27.10.2023

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

Bernhard Haslhofer forscht am Complexity Science Hub Vienna zum Thema Decentralized Finance (DeFi) und ist einer der Cofounder des Wiener Blockchain-Datenanalyseunternehmens Iknaio. Im brutkasten-Interview spricht er über eine neue Studie zum Thema Krypto-Kriminalität, über die Frage, wie dezentral DeFi wirklich ist und wie sich Iknaio von Konkurrenten abhebt.
/artikel/bernhard-haslhofer-defi-zentralisierung
DeFi-Forscher Bernhard Haslhofer
Bernhard Haslhofer | Foto: Anja Böck/Complexity Science Hub

Ein dezentrales Finanzsystem ohne Mittelsmänner aufzubauen – das ist die Idee hinter Decentralized Finance (DeFi). Und dabei gab es durchaus Achtungserfolge: Protokolle wie die dezentrale Börse Uniswap oder die auf den Verleih von Kryptowährungen spezialiserte Anwendung Aave konnten sich in den vergangenen Jahren am Markt etablieren. In den beiden genannten Protokollen sind aktuell etwa Krypto-Assets im Gegenwert von mehreren Milliarden US-Dollar hinterlegt.

Gleichzeitig kam es im DeFi-Bereich aber auch immer wieder zu Hacks, Diebstählen und Betrügereien. Für großes Aufsehen in der Szene sorgte zuletzt etwa im August ein Hack des Protkolls Curve (brutkasten berichtete). Es war aber bei weitem nicht der erste. Ein kürzlich auf der Plattform ArXiv veröffentlichter Preprint einer Studie des Complexity Science Hub Vienna und der Universität Montreal liefert nun konkrete Zahlen zu Kriminalität im Krypto-Bereich.

Studie sieht 30 Mrd. Dollar Schaden durch Krypto-Kriminalfälle

Die Ergebnisse: 2017 und 2022 kam es mindestens zu 1.155 Straftaten im Kryptobereich. Durch diese entstand kombiniert ein Schaden von mindestens 30 Mrd. US-Dollar. Die Studie nennt durchwegs nur Mindestwerte – weil sie sich ausschließlich auf nachweisbare Zahlen stützt. Das bedeutet aber auch: Der tatsächliche Schaden liegt sicher noch höher.

Bei der Hälfte der Taten kam es zu einem Schaden von über 356.000 US-Dollar. Den größten verursachte ein Fall rund um die Plattform Africrypt, bei dem 3,6 Mrd. US-Dollar verschwanden. Africrypt wurde in der Studie in den Bereich Centralized Finance (CeFi) eingeordnet. Dabei handelt sich um Krypto-Plattformen, die über ein zentralisiertes Verwaltungssystem verfügen.

Zwei Drittel der Fälle im CeFi-Bereich, ein Drittel bei DeFi

Bei der Hälfe der Angriffe betrug der Schaden mehr als 356.000 Dollar, wobei sich der kleinste „Hack“ auf nur 158 US-Dollar belief, während beim größten 3,6 Milliarden US-Dollar verschwanden. Dieser enorme Verlust stand im Zusammenhang mit Africrypt, einer zentralisierten Finanzplattform (CeFi) aus Südafrika. 20 Mrd. der gesamten Schadenssumme von 30 Mrd. Dollar, also zwei Drittel, entfallen auf CeFi-Plattformen und Anwendugen. Den Rest machen DeFi-Anwendungen aus.

Einer der Autoren der Studie ist Bernhard Haslhofer. Er leitet die Forschungsgruppe Cryptofinance am Complexity Science Hub und das kürzlich gestartete Forschungsprojekt “DeFi Trace”. Außerdem ist er Cofounder des Wiener Blockchain-Analyseunternehmens Iknaio. Haslhofer erläutert im brutkasten-Interview die Hintergründe zur Studie, spricht über die Frage, wie dezentral DeFi tatsächlich ist und erläutert, wie sich Inkaio von Konkurrenten differenziert.


brutkasten: Welchen Anspruch habt ihr mit der neuen Studie verfolgt?

Das Allerwichtigste ist, dass wir jetzt ein empirisch fundiertes Zahlenwerk zum Schadensvolumen haben. Bis dato schwirren vor allem Zahlen herum, die von Security-Firmen publiziert wurden. Da weiß man aber nie genau, welche Daten verwendet wurden und nach welcher Methode die Zahlen berechnet wurden.

