US-Steuerbehörde möchte mehr über Privacycoins wissen – und gibt damit zu, den neuen Technologien bisher hilflos gegenüberzustehen
Für den IRS verschwinden Krypto-Transaktionen mehr und mehr im Nebel. Bild von Adam Schoales via flickr.com. Lizenz: Öffentliche Domäne
Die US-Steuerbehörde IRS möchte mehr wissen über Privacycoins wie Monero und Dash, Offchain-Schichten wie Lightning und Liquid sowie Schnorr-Signaturen. Die Ausschreibung zeigt, dass der IRS genau im Bilde ist über neue Entwicklungen – aber auch, wie weit die Analyse-Werkzeuge den Verschleierungs-Technologien hinterher hinken.
Der Internal Revenue Service (IRS) ist die oberste Steuerbehörde der USA. Bitcoin und andere Kryptowährungen hat der IRS schon lange im Blick. Nun wendet er sich mit einer Ausschreibung im Zuge eines Pilotprojekts auch Privacycoins und anderen Technologien zu, die die Privatsphäre verbessern können.
Das Pilotprojekt der “Criminal Investigation Division (CI)” ist auf der Suche nach Informationen “über Systeme, die es Entwicklern und Testern ermöglichen, eine investigative Untersuchung durchzuführen von Transaktionen auf verteilten Kontobüchern, darunter” – es folgt eine umfangreiche Liste: “Privacy Coins (etwa Monero, Zcash, Dash, Grin, Komodo, Verge und Horizon), Layer 2 off-chain-Protokoll-Netzwerke (etwa das Lightning Netzwerk, das Raiden Netzwerk, das Celer Netzwerk); Sidechains (etwa Plasma und OmiseGo) sowie den Herausforderungen, die sich aus der Integration des Schnorr Signaturalgorithmus ergeben.”
Das ist eine ganze Menge Holz zu hacken. Der IRS hat sowohl populäre als auch Nischen-Privacycoins unter der Lupe und ist auch im Bilde über neue Technologien wie Sidechains, Offchain-Netzwerke und Schnorr-Signaturen, die Usern helfen, ihre Privatsphäre zu verbessern. Für die CI ist es dabei nichts neues, sich mit Kryptowährungen zu beschäftigen: Die größte föderale Strafverfolgungsbehörde am Finanzministerium widmet sich vor allem Steuerhinterziehung und Geldwäsche. Sie sei, so die Ausschreibung, “ein globaler Führer bei Ermittlungen zu Kryptowährungen und digitalen Assets” und habe eine führende Rolle dabei gespielt, Darknetmarkets auf die Schlichte zu kommen und andere kriminelle Organisation zu überführen, die Kryptowährungen verwendet haben.
Allerdings werden Privacycoins und andere Technologien mehr und mehr zum Sand im Getriebe der Ermittlungen. Derzeit gebe es nur “wenige investigative Ressourcen, um Transaktionen zu verfolgen, die über Privacycoins, Layer-2-Netzwerke, Sidechains” oder unter Anwendung neuer Signaturalgorithmen laufen. Diese jedoch werden “zunehmend populär im generellen und unter Kriminellen im speziellen.” Dies manifestiere sich etwa dadurch, dass die Ransomware-Gang hinter Sodinokobi im April 2020 angekündigt hat, Zahlungen künftig nur noch in Monero zu akzeptieren, da Bitcoins nicht privat genug sind. Mit der jüngsten Ausschreibung möchte die CI auf diesen Trend reagieren.
