Wie DeFi an KYC erwachsen werden soll

Es war nur eine Frage der Zeit: Das Ökosystem der Dezentralen Finanzen (DeFi) wird mit den Ansprüchen der Regulierung konfrontiert. Dies wird zum großen Test, ob die auf Smart Contracts beruhenden Finanzplattformen eine Zukunft haben. Vielleicht verspielen sie ihre Vorteile – vielleicht schaffen sie aber auch etwas Neues und Wundervolles, durch das sie ihr Potenzial erst voll entfalten.

Die einen nennen es “erwachsen werden”, die anderen “seine Ideale verraten”. Wer nicht in sich selbst stehenbleibt, wird in seiner Biographie unvermeidlich über diese Schwelle gehen müssen, an der man sich in den eigenen Augen weiterentwickelt, in denen alter Freunde aber etwas von sich aufgibt. Menschen häuten sich. Sie werfen alte Schalen ab und stülpen sich neue über. Das kann gut sein oder schlecht, aber es ist eben das Leben.

Dasselbe trifft auf Kryptowährungen und Decentralized Finance (DeFi) zu. Es entwickelt sich weiter. Für die biedert es sich dabei an Banken und Regierungen an und verrät die Ideale, aus denen Bitcoin und Krypto geboren sind. Für die anderen wird es erwachsen und reif. Das ist gut und das ist schlecht, aber so funktioniert die Welt nun mal: Rebellen sind sexy, aber die schnöde Angepassten überleben und herrschen.

Und wie es aussieht, rückt der Moment der Häutung für DeFi näher.

Wenn die FATF denkt, du wärst ein VASP

Im März feuerte die Financial Action Task Force (FATF) einen Schuss vors DeFi-Bug ab. Die FATF ist das weltweit wichtigste Organ zur Bekämpfung von Geldwäsche und Terrorfinanzierung. Sie formuliert Regeln und Empfehlungen, wie Regierungen das Finanzwesen zu kontrollieren haben, um Missbrauch zu verhindern. Die meisten Regierungen bemühen sich sehr, diese Empfehlungen umzusetzen, da ansonsten ein Platz auf der Blacklist der FATF droht, wo man sich in Gesellschaft von Steueroasen und Schurkenstaaten wiederfindet.

In einem Update der Empfehlungen bezüglich Krypto hat die FATF im März zwar nicht direkt DeFi erwähnt. Aber sie ändert die Regeln, welche definieren, ab wann jemand zu einem “VASP” wird, einem “Virtual Asset Service Provider”. Das Schlüsselkriterium ist, erklärt das Magazin Decrypt, die Monetarisierung: “Wenn man ein Unternehmen gründet, das davon profitiert, ein DeFi-Projekt zu betreiben (etwa indem es eine signifikante Anzahl von ‘Governance Token’ hält), dann besteht eine starke Chance, dass die FATF denkt, man sei ein VASP.”

Wer aus purer Freude und Liebe ein DeFi-Projekt betreibe, habe Chancen, kein VASP zu sein. Aber das ist nicht, wie die großen Plattformen, die Uniswaps, SushiSwaps, PancakeSwaps, Aaves, Makers, Compounds und so weiter funktionieren. Hinter ihnen stehen Unternehmen und Startups, die an DeFi verdienen und zum Teil sogar Geld von Investoren erhalten. Daher werden diese voraussichtlich als VASPs angesehen werden – und haben ein Problem.

Denn wenn einen die FATF einmal für einen VASP hält, sollen Regierungen von einem einfordern, die ganze Bandbreite an Know-Your-Customer- und Anti-Money-Laundering-Maßnahmen (KYC / AML) umzusetzen: Zu verifizieren, wer die Kunden sind, zu überwachen, was sie mit ihrem Geld machen, gemäß der Travel-Rule festzustellen und festzuhalten, an wen die Kunden Geld senden.

Diese Regeln sind schon schwer genug umzusetzen, wenn man eine Börse oder Online-Wallet betreibt. Für DeFi-Betreiber sind sie aber nahezu unmöglich. Denn DeFis sind, wie der Name schon sagt, dezentral. Sie sind im Grunde nur Smart Contracts auf einer Blockchain. Jeder kann sich mit einer Adresse einloggen, niemand gibt die Kontrolle über seine privaten Schlüssel auf. Das, was die DeFi-Startups machen, ist in der Regel lediglich die Weiterentwicklung der Smart Contracts sowie des Interfaces – der Webseite – durch die die User mit dem Smart Contract interagieren. Sie haben schlicht nicht die Möglichkeit, den Betrieb so zu regulieren, wie Börsen und andere zentralisierte Plattformen dies können.