Der Anspruch unserer Studie war, dass wir uns empirisch fundiert mit dem Thema DeFi und Kriminalität auseinandersetzen und analysieren, in welchen Zusammenhängen DeFi für illegale Zwecke verwendet wird.

Die von euch genannten Schadensvolumen sind immer Mindestwerte. Kann man abschätzen, wie hoch die Dunkelziffer ist – also um wie viel höher der tatsächliche Schaden liegt?

Ich habe schon an mehreren Studien zu diesem Themenbereich gearbeitet – etwa zu Ransomware oder Sextortion. Wir berichten immer nur über messbare Beobachtungen, also Mindestwerte. Schätzungen zu nicht beobachteten Ereignissen wären aus wissenschaftlicher Sicht wenig seriös.

Wie habt ihr die Vorfälle gesammelt, die in die Studie eingeflossen sind?

Es gibt Datenbanken, in denen globale Communities Vorfälle im Zusammenhang mit Krypto systematisch erfassen. Unsere Studie stützt sich auf drei solche Datenbanken, aus denen wir über Schnittstellen sogenannte Crime Events heruntergeladen haben. Gemeinsam mit der Economic Crime Group der University of Montreal sind wir 1.155 solcher Ereignisse manuell durchgegangen. Die Kolleginnen in Montreal sind auf Wirtschaftskriminalität spezialisiert.

Wir haben die Vorfälle kategorisiert: Stehen sie in einem Zusammenhang mit Centralized Finance (CeFi) – wurde zum Beispiel eine Exchange gehackt? Oder war es ein Rugpull mit einem Token? Das war manuelle Knochenarbeit. Dafür ist die Datenbasis aus unserer Sicht relativ solide. Nachdem es aber durchaus noch Vorfälle geben kann, die nicht in diesen Datenbanken erfasst wurden, handelt es sich bei den Zahlen in unserer Studie, wie erwähnt, immer nur um Mindestwerte.

In der Studie unterscheidet ihr zwischen CeFi und DeFi. Wie definiert ihr CeFi und wie grenzt es sich von DeFi ab?

Unter Centralized Finance versteht man Services, die  einen zentralisierten Aspekt haben – beispielsweise Kryptowährungsbörsen. Da kann es durchaus vorkommen, dass diese gehackt werden, oder dass Gelder verschwinden, manchmal auch die CEOs gleich dazu.

Von den 30 Mrd. Dollar, die wir in unserer Studie nennen, entfallen 10 Mrd. auf DeFi und 20 auf CeFi. Und von diesen 20 macht der bekannte AfriCrypt-Vorfall alleine 3,6 Mrd. aus. Da sind die beiden CEOs, die damals noch Teenager waren, abgetaucht – und das Geld ist verschwunden. Das ist ein Beispiel für CeFi.

Dagegen sind Uniswap oder Sushiswap genauso wie Compound oder Aave klassische DeFi-Protokolle. Da stehen keine klassischen Organisationen, wie zum Beispiel Firmen dahinter, die diese Services betreiben – zumindest nicht explizit. 

Allerdings wird in der Kryptoszene auch bei DeFi-Protokollen immer wieder kontrovers diskutiert, wie dezentral unterschiedliche Anwendungen wirklich sind. Wie blickst du auf diese Diskussion?

Dazu muss ich etwas ausholen. Ich bin seit zehn Jahren in dem Bereich wissenschaftlich unterwegs und wenn ich die wichtigsten Erkenntnisse aus dieser Zeit zusammenfassen müsste, würde ich drei Punkte nennen – ausgehend von der ursprünglichen Idee von Krypto-Assets bis hin zur heutigen Realität.

Der erste Punkt ist, dass es die ursprüngliche Idee von Crypto Assets war, weitestgehend anonyme Zahlungen zu ermöglichen. Das ist heute definitiv nicht der Fall. Vielmehr haben wir eines der transparentesten Finanzsysteme, das jemals geschaffen wurde. Aus Privacy-Sicht ist es eine Dystopie. Würde  man Blockchain-Daten und Exchange-Daten zusammenführen, wäre ein großer Teil der Transaktionsdaten komplett offen und transparent.

Eine zweite ursprüngliche Idee war es, globale Zahlungen zu ermöglichen. Da sehen wir, dass Blockchain Technologie per se nicht ausreichend skaliert.

Der dritte Punkt ist dann die Idee der Dezentralisierung. In der Forschung sprechen wir eigentlich heutzutage von einer De-facto-Zentralisierung – auf allen technischen Ebenen. Das betrifft die Peer-to-Peer-Ebene, das betrifft das Mining und auch die Governance-Strukturen von dezentralen Protokollen.