Die derzeit wichtigsten Dienstleister für Blockchain-Analysen – etwa Chainalysis, CipherTrace, Coinbase oder Elliptic – hinken der Tendenz zu Privacycoins und anderen Technologien hinterher. “Die existierenden Dienstleister haben erst vor kurzem angekündigt, ihren Service auch auf Dash und Zcash auszuweiten”. Dies demonstriere zwar die Flexibilität der Branche. Allerdings stellten etwa Schnorr-Signaturen – wie sie etwa von Bitcoin Cash verwendet und von Bitcoin angestrebt werden – eine neue Herausforderung dar, auf die bislang noch kein Dienstleister reagiert hat. Transaktionen auf Lightning und anderen Offchain-Netzwerken, etwa Lightning für Litecoin oder Raiden für Ethereum, könnten zwar im Prinzip nachverfolgt werden, aber derzeit sei Lndmon von Lightning Labs das einzig verfügbare Überwachungswerkzeug. Und das sei noch nicht gut genug.
Daher sucht der IRS Fachleute, die die Werkzeuge auf- und ausbauen, mit denen diese neuen Technologien überwacht werden können. Die Ausschreibung zeigt, wie genau die Behörden neue Trends bei Kryptowährungen beobachten. Gleichzeitig zeigt sie aber auch, wie schwerfällig die Überwacher und ihre Dienstleister dabei sind, auf diese Trends zu reagieren. Das Katz-und-Maus-Spiel zwischen Privacy-Entwicklern und Ermittlern folgt asymetrischen Regeln: Jede neue Technologie und jeder neue Privacycoin ist zunächst nicht überwacht, und es bedeutet eine Menge Arbeit, bis die Überwachung gelingt. In Fällen wie Monero oder dem Lightning-Netzwerk in Verbindung mit CoinJoin ist bis heute nicht klar, ob diese überhaupt jemals überwachbar sind. Die Privatsphäre hat, könnte man sagen, gegenüber der Überwachung bereits gewonnen.
Ich sollte mich für Verge bewerben, easy money 😀
Wie Du schon schreibst, Analysetools für Zcash und Dash werden bereits von Chainalysis, Elliptic und Coinbase(!) angeboten. Dass diese noch nicht so komfortabel und zuverlässig wie bei Bitcoin funktionieren, liegt an der mangelnden Nachfrage, denn z.B. bei Zcash machen fully Shielded Transaktionen weiterhin nur etwa 1% aus. Die CoinJoins von Dash sind eh ein Witz und “dank” mangelnder Liquidität unbenutzbar.
Liquid verschleiert zwar die Beträge, Herkunft und Ziel sind aber wie bei Bitcoin öffentlich und lassen viele Rückschlüsse ziehen. Mit CoinJoin ähnlichen Methoden ließe sich das verbessern, auch durch Splitting einer einzelnen Zahlung an z.B. 100 Dummy Adressen mit “Dust”, aber da das derzeit afaik niemand macht, wäre es an sich sehr auffällig.
Die aktuellen Implementierungen von Coinjoins sind tatsächlich stark, wenn sie denn genutzt werden und der Wallet Anbieter nicht selbst die meiste Liquidität zuschießt, damit man nicht ewig warten muss.
Lightning selbst ist trackbar, aber man muss proaktiv mit etlichen Nodes und Channels ständig neue Routen erfragen, damit man die Channel States herausbekommt und damit die Zahlungsflüsse. Je größer das Netzwerk wachsen sollte, desto größer wird der Aufwand hierfür und man wird eher die großen Hubs verpflichten, Logs über jeden Channel State vorzuhalten und Zugriff zu diesen zu gewähren, damit ließe sich schon ein Großteil des Netzwerks abbilden.
Um einen Bruch der Privatsphäre bei Monero mache ich mir keine Sorgen, denn selbst wenn eine der drei Säulen per Bug oder kryptographischer Schwachstelle geknackt werden sollte, wäre ein Tracking weiterhin nicht realistisch. Auch Quantencomputer, sollten sie irgendwann kommen, würden daran nichts rütteln. Der einzige Bruch der Privatsphäre liegt beim User, wenn er z.B. seine BTC auf einer Exchange in XMR wandelt und eine Stunde später den selben Betrag zurück in BTC.
Motivierender Schlusssatz!