Firefish & Co - Multisig Vertrauensproblematik

Hallo zusammen,
habe jetzt schon einiges zu den aktuell verfuegbaren Dienstleistern und Platformen fuer BTC-Kredite gelesen und gesehen. Allerdings vermisse ich bislang eine sehr wichtige Information (dies wurde auch in Roman’s Firefish-Video leider nicht thematisiert - insbesondere waere hier auch ein wenig mehr technischer Hintergrund zum verwendeten Protokoll interessant gewesen): Wer ist die, angeblich unabhaengige, Person oder Institution die einen der Multisig-Schluessel haelt? Bei einer 2 aus 3 Multisig-Konstellation ist das absolut entscheiden zu wissen. Jedenfalls bin ich sehr gespannt wie sich die Loesungsansaetze in diesem Bereich weiter entwickeln werden. Ein absoluter Traum waere eine „100% trustless“ Loesung analog zur BTC-Chain. Freue mich auf eure Antworten! Danke!

1 „Gefällt mir“

Du musst schon Firefish vertrauen. Vielleich hilft dir folgende Erklärung weiter:

4 „Gefällt mir“

Super! Vielen Dank. Hier sind zumindest die technischen Details die ich vermisst hatte.

Firefish funktioniert mit 3-von-3-Multisig und Partially Signed Bitcoin Transactions. Schau dir gerne das verlinkte Relai Webinar an, da gehe ich genauer auf die Technik ein. Wenn du noch Fragen oder auch Verbesserungsvorschläge hast, immer her damit.

Hi, Ich verstehe die Idee des Firefish Protokolls und finde die Ansätze toll, jedoch frage ich mich, ob ein Nutzer auch dessen verlässliche Umsetzung überprüfen kann. Zum Beispiel ist ein zentraler Punkt des Protokolls, dass das ephemere Schlüsselpaar (B-EPH) nach der Einrichtung des Treuhandvertrags vernichtet wird und keine Partei mehr Zugriff auf diese hat. Dies versichert nämlich, dass keine weiteren gültigen Transaktionen ausser den vordefinierten PSBTs (partially signed Bitcoin transactions) erstellt werden können, die die hinterlegten Bitcoin ausgibt. Wie aber kann der Nutzer sich sicher sein, dass das vorgeschlagene Protokoll tatsächlich in dieser Weise ausgeführt wird und z.B. niemand mehr Zugriff auf das ephemere Schlüsselpaar hat? Gibt es die Möglichkeit als Nutzer die Transaktionen, welche das Firefish Protokoll benötigt, lokal selbst zu erstellen und zu signieren oder muss man in dieser Hinsicht Firefish vertrauen? Zum Beispiel wäre es schön, wenn man die PSBTs des Protokolls lokal offline (idealerweise auf einem Hardware-Wallet wie der BitBox) mit einem lokal generiertem ephemeren Schlüsselpaar signieren könnte, sodass man sich sicher sein kann, dass diese Schlüssel nicht in Besitz externer Parteien gelangen. Ausserdem würde ich gerne wissen, ob die Implementierung des Protokolls open-source ist und wenn ja, wo man diese einsehen kann.

2 „Gefällt mir“

Hey, vielen Dank für das Feedback! Das Firefish-Protokoll wurde von Rust Bitcoin Maintainer Martin Habovstiak entwickelt. Martin ist derzeit dabei die Library open-source zu machen, dann kannst du die Browser-App selbst auf deinem PC kompilieren.

Hi, wenn ich das richtig verstanden habe wird ein auf Taproot basierendes 3-3 Multisig verwendet (hatte den Hinweis in einem anderen Thread gelesen, dass die HW Firmware ein update benötigt, deshalb meine Annahme bzgl. Taproot). Ich hatte kürzlich mal versucht so ein setup selbst einzurichten (via Sparrow) und bin dabei draufgekommen dass dies noch garnicht geht. Auf Nachfrage bei Sparrow wurde mir gesagt dass es dafür noch keine „Standard-Implementierung“ gäbe und es deshalb noch nicht möglich ist. Dies würde sicher noch ein bis zwei jahre dauern…. Wie hat firefish diese Implementierug gelöst? Und kann man dem dann so einfach trauen?

Ist das der relevante Hinweis dafür? Sobald es open source ist, kann man das Ganze auch besser nachvollziehen? Und ist das nicht eine zusätzliche, wenig erprobte Risiko-Komponente?

