bitcoinblog.de
Nachdem Monero (XMR) von immer mehr Börsen verschwindet, eröffnet die Bitcoin-Wallet Samourai den blockchain-übergreifenden P2P-Handel. In ihn fließen einige der neuesten kryptographischen Errungenschaften ein.
Es zeichnet sich schon lange ab, tritt aber in letzter Zeit immer deutlicher zutage: Privacycoins wie Monero (XMR) haben auf den traditionellen Börsen keine Zukunft.
Über kurz oder lang werden die meisten Börsen Privacycoins vom Handel nehmen. Sie machen dies nicht aus Bosheit oder Ideologie. Vielmehr ist es unmöglich oder zumindest extrem aufwändig, Privacycoins mit den Auflagen in Einklang zu bringen, die Aufseher weltweit einfordern, etwa der Travel Rule.
Dies zwingt die Monero-Community dazu, präventiv in den Underground abzuwandern. Die Feuerprobe, die die Bitcoin-Szene von Anfang gleichermaßen fürchtet wie herbeisehnt, tritt bei Monero ein: Ist eine Kryptowährung lebensfähig, wenn sie faktisch verboten ist? Wenn keine Finanzinstitution der Welt sie handelt?
Weil Monero nun in jene Phase eintritt, auf welche sich viele Bitcoiner gerüstet haben, erhält die Community von eben den Bitcoinern Schützenhilfe, die sich den idealen der Cypherpunks am stärksten verbunden fühlen. Samourai, eine Bitcoin-Wallet, die mit dem Mixing-Verfahren Whirlpool die Privatsphäre ihrer Anwender stärkt, integriert einen Marktplatz für den P2P-Wechsel von Bitcoin gegen Monero. Damit verlässt Samourai das „Bitcoin-only“-Lager.
HTLCs, wie bei Lightning
Diese sogenannten „Atomic Swaps“ sind mittlerweile in der Beta live, nachdem die Entwickler rund ein halbes Jahr an ihnen gearbeitet haben. Sie erlauben den Wechsel ohne eine dritte Partei oder Vertrauen zwischen den Beteiligen. Im Prinzip machen sie sie mit dem Tausch dasselbe wie Bitcoin mit Transaktionen.
An sich sind solche Atomic Swaps mit Bitcoin schon lange bekannt und etwa für den Handel mit Litecoin längst verwirklicht. Sie basieren auf „Hash Time-Lock Contracts“ (HTLC), wie sie auch das Lightning-Netzwerk bei Bitcoin verwendet. Bitcoins, die an HTLCs gesendet werden, können durch zwei Bedingungen ausgelöst werden: durch den Nachweis eines Geheimnisses oder nach Ablauf einer bestimmten Zeit.
Bei einem HTLC-basierten Tausch passiert das Folgende: Beide Parteien geben die vereinbarten Summen in einen HTLC. Danach sendet die eine Partei der anderen das Geheimnis, das diese braucht, um die Coins aus dem HTLC zu lösen. Die Transaktion, durch die das geschieht, ist aber so konstruiert, dass sie das Geheimnis enthüllt, mit welchem die anderen Coins ausgezahlt werden können. Daher nennt man den Wechsel „atomic“: Er wird effektiv mit einer einzelnen Aktion vollendet.
Sollte der Swap scheitern, lässt er sich nach Ablauf einer bestimmten Zeit rückabwickeln.
Wie man die HTLCs bei Monero ersetzt
Das Problem dabei nun aber, dass Monero keine Scripte unterstützt und damit keine HTLCs. Man kann Monero ausschließlich durch die Vorlage eines privaten Schlüssel versenden. Ein Atomic Swap, wie eben beschrieben, ist nicht möglich.
Dank einiger Fortschritte konnten die Entwickler HTLCs jedoch ersetzen. Sie beschreiben es in einem Whitepaper, welches auf einem dem Paper „Bitcoin-Monero Cross-Chain Atomic Swaps“ von Joel Gugger aufbaut. Die technischen Details sind enorm kompliziert. In gewisser Weise wird hier die Speerspitze kryptographischer High-Tech in Stellung gebracht.
Sehr grob dargestellt läuft es so ab: Man spaltet man den privaten Schlüssel für Monero in zwei Teile. Einer der Teile wird beim Vollzug des Tausches mit Hilfe von „One-time Verifiably Encrypted Signatures“ (kurz: One-Time VES) enthüllt. One-Time VES sind eine kryptographische Innovation, die es erlaubt, durch eine Signatur weitere Informationen zu enthüllen. Im Prinzip sind es absichtlich kaputte Signaturen, die aber für manche Anwendungen nützlich sein können. Lloyd Fournier hat sie in einem Paper erst 2019 beschrieben.
