In der schnelllebigen Welt der Blockchain kann Theorie in einem Wimpernschlag zu einem lukrativen Geschäft werden. Dies ist in den letzten Monaten beim Hinzufügen von „Assets der realen Welt“ oder RWAs auf Blockchains geschehen. Nachdem die Idee jahrelang im Umlauf war, beginnen nun Branchengrößen wie BlackRock und HSBC damit, Anleihen, Gold und mehr zu tokenisieren.
Es handelt sich um aufregende Entwicklungen, aber es gibt ein ernsthaftes Problem: Die kryptonativen Systeme, die diese Token verarbeiten würden, weisen oft Sicherheitslücken auf. Der Unterschied zwischen den Risikokontrollverfahren von Krypto-Unternehmen im Vergleich zur traditionellen Finanz- und Bankenwelt ist eindeutig. Krypto-Unternehmen haben oft einen Mangel an Überwachung, Redundanz und Widerstandsfähigkeit.
Eine der Hauptursachen dafür ist die mangelnde Investition. Basierend auf verfügbaren Daten und Beobachtungen besteht möglicherweise die Notwendigkeit für Krypto-Treuhandgesellschaften, ihre Ausgaben für Sicherheit um das Zehnfache zu erhöhen, um mit dem Sicherheitsniveau der großen Finanzinstitute, die RWAs tokenisieren, mithalten zu können.
Ein langfristiges Ziel der Tokenisierung von RWAs besteht darin, die Effizienz der automatischen Abrechnungs- und Abwicklungsfähigkeiten von Blockchains auf herkömmliche Vermögenswerte zu übertragen. Doch die Voraussetzung dafür ist, dass man dem vertrauen kann, was die Blockchain aussagt. Wenn tokenisierte RWAs als Folge eines Hacks eines Dritten gestohlen werden, könnten Emittenten wie BlackRock sich gezwungen sehen, gestohlene Token zu zensieren und sie den „richtigen“ Besitzern der zugrundeliegenden Vermögenswerte neu zuzuweisen.
In einem solchen Szenario könnte die Tokenisierung von RWAs zu nicht mehr als zusätzlicher Bürokratie und Reputationsrisiken führen und die Einführung der Technologie verlangsamen oder stoppen. Um zu verhindern, dass Ihr Protokoll oder Ihre Plattform die Ursache für ein derart industrieschädigendes Versagen ist, gibt es klare Schritte, die unternommen werden können.
### Erhöhung der Sicherheitsstandards bei der Tokenisierung
Als Experte für Tokenisierung und Verwahrungssicherheit sehe ich keinen Grund, warum Blockchain-Systeme so anfällig für Ausbeutung und Hacking sein sollten, wie sie es in der Praxis gezeigt haben. Tatsächlich sollte es genau das Gegenteil sein - Blockchains haben sich als grundsätzlich unhackbar erwiesen.
So gut wie alle „Crypto-Hacks“ sind tatsächlich entweder DeFi-Marktmanipulationen, Exploits aufgrund von Social Engineering, Phishing oder anderen Off-Chain-Vektoren. Banken und traditionelle Finanzsysteme sind auch anfällig für die Entwendung von Zugangsdaten, aber diese Organisationen haben robuste Sicherheitspraktiken und -kulturen aufgebaut, die immer effektiver darin geworden sind, sie sicher zu halten.
Es gibt keinen Grund, warum Krypto-Unternehmen nicht dasselbe tun können. Doch derzeit befinden sich Krypto-Plattformen und Verwahrungsdienste im Schatten einer Vergangenheit von Sicherheitsfehlern und schwachen Kontrollverfahren. Dies betrifft auch Treuhänder, die früher als Spitzenklasse in der Branche galten, wie zum Beispiel Prime Trust, die die Schlüssel zu einer aktiven Einzahlungsbrieftasche verloren haben und dadurch fast 80 Millionen Dollar an Krypto verloren haben.
Wie das Feststellen einer Kakerlake auf Ihrer Küchentheke legt der Fauxpas von Prime Trust nahe, dass ein Schwarm unsichtbarer Probleme im weiteren Ökosystem verborgen ist.
### Über Proof-of-Reserves hinaus: Aufbau eines sichereren Rahmens für die Token-Verwahrung
Einige der benötigten Lösungen für die Sicherheitsprobleme von Krypto sind technologischer und kryptospezifischer Natur, andere sind allgemeinere Probleme des Prozesses, der Schulung und der Kultur.
