Bitcoin-Fans scheinen nicht immer eine sympathische Spezies zu sein. Es finden sich unter ihnen unter anderem Impfgegner, die in Kanada im Frühjahr 2022 ganze Städte blockierten, Trumpisten und Rechtsextreme, Radikal-Libertäre mit unverhohlener Verachtung für jeglichen Sozialstaat, Drogendealer, Cyberkriminelle, sogar einige Kommunisten und natürlich Peter Thiel. Vor allem scheint einigen von ihnen jegliches ökologisches Bewusstsein fremd. Der Klimawandel kann hinten angestellt werden, solange der Kurs immer neue ATHs – All Time Highs, also Allzeithöchststände – erreicht und die Gewinne sprudeln. So jedenfalls die Anschuldigung.
Dies ist jedoch nicht das ganze Bild. Bitcoin-Erfinder Satoshi Nakamoto, eine bis heute anonyme Person, hatte eine dezentrale Währung im Sinn. Jeder Mensch sollte von einem Bezahlsystem ohne Mittelsmänner profitieren und eine Art Konto unterhalten können, das Käufe und Verkäufe sowie Sparen ermöglichte. Ohne eine Bank dafür um Erlaubnis zu fragen, ohne einen Adress- oder Bonitätsnachweis erbringen zu müssen, und ohne Gebühren für die Kontoführung.
Eine schöne Utopie, die emanzipatorisches Potenzial hat – man denke an Dissidenten, Migranten, Obdachlose und Hochverschuldete – und die Abhängigkeit der Wirtschaft vom Wohlergehen der Banken zumindest etwas verringern könnte. Und die schon ansatzweise funktioniert. Eine große Herausforderung, die Skalierbarkeit auf Hunderte Millionen Nutzer, scheint mit der Lightning-Technologie inzwischen gelöst zu sein.
Einem wirklich massiven Einsatz von Bitcoin, um die Banken zu "entlasten" – so der Rapper und damalige Bitcoin-Fan Kool Savas 2017 auf einer Krypto-Konferenz – stehen noch hauptsächlich zwei Dinge im Weg. Erstens die Volatilität: Der Bitcoin-Preis schwankte etwa in den Jahren seit 2020 zwischen rund 3000 (am Anfang der Corona-Pandemie) und rund 70.000 US-Dollar im November 2021.
Proof of Work: Was Bitcoin sicher macht
Dazu kommt, zweitens, der Stromverbrauch. Die Sicherheit des Bitcoin basiert auf dem sogenannten Proof-of-Work, in Anlehnung ans Goldschürfen auch "Mining" oder "Schürfen" genannt, mit dem das Bitcoin-System gesichert wird.
Die Blockchain (Block-Kette) besteht, wie der Name schon sagt, aus Blöcken. Bei diesen handelt es sich um Bündel von Transaktionen, die so aneinander gekettet werden, dass sie nicht mehr unbemerkt modifiziert werden können. Dazu wird aus den Daten jedes Blocks ein Hash – eine sehr lange, eindeutige Zahl – errechnet, die im nächsten Block gesichert wird. Die Konsequenz: Kein Block kann einfach so manipuliert werden, da sich dann der Hash im Folgeblock ändern würde.
Als "Miner" bezeichnet man Computer, die an dieser Sicherung oder Validierung teilnehmen. Pro Block winkt eine Belohnung von derzeit 6,25 Bitcoins (ca. 180.000 Euro). Sobald ein neuer Block an die Blockchain angehängt wird, versuchen sich alle "Miner" daran, mit neuen Transaktionen einen neuen Block zusammenzustellen und einen neuen Hash zu errechnen. Dieser muss jedoch bestimmte Bedingungen erfüllen.