Zusätzlich helfen sogenannte „Diskrete Logarithmen“ dabei, durch einen Zero-Knowledge-Proof zu beweisen, dass die beiden Teile der Schlüssel zusammenpassen. Das ist besonders interessant, weil sie als Punkte von verschiedenen elliptischen Kurven ausgewählt werden, bei Bitcoin von secp256k1, bei Monero von edward25519.
Es ist insgesamt eine scheußliche komplizierte, aber prachtvolle Konstruktion, die alle Register kryptographischer Magie zieht. Ich verstehe sie nicht im Ansatz gut genug, um sie hier zu beschreiben. Wichtig ist, dass das Verfahren offenbar funktioniert: Mit einer Sequenz von Transaktionen kann man Bitcoin gegen Monero tauschen und andersherum.
Das Drehbuch eines Swaps
Der Ablauf ist etwa der Folgende: Wenn jemand Monero kaufen möchte, sendet er zunächst eine sogenannte „Lock Transaktion“. Diese ist eine modifizierte HTLC, die Gugger als „Swaplock“ beschreibt: Man kann die Bitcoins durch ein Geheimnis auslösen oder nach Ablauf von 72 Stunden zurücküberweisen.
Sobald diese Transaktion bestätigt ist, sendet der Verkäufer seine Lock-Transaktion, die etwas ähnliches mit den Monero macht: Die XMR landen auf einer Adresse, deren privater Schlüssel in zwei Teile gespalten ist. Einen Teil besitzt der Käufer, den anderen der Verkäufer. Der diskrete Logarithmus dient als Beweis, dass die beiden Teile den korrekten Schlüssel ergeben.
Wenn diese Transaktion 10 Bestätigungen erreicht hat, sendet der Käufer dem Verkäufer eine Signatur, durch welche dieser die Bitcoins auszahlen kann. Die Transaktion, mit der dies geschieht, enthüllt über eine One-Time VES den Schlüssel, den der Käufer benötigt, um die eingefrorenen Monero zu lösen.
Als Backup gibt es noch eine Refund-Transaktion: Durch diese kann der Swap abgebrochen werden, wenn die Bitcoin-Lock-Transaktion 72 Bestätigungen erhalten hat. Die Refund-Transaktion führt die Bitcoins zunächst wieder zurück zum Käufer, enthüllt aber auch den Schlüssel, den der Verkäufer der Monero braucht, um seine Coins aus der Lock-Transaktion zu befreien.
Sowohl Exekution als auch Abbruch des Trades sind damit „atomic“: Sie geben mit einer Transaktion die Coins auf beiden Blockchains frei.
Nichts für unbedarfte Anwender
Ein solcher Atomic Swap zwischen Bitcoin und Monero ist mehr oder weniger der heilige Gral der Privatsphäre. Er macht es faktisch unmöglich, zu verhindern, dass Monero in Umlauf kommen. Solange es an Krypto-Börsen Bitcoins zu kaufen gibt, kommt jeder, der möchte oder muss, auch an Monero und damit an die Kryptowährung mit den höchsten Privatsphäre-Standards.
Im Prinzip hat das Team von Samourai mit einer Software sämtliche regulatorischen Bestrebungen, anonyme Krypto-Transaktionen zu unterbinden, zum Kentern gebracht.
Nikita Zhavoronkov vom Blockexplorer Blockchair schwärmt daher schon jetzt: „Ich wäre nicht überrascht, wenn die Liquidität der XMR-BTC-Atomic Swaps in wenigen Monaten Lightning+Liquid hinter sich lassen würde […] P2P > Bankstream.“ Zwar spricht aus dem Tweet unverhüllt die von Nikita gepflegte Abneigung gegen Lightning und Blockstream. Seine Prognose entwertet dies aber kaum.
Allerdings ist der Swap bisher noch in einer Beta-Version. Er ist technisch nicht ganz einfach und wohl nur für fortgeschrittene Nutzer geeignet. Und das ist vermutlich gut so, denn eine arglose Nutzung der Swaps kann auch zum Eigentor werden.
An sich ist der Wechsel in Monero für Bitcoiner ein sehr scharfes Messer, um die Kette der Transaktionen zu durchschneiden, welche als verräterische Spur an den Bitcoins haftet. Heikler ist aber der Rücktausch. Schließlich muss man die anonymen – und damit per Definition sauberen – Monero wieder gegen Bitcoins tauschen: gegen Bitcoins, die per Definition eine Kette alter Transaktionen hinter sich herziehen. Wenn man diese Bitcoins auf einer Börse einzahlt, kann es ein böses Erwachen geben, weil man plötzlich mit kriminellen Machenschaften in Verbindung steht, mit denen man niemals etwas zu tun hatte, die aber wie alter Dreck an den Bitcoins kleben.
So sind die Atomic Swaps zwar eine der mächtigsten Methoden, seine Privatsphäre zu verbessern. Aber sie sind für unbedachte Nutzer auch eine der gefährlichsten.