Firefish & Co - Multisig Vertrauensproblematik

adidadi · 14. März 2025 um 14:27

Hallo zusammen,
habe jetzt schon einiges zu den aktuell verfuegbaren Dienstleistern und Platformen fuer BTC-Kredite gelesen und gesehen. Allerdings vermisse ich bislang eine sehr wichtige Information (dies wurde auch in Roman’s Firefish-Video leider nicht thematisiert - insbesondere waere hier auch ein wenig mehr technischer Hintergrund zum verwendeten Protokoll interessant gewesen): Wer ist die, angeblich unabhaengige, Person oder Institution die einen der Multisig-Schluessel haelt? Bei einer 2 aus 3 Multisig-Konstellation ist das absolut entscheiden zu wissen. Jedenfalls bin ich sehr gespannt wie sich die Loesungsansaetze in diesem Bereich weiter entwickeln werden. Ein absoluter Traum waere eine „100% trustless“ Loesung analog zur BTC-Chain. Freue mich auf eure Antworten! Danke!

btc.for.freedom · 14. März 2025 um 14:54

Du musst schon Firefish vertrauen. Vielleich hilft dir folgende Erklärung weiter:

adidadi · 14. März 2025 um 15:15

Super! Vielen Dank. Hier sind zumindest die technischen Details die ich vermisst hatte.

Finn_Firefish · 15. März 2025 um 18:56

Firefish funktioniert mit 3-von-3-Multisig und Partially Signed Bitcoin Transactions. Schau dir gerne das verlinkte Relai Webinar an, da gehe ich genauer auf die Technik ein. Wenn du noch Fragen oder auch Verbesserungsvorschläge hast, immer her damit.

Midan · 30. März 2025 um 14:58

Hi, Ich verstehe die Idee des Firefish Protokolls und finde die Ansätze toll, jedoch frage ich mich, ob ein Nutzer auch dessen verlässliche Umsetzung überprüfen kann. Zum Beispiel ist ein zentraler Punkt des Protokolls, dass das ephemere Schlüsselpaar (B-EPH) nach der Einrichtung des Treuhandvertrags vernichtet wird und keine Partei mehr Zugriff auf diese hat. Dies versichert nämlich, dass keine weiteren gültigen Transaktionen ausser den vordefinierten PSBTs (partially signed Bitcoin transactions) erstellt werden können, die die hinterlegten Bitcoin ausgibt. Wie aber kann der Nutzer sich sicher sein, dass das vorgeschlagene Protokoll tatsächlich in dieser Weise ausgeführt wird und z.B. niemand mehr Zugriff auf das ephemere Schlüsselpaar hat? Gibt es die Möglichkeit als Nutzer die Transaktionen, welche das Firefish Protokoll benötigt, lokal selbst zu erstellen und zu signieren oder muss man in dieser Hinsicht Firefish vertrauen? Zum Beispiel wäre es schön, wenn man die PSBTs des Protokolls lokal offline (idealerweise auf einem Hardware-Wallet wie der BitBox) mit einem lokal generiertem ephemeren Schlüsselpaar signieren könnte, sodass man sich sicher sein kann, dass diese Schlüssel nicht in Besitz externer Parteien gelangen. Ausserdem würde ich gerne wissen, ob die Implementierung des Protokolls open-source ist und wenn ja, wo man diese einsehen kann.

Finn_Firefish · 1. April 2025 um 07:28

Hey, vielen Dank für das Feedback! Das Firefish-Protokoll wurde von Rust Bitcoin Maintainer Martin Habovstiak entwickelt. Martin ist derzeit dabei die Library open-source zu machen, dann kannst du die Browser-App selbst auf deinem PC kompilieren.

tabsats · 5. April 2025 um 08:52

Hi, wenn ich das richtig verstanden habe wird ein auf Taproot basierendes 3-3 Multisig verwendet (hatte den Hinweis in einem anderen Thread gelesen, dass die HW Firmware ein update benötigt, deshalb meine Annahme bzgl. Taproot). Ich hatte kürzlich mal versucht so ein setup selbst einzurichten (via Sparrow) und bin dabei draufgekommen dass dies noch garnicht geht. Auf Nachfrage bei Sparrow wurde mir gesagt dass es dafür noch keine „Standard-Implementierung“ gäbe und es deshalb noch nicht möglich ist. Dies würde sicher noch ein bis zwei jahre dauern…. Wie hat firefish diese Implementierug gelöst? Und kann man dem dann so einfach trauen?

