Bisq und "tainted coins"?

Hallo zusammen,

Die Idee, BTC via Bisq ohne KYC zu kaufen klingt interessant, und ich habe mich (bisher nur „trocken“) etwas damit auseinandergesetzt. Meine Frage ist, wie ich als Käufer verhindern kann (falls überhaupt), Coins zu bekommen, die z.B. aus einer Ransomware-Aktion oder anderen kriminellen Ativitäten stammen. Es ist ja bekannt, dass viele Exchanges beim Empfang von Coins gewisse Tests machen, also etwa gegen Blacklists der Polizei verifizieren, und auch testen, ob die Dinger aus einem Coinjoin kommen, was oft zu einer Ablehnung führen kann. Mir stellt sich jetzt die Frage, ob und in welcher Form ich als Privatperson auch solche Tests machen kann - oder ob man von Bisq besser die Finger lassen muss. Es geht also um mehrere Teilaspekte:

  • Sehe ich in Bisq vor dem eigentlichen Kauf die Adresse der angebotenen Coins? Es scheint ja der Bitcoin zusammen mit den beiden security Deposits in eine 2-to-2 Multisig zu gehen, und die müsste man auf der Blockchain sehen. Wird mir diese Adresse mitgeteilt, oder muss ich mir die (z.B. aufgrund der Input-Grössen) selber raussuchen? Allerdings geschieht diese Transaktion natürlich erst, nachdem ich als Käufer das Angebot angenommen habe.

  • Wenn ich dann die Adresse kenne, was für Verifikationsmöglichkeiten habe ich? Coinjoins kann man ja relativ selber einfach testen, aber kann ich z.B. irgendwie eine Art Score bekommen, wie „sauber“ die Adresse ist, vergleichbar mit dem, was eine Exchange hier machen würde? Diese Frage ist natürlich erst mal von Bisq unabhängig.

  • Sollte die Adresse problematisch sein (kann ich also etwa einen Coinjoin nachweisen, oder dass eine der Vorgängeradressen blacklisted ist) und gab es keine Möglichkeit, die Adresse vor der Annahme des Angebotes herauszufinden - kann ich dann den Kauf abbrechen, ohne meine security Deposit zu verlieren? Blockchain-Gebühren würde ich selbstverständlich verlieren, aber die Security Deposit wäre problematisch.

Zu meinem Background: Bisher habe ich immer vollständig mit KYC gekauft (v.a. via Kraken) und auf Coinjoins verzichtet - es scheint mir momentan sinnvoller, sich in Sachen Privacy auf Lightning und in Zukunft Taproot (da dann ja jede normale Transaktion ein Coinswap sein könnte) zu verlassen, aber ich höre immer wieder, man solle unbedingt auf KYC-freie Käufe achten, denn KYC-freie Coins seien viel „wertvoller“; mein eigener Eindruck ist hier eher genau das Gegenteil. Ich frage mich daher, ob ich auf dem Holzweg bin und KYC-freier Einkauf doch das eigentlich Richtige wäre.

1 „Gefällt mir“

Eine gute Frage.
Ich habe ja auch schon hier die Frage gestellt, inwiefern KYC Coins in Lightning Channels zu Sicherheits Issues führen können.

Tendenziell glaube ich, dass wir letztendlich Bitcoin in der Welt nur unter weitgehendem Verlust der Privacy durchsetzen können.

Es gibt hier sicher keine universelle Antwort auf deine Fragen, denn wie vieles andere, hängt der Wert und die „Sicherheit“ deiner Bitcoin von mehreren Faktoren ab.

Zu deinen technischen Fragen zu Bisq und Chain-Analyse:

  • Du wirst vor dem akzeptieren des Angebots nur sehr schwer prüfen können welche Sats du kaufen wirst.
  • Du kannst, nachdem du ein Angebot angenommen hast nicht mehr einfach so zurück. Der Trade wird in die Mediation gehen und deine Angst vor „schmutzigen“ Sats ist kein Grund nicht zu überweisen.
  • Das gleiche gilt natürlich auch für ein Trade Offer das du erstellt hast.
  • Viele Tools (z.B. die von Chainanalysis) sind der Öffentlichkeit nicht zugänglich. Du wirst die BTC also nie besser überprüfen können als gewisse Behörden/Firmen (und dadurch auch Exchanges).

Grundsätzlich sei gesagt, dass es sehr wohl sein kann, dass du tainted Coins kaufst. Das kann dir auf KYC-Exchanges natürlich nicht passieren. Auf Bisq ist die Wahrscheinlichkeit solche Coins zu kaufen nun mal ziemlich hoch. Nicht umsonst weist das Netzwerk ein sehr hohes Monero-Volumen auf. Du musst also immer davon ausgehen und ich würde nie Sats die ich auf Bisq gekauft habe ohne CoinJoin (o.Ä.) weitersenden - schon gar nicht auf KYC-Exchanges.* Selbst wenn deren Überwachungssystem nicht sofort anschlägt, kann es passieren, dass du von der Staatsgewalt ein paar Monate später Besuch bekommst, da ein Krimineller aufgeflogen ist und seine BTC Adresse mit deinen Sats verknüpft werden konnte.