Die Regeln des Bitcoin-Protokolls besagen: Je mehr Rechenleistung die Miner insgesamt aufwenden, um so härter werden diese Bedingungen.[1] Dadurch wird verhindert, dass immer mehr Blöcke generiert werden und das Netzwerk immer schneller wird – stattdessen wird durchschnittlich alle 10 Minuten ein Block generiert. Da diese Schwierigkeit ("difficulty") inzwischen sehr hoch liegt, müssen die Miner heute Abermillionen Hashes errechnen, bis einer von ihnen die Bedingungen erfüllt.
Warum der ganze Aufwand? Es dient zur Verhinderung von "Double Spends", doppelten Ausgaben vorhandener Geldeinheiten, kurz "Coins" genannt. Hinter dem Fachbegriff versteckt sich ein einfacher Betrugsversuch: Ein Angreifer könnte einem Geschäftspartner vorgaukeln, eine Rechnung bezahlt zu haben – und nach Erhalt der Lieferung die Zahlung zurückbuchen.
Dies ist theoretisch durch eine sogenannte "Reorganisation" der Blockchain möglich. Der Angreifende könnte folgendermaßen vorgehen: Hat er die Lieferung erhalten, "stutzt" er die Blockchain im Nachhinein genau vor der Zahlung, er löscht also alle Blöcke dahinter. Stattdessen hängt er selbst zusammengestellte Blöcke daran, die statt der Zahlung an den Geschäftspartner eine Transaktion auf eine seiner eigenen Geldbörsen (auch Wallet genannt) enthalten. Es entsteht also eine Spaltung und eine neue "Spitze" der Blockchain.
Dies ist durchaus regelgerecht möglich. Für diesen Angreifer gilt jedoch das gleiche wie für jeden anderen Miner: er muss für jeden Block regelgerechte Hashes errechnen. Da eine Zahlung von vielen Händlern nur angenommen wird, wenn sie mindestens sechs Blöcke alt ist, muss der Angreifer sicherstellen, mindestens sechsmal hintereinander einen passenden Hash zu errechnen. Dies zuverlässig und schnell genug (er darf nicht viel mehr als eine Stunde brauchen, da bei Bitcoin ein Richtwert von 10 Minuten pro Block gilt) zu schaffen, geht nur mit erheblicher Rechenleistung – sie muss mindestens 50 Prozent der Summe aller anderen Miner zusammen entsprechen. Das ist sehr teuer, teurer als die Profite, die sich mit solchen Angriffen herausschlagen lassen.
Dieses sogenannte Arbeitsbeweis- oder Proof-of-Work-System hat sich nun fast 14 Jahre lang bei Bitcoin bewährt. Das Stromverbrauch-Problem soll dennoch hier auf keinen Fall schöngeredet werden. Das Mining sorgt zwar nur für rund 0,1 Prozent des weltweiten Primärenergieverbrauchs, und rund 40 bis 70 Prozent davon – je nach Schätzung – stammen aus erneuerbaren Quellen. Doch dies sorgt bisher immer noch für 42 bis 65 Millionen Tonnen Kohlenstoffdioxid, und wir sollten doch jede Tonne davon versuchen einzusparen. Das dürfte doch technisch möglich sein. Oder?
Proof of Stake: Die scheinbar umweltfreundliche Alternative
So kamen dann auch Umweltverbände im März 2022 auf eine Idee: eine Website zu erstellen, die den Namen Change the Code, not the Climate trägt. Das Ziel: Bitcoin sollte doch bitte das Proof-of-Stake-Verfahren einführen. Dieses sorgt tatsächlich inzwischen für die Sicherheit zahlreicher kleinerer Kryptowährungen und treibt ab dem 15. September 2022 die Blockchain des zweitgrößten Coins, Ethereum, an.