Alleine die Diskussion, was wirklich DeFi ist, in einem System, das eigentlich dezentral sein sollte, zeigte schon, dass die Grundidee in ihrer ursprünglichen Form nicht realisiert wurde. Es gibt ja mittlerweile auch im Krypto-Bereich zentralisierte Institutionen, die Funktionen übernommen haben, die klassischen Finanzdienstleistern sehr ähnlich sind. Das beste Beispiel sind zentrale Krypto-Exchanges.

Ist der Begriff Decentralized Finance in diesem Sinn Etikettenschwindel?

Ich würde von De-facto-Centralized-Finance sprechen. Man sieht das beispielsweise auf der Ebene der Governance-Token. Es gibt wissenschaftliche Studien, die zeigen, dass die Governance-Strukturen vieler DeFi-Protokolle oft sehr zentralisiert sind.

Das heißt nicht unbedingt, dass sie in der Hand einer einzigen Person sind. Aber häufig ist es eine relativ kleine Gruppe von Governance-Token Besitzern, deren Identität man in der Regel nicht kennt. Daher würde ich nicht von einer tatsächlichen Dezentralisierung sprechen.

Hat DeFi dann überhaupt eine Berechtigung?

Ich sehe das mit der Innovationsbrille – und die technische Innovation, die im Kontext von DeFi stattfindet, ist unheimlich spannend, etwa das System von Automated Market Makers. Es ist häufig so, dass bestimmte Innovationen dezentral beginnen und es später zu starken Zentralisierungstendenzen kommt. Am Ende des Tages werden dann ähnliche Services doch auch wieder von Institutionen betrieben.

Auch im Bereich der Krypto-Assets gibt es mittlerweile Unternehmen, die zentrale Rollen im Ökosystem einnehmen. Wenn ein durchschnittlicher Benutzer Bitcoin über eine Börse kauft und dort in einer Custodial Wallet hält, interagiert er ja nicht mehr mit der Blockchain selbst, sondern mit einem Service, das von Unternehmen zur Verfügung gestellt wird.

Du hast auch bereits die Transparenz von blockchain-basierten Systemen angesprochen. Bei diesem Punkt setzt dann ja auch das von mitgegründete Unternehmen Iknaio an. Welchen Anspruch verfolgt ihr hier genau?

Wir bauen maßgeschneiderte Analysemethoden für Forensik im Bereich Krypto-Assets und andere Fragestellungen im Zusammenhang mit Krypto-Assets. Im DeFi-Bereich stehen aktuell alle vor der Herausforderung, dass die Geldflüsse nicht mehr ganz so einfach und ganz so straightforward analysierbar sind.

Bei Bitcoin konnte man einen Geldfluss noch schön über ein User-Interface nachvollziehen. Aber im DeFi-Bereich nimmt die Komplexität und das Datenvolumen enorm zu. Da braucht es komplett neue Zugänge.

Wie differenziert ihr euch mit Iknaio von den führenden Marktakteuren im Bereich Blockchain-Datenanalyse – etwa Chainalysis?

Wir stürzen uns auf die Nischen. Wir haben mittlerweile sehr interessante große Kunden, für die wir Probleme lösen. Das ist aus unserer Sicht die einzige Chance, die man als europäischer Player in dem Feld hat, weil es am Ende des Tages eine Kapitalfrage ist und es auf der anderen Seite des Ozeans Player gibt, die hier weit besser ausgestattet sind. Wir haben jedoch schon einige Nischen gefunden und das funktioniert bis jetzt ganz gut.

Mit Iknaio betreiben jetzt seit zweieinhalb Jahren Bootstrapping. Wir sind weiterhin ein kleines Unternehmen, aber wir stellen Leute ein, während alle anderen Jobs abbauen. Obwohl wir auch eine aws-Förderung bekommen haben (brutkasten berichtete), sind wir trotzdem ganz weit weg vom Kapitalpolster der US-Anbieter. Es macht keinen Sinn, dem direkt nachzulaufen. Stattdessen stürzen wir uns auf Nischen und bauen dort Expertise auf.

Ihr arbeitet unter anderem mit dem Finanzministerium, dem Justizministerium, dem Innenministerium, der Finanzmarktaufsicht (FMA) und in Deutschland der Zentralstelle Cybercrime Bayern (ZCB) zusammen. Wie muss man sich die Zusammenarbeit mit den Behörden vorstellen?