Den DeFi-Unternehmen droht als ein großes Problem. Entweder sie geben ihre größte Stärke – die Dezentralität – auf. Oder sie werden von der Regierung abgeschaltet. Pest oder Cholera, Hagel oder Sturm, Strick oder Gift.

Rettung vor dieser Wahl verspricht sich die Branche durch zwei Wege: Erstens soll geschicktes Lobbyieren das Schlimmste abwenden und einen Zustand schaffen, mit dem sowohl die Startups als auch die Aufsicht leben können. Zweitens beginnen die ersten großen Plattformen bereits, eigene Methoden zu erkunden, wie sie den Regulierern entgegen kommen können, ohne allzuviele ihrer Ideale mit Füßen zu treten.

Man könnte auch sagen: Die Branche wächst, indem sie sich nach der Salamitaktik selbst reguliert – Scheibe für Scheibe.

Eine Lobby für nette Regulierung

Die “Global DeFi Coalition“, ein Interessenverband der DeFi-Branche, wendet sich in einem offenen Brief an die FATF. Sie warnt, dass eine allzu scharfe und konsequente Regulierung zu diesem Zeitpunkt droht, Innovationen abzuwürgen. Anstelle der strengen, kaum umsetzbaren Empfehlungen der FATF schlägt sie sechs Prinzipien vor, an der sich eine DeFi-Regulierung mit Maß orientieren sollte.

Erstens sollte die Regulierung die Geschäftsmodelle berücksichtigen, um Regeln zu schaffen, die pragmatisch und durchsetzbar sind. So könnte ein Unternehmen, das zwar Daten verarbeitet, aber – wie die meisten DeFi-Plattformen – keinen Zugriff auf Kundenguthaben hat, zwar verpflichtet sein, Kundendaten zu sammeln, aber nicht, Guthaben einzufrieren, da es das technisch gar nicht kann.

Zweitens sollte die Regulierung keine digitalen Prozesse durch analoge oder manuelle Schritte unterbrechen. Einem digitaler Finanzintermediär sollte auch weiterhin möglich sein, vollständig auf digitalen Daten zu bauen. Wenn man beispielsweise manuelle Maßnahmen der Identitätsverifizierung einführe, würde dies das Potenzial zerstören, Geschäftsmodelle zu skalieren und damit Wirtschaftswachstum verhindern.

Drittens sollte es erlaubt sein, bei der Identifizierung von Kunden zusammenzuarbeiten. Derzeit verlangt das Gesetz, dass jeder Finanzintermediär den vollständigen KYC-Prozess für jeden Kunden durchführt, auch dann, wenn dieser sich vorher bei anderen Intermediären verifiziert hat. In einer dezentralen Umgebung, in welcher viele Akteure zusammen eine Finanzdienstleistung schaffen, kann dies dazu führen, dass ein User sich mehrfach verifizieren muss, um eine einzelne Transaktion auszuführen.

Viertens sollten Regulierer die risikomindernden Eigenschaften von Blockchain-Transaktionen anerkennen. Da dApps (dezentrale Anwendungen) auf öffentlich sichtbaren Transaktionen basieren, reduzieren sie das Risiko von Geldwäsche grundsätzlich. Wenn man nun versucht, die neuen, damit einhergehenden Herausforderungen mit alten Methoden zu lösen, riskiert man, intransparente Systeme zu schaffen, die das Geldwäsche-Risiko erhöhen.

Fünftens fordert die Allianz die FATF auf, regulatorische Prinzipien gemeinsam mit der DeFi-Branche auszuarbeiten. Angesichts der globalen Reichweite von DeFi sei, sechstens, eine intensive Kooperation zwischen Regulierern und Wirtschaft notwendig, um “innovative, verbraucherfreundliche und harmonische regulatorische Prinzipien zu erarbeiten.”

Ein solcher Lobbyismus ist nicht ungewöhnlich. Vielleicht schafft es die Allianz, die FATF zu bewegen, noch einmal über die Regeln nachzudenken; vielleicht wird sie die eine oder andere Änderung oder Korrektur anerkennen; vielleicht werden die Regeln der Allianz nationale Regulierer dazu bewegen, die FATF-Regeln für DeFi sanfter oder zögerlicher anzuwenden; und vielleicht wird sie die Akzeptanz neuer Methoden stärken können.

Aber eines wird kein Lobbyieren schaffen: zu verhindern, dass die Regierungen die DeFi-Plattformen regulieren. Derzeit drücken sie, oft aus mangelndem Wissen und Verständnis, noch beide Augen zu. Doch dies wird aufhören. Vielleicht nicht morgen, aber über kurz oder lang und unvermeidbar.