Was ist Proof of Stake? Bei Proof of Stake (PoS, auf Deutsch auch Besitznachweis genannt) stehen die "Validatoren", wie bei PoS jene Teilnehmer genannt werden, die die Blöcke zur Blockchain zusammenstellen, nicht über die Berechnung der Hashes miteinander im Wettbewerb. Stattdessen müssen sie den Besitz einer bestimmten Anzahl von Coins nachweisen.[2]
Kurz gesagt: Bei Proof of Stake haben nicht die Teilnehmer mit den größten Serverfarmen den größten Einfluss darauf, welche Transaktionen gültig sind, sondern die, die am reichsten sind. Diese besitzen Anreize, korrekt zu validieren, damit ihre Coins nicht an Wert verlieren. Denn wenn ein "Double Spend"-Angriff (siehe oben) gelingen sollte, dürfte der Coin-Wert ins Bodenlose crashen. Und um einen erfolgversprechenden Angriff zu starten, so die Theorie, benötigt man eine große Menge Geld. Der Stromverbrauch des Systems ist wesentlich geringer. Genial, oder?
Es gibt aber ein Problem mit Proof of Stake. Ganz abgesehen davon, dass es auch einfach zu verstehende Kritikpunkte gibt, etwa dass es Reiche noch reicher macht, ist auch die Sicherheit höchstwahrscheinlich geringer als bei Proof of Work. Und deshalb sollte der Bitcoin-Konsensmechanismus noch lange nicht zum "alten Eisen" deklariert werden.
Sicherheit per Zirkelschluss?
Warum sind Double-Spend-Angriffe überhaupt möglich? Das Grundproblem ist, dass verschiedene Teilnehmer des Netzwerkes verschiedene Informationen darüber haben können, welche Blöcke die richtigen sind – und somit, welche Transaktionen gültig sind.
Bei Kryptowährungen kommt es Dutzende bis Tausende Male am Tag vor, dass sich ein Teilnehmer neu mit dem Netzwerk verbindet. Dieser muss von anderen Teilnehmern alle Blöcke mit den Transaktionen herunterladen, die während seiner Abwesenheit getätigt wurden.
Doch die Blockchain ist nicht immer eine homogene Kette. Es kann vorkommen, dass sie sich in zwei "Spitzen" spaltet. So können zwei Miner oder Validatoren fast gleichzeitig Blöcke gefunden haben. Oder eine Region von Netzwerkproblemen betroffen sein, etwa durch ein ausgefallenes Unterseekabel, so dass alle ihre Validatoren auf einer vom Rest der Welt abgeschnittenen eigenen Spitze der Kette "gefangen" sind. Es ist somit möglich, dass der neue Teilnehmer nicht die gleiche Spitze herunterlädt wie die Mehrheit der anderen Teilnehmer.
Proof of Stake ist wesentlich anfälliger für Probleme, die sich aus dieser Konstellation ergeben können. Aus einem einfachen Grund: Beim Proof of Work wird eine externe Ressource – Rechenleistung – eingesetzt, um die Blockchain zusammenzustellen. Verbindet sich ein Teilnehmer neu mit dem Netzwerk und er stößt auf zwei konkurrierende "Spitzen", so ist die richtige schnell gefunden: Aus den Hashes kann die eingesetzte Rechenleistung errechnet werden, und immer die mit der höchsten Rechenleistung ist gültig.
Bei Proof of Stake ist dies nicht unbedingt so eindeutig. Die Validatoren sind berechtigt, neue Blöcke anzuhängen, wenn sie den Besitz einer gewissen Anzahl von Coins nachweisen. Doch diese Coins haben sie durch Transaktionen in vorherigen Blöcken erhalten. Es sind also Daten der Blockchain nötig, um zu prüfen, ob jemand zu einem Zeitpunkt berechtigt war, Daten in die Blockchain zu schreiben.
Man sieht dabei schnell das große Problem: Bei Proof-of-Stake-Kryptowährungen kann eine Manipulation älterer Daten neuere Daten über den Besitz von Coins plötzlich ungültig machen. Somit würden neue Blöcke ungültig. Das ist nahe an dem dran, was man in der Philosophie einen Zirkelschluss nennt.