In jedem Ministerium und auch bei der Staatsanwaltschaft gibt es Expertinnen und Experten, die an dem Thema arbeiten. Diese stoßen dann in ihrem täglichen Tätigkeitsgebiet auf Probleme, verstehen diese im Lauf der Zeit sehr gut und sprechen mit uns Forscher:innen über Lösungsmöglichkeiten.

Das beste Beispiel ist die Zentralstelle Cybercrime Bayern – die dortigen Staatsanwälte und Staatsanwältinnen sind  seit Jahren unsere engsten Kooperationspartner. Die Betrugsfälle im Zusammenhang mit Krypto Assets häufen sich massiv und stellen die Staatsanwaltschaft vor eine Ressourcen-technische Herausforderung. Wir reden hier von tausenden Fällen, die alleine in Bayern aufschlagen. Deutschlandweit entsteht durch solche Fälle ein Milliardenschaden.

Wir haben uns dann gemeinsam mit der Staatsanwaltschaft die Daten angesehen und festgestellt, dass viele Fälle eigentlich zusammenhängen: das liegt daran, dass Cybercrime als globales Phänomen keine Grenzen kennt, die Opfer aber in der Regel zur lokalen Polizei gehen, um dort eine Anzeige zu machen. Dadurch entstehen dann viele Fallakten, die aber eigentlich im Zusammenhang mit demselben Cybercrime-Delikt, sei es Betrug oder Erpressung, stehen. In der Praxis führt das dann dazu, dass viele Ermittler am selben Problem arbeiten, ohne voneinander zu wissen. Gemeinsam mit der ZCB versuchen wir gerade, diese Fälle zusammenzuführen.

Das ist so ein klassisches Beispiel. Die Vermutung, dass es Fall-Zusammenhänge gibt, kam von der Behörde. Dann kommen wir dazu und sehen uns die konkreten Daten an und prüfen das. Gemeinsam überlegen wir uns dann eine Lösung und setzen diese auch um.

Deine ungelesenen Artikel:
26.02.2024

Sichere dir deine digitale Identität

Gastbeitrag. In der heutigen digitalen Welt ist es von entscheidender Bedeutung, eine starke und einprägsame Identität für sich oder das Unternehmen im Online-Bereich zu schaffen. Für den brutkasten beleuchtet der österreichische Webhoster world4you dieses Thema.
/artikel/sichere-dir-deine-digital-identitaet
26.02.2024

Sichere dir deine digitale Identität

Gastbeitrag. In der heutigen digitalen Welt ist es von entscheidender Bedeutung, eine starke und einprägsame Identität für sich oder das Unternehmen im Online-Bereich zu schaffen. Für den brutkasten beleuchtet der österreichische Webhoster world4you dieses Thema.
/artikel/sichere-dir-deine-digital-identitaet
(c) world4you
(c) world4you
sponsored

Die digitale Identität umfasst die Präsenz einer Person oder eines Unternehmens im digitalen Raum. Dabei fokussiert sie sich ganz stark auf den Namen, unter dem du online aufzufinden bist und ist entscheidend für die Auffindbarkeit sowie den Erfolg im World Wide Web.

So startest du die Suche nach deiner digitalen Identität

Optimalerweise leitet sie sich von deinem Firmen- oder Markennamen ab, mit dem du deine Produkte oder Dienstleistungen an die Kundschaft bringen willst. Achte bei der Definition deines Namens auf folgende Punkte:

  • Einzigartigkeit: Stelle sicher, dass der Firmenname einzigartig ist und nicht bereits von einem anderen Unternehmen oder einer Marke genutzt wird.
  • Relevanz: Der Firmenname sollte idealerweise Bezug zum Geschäftsfeld oder zum angebotenen Produkt oder der Dienstleistung haben, um deine Zielgruppe gezielt anzusprechen.
  • Leicht zu merken und aussprechbar: Ein guter Firmenname sollte leicht zu merken und auszusprechen sein, um die Wiedererkennung zu erleichtern und im Gedächtnis zu bleiben.
  • Internationalität: Wenn du auch internationale Kundinnen und Kunden ansprechen möchtest, sollte der Firmenname auch international verständlich sein.
  • Zukunftsfähigkeit: Denke langfristig und prüfe, ob der gewählte Firmenname auch bei zukünftigen Unternehmensentwicklungen und -erweiterungen relevant bleibt.

Hast du einen passenden Firmennamen gefunden, kannst du dir mit diesem direkt deine digitale Identität aufbauen. Ein wesentlicher Bestandteil ist dabei, dass du dir eine Domain sicherst, um jene einzigartige Adresse zu registrieren, mit der deine Inhalte im Web erreichbar sind.