Natürlich hat aber beides seine Trade-Offs.
Ich finde du solltest dich fragen wieso du non-KYC Sats haben möchtest. Kaufst du dir die um sie 2-3 Jahre zu halten um sie dann wieder auf einer Exchange zu verscherbeln? Oder willst du sie über zig Jahre halten und unbedingt vermeiden, dass jemand weiß, dass du sie erst gekauft hast?
Was spricht dagegen sich zwei Stacks aufzubauen? Einen über KYC-Exchanges und einen über Bisq?

Ich finde vor allem der heutige Tag hat gezeigt, dass man keinen zentralen Entitäten die sensitive Informationen von uns speichern vertrauen sollte. Selbst wenn sie für die besten Sicherheitsvorkehrungen sorgen, werden sie früher oder später ein Datenleck haben.
Egal ob Behörden, Exchanges oder andere Services.

Auf Bisq bist alleine du für dein Handeln verantwortlich.

Das hängt total von der Situation ab. Wenn du dir Drogen im Darknet kaufst, kann dir egal sein ob die BTC vorher schon schmutzig waren solange sie nicht zu deiner Identität verknüpft werden können. Das gleiche gilt für Leute die flüchten müssen oder deren Vermögen vom Staat heimgesucht wird. Für Leute die Bitcoin als reines Investment kaufen ist das mit Sicherheit nicht so wichtig. Die sollen sich lieber Bitcoin auf der Exchange kaufen, diesen Kauf sorgfältig dokumentieren und dann beim Verkauf die Herkunft nachweisen. Natürlich wird man es dann aber bei einem Bitcoin-Verbot oder einer Enteignung nicht so einfach haben.

Öffentlich einsehbar sind solche Scores noch nicht, ich kann mir aber gut vorstellen, dass so etwas in Zukunft Programm sein wird. BTC die du von Exchanges versendet hast und du verifiziert hast, dass dir die Adresse gehört, werden für Behörden und Exchanges sicherlich sauberer sein.

*Würde aber auch keine Sats aus Coinjoins zu Bitpanda oder anderen krass regulierten Exchanges schicken. Da hört man ja immer wieder öfter, dass sie dich dann bis zur Unterhose ausziehen bevor du auf die Funds wieder zugreifen kannst. Einmal gab es auch einen Fall auf Binance bei dem sogar nach dem Withdraw ein Coinjoin den Alarm ausgelöst hat. Ich würde hier vorsichtig sein und ausschließlich Exchanges nutzen die keine derartige Vergangenheit haben.

2 „Gefällt mir“

Danke für die ausführliche Antwort, das deckt sich auch in etwa mit meinen Überlegungen. Von einem krassen Enteignungs-Szenario gehe ich jetzt auch nicht aus, zumindest nicht ohne längere Vorwarnzeit. Hoffe ich zumindest :slight_smile:

Ein Punkt, bei dem ich noch etwas unsicher bin ist, dass Coins, die ich bei ner Exchange eingekauft habe, bei mir nicht auf der Original-Adresse liegenbleiben. Eventuell mache ich mal eine kleine Zahlung damit (ohne Adress Reuse für das Wechselgeld), öffne mit einem Teil einen LN Kanal, oder transportiere sie genau aus Gründen der Privacy zu anderen Adressen (was v.a. nach dem Taproot Update Einiges bringen kann). Dies mit der Überlegung, dass mir danach niemand mehr beweisen kann, dass die Adresse am Ende noch mir gehört (abgesehen von Heuristiken, die aber nie einen Beweis darstellen), ich in einem extremen Enteignungsszenario also argumentieren könnte, dass ich mit den Coins längst etwas gekauft habe, was die Blockchain sozusagen belegt. Umgekehrt kann ich aber im Bedarfsfall genau diesen Beweis antreten, indem ich z.B. mit den private Keys aller „Transitadressen“ einen Text signiere. Die Frage ist natürlich, ob ich mit solchen weitergereichten Coins in Zukunft Probleme bekommen könnte; sie sind zwar eindeutig nicht tainted (denn sie stammen in direkter Reihe von einer sauberen Exchange-Adresse), aber ob ihr KYC-Status „anerkannt“ wird, hängt davon ab, ob dieser Beweis des Besitzers aller Transit-private-Keys ausreicht. Ich denke, dem ist so - oder gibt es auch dazu Gegenbeispiele oder realistische Befürchtungen, dass dies nicht reicht?

Seht ihr übrigens Probleme bei der Annahme von LN Kanälen? Es könnte ja grundsätzlich jemand einen tainted Coin reinwaschen, indem er zu mir einen Kanal mit diesem Coin als Input öffnet, dann soviel er kann von diesem Kanal auf andere seiner Kanäle rebalanced (soweit es meine Outgoing Liquidität erlaubt), und den Kanal danach wieder schliesst. Die Mutlisig mit dem tainted Coin als Input wird dann sozusagen bei mir enleert, während der Andere seine BTC auf einem oder mehreren sauberen Kanälen wieder reinbekommt. Dem könnte man eventuell etwas vorbeugen, indem man Kanäle nur bis zu einer maximalen Grösse akzeptiert? Oder bin ich hier zu paranoid?