1 „Gefällt mir“

Die Lösung von Firefish kannst du dir hier im Document Hub ansehen:

Oder du wartest bis unsere Library Open Source ist.

1 „Gefällt mir“

Du musst den Leuten hinter Firefish vertrauen, auch der Kreditgeber muss Firefish vertrauen.
Ohne Vertrauen, kein Kredit.
Aber du musst nicht dem Kreditgeber vertrauen und er muss nicht dir vertrauen.

  1. Du zahlst deine Bitcoin auf eine 3/3 Taproot Multisig ein
  2. Firefish zieht sofort ihre Prozente ab
  3. Firefish hat alle Schlüssel, du hast eine Notfall PSBTs und kannst nach Ablauf des Kredites, dir die Bitcoin auszahlen lassen, falls Firefish nicht mehr funktioniert.

Kann man firefish eigentlich auch in Euro bezahlen? Wer will schon seine Bitcoin dafür ausgeben?

Also wenn firefish nicht mehr da sein sollte, wer ist dann das Orakel um das Geschäft zu Ende zu bringen? Oder bekommt der Bitcoiner der seine BTC als Sicherheit hinterlegt hat dann einfach seine Assets zurück und was ist dann mit dem Investor der das Geld verliehen hat?

So wie ich das sehe, bekommt der Kreditnehmer seine BTC nach einer Zeit automatisch zurück. Der Investor ist dann in einer sehr schlechten Position. Firefish sagt, man hat eine Kreditvereinbarung mit der man sein Geld auf dem Rechtsweg selbst zurückholen könnte. Der Haken dabei ist, dass der Investor vom Kreditnehmer nur einen Namen und eine IBAN hat. Er kennt aber keine Meldeadresse. Die Bank des Kreditnehmers darf aus Datenschutzgründen keinerlei Daten herausgeben. Das Geld wird für den Investor also verloren sein.

1 „Gefällt mir“

Sowas dachte ich mir schon. Mal sehen ob hier ggfs. noch ne offizielle Wortmeldung dazu kommt.

Wenn du via Gericht vorgehst, wird die Bank dies sicher machen (müssen). Du hast einen Vertrag, wo alle Konditionen drin stehen und den kannst du einklagen.
Mmn. sollte also Name und IBAN reichen.
Aber ja, der Kreditgeber hat (bei einer Insolvenz von Firefish) die schlechteren Karten und muss zuerst klagen, falls der Kreditnehmer (ein Bitcoiner!) nicht ehrlich ist.

1 „Gefällt mir“

Das Problem ist doch, dass du nicht gegen jemanden klagen kannst, dem du nicht einmal Post zusenden kannst. Ein Gericht könnte vielleicht die Herausgabe von Daten veranlassen, aber da kommst du ja wie gesagt erst gar nicht hin. Siehe z. B. https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2020-N-17026?hl=true

Hinzu kommt dann auch noch, dass man nicht einmal wissen kann, in welchem Land jemand wohnhaft ist. Die IBAN muss das ja nicht unbedingt widerspiegeln. So habe ich z. B. ein Konto bei Revolut mit litauischer IBAN. Ich habe Firefish selbst auch ausprobiert und ein Kreditnehmer hat dort einen deutschen Namen und Konto mit britischer IBAN.

1 „Gefällt mir“

Ohne einer Akteneinsicht bei Firefish (berechtigtes Interesse!) kenne mich nicht mit den Gesetzen aus und habe ChatGPT gefragt:

Mögliche Wege zur Ermittlung der Anschrift

:white_check_mark: A) Bank über Anwalt / Gericht zur Herausgabe zwingen (Auskunftsklage)

  • Die IBAN enthält den Ländercode (z. B. DE für Deutschland).
  • Du kannst beim zuständigen Zivilgericht eine Stufenklage oder Auskunftsklage gegen die Bank erheben, um die Adresse des Kontoinhabers zu erfahren.
  • Voraussetzung: Berechtigtes Interesse nachweisen (z. B. durch den Vertrag und die Überweisung).

:right_arrow: Was du brauchst:

  • Einen Anwalt, der eine Klage gegen die Bank vorbereitet.
  • Nachweis des Leihvertrags + Zahlungsbeleg (Überweisung).

:warning: Problem: Banken unterliegen dem Bankgeheimnis (in Deutschland z. B. § 30a AO), geben Daten nicht freiwillig raus. Aber bei berechtigtem zivilrechtlichem Interesse kann ein Gericht die Bank zur Auskunft verpflichten.