Das Nothing-at-Stake-Problem
Um den Unterschied zu Proof of Work kurz zusammenzufassen:
- Bei Proof of Work ist eine Manipulation der Blockchain nur möglich, wenn der Angreifer während eines Zeitraums mindestens die gleiche Rechenleistung besitzt, die alle anderen Miner während desselben Zeitraums aufgewendet haben. Nur dann kann er eine neue gültige "Spitze" der Blockchain generieren, die alte ungültig machen und einen Double Spend ermöglichen. Man spricht daher von einem "50%+-Angriff" ("50-Prozent-Plus-Angriff", auch ungenauer "51-Prozent-Angriff"), was sich auf die mindestens 50% der Rechenleistung bezieht, die der Angreifer benötigt.
- Bei Proof of Stake hingegen kann es ausreichen, wenn der Angreifer ab einer bestimmten Stelle die Blockdaten neu berechnet, eine neue "Spitze" der Blockchain generiert und und dann – etwa indem er diese manipulierte Chain auf Tausende Server auf der ganzen Welt hochlädt – den anderen Netzwerkteilnehmern vorgaukelt, diese sei die gültige Spitze.
Nennenswerte externe Ressourcen müssen bei einem Angriff auf Proof of Stake nicht aufgewendet werden, da die notwendigen Berechnungen um mehrere Größenordnungen einfacher sind als das Mining bei Proof of Work. Das ist das Grundproblem, das sogenannte Nothing-at-Stake-Problem.
Was bedeutet dies? PoS-Kritiker prägten das geflügelte Wort "There is nothing at stake in Proof of Stake".[3] Es bedeutet, dass nichts auf dem Spiel steht, wenn ein Validator sich bei Proof of Stake bösartig verhält und angreift. Ganz anders als beim Proof of Work: Die Rechenleistung muss in jedem Fall aufgewendet werden – auch beim Scheitern des Angriffs. Es steht viel auf dem Spiel, der Angreifer geht ein erhebliches finanzielles Risiko ein.
Ein ebenfalls wichtiges Element des "Nothing at Stake"-Problems: Wenn ein Validator auf zwei Blockchain-Spitzen trifft, so braucht er sich nicht für eine zu entscheiden, sondern kann einfach beide als gültig markieren, was ihm sogar Vorteile bringen kann [4]. Somit wird die Entscheidung des Netzwerkes für eine der beiden Spitzen herausgezögert – im Extremfall findet das Netz gar nicht mehr zu einem Konsens.
Es sind eine ganze Reihe von Angriffskonzepten bei Proof of Stake bekannt, die auf diesem "Nothing at Stake-Problem" basieren. Ein besonders lehrreiches ist der "History Attack" oder "Long Range Attack". Hier geht der Angreifer an eine Stelle der Blockchain zurück, an der er die für die Validierung von vielen Blöcken notwendigen Coins tatsächlich besaß. Er könnte sie etwa mit einem Kurzzeitkredit erworben und dann bald darauf wieder an einer Börse verkauft haben. Nun errechnet er ab dieser Stelle die Blockchain neu. Er kann sich zwar nicht Geld "aus der Luft" generieren oder Geld von anderen "Konten" zu sich verschieben. Aber er kann alle Transaktionen, die zu einer Minderung seines Coin-Besitzes führen – etwa die, die an die Börse gingen – einfach löschen. Dadurch behält er seinen Status als Validator. Plant er den Angriff richtig, könnte er in der Lage sein, andere Teilnehmer zu täuschen und seine gefälschte Blockchain als "echt" durchzubringen.
Natürlich ist ein solcher Angriff kompliziert, er erfordert eine penible Vorbereitung. Es müssen passende "echte Blockchaindaten" gefunden werden, aus denen dann "falsche" werden können. Und er kostet auch durchaus Geld. Denn ganz ohne Coins kann man bei Proof-of-Stake-Systemen nicht viel manipulieren. Viele Proof-of-Stake-Protokolle besitzen auch Sicherheitsmechanismen, die solche Angriffe vorbeugen sollen. Etwa ein Limit, bis zu welchem Alter (in Blöcken) sich neue Spitzen abspalten dürfen. Oder eine Art Kaution, die Validatoren einfrieren müssen und entzogen bekommen, wenn sie bei einem Angriffsversuch erwischt werden. Zusätzlich wird in einigen Protokollen versucht, die Gruppe der Validatoren schon im Voraus für eine gewisse Zeit festzulegen, um zu verhindern, dass ein neuer Validator "aus dem Nichts" auftaucht und einen Angriff startet.
