Stablecoins: Gefahren des programmierbaren Geldes

Ein Lehrstück über (staatliche) Eingriffs- und Missbrauchsmöglichkeiten in der DeFi-Welt

Die Diskussion um den Digitalen Euro erfolgte bislang recht einseitig. Die u.a. auch von mir kürzlich im Interview für das Bankmagazin[1] aufgezeigten Gefahren des zentral programmierbaren Geldes fielen nicht ins Gewicht. Das dürfte sich nun (hoffentlich) ändern. Ändern sollte sich damit auch die fehlerhafte Annahme, Blockchain-basierte Smart Contracts seien nicht veränderbar und hierauf wiederum basierende Token wie sog. Stablecoins nicht beeinflussbar von dritter Seite.  

Eine Transaktion in Verbindung mit sog. Stablecoins kann sehr wohl von dritter Seite unterbunden und damit beeinflusst werden. Wenn man weiß, wie. Das hat nun ein Fall des sog. Stablecoin USD Coin (USDC) gezeigt:[2]

Der USDC ist ein Ethereum-basierter sog. ERC-20 Token[3], der den “programmierbaren US-Dollar” für globale Internet-Geschäfte auf der Plattform Circle bilden soll.[4] Die USDC-Software wurde entwickelt von Centre[5], einer Kooperation der Kryptobörse Coinbase mit dem FinTech-Unternehmen Circle (Internet Financial Limited). Dementsprechend ist der USDC auf Coinbase, aber auch anderen Kryptobörsen, handelbar.

Auf Ersuchen staatlicher Stellen nahm Centre am 16. Juni 2020 ein sog. Blacklisting gemäß der Centre Consortium USDC Network Blacklisting Policy[6] vor. Bei diesem Blacklisting wird eine Ethereum-Adresse „geblockt“ und jegliche Transaktion (d.h. Veränderung) in Verbindung mit USDC unterbunden. Konkret wird dabei mittels Transaktion seitens Centre unter Nennung der zu blockenden Adresse eine entsprechende Funktion des USDC-Smart Contract (“Function: blacklist(address investor)”)ausgelöst. 

Einzelne USDC-Token können nicht auf die schwarze Liste gesetzt werden. 

Viele Details der Hintergrundgeschehnisse sind noch nicht bekannt. Dennoch reichen diese ersten Informationen aus, um sich klar zu machen:

  1. Bei entsprechender Gestaltung eines Token-Smart Contract kann sich der Ersteller jederzeit durch diese Token Zugriff auf die Adressen anderer verschaffen. Auf den Private Key kommt es nicht mehr an.
  2. Wenn der Ersteller des Token-Smart Contract auf diese Weise Token auf anderen Adressen dauerhaft unbenutzbar machen, diese gar an- und ausknipsen kann, bestimmt er über deren Werthaltigkeit, nicht ein etwaig dahinterstehendes gesetzliches Zahlungsmittel.
  3. Wer sich derart weitreichende Eingriffsbefugnisse in das „Vermögen“ anderer vorbehalten kann, gehört unter behördliche Aufsicht.
  4. Wer sich weitreichende Eingriffsbefugnisse in das „Vermögen“ anderer vorbehält, etwa um rechtliche Pflichten zu erfüllen, ist ein attraktives Angriffsziel.
  5. Wenn derartige Eingriffsbefugnisse aus technischen und Compliance-Gründen vorbehalten werden können, ist erst recht der lange im Voraus geplante Eingriff aus Gründen der Gier denkbar.

Zwar ermöglicht es Centre (bzw. Circle), insbesondere durch AML- und KYC-Prozesse, Verletzungstaten sowie Rechtsansprüche Gläubigern und Schuldnern zuordnen zu können und gleichzeitig den (US!-)Rechtsweg zugänglich zu machen.[7] Inwiefern jedoch Rechtsverletzungen im Zusammenhang mit dem Zugriff begegnet werden kann, ist unklar. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sollte angesichts vorstehender Erkenntnisse noch viel tiefer in die Einzelfallprüfung von Blockchain-Geschäften eintauchen. Der Gesetzgeber darf jetzt erst recht keine übereilten Gesetze auf den Weg bringen. So besteht eine realistische Gefahr, dass die Rechte aus einer elektronischen Schuldverschreibung auf Blockchain-Basis vom Schuldner nicht nur wegen Erfüllung “geblockt” werden können. 

Langfristig dürfte das Beispiel des USDC zeigen, wo die Reise im Bereich „Decentralized Finance (DeFi)“ hingeht: Angebote unter diesem Titel dürften weitgehend erlaubnispflichtig sein bzw. werden. Sämtliche Teilnehmer dürften ihre Identität offenlegen müssen. Plattformanbieter dürften sich weitreichende Eingriffsbefugnisse vorbehalten können und müssen. Nur so erscheint ein roter Knopf möglich, der die Effektivität der Rechtsverfolgung sicherstellt. Ob der Digitale Euro da noch als „programmierbares“ gesetzliches Zahlungsmittel an Vertrauen gewinnen kann, bleibt fraglich. Nicht zuletzt weist auch Circle in seinem (rechtlich äußerst prüfenswerten) Circle USDC User Agreement darauf hin, dass jederzeit die Gefahr von Cyberangriffen mit Verlustrisiko besteht. Für das natürlich keine Verantwortung übernommen wird.

V

V

[1] https://www.springerprofessional.de/kryptowaehrungen/blockchain/-die-skepsis-beim-digitalen-euro-ist-nachvollziehbar-/17963926.

[2] https://www.theblockcrypto.com/linked/70850/centre-appears-to-have-blacklisted-an-address-holding-usdc-for-the-first-time.

[3] Ein Token, der durch einen ERC-20 Token-Smart Contract erschaffen wird.

[4] https://circle.com/en/.

[5] https://www.centre.io/.

[6] https://www.centre.io/pdfs/governance/Centre_Blacklisting_Policy_20200512.pdf.

[7] Siehe hierzu auch den Beitrag https://cot.legal/die-software-wars-teil-ii-fintech.