:white_check_mark: B) Anzeige bei der Polizei / Staatsanwaltschaft (z. B. wegen Betrugsverdacht)

  • Falls der Vertrag nicht eingehalten wird (z. B. keine Rückzahlung), kannst du Anzeige wegen Betrugs (§ 263 StGB) erstatten.
  • Die Polizei oder Staatsanwaltschaft kann dann über die IBAN und den Namen die Adresse ermitteln.

:right_arrow: Vorteil: Strafverfolger haben mehr Befugnisse zur Datenerhebung.

:right_arrow: Nachteil: Du bekommst die Adresse eventuell nicht direkt, aber kannst über den Staatsanwalt Akteneinsicht beantragen (über einen Anwalt).

1 „Gefällt mir“

Alles schön und gut, das zeigt aber auch, so wie @Klabauterman bereits beschrieben hat, dass der Investor einfach ein zusätzliches, nicht unbeachtliches Risiko trägt. Klar kann man klagen, das geht immer, aber das ist dann auch ein aufwand wo man bereits davon ausgehen kann dass es eine weile dauern wird bis man sein Recht geltend machen kann. Für Borrowers gibts da eigentlich gar kein risiko, weil ja der Ausgang bereits mittels signaturen cryptografisch gezeichnet sind.

Für den Fall, dass Firefish vollständig ausfällt und der Kredit nicht zurückgezahlt wird, müsste der Kreditgeber den Kreditnehmer anklagen. Die Bank muss dem Kreditgeber die Adresse des Kreditnehmers bereitstellen.

Grundsätzlich wäre es möglich, dass Firefish beiden Parteien die jeweilige Wohnadresse anzeigt. Aus Privacy-Gründen haben wir uns bewusst dagegen entschieden.

Wir evaluieren derzeit zusätzliche Möglichkeiten, wie wir Investoren im sehr unwahrscheinlichen Fall eines vollständigen Firefish-Ausfalls besser absichern können, ohne dabei die Organisation und Nutzererfahrung zu verkomplizieren oder zusätzliche Sicherheitsrisiken zu schaffen.

2 „Gefällt mir“

Nein, die Firefish-Gebühr kann nicht in EUR gezahlt werden. Wenn du einen Vorschlag hast wie wir das nutzerfreundlich umsetzen können, dann gerne her damit. Allerdings wollen wir als Bitcoin-only-Unternehmen lieber BTC von unseren Kunden erhalten, und kein Fiat.

2 „Gefällt mir“

Eine adäquate Sicherheit für den Rückzahlungsanspruch ist für jeden Kreditgeber essentiell. Kein vernünftiger Investor würde ohne adäquate Sicherheit Geld an mehr oder weniger unbekannte, möglicherweise gar im Ausland ansässige Fremde verleihen.

Die ursprünglich durch die Blockierung der Bitcoin gegebene Sicherheit kann bei Ausfall von Firefish durch den Kreditnehmer auch ohne eine Rückzahlung des Kredits sowie der Zinsen einseitig zurückerlangt werden mit der Folge, dass der Kreditgeber plötzlich ohne jegliche Sicherheit dasteht. Dies ist aus Sicht des Investors völlig inakzeptabel. Ganz offensichtlich hat Firefish der Sicherheit der Kreditnehmer deutlich mehr Aufmerksamkeit beigemessen als der Sicherheit der Kreditgeber.

Völlig inakzeptabel ist insoweit auch, den Kreditgeber nach Wegfall seiner Sicherheit auf den Rechtsweg und die Möglichkeit einer Zivilklage zu verweisen.

  1. Der Kreditgeber trägt ein erhebliches Risiko, überhaupt die eindeutige Identität sowie eine ladungs-/zustellfähige Anschrift des Kreditnehmers ermitteln zu können.

Irgendeinen Rechtsanspruch gegenüber der Bank des Kreditnehmers auf Auskunftserteilung kann ich nicht erkennen. Eine Bank ist sicher nicht berechtigt oder gar verpflichtet, jemandem, der einen Anspruch gegen einen Bankkunden zunächst nur behauptet, solche Auskünfte zu erteilen.

