertrauen genossen – dennoch Problemkredite als solche mit hoher Bonität bewerteten. Stand jetzt können die Reservenachweise auch manipuliert oder verfälscht werden oder sie geben einfach nicht das vollständige, erhoffte Bild wieder. Beispielsweise kann der PoR manipuliert werden, indem Vermögenswerte kurzfristig ausgeliehen werden, während die Momentaufnahme der Bilanz erstellt wird. Daher raten Experten, dass der PoR immer auch Wallet-Adressen enthalten soll, um die Verfolgung von Fondsbewegungen zu ermöglichen. 

Der PoR sagt auch nichts über Vermögenswerte oder Verbindlichkeiten außerhalb der Kette aus. Ein Verwahrer kann zusätzliche Vermögenswerte außerhalb der Kette oder in nicht deklarierten Wallets halten. Daher wäre eine vollständige Prüfung erforderlich, um vollständige Informationen in einem PoR-Testament zu gewährleisten. Dies kann als ein Versuch der Selbstregulierung und der Stärkung des Vertrauens der Nutzer angesichts des Misstrauens gegenüber den Geschäftspraktiken von Krypto-Handelsplätzen und -Verwahrern gesehen werden, die Kryptowährungen verwahren und verwalten. Zusammengefasst sind Proof of Reserves Audits zwar ein Schritt in die richtige Richtung, jedoch längst nicht die optimale Lösung des Problems.

Wie wird der Kryptobestand bei der BSDEX geprüft?

Die BSDEX bietet aktuell keinen Proof of Reserves an. Vor dem Hintergrund, dass es sich bei der BSDEX um ein deutsches Unternehmen handelt, welches deutschen Gesetzen, Vorschriften und Regularien unterliegt, muss sehr stark von teils dubiosen, ausländischen Anbietern, welche Ihren Sitz auf den Cayman-Inseln oder Zypern haben, differenziert werden. Würde man die Verwahrungsarten und Umgang der Kundeneinlagen aller Börsen und MTF pauschal über einen Kamm scheren, wäre dies schlichtweg falsch und erinnert an den Vergleich von Äpfeln mit Birnen.

Die BSDEX lässt die Kryptobestände der Kunden treuhänderisch durch ein eigens zu diesem Zweck gegründetes Unternehmen, der blocknox GmbH verwalten. Wie auch die BSDEX ist die blocknox GmbH, eine Tochterfirma der Börse Stuttgart Group, welche als Dachorganisation auf eine 160-jährige Geschichte voller Sicherheit, Transparenz und Reputation zurückblickt. Die blocknox GmbH ist zu höchsten Sicherheitsstandards verpflichtet, welche unter anderem durch ein mehrstufiges Sicherheitskonzept gewährleistet werden. In das Verwahrungskonzept ist eine Versicherung gegen Diebstahl, Hackerangriffe und technischen Verlust integriert. Überdies kommt es bei den verwahrten Kundenbeständen niemals zu einer Weiterverwendung oder Verleihung an Dritte. Im Rahmen der Jahresabschlussprüfung bei der blocknox GmbH werden die treuhänderisch verwahrten Assets zudem regelmäßig durch Wirtschaftsprüfer geprüft. Zudem erfolgt unterjährig eine regelmäßige Meldung zu den treuhänderisch verwahrten Assets an die Aufsichtsbehörden.

Durch die nationale Gesetzeslage und fiskalischer Sicherheit, verknüpft mit der Reputation, Historie und dem Kundenvertrauen in die Börse Stuttgart Group haben Kunden der BSDEX keinerlei Grund zur Sorge und können ungeachtet der Turbulenzen und Betrugsfälle in der Branche ihre Einlagen in Sicherheit wissen. Grundsätzlich ist der PoR ein innovativer, interessanter und erfolgsversprechender Transparenzmechanismus, jedoch wäre dessen Diskussion, geschweige dem Einführung, zum jetzigen Zeitpunkt kontraproduktiv, da erstens aus den obig genannten Gründen weder die Notwendigkeit besteht, sondern stattdessen die Gefahr besteht, dass aufgrund der jüngsten Ereignisse am Markt und vorherrschenden Emotionslage nicht ausreichend differenziert wird und seriöse Anbieter wie eben die BSDEX ungeachtet der Sach- und Faktenlage mit weniger sicheren Handelsplätzen in eine Schublade gesteckt wird.

Fazit

Der Gedanke hinter Proof of Reserves ist es, Transparenz zu schaffen und den Kunden von Krypto-Exchanges zu suggerieren, dass sie selbst im Falle einer Insolvenz noch in der Lage sind, auf ihre Assets zuzugreifen. Dabei weist Proof of Reserves im aktuellen Zustand noch zahlreiche Lücken auf, die eher mehr Fragen aufwerfen und Misstrauen schüren, als wirklich helfen. Proof of Reserves, wie führende Kryptobörsen es aktuell nutzen, bietet zum gegebenen Zeitpunkt nur wenig Transparenz und Gewähr. Es handelt sich gegenwärtig mehr um ein Instrument, der Schutz suggerieren soll, wo in Wirklichkeit möglicherweise keiner ist. Damit der Mechanismus tatsächlich Sicherheit und Transparenz gewährt, müssten in der Zukunft etliche Änderungen folgen. Beispielsweise ist es notwendig, dass eine garantiert vertrauenswürdige externe Drittpartei die Audits durchführt. Auch eine Prüfung auf Jahresbasis lässt zu viel Raum für Kuriositäten, womit Audits deutlich öfters und regelmäßig durchgeführt werden sollten. Zusätzlich besteht das Problem, dass Proof of Reserves – egal, wie oft die Audits durchgeführt werden, keine Einsicht darüber geben, ob die Krypto-Dienstleister die Assets der Kunden versenden oder für Kredite beleihen.

Alles im allem ist der PoR-Mechanismus ein erster wichtiger Schritt in Richtung mehr Transparenz, jedoch gibt es noch viele offene Fragen und Herausforderungen, die beantwortet und überwunden werden müssen, bevor der PoR eine ernsthafte Option zum Nachweis der Integrität eines Handelsplatzes respektive Verwahres wird. Die entscheidende Frage ist, ob die erzwungenen PoR-Transparenzmaßnahmen etlicher Kryptobörsen wirklich die erhoffte Sicherheit und Vertrauen der Anleger zurück gewinnt oder präferieren diese lieber kleinere, dafür rundum sichere, transparente und überwachte Anbieter wie die BSDEX?

Regulierte Anbieter wie die Börse Stuttgart Digital Exchange (BSDEX) behandeln die Assets ihrer Kunden grundsätzlich mit höchster Vorsicht, seriös und transparent – vollkommen konservativ im Sinne der 160-jährigen Tradition der Börse Stuttgart. Demzufolge wird eine Funktion wie Proof of Reserves gar nicht erst benötigt – denn die Sicherheit der verwahrten Kunden Assets hat a priori oberste Priorität. Risikoaverse Anleger, die ihren Handelsplatz vertrauen möchten und Gewissheit über ihre digitalen Vermögenswerte haben möchten, sind bei der BSDEX an der richtigen Stelle.