Proof of Stake kann daher auf den ersten Blick durchaus sicher wirken. Nur bei wenigen, sehr kleinen Kryptowährungen gab es erfolgreiche Angriffe. Die Sicherheit von Proof of Work ist jedoch, zumindest wenn eine hohe Rechenleistung durch die Miner aufgewendet wird wie bei Bitcoin, eindeutig höher und vor allem vorhersehbarer. Denn das Problem, dass keine externe Ressourcen für einen Angriff verwendet werden müssen, sondern allein eine Datenbankmanipulation ausreichen kann, bleibt auch bei allen modernen PoS-Protokollen bestehen. Es könnte durchaus sein, dass weitere, komplexe Proof-of-Stake-Angriffe entdeckt werden, die deutlich billiger als ein 51%-Angriff bei Bitcoin sind.
Wie kann Bitcoin klimafreundlicher werden?
Bis heute ist nicht klar, wer hinter dem Pseudonym des Bitcoin-Erfinders Satoshi Nakamoto steckt. Seine Leistung bei der Erfindung von Bitcoin im Jahr 2008 ist jedoch unter Informatikern nahezu unumstritten. Der Proof-of-Work-Mechanismus, der Bitcoin sicher macht und oft Nakamoto Consensus genannt wird, wurde häufig als Revolution in der Theorie verteilter Systeme angesehen.[5] Proof of Stake basiert hingegen – obwohl es oft in den Medien als "moderner" beschrieben wird – auf älteren Konsenskonzepten wie dem 1999 veröffentlichten Practical Byzantine Fault Tolerance (PBFT).
Sollten Gesetzgeber sich also entschließen, Bitcoin aus Gründen des Klima- und Umweltschutzes zu verbieten oder zumindest den Handel damit zu erschweren, wie es einige EU-Parlamentarier wollen, so könnten sie damit eine der wichtigsten Innovationen der Informatik der letzten Jahrzehnte abwürgen.
Im Krypto-Business werden inzwischen Billionen Euro bewegt. Nach Ethereums Umstieg steigt der Anteil dieser Werte, die von Proof of Stake gesichert werden, auf etwa die Hälfte. Mit womöglich steigender Tendenz, denn neu erschaffene Kryptowährungen werden fast ausschließlich mit Proof-of-Stake-Varianten gesichert.[6]
Sollte nun ein vielversprechender, nicht abzuwehrender PoS-Angriff entdeckt werden, könnten damit Hunderte Milliarden bis Billionen Euro mit einem Schlag wertlos werden. Proof of Work dagegen ist mit an Sicherheit grenzender Wahrscheinlichkeit zukunftssicher.
Was könnten man also tun, um die Auswirkungen des Minings auf das Klima zu minimieren? Einen möglichen Weg zeigt der US-Bundesstaat New York. Dort müssen Miner seit April 2022 nachweisen, dass sie nachhaltige Energieerzeugungsmechanismen für ihre Rechenleistung nutzen. Auch über die EU-Taxonomie könnten "grüne" Miningunternehmen begünstigt werden.
Zwar könnten Miner auf andere Staaten ausweichen. Dem stehen aber zwei Tendenzen entgegen. Erstens kann ein massiver Andrang neuer Miner in einem Land oder Region mit niedrigen Strompreisen dessen Stromnetz stark belasten. Restriktive Regulierungen oder gar Mining-Verbote wie in der Volksrepublik China könnten daher in vielen weiteren "Billigstromländern" die Folge sein. Das Risiko eines womöglich neuen Umzugs müssten Miningunternehmen einkalkulieren.