In Deutschland können Gläubiger die aktuelle Anschrift eines Schuldners gegebenenfalls über eine EMA-Abfrage bei den Einwohnermeldeämtern ermitteln. Hierzu ist allerdings ein vollständiger Name, ein Geburtsdatum zur Vermeidung von Verwechslungen sowie die letzte bekannte Meldeadresse erforderlich. Diese Daten sind Firefish im Rahmen des kyc-Prinzips vollständig bekannt, werden den Kreditgebern aber aus Privacy-Gründen nicht zur Verfügung gestellt. Wenn sich jemand Geld bei einem Dritten leiht, müssen allerdings Privacy-Gründe schon hinter dem Sicherungsbedürfnis des Kreditgebers zurückstehen.

Schließlich besteht das Risiko, dass der Kreditnehmer seinen Meldepflichten nicht nachgekommen ist und eine aktuelle Adresse trotz Vorliegen der erforderlichen Daten nicht ermittelt werden kann. Irgendein Mahnbescheid oder eine Klage scheitert dann bereits mangels zustellfähiger Anschrift. Sämtliche Gerichtsdokumente müssen im Rahmen eines Rechtsstreits den Parteien zugestellt werden, sonst kann ein Rechtsstreit erst gar nicht geführt werden. Eine Adressermittlung des Beklagten von Amts wegen durch das Gericht findet nicht statt. Es obliegt allein dem Kläger, eine zustellfähige Anschrift des Prozessgegners beizubringen.

Das ist die Situation in Deutschland. Hat der Kreditnehmer seinen Wohnsitz im Ausland, erschweren sich Adressermittlung sowie Zustellungen nochmals erheblich.

  1. Kann eine Klage schließlich eingereicht und zugestellt werden, ist jeder Rechtsstreit mit erheblichem Zeit- und Kostenaufwand verbunden. Der Kläger muss zunächst sämtliche Gerichtskosten verauslagen und insbesondere seine eigenen Anwaltskosten in erheblicher Höhe zunächst tragen. Selbst wenn die Kosten nach monatelangem Rechtsstreit am Ende durch Urteil dem Beklagten auferlegt werden, trägt der Kläger das volle Ausfallrisiko hinsichtlich seines Kostenerstattungsanspruchs.

Schließlich verbleibt auch ein Prozessrisiko selbst. Jedem, der schon einmal einen Zivilrechtsstreit geführt hat, ist bewusst, dass Recht haben und Recht bekommen bekanntlich nicht dasselbe ist.

Wäre ein Rechtsstreit gar im europäischen Ausland zu führen, schreibt man seine Investition besser gleich ab und vermeidet unnötige weitere Kosten. Einen Zahlungsanspruch z.B. selbst im EU-Nachbarland Frankreich außergerichtlich bzw. gerichtlich nach französischem Recht geltend zu machen, ist nochmals erheblich zeit- und kostenaufwändiger und unwägbarer als ein Rechtsstreit nach deutschem Recht in Deutschland.

  1. Sollte der Kreditgeber einen Rechtsstreit erfolgreich führen können und in diesem vollständig obsiegen, hat er zwar eine titulierte Forderung, aber noch lange kein Geld. Zahlt der Kreditnehmer auf das Urteil nicht freiwillig, muss der Kreditgeber die Zwangsvollstreckung aus dem Urteil und dem Kostenfestsetzungsbeschluss betreiben. Ist der Kreditnehmer mittlerweile unbekannt verzogen und/oder zahlungsunfähig oder geht in die Privatinsolvenz, bleibt jede Zwangsvollstreckung erfolglos. Dann gilt „außer Spesen nichts gewesen“.

Nur der Ordnung sei schließlich erwähnt, dass ein ausländischer Wohnsitz des Schuldners jede Zwangsvollstreckungsmaßnahme nochmals zusätzlich erheblich erschwert.

Im Ergebnis besteht hinsichtlich der Sicherung der Investoren für den Fall eines Ausfalls von Firefish erheblicher Nachbesserungsbedarf seitens Firefish. Jeder Investor muss schließlich für sich selbst entscheiden, wie hoch er das Risiko eine Ausfalls von Firefish bewertet. Bei einem Plattformausfall ist ein Totalverlust des Invests nebst Zinsen allerdings nicht unwahrscheinlich. Dies gilt insbesondere für Kreditnehmer mit Wohnsitz im Ausland. Ein Investor sollte daher nur solche Beträge über Firefish investieren, welche er vollständig zu verlieren bereit ist.

1 „Gefällt mir“