Nic Carter, Gründer von Castle Island Ventures, hat das Konzept des Proof-of-Reserves für Off-Chain-Krypto-Börsen befürwortet - eine Möglichkeit, um Vermögenswerte vollständig transparent und überprüfbar zu machen, um eine weitere Katastrophe wie FTX zu vermeiden. Der PoR bleibt ein wichtiger Ausgangspunkt für verantwortungsvolle Verwahrung (Offenlegung: Castle Island ist ein Investor bei Halborn).
In dem Fall von Prime Trust haben wir jedoch gesehen, dass Krypto-Schlüssel sorglos verloren gehen können, und Schlüssel können auch offensichtlich gestohlen und missbraucht werden. Beide Szenarien könnten die Ergebnisse eines scheinbar gesunden PoR-Berichts untergraben. Wir können PoR stärken, indem wir zwei weitere Echtzeit-kryptografisch verifizierbare Beweise für Treuhänder hinzufügen: Beweis für den Schlüsselbesitz und Beweis für die Schlüsselexklusivität.
Der Beweis für den Schlüsselbesitz ist recht einfach: die Verwendung von Zero-Knowledge-Beweisen, um zu bestätigen, dass eine Entität die privaten Schlüssel zu allen Konten besitzt, die sie zu kontrollieren behauptet.
Der Beweis der Schlüsselexklusivität erfordert weitere Schritte, darunter die Generierung und Abschirmung von Schlüsseln innerhalb einer Hardware-Enklave wie einem Hardware-Sicherheitsmodul (HSM) und der kryptografische Nachweis dieses Schutzes.
Spezifische Lösungen wie diese müssen jedoch Teil weitreichenderer Änderungen sein. Digitale Vermögensverwahrer müssen auch bewährte institutionelle Standards für einen formalen, umfassenden und systematischen Ansatz zum Risikomanagement übernehmen.
### Geld regelt alles: Das finanzielle Rückgrat der sicheren Krypto-Verwahrung
Es gibt eine letzte unbequeme Wahrheit über das Risiko bei der Krypto-Verwahrung: Die Branche muss mehr Geld aufbringen, um es anzugehen. Vielleicht sogar sehr viel mehr.
Wir können einen groben Vergleich zu den Ausgaben der Banken ziehen: McKinsey schätzt, dass Banken durchschnittlich 2,5% ihres Budgets für Risikobewertung und -minderung ausgeben. Ein Deloitte-Bericht von 2023 hat ergeben, dass Cybersicherheit etwa 0,5% der jährlichen Ausgaben von Finanzinstituten ausmacht.
Diese Zahlen klingen vielleicht nicht groß, sind jedoch durch die Skalierung nach unten verzerrt - die Berechnungen umfassen Banken mit zehntausenden oder sogar hunderttausenden Mitarbeitern. Wenige, wenn überhaupt, Krypto-Treuhandunternehmen kommen an diese Größe heran.
In der Theorie bedeutet dies, dass ein Krypto-Unternehmen in der Größe von Coinbase wahrscheinlich mehr als das Zehnfache des durchschnittlichen Anteils an Budgets von Banken für Risiko- und Cybersicherheit ausgeben sollte - in der Größenordnung von 30% oder mehr. Obwohl solche Budgets im Allgemeinen nicht öffentlich sind, ist dies derzeit in der Branche offensichtlich nicht die Realität.
Die Zurückhaltung von Kongress und SEC, Krypto zu regulieren, bedeutet, dass es keine klaren Standards für das Risikomanagement gibt, und die Anreize sind relativ abstrakt - bis eines der Risiken, die Sie nicht kommen sehen haben, auftaucht und Millionen von Dollar aus Ihrer Tasche nimmt.
Tatsächlich müssen Krypto-Unternehmen möglicherweise proportional mehr in die Cybersicherheit investieren als traditionelle Unternehmen, gerade wegen der Effizienz, die die Technologie in anderen Funktionen mitbringt. Blockchain-Systeme automatisieren viele Funktionen, für die herkömmliche Banken Personal einsetzen müssen, aber die Sicherheitspraktiken an der Front und robuste Sicherheitspraktiken bleiben genauso personalintensiv wie in anderen Bereichen.
Die Ausgaben für Risikomanagement werden natürlich wachsen, wenn Verwahrungsfirmen für Krypto-Vermögenswerte, einschließlich tokenisierter realer Vermögenswerte, weiter expandieren. Doch der plötzliche Anstieg des Interesses an RWAs könnte bedeuten, dass jetzt der richtige Zeitpunkt für aggressives Investieren ist. Die Fähigkeit, qualitativ hochwertiges Risikomanagement und Cybersicherheitspraktiken nachzuweisen, könnte entscheidend dafür sein, Geschäfte mit Giganten wie BlackRock zu tätigen, wenn sie vertrauenswürdige Partner für ihr Abenteuer in die relative Wildnis der Krypto suchen.