Ist das der relevante Hinweis dafür? Sobald es open source ist, kann man das Ganze auch besser nachvollziehen? Und ist das nicht eine zusätzliche, wenig erprobte Risiko-Komponente?

Finn_Firefish · 9. April 2025 um 14:57

Die Lösung von Firefish kannst du dir hier im Document Hub ansehen:

Oder du wartest bis unsere Library Open Source ist.

pjw · 10. April 2025 um 05:03

Du musst den Leuten hinter Firefish vertrauen, auch der Kreditgeber muss Firefish vertrauen.
Ohne Vertrauen, kein Kredit.
Aber du musst nicht dem Kreditgeber vertrauen und er muss nicht dir vertrauen.

Du zahlst deine Bitcoin auf eine 3/3 Taproot Multisig ein
Firefish zieht sofort ihre Prozente ab
Firefish hat alle Schlüssel, du hast eine Notfall PSBTs und kannst nach Ablauf des Kredites, dir die Bitcoin auszahlen lassen, falls Firefish nicht mehr funktioniert.

Achse · 10. April 2025 um 20:25

Kann man firefish eigentlich auch in Euro bezahlen? Wer will schon seine Bitcoin dafür ausgeben?

tabsats · 14. April 2025 um 19:55

Also wenn firefish nicht mehr da sein sollte, wer ist dann das Orakel um das Geschäft zu Ende zu bringen? Oder bekommt der Bitcoiner der seine BTC als Sicherheit hinterlegt hat dann einfach seine Assets zurück und was ist dann mit dem Investor der das Geld verliehen hat?

Klabauterman · 14. April 2025 um 20:08

So wie ich das sehe, bekommt der Kreditnehmer seine BTC nach einer Zeit automatisch zurück. Der Investor ist dann in einer sehr schlechten Position. Firefish sagt, man hat eine Kreditvereinbarung mit der man sein Geld auf dem Rechtsweg selbst zurückholen könnte. Der Haken dabei ist, dass der Investor vom Kreditnehmer nur einen Namen und eine IBAN hat. Er kennt aber keine Meldeadresse. Die Bank des Kreditnehmers darf aus Datenschutzgründen keinerlei Daten herausgeben. Das Geld wird für den Investor also verloren sein.

tabsats · 14. April 2025 um 20:11

Sowas dachte ich mir schon. Mal sehen ob hier ggfs. noch ne offizielle Wortmeldung dazu kommt.

pjw · 14. April 2025 um 20:26

Wenn du via Gericht vorgehst, wird die Bank dies sicher machen (müssen). Du hast einen Vertrag, wo alle Konditionen drin stehen und den kannst du einklagen.
Mmn. sollte also Name und IBAN reichen.
Aber ja, der Kreditgeber hat (bei einer Insolvenz von Firefish) die schlechteren Karten und muss zuerst klagen, falls der Kreditnehmer (ein Bitcoiner!) nicht ehrlich ist.