Schritt für Schritt zur eigenen Domain

Die Wahl einer passenden Internetadresse ist ein wichtiger Schritt bei der Schaffung einer starken digitalen Identität und wird oft unterschätzt. Relativ bald im Gründungsprozess und bei der Ideenfindung für deinen Firmennamen solltest du deinen Fokus auf Registrierung einer Domain legen.

Dieses entscheidende Element spiegelt nicht nur dein Unternehmen beziehungsweise deine Marke wider, sondern nimmt auch Einfluss auf den Erfolg im Netz, wenn es um Dinge, wie zum Beispiel Suchmaschinenoptimierung oder Brand Awareness, geht. Lass dir also Zeit bei der Auswahl deiner Domain und geh strategisch vor.

Schritt 1: Ideen generieren

Bei der Auswahl eines Domainnamens ist es wie bei der Wahl des Firmennamens wichtig, sich Zeit zu lassen, um das mögliche Potenzial voll auszuschöpfen. Dabei kann es hilfreich sein, mit einem offenen Brainstorming zu starten und einmal alle Ideen niederzuschreiben. Du kannst dich von der Konkurrenz inspirieren lassen oder den Namen in eine andere Sprache übersetzen. Wirf einen Blick auf deine potenzielle Zielgruppe und hol dir durch eine Keyword-Analyse neue Ansätze.

Schritt 2: Domainname erstellen

Alle Ideen sind gesammelt und bestimmt hast du bereits einen Favoriten für dich entdeckt. Damit es zu einem späteren Zeitpunkt keine bösen Überraschungen gibt, haben wir für dich noch ein paar Tipps zusammengestellt, die du bei der Entwicklung deines Domainnamens unbedingt beachten solltest:

  • Der Domainname sollte so kurz wie möglich sein.
  • Bindestriche, Zahlen oder Umlaute sollten sparsam eingesetzt oder optimalerweise direkt weggelassen werden.
  • Kundinnen und Kunden sollten sich deinen Domainnamen auf Anhieb merken können.
  • Es sollten keine schwierigen Namen sein, bei denen die Schreibweise zu Problemen führen kann.
  • Wenn es Sinn ergibt, sollte ein relevantes Keyword direkt in der Domain enthalten sein.
  • Die Domain sollte leicht mit den Inhalten der Website in Verbindung gebracht werden können.
  • Der Domainname sollte einfach einzutippen sein – auch auf mobilen Endgeräten.
  • Der Name sollte den Sprechtest bestehen.
  • Erwartungen, die durch den Domainnamen geweckt werden, sollen auch erfüllt werden.

Schritt 3: Domainendung wählen

Eine Domain besteht nicht nur aus dem Domainnamen, sondern wird von der Domainendung, den sogenannten Top-Level-Domains (TLD), ergänzt. Es gibt eine Vielzahl an potenziellen Top-Level-Domains. Beginnend bei den Klassikern, wie zum Beispiel .at oder .com. Speziell in den letzten Jahren hat sich aber auch eine Vielzahl an neuen Domainendungen am Markt etabliert. So können Technologie-Unternehmen zum Beispiel auf die .tech-Domain oder Online-Shops auf die .shop-Domain zurückgreifen.

Schritt 4: Domaincheck machen

Wir empfehlen dir, deinen Domain-Favoriten vor dem Kauf nicht nur inhaltlich auf Herz und Nieren zu prüfen, sondern du solltest dies auch im Hinblick auf markenrechtliche Vorgaben sowie die Verfügbarkeit deiner Domain machen. Führe zum Beispiel direkt auf der Website des österreichischen Webhoster world4you einen Domaincheck durch.

Schritt 5: Domain kaufen

Du hast dich für einen Domainnamen entschieden und der Domaincheck war erfolgreich? Perfekt, jetzt steht deinem professionellen Internetauftritt kaum noch etwas im Wege. Entscheide dich im nächsten Schritt für einen passenden Webhoster, dem du deine Website anvertrauen möchtest. Wir von world4you haben einen sicheren Platz für deine digitale Identität und bieten dir bis zum 16. April 2024 die .at- und .com-Domain um nur 6 € im ersten Jahr.

Nach dem Kauf deiner Domain kannst du direkt loslegen, um deine digitale Identität zu stärken. Du kannst eine Website erstellen, die das Unternehmen oder deine persönliche Marke repräsentiert.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Krypto-Forscher über DeFi: “Würde von De-facto-Centralized-Finance sprechen”