Wie das Key-Man Risiko deine Krypto-Einlagen gefährdet

Für ihre Gelder bedeutete das angeblich, dass diese in den Wallets von QuadrigaCX eingesperrt waren, zu welchen lediglich Cotton einen Zugang mittels der privaten Schlüssel besaß. Es wurde noch schlimmer: In den folgenden Monaten fand man sechs Krypto-Wallets, die mit QuadrigaCX in Verbindung gebracht werden konnten, auf welchen jedoch ein Großteil der Kundengelder (190 Mio. USD) fehlte.

Offensichtlich hatte Cotton diese Gelder veruntreut, um seine persönlichen Börsenspekulationen und den eigenen verschwenderischen Lebensstil zu finanzieren. Zwischen 2016 und 2018 verlor Cotten 115 Mio. USD beim Spekulieren, 28 Mio. USD beim Handel an anderen Börsen und verprasste zusätzlich 24 Mio. USD für Ferienhäuser, Sportwagen und Luxusurlaube.

“Not Your Keys, Not Your Crypto” heißt einer der Leitsätze der Krypto-Szene. Ist man nicht oder nicht der alleinige Halter des private Keys, besteht das Risiko, dass Dritte über die eigenen Gelder verfügen können und diese missbrauchen. Dieses Risiko besteht nicht nur bei Börsen: Viele Kundengelder, welche in den Smart Contracts von Protokollen, dezentralen Anwendungen oder sogar in großen Blockchains gesichert sind, sind dieser sogenannten Key-Man-Risk ausgesetzt.

Key-Man haben einen umfassenden Zugriff auf den Code und die Gelder

Eine große Mehrheit der DeFi-Projekte hat immer noch die Möglichkeit, einen “God Mode” zu verwenden, um so ohne Zustimmung der Community Änderungen an wichtigen Komponenten des Projektes vorzunehmen. Diese Komponenten befinden sich in den Smart Contracts der Projekte, welche beispielsweise die Gelder und den Code beinhalten. Damit kann auf die Treasury zugegriffen werden, Smart-Contract-Parameter angepasst werden oder der Code verändert werden. Eine kleine Handvoll an Leuten, meist die Gründer, haben Zugang zu den Schlüsseln, welche diesen Zugriff über sogenannte Multi-Sigs kontrollieren: mehrere digitale Signaturen, z. B. 3 von insgesamt 4 Schlüssen, sind notwendig, um die Kontrolle auszuüben. 

Als “Key-Man Risk” bezeichnet man die Gefahr, dass die Halter der privaten Schlüssel eines Smart Contracts zusammenarbeiten, um das Geld zu veruntreuen oder essenzielle Parameter im Code zu verändern.

Diese Art von zentralisierter Kontrolle durch die Halter der Schlüssel erhöht zwar das Risiko für die Nutzer und Stakeholder, ist aber auch für viele Protokolle essenziell, um neue Funktionalitäten implementieren zu können. Dadurch halten die Verantwortlichen die schnell ändernde Technologie auf dem neuesten Stand.

Polygons 2 Milliarden Dollar stehen im Zentrum der Debatte

Der Polygon Admin-Zugang wird durch ein, fünf aus acht Quorum kontrolliert, d. h. in diesem Fall müssen fünf der acht Administratoren zustimmen, um Änderungen zu genehmigen. Von den acht Schlüsseln werden vier Schlüssel von den Gründern des Protokolls kontrolliert sowie vier Schlüssel von Parteien gehalten, welchen von den Gründern ausgewählt wurden.

Welche potenziellen Risiken birgt dies?

Es bräuchte nur eine weitere von den Gründern ausgewählte Partei, die sich mit den Gründern verschwört, um die Kontrolle über die Smart Contracts zu erlangen. Diese Gruppe hätte in diesen Smart Contracts die Kontrolle über alle wichtigen Funktionen: Sie könnten die Regeln ändern, den gesamten Polygon-Vertrag (TVL von 2 Mrd. USD) veruntreuen oder Transaktionen zensieren.

Eine leichte Intervention, welche das Risiko begrenzen könnte, wäre die Verwendung von größeren Multi-Sigs. Doch größere Multi-Sigs sind trotz einer erhöhten Sicherheit nicht automatisch eine bessere Lösung. Große Multi-Sigs oder vollständig dezentrale Verwaltung verlängert die Reaktionszeiten, um auf Bugs, Exploits und auf Marktentwicklungen zu reagieren. Vor allem die Fähigkeit des Teams, neue Funktionalitäten im Code zu implementieren und schnelle Produktentscheidungen zu treffen, sinkt. Mehr Teilnehmer müssen sich koordinieren, um schnell zu reagieren.