Zum zweiten sinken die Preise von Energie aus erneuerbaren Quellen stetig und sind in vielen Regionen konkurrenzfähig etwa mit Kohlestrom. In den USA beispielsweise ist Wasserkraft bei großen Mining-Farmen beliebt, und Hobby-Miner setzen weltweit oft auf Solarenergie.
Es könnte also sein, dass sich das Problem bald von selbst erledigt. Die Gesetzgeber der EU und der Welt könnten aber mit Regulierungen nach dem New Yorker Modell nachhelfen.
Anmerkungen:
[1] Die Bedingung ist eigentlich ganz einfach zu verstehen: Je höher die difficulty ("Schwierigkeit"), um so kleiner muss die Zahl sein, die als Hash errechnet wird. Bei der Hashfunktion kann man jedoch nicht vorhersehen, wie groß die Zahl sein wird. Es bleibt den Minern also nichts anderes übrig, als immer wieder neue Hashes zu produzieren, bis einer klein genug ist. Und je kleiner die Zahl sein muss, um so mehr Versuche benötigt es.
[2] Die eingesetzten Coins werden während des Validierungsvorgangs meist für eine längere Zeit blockiert. Damit können sie nicht einfach so für mehrere Blöcke eingesetzt werden. Außerdem ist es möglich, betrügerische Validatoren zu bestrafen, indem ihnen Coins aberkannt werden. Siehe dazu den Abschnitt Das Nothing-at-Stake-Problem.
[3] Dass doppelt "Stake" in diesem Satz vorkommt, ist durchaus Absicht. "At Stake" bedeutet im Englischen, bei einem Ereignis oder System einen Einsatz vorgenommen zu haben, ähnlich eines Wetteinsatzes. Es steht also etwas auf dem Spiel, je nachdem wie das Ereignis ausfällt oder das System sich verhält. Im Deutschen wird zuweilen das abgeleitete Wort Stakeholder verwendet. Proof of Stake ist daher eigentlich mit "Besitznachweis" falsch übersetzt, es müsste eigentlich "Einsatznachweis" heißen. Die Kritik, die sich im besagten geflügelten Wort ("There is nothing at stake in Proof of Stake") ausdrückt, bezieht sich nun darauf, dass nur scheinbar ein "Einsatz" der Validatoren vorliegt, eigentlich stehe jedoch nichts auf dem Spiel für sie. Vulgo: Es handle sich bei Proof of Stake um eine Mogelpackung.
[4] Der mögliche Vorteil: Entscheidet sich der Validator nur für eine der beiden Blockchain-Spitzen, so könnte es sein, dass die von ihm nicht unterstützte Spitze durch Hilfe anderer Validatoren doch das Rennen gewinnt, und er die Belohnung verlöre. Indem der Validator seinen Block an beide Spitzen anhängt, sichert er sich seine Belohnung, solange eine der beiden weiterverfolgt werden.
[5] Proof of Work selbst wurde nicht für Bitcoin erfunden, sondern für von Moni Naor und Cynthia Dwork 1993 für einen Anti-DoS-Angriff-Mechanismus entwickelt. Satoshis Leistung beträgt jedoch darin, damit das Double-Spend-Problem gelöst zu haben, das vorherige Konzepte für Kryptowährungen zum Scheitern brachte.
[6] Es gibt mit Proof of Capacity (der u.a. bei Burst und Chia verwendet wird) noch mindestens einen anderen vielversprechenden Konsens-Mechanismus. Bei diesem System wird Festplattenkapazität für die Validierung genutzt. Ob dieser Ansatz klimafreundlicher ist als Proof of Work, ist jedoch umstritten, da viel Hardware benötigt wird und bei dessen Herstellung ebenfalls große Energiemengen anfallen.
Was ist Ihre Meinung?
Kommentare einblendenDiskutieren Sie mit.