Klabauterman · 14. April 2025 um 21:08

Das Problem ist doch, dass du nicht gegen jemanden klagen kannst, dem du nicht einmal Post zusenden kannst. Ein Gericht könnte vielleicht die Herausgabe von Daten veranlassen, aber da kommst du ja wie gesagt erst gar nicht hin. Siehe z. B. https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2020-N-17026?hl=true

Hinzu kommt dann auch noch, dass man nicht einmal wissen kann, in welchem Land jemand wohnhaft ist. Die IBAN muss das ja nicht unbedingt widerspiegeln. So habe ich z. B. ein Konto bei Revolut mit litauischer IBAN. Ich habe Firefish selbst auch ausprobiert und ein Kreditnehmer hat dort einen deutschen Namen und Konto mit britischer IBAN.

pjw · 15. April 2025 um 05:49

Ohne einer Akteneinsicht bei Firefish (berechtigtes Interesse!) kenne mich nicht mit den Gesetzen aus und habe ChatGPT gefragt:

Mögliche Wege zur Ermittlung der Anschrift

A) Bank über Anwalt / Gericht zur Herausgabe zwingen (Auskunftsklage)

Die IBAN enthält den Ländercode (z. B. DE für Deutschland).
Du kannst beim zuständigen Zivilgericht eine Stufenklage oder Auskunftsklage gegen die Bank erheben, um die Adresse des Kontoinhabers zu erfahren.
Voraussetzung: Berechtigtes Interesse nachweisen (z. B. durch den Vertrag und die Überweisung).

Was du brauchst:

Einen Anwalt, der eine Klage gegen die Bank vorbereitet.
Nachweis des Leihvertrags + Zahlungsbeleg (Überweisung).

Problem: Banken unterliegen dem Bankgeheimnis (in Deutschland z. B. § 30a AO), geben Daten nicht freiwillig raus. Aber bei berechtigtem zivilrechtlichem Interesse kann ein Gericht die Bank zur Auskunft verpflichten.

B) Anzeige bei der Polizei / Staatsanwaltschaft (z. B. wegen Betrugsverdacht)

Falls der Vertrag nicht eingehalten wird (z. B. keine Rückzahlung), kannst du Anzeige wegen Betrugs (§ 263 StGB) erstatten.
Die Polizei oder Staatsanwaltschaft kann dann über die IBAN und den Namen die Adresse ermitteln.

Vorteil: Strafverfolger haben mehr Befugnisse zur Datenerhebung.

Nachteil: Du bekommst die Adresse eventuell nicht direkt, aber kannst über den Staatsanwalt Akteneinsicht beantragen (über einen Anwalt).

tabsats · 15. April 2025 um 05:57

Alles schön und gut, das zeigt aber auch, so wie @Klabauterman bereits beschrieben hat, dass der Investor einfach ein zusätzliches, nicht unbeachtliches Risiko trägt. Klar kann man klagen, das geht immer, aber das ist dann auch ein aufwand wo man bereits davon ausgehen kann dass es eine weile dauern wird bis man sein Recht geltend machen kann. Für Borrowers gibts da eigentlich gar kein risiko, weil ja der Ausgang bereits mittels signaturen cryptografisch gezeichnet sind.

Finn_Firefish · 17. April 2025 um 09:33

Für den Fall, dass Firefish vollständig ausfällt und der Kredit nicht zurückgezahlt wird, müsste der Kreditgeber den Kreditnehmer anklagen. Die Bank muss dem Kreditgeber die Adresse des Kreditnehmers bereitstellen.

Grundsätzlich wäre es möglich, dass Firefish beiden Parteien die jeweilige Wohnadresse anzeigt. Aus Privacy-Gründen haben wir uns bewusst dagegen entschieden.

Wir evaluieren derzeit zusätzliche Möglichkeiten, wie wir Investoren im sehr unwahrscheinlichen Fall eines vollständigen Firefish-Ausfalls besser absichern können, ohne dabei die Organisation und Nutzererfahrung zu verkomplizieren oder zusätzliche Sicherheitsrisiken zu schaffen.

Finn_Firefish · 17. April 2025 um 09:36

Nein, die Firefish-Gebühr kann nicht in EUR gezahlt werden. Wenn du einen Vorschlag hast wie wir das nutzerfreundlich umsetzen können, dann gerne her damit. Allerdings wollen wir als Bitcoin-only-Unternehmen lieber BTC von unseren Kunden erhalten, und kein Fiat.