Daher versuchen DeFi-Projekte und Einflussgruppen bereits heute, die Plattformen vorsichtig so umzubauen, dass sie den Bedürfnissen der Regulierung entgegenkommen. Ein Prozess beginnt, der DeFi für immer verändern kann, ob zum Guten oder zum Schlechten.

KYC nimmt “ein gewaltiges Stück des Mindsets von regulierten Finanzdienstleistern” ein

In kleiner, öffentlicher Runde diskutierte vor kurzem der Investor Mike Novogratz mit dem CEO und der Anwältin von Aave, der derzeit größten DeFi-App, sowie dem CEO des Technologie-Anbieters Fireblocks. Ein großes Thema dabei waren DeFi und deren Regulierung.

Dabei aber ging es weniger darum, es der FATF recht zu machen, sondern den Banken und Vermögensverwaltern. Novogratz erklärte, dass Bitcoin die Banken nicht sehr erschreckt habe. DeFi dagegen betrachten sie als echte Bedrohung, und die große Frage, die gerade zahlreiche Banker bewegt, ist, ob sie DeFi angreifen oder benutzen sollen. Ein großes Hindernis beim Benutzen sei aber “die KYC Sache: Wie können sie sicher sein, dass auf der anderen Seite des Smart Contracts kein Terrorfinanzierer oder Nordkorea steht?” Solche Fragen seien “ein gewaltiges Stück des Mindsets von regulierten Finanzdienstleistern.”

Wenn man also wolle, dass sich die Schleusen öffnen, dass Banken und Institutionen beginnen, das viele Geld, das sie verwalten, in DeFi zu pumpen – dann müsse man dafür sorgen, dass sie auch im Rahmen der gewohnten Regeln spielen können. Und zu denen gehören die üblichen Finanzregularien, etwa KYC – Know Your Customer, Kenne deinen Kunden.

Rebecca Rettig, Anwältin von Aave, stimmt dem zu. Die Branche kommuniziere intensiv mit den Regulierern. Diese versuchten derzeit, DeFi zu verstehen, um es angemessen regulieren zu können, und die großen Akteure in DeFi bemühen sich sehr, einen fruchtbaren Dialog forzusetzen. “Ich denke,” erklärt die Anwältin, “es gibt zwei Arten, KYC zu DeFi zu bringen: Die eine wäre direkt auf dem Protokoll von Ethereum, was hochtechnisch und kontrovers wäre. Dei andere ist es, professionelle, erlaubnispflichtige und geschlossene Systeme aufzubauen.”

Diesen Weg versucht Aave derzeit zu beschreiten. Die dezentrale Lending-Plattform möchte, erklärt CEO Stani Kulechov, “einen erlaubnispflichtigen, abgetrennten Markt für Institutionen” einrichten. In diesem Markt können institutionelle Akteure mit ausgewählten anderen Akteuren kooperieren, es gibt die Möglichkeit, Adressen durch Whitelists freizuschalten und durch Blacklists zu blockieren.

Bei der Konkretisierung der KYC-Pläne von Aave kommt Fireblocks ins Spiel. Der CEO, Michael Shaulov, erklärt, dass schon heute ein Großteil der Kunden des Technologieanbieters aus dem Finanzwesen kommen und Zugang zu DeFi suchen. Mit einem “AML-Arm”, der vor allem darin besteht, Adressen durch die Tools von Blockchain-Analysten auszuleuchten, “sind wir in der Lage, mehr oder weniger in einem eigenen Netzwerk zu operieren, in dem wir alle Teilnehmer kennen”. Fireblocks habe eine “Gated Community” geschaffen. Vermutlich wird das Unternehmen für Aave in Zukunft auch zum KYC-Dienstleister, der die Identität prüft und, irgendwie, onchain abspeichert.

Diese Märkte werden aber nur ein Ausschnitt von DeFi sein, erklärt Kulechov: “Es wird immer erlaubisfreie Finanzen geben, und es wird immer ein Risiko bleiben. Aber wir werden private Pools haben, erlaubnispflichtige Finanzen, und auf diese Art wird DeFi sich in mehreren Schichten bewegen.”

Dies aber wird vermutlich noch nicht die endgültige Form sein. “Die große Frage, für alle von uns, ist, was die Regulierer sagen werden,” prophezeit Mike Novogratz. “Werden sie sagen: ‘Wir lieben euch dafür, dass ihr durch eure Whitelists zu 73 Prozent konform mit unseren Regeln geht? Oder werden sie uns dafür hassen, dass wir zu 27 Prozent nicht konform gehen?” Geschlossene Pools würden langfristig nicht ausreichen, man benötige eine Art von KYC, damit die Regulierer DeFi fortleben lassen. “Aber ich habe keine Antwort.”

Rebecca Rettig stimmt zu, dass Lösungen notwendig seien. Die Branche arbeite derzeit daran; