Schutzpatron oder Vollstreckungsorgan in eigener Sache?

Die Rolle der Kryptobörsen nicht nur während des Twitter-Hacks

Der Twitter-Hack in der Nacht vom 15. auf den 16. Juli 2020, von dem am 16. Juli 2020 in „Cybersecurity ist Pflicht, nicht Kür“ berichtet wurde, war zwar keine „Bitcoin-Attacke“, wie die FAZ zunächst titelte (und auf Kritik abänderte)[1]. Doch die Bedeutung des Twitter-Hacks für die Zukunft der Kryptowelt ist groß.

Nicht nur sog. Stablecoins sind durch die sie erschaffenden Smart Contracts „an- und ausknipsbar“, wie ich am 9. Juli 2020 in „Stablecoins: Gefahren des programmierbaren Geldes“ erläuterte. Ausweislich des dort beschriebenen Falls ist es möglich, über den USDC-Smart-Contract Ethereum-Adressen zu blockieren. In der Folge können USDC-Token nicht mehr Gegenstand von Transaktionen sein. Centre, eine Kooperation von Coinbase und Circle, nahm diesen Eingriff auf Ersuchen durch staatliche Stellen vor. Während des Twitter-Hacks griff Coinbase ebenfalls ein und unterband Bitcoin-Transaktionen von Coinbase-Nutzern an die für den Angriff genutzte Bitcoin-Adresse (siehe auch den Screenshot im Artikel vom 9. Juli 2020). Auch andere Kryptobörsen wie Kraken und Binance intervenierten. Dazu sei ergänzt, dass die Kryptobörsen die ersten Twitter-Nutzer waren, die vom Twitter-Hack betroffen waren. Von ihren Accounts erfolgten die ersten Lock-Angebote (vgl. meinen Artikel vom 9. Juli 2020).

ZDnet berichtet,[2] von den weltweit rund 35 Mio. Coinbase-Nutzern fielen rund 1.000 auf die Scam-Tweets herein. Geradezu heldenhaft sei seitens Coinbase ein Schaden von ca. 280.000 US-Dollar verhindert worden. Rund 14 Coinbase-Nutzern gelang es dennoch, Transaktionen im Wert von rund 3.000 US-Dollar an die Bitcoin-Adresse der Angreifer zu senden.

Blacklisting im Falle des Twitter-Hacks

Verwirrenderweise spricht man hier auch von einem „Blacklisting“. Gemeint ist jedoch etwas anderes als im Centre-Fall:

Kryptobörsen-Kunden verfügen in der Regel über keinen direkten Zugriff auf „ihre“ Bitcoins und die zugehörige Bitcoin-Adresse. Sie verfügen lediglich über ein Kundenkonto auf einer von der Blockchain losgelösten, von der Kryptobörse verantworteten Technologieebene. Die Kryptobörse verfügt über (mindestens) eine einem Banktresor vergleichbare Bitcoin-Sammeladresse, auf der sie sämtliche von ihren Kunden gehaltenen Bitcoins vorhält. Ähnlich wie bei einer Bank weisen die Kunden die Kryptobörse als ihren Vertragspartner an, Bitcoins an eine Empfängeradresse zu senden. Diese Anweisung bedarf zunächst der Deckung durch das Kundenkonto. Ist der Empfänger Kunde derselben Kryptobörse, kann die Transaktion Blockchain-unabhängig auf der von der Kryptobörse allein verantworteten Technologieebene erfolgen. Hier wird das Guthaben des Senders um den gesendeten Bitcoin-Betrag verringert, das Guthaben des Empfängers entsprechend erhöht. Dieses Geschäft berührt die Bitcoin-Blockchain in der Regel nicht. Denn die Bitcoins, die Gegenstand der Transaktion sind, können auf derselben Sammeladresse, d.h. im Tresor der Kryptobörse, bleiben. Ist der Empfänger der zu sendenden Bitcoins jedoch kein Kunde der Kryptobörse oder gibt er nur eine Bitcoin-Adresse an, vollzieht sich die Transaktion schwerpunktmäßig auf der Ebene der Bitcoin-Blockchain. Der zu sendende Bitcoin-Betrag wird im Falle der Deckung des Kundenkontos aus dem Sammeltresor auf der Bitcoin-Blockchain gelöst und anweisungsgemäß von der Bitcoin-Adresse der Kryptobörse an die Bitcoin-Empfängeradresse transferiert. Der Betrag wird von dem Guthaben des Kundenkontos abgezogen. In der Summe spiegelt also der Gesamtbestand von Bitcoins der Kunden auf Kryptobörsenebene den Bitcoin-Bestand auf Bitcoin-Blockchain-Ebene. Wem sie „gehören“, ergibt sich aus den Kundendaten der Kryptobörse.

Warum ist diese Erläuterung so wichtig?

Weil die Kryptobörsen hier keine Bitcoin-Adressen blockieren können wie etwa durch den Smart Contract im Falle des USDC. Sie können lediglich wider die Anweisung ihrer Kunden handeln, eine Transaktion an eine zu potentiell strafbaren Handlungen verwendete Bitcoin-Adresse aus ihrem Tresor heraus auszuführen. Sie können also lediglich die Transaktion des Kunden blockieren im Sinne des Nichtausführens.

Welche Motivation steckt dahinter?

Wurden Coinbase und Co. hier zu Schutzpatronen ihrer Kunden? Das ist eher unwahrscheinlich.

Das User Agreement von Coinbase sieht z.B. keine Pflichten seitens Coinbase vor, den Kunden vor sich selbst zu schützen. Dementsprechend sieht es auch keine Eingriffspflichten oder, spiegelbildlich, Rechte des Kunden auf Ergreifen von Schutzmaßnahmen vor. Interessant ist jedoch der Hinweis unter 5.8 Coinbase User Agreement:

*We may also refuse to process or cancel any pending Digital Currency Transaction as required by law, regulation or any court or other authority to which Coinbase is subject in any jurisdiction. *[3]

Allerdings fehlt hier – soweit ersichtlich – eine gesetzliche Pflicht bzw. eine behördliche oder gerichtliche Anweisung. Auch das Zeitfenster, in dem sich Hack und Block abspielten, war viel zu klein, um auf staatliche Anweisungen warten und reagieren zu können. Coinbase hat hier, nach aktuellem Wissensstand, eigeninitiativ gehandelt.

Unter 7.1 (Suspension, Termination, and Cancellation) des Coinbase User Agreement finden sich umfassende Eingriffsrechte seitens Coinbase, u.a. auch das Blocken von vom Kunden autorisierten Transaktionen, etwa wenn (6.) Geldwäsche, Terrorismusfinanzierung, Betrug oder andere Vermögensstraftaten vermutet werden. Der gesamte Abschnitt 7 befasst sich allerdings mit Reaktionsmöglichkeiten auf Pflichtverletzungen des Kunden. Kontextuell geht es hier also nicht um Kundenschutz, sondern den Eigenschutz. Auch 8.4 des Coinbase User Agreement spricht gegen die Motivation des Kundenschutzes:

8.4 Limitation of loss. In addition to the liability cap at Section 8.3 (Limitations of Liability) above, in no event shall we (…) be liable for any of the following types of loss or damage (…):

    1. any loss of profits or loss of expected revenue or gains, including any loss of anticipated trading profits and / or any actual or hypothetical trading losses, whether direct or indirect, even if we are advised of or knew or should have known of the possibility of the same. (…)“ 

Coinbase sieht sich hiernach nicht verantwortlich für Fälle der Ausführung selbstschädigender Anweisungen von Kunden, selbst wenn Coinbase der schädigende Ausgang bekannt ist oder sein muss.

Coinbase und die anderen Kryptobörsen dürften hier dennoch aus reinem Selbstschutz potentiellen Schadensersatzforderungen seitens ihrer Kunden vorgegriffen haben. Schließlich waren es zunächst die Kryptobörsen, auf die es die Twitter-Angreifer abgesehen hatten (vgl. mein Artikel vom 16. Juli 2020). Es waren Tweets von ihren verifizierten Accounts, welche Twitter-Nutzer und Kunden mittelbar und unmittelbar zu Bitcoin-Transaktionen aufforderten.

Das Problem der Macht der Kryptobörsen

Auf welcher rechtlichen Grundlage können sich Kryptobörsen Befugnisse anmaßen, die nicht einmal staatlichen Stellen zustehen? Die vor allem egoistischen Motiven, hier der Vermeidung von Ansprüchen gegen sich selbst, dienen? Am 15. bzw. 16. Juli 2020 waren die betroffenen Kunden sicherlich dankbar. Doch die Frage bleibt: Wie weit darf die Macht der Kryptobörsen reichen?

Die oben beschriebenen Sammeladressen verleihen den Kryptobörsen eine erhebliche Machtstellung in den marktrelevanten Blockchain-Netzwerken. Anstatt der viel propagierten Dezentralisierung findet infolge der Konzentration mehrerer Hodlings auf einer oder wenigen eigenen Blockchain-Adressen eine Zentralisierung einzig zugunsten der Kryptobörse statt. Man nennt solche Adressen bzw. deren Inhaber auch „Whales“. Wale, die infolge ihres massiven Anteils an den sich im Umlauf befindlichen nativen Token einen erheblichen Einfluss auf das jeweilige Netzwerk ausüben können. So zeigte der sog. Steem-Fall Anfang 2020, dass die Kryptobörsen ihren theoretischen Einfluss auch tatsächlich einsetzen können. Und somit die „Stimmrechte“ anderer zum Zwecke eigener Interessen  missbrauchen können:

Steem ist ein Blockchain-Netzwerk, eine Plattform ähnlich Ethereum, auf der sog. dApps (decentralized apps, dezentrale Anwendungen) betrieben werden können. Eine solche dApp war Steemit, eine Social-Media-Plattform. Diese wurde betrieben durch die Steemit Inc. Justin Sun, der CEO von TRON, verkündete am 14. Februar 2020, Steemit Inc. gekauft zu haben und die Plattform auf der TRON-Blockchain integrieren zu wollen. Mit dem Kauf erwarb er auch einen Bestand von 75 Mio. STEEM, dem nativen Token der Steem-Blockchain. Um die Übernahme der Kontrolle im Steem-Netzwerk infolge des hohen STEEM-Anteils zu verhindern, sollten die Token der Steemit Inc. im Wege eines sog. Softforks, einer vom Netzwerk abzustimmenden Protokolländerung, gesperrt werden. Doch Sun übernahm im Rahmen der Konsensfindung die Kontrolle durch eine Stimmen-Mehrheit im Steem-Netzwerk, die er von den Kryptobörsen Binance, Huobi und Poloniex ableitete. Die Börsen setzten dabei die STEEM (und Stimmrechte) ihrer Kunden gegen das Netzwerk ein, um Suns Machtposition zu verwirklichen. Der Steem-Krimi kann hier nachgelesen werden.

Was bedeutet das?

Große Kryptobörsen haben viel Macht: im Verhältnis zu ihren Kunden und in Blockchain-Netzwerken selbst. Wer viel Macht hat, kann unter Umständen zu einer großen Gefahr werden. Kryptobörsen bilden mit ihrer individuellen technischen Infrastruktur die Achillesferse der Blockchain-Finanzwelt. Crypto-Exchange-Hacks wie Mount Gox und Co.[4] haben gezeigt, dass Angriffe auf die Kryptobörsen regelmäßig gelingen und zu erheblichen Schäden führen. Zudem können, infolge der Konzentration von zahlreichen nativen Token auf nur wenige Blockchain-Adressen, deren Keys entsprechend dem Twitter-Vorfall durch Social Engineering und Co. abgegriffen werden. Nicht zuletzt hat der Fall des USDC gezeigt, dass Kryptobörsen wie Coinbase zu viele, gar miteinander in Konflikt stehende, Rollen der Finanzwelt übernehmen. Und sich zur Sicherung ihrer Stellung Eingriffsberechtigungen schaffen, die nicht einmal staatlichen Stellen zustehen. Präventive Selbstjustiz, so könnte man es auch nennen, steht Wirtschaftsunternehmen wie Kryptobörsen von Gesetzes wegen nicht zu. Ein Wirtschaftunternehmen darf nicht zum Vollstreckungsorgan in eigener Sache werden. Nur weil der Eingriff im Falle des Twitter-Hacks positive Reflexwirkung für die Kunden der Kryptobörsen hatte, darf darin kein Argument für eine solche Machtstellung gesehen werden.

Für Juristen gibt es hier viel zu tun, gerade jetzt, wo sich die großen Kryptobörsen in Deutschland niederlassen wollen. Vor allem muss der (europäische) Gesetzgeber prüfen, inwiefern mit bestehenden Vorschriften der tatsächlichen Handlungsmacht von Kryptobörsen begegnet werden kann und ob es beispielsweise Aufgabentrennungsvorgaben ähnlich der Entflechtungsvorgaben im Energiebereich bedarf. Kryptobörsen sind weitaus mehr als nur Handelsplätze. Sie sind selbst aktive Marktteilnehmer mit Machtinteressen, insbesondere, wenn man ein Blockchain-Netzwerk als Markt betrachtet, der sich anhand seines nativen Token bestimmt. Inwiefern Kryptobörsen ein Kartell bilden können, wäre zu prüfen. Auch Regelungen betreffend die Änderung von Kontrollverhältnissen, vergleichbar dem Wertpapierwerbs- und Übernahmegesetz (WpÜG), gibt es für sie nicht. Es wird immer wieder vergessen, was die Blockchain eigentlich ist: Sie ist nicht neue Technologie allein. Sie ist vor allem eine andere Form des Ein- und Zusammenwirkens von Menschen mit Interessen.

Haben Sie Fragen oder kann ich Sie beratend unterstützen? Dann sprechen Sie mich gerne jederzeit an.

V

V

[1] Vgl. LinkedIn-Post https://www.linkedin.com/feed/update/urn:li:activity:6689287290289758208/?commentUrn=urn%3Ali%3Acomment%3A(activity%3A6689287290289758208%2C6689311057783083008) und aktualisierten Artikel vom 16. Juli 2020 https://www.faz.net/aktuell/wirtschaft/unternehmen/hackerangriff-trifft-twitter-accounts-von-zahlreichen-prominenten-16862907.html.

Liebe FAZ, eine Nennung der Person, die Ihren Artikel in die richtige Richtung bewegt hat, hätte Ihnen sicherlich nicht geschadet.

[2] https://www.zdnet.com/article/twitter-hack-coinbase-blocks-280000-in-bitcoin-theft/.

[3] https://www.coinbase.com/legal/user_agreement?locale=de.

[4] Eine Liste der größten Kryptobörsen-Hacks kann hier abgerufen werden: https://www.ledger.com/academy/crypto/hacks-timeline.