Die Frage, die sich stellt, ist: Was trägt das größere Sicherheitsrisiko; die einseitige Kontrolle über die Schlüssel oder die langsame Reaktionszeit und Bugs bzw. Exploits?

In Start-ups, aber auch in größeren Unternehmen, haben oft die Gründer die Kontrolle über das Unternehmen, bis sie sich zum Rücktritt entschließen. Sie treffen unilateral wichtige Entscheidungen über die Richtung und das Produkt des Unternehmens. Mark Zuckerberg, der Vorstandsvorsitzende von Facebook, besitzt 55 % der stimmberechtigten Aktien des Unternehmens und hat damit die absolute Mehrheit an Stimmen.

Protokolle, DAOs, dApps sind letztlich nichts anderes als Unternehmen, die ihren Kunden ein Produkt oder eine Dienstleistung anbieten. Sie können von einem Unternehmens-ähnlichen Ansatz profitieren, indem sie sich auf Innovation, schrittweise Verbesserung ihrer Produkte und die Beseitigung von Fehlern und Schwachstellen in ihrem Code konzentrieren, aber sollten gleichzeitig das Endziel der Dezentralisierung im Auge behalten. Wie bei klassischen Unternehmen sollten Nutzer und Mitarbeiter darauf vertrauen, dass die Gründer das Beste für die Firma und deren Stakeholder beabsichtigen.

Da es bei der Kryptowährungen jedoch um Kundengeld geht, müssen im Gegensatz zu traditionellen Unternehmen zusätzliche Kontrollen existieren, welche den einzigartigen Zielkonflikt zwischen Innovationsfähigkeit und Sicherheit berücksichtigen. Die Gründer eines Start-ups haben die traditionellen Kontrollen, wie Boards, und das traditionelle Rechtssystem, um eine gewisse Sicherheit zu gewährleisten. Die Gründer eines Protokolls oder einer dApp müssen gesonderte Kontrollinstanzen implementieren, um eine Risikominderung für die Nutzer der Protokolle zu ermöglichen.

Timelocks und andere Interventionen können die Key-Man Risk reduzieren und gleichzeitig schnelle Entscheidungen ermöglichen

Das Key-Man-Risiko ist ein notwendiges Übel, damit sich die Protokolle weiter verbessern können und innovativ bleiben, sollte aber mit verschieden Interventionen begrenzt werden:

• Timelocks: Es ist möglich, per Code und damit auf überprüfbare Weise im Voraus eine feste Verzögerungszeit für eine Änderung am Smart-Contract festzulegen. Sobald diese Verzögerungszeit festgelegt ist, kann sie niemand verändern. Dieses System ermöglicht eine Reaktionszeit für die Kunden, innerhalb derer im Falle einer unerwarteten, nicht vereinbarten oder böswilligen Änderung das Geld rechtzeitig aus dem Protokoll entfernt werden kann.

• Boards: Eine einem Board-ähnliche Struktur kann eine gewisse Kontrolle über die Gründer ausüben. Gegenwärtig werden die meisten Multi-Sigs von den Gründern und einer selbst-ausgewählten Gruppe anderer kontrolliert, wobei die Gründer lediglich die Zustimmung einer Minderheit der anderen Gruppe benötigen, um kompletten Zugriff auf die Smart Contracts zu erhalten. Protokolle können eine gewisse Kontrollfunktion einführen, bei der ein Gremium von externen Beratern ein Veto gegen bestimmte Entscheidungen einlegen kann, insbesondere in Bezug auf die wichtigsten Verträge und die Treasury.

Die schrittweise Dezentralisierung sollte ein Ziel der Gründer bleiben: Sie sollten schließlich den Verwaltungsschlüssel an eine DAO (im Fall von Polygon an die MATIC-Inhaber) übergeben.

Zusammenfassend: Das Key-Man Risiko wird von vielen Nutzern und Investoren ignoriert, obwohl es eine signifikante Gefahr für das von den Nutzern investierte Geld bedeuten kann. In der heutigen Zeit ist es notwendig entweder die Kontrolle über die Schlüssel zu behalten, welche das eigene Geld kontrollieren, oder sich den Risiken bewusst zu sein, um das Risiko entsprechend überwachen zu können. 

Aktionspunkt: Um dieses Risiko zu überwachen, überprüfe in deinen Protokollen: (1) wie die Schlüssel generiert wurden, (2) wer sie besitzt, (3) ob sie eine gewisse Risikominderung für ihre Nutzer verwenden (z. B. Timelocks), (4) wie groß die Anreize für ein Fehlverhalten sind.

Nicolay Gerold ist Analyst & Investment Researcher bei Rudy Capital, einer deutsche Krypto-Beratung, welche institutionellen Klienten ermöglicht stabile Renditen in fallenden, steigenden und sich seitwärts-bewegenden Märkten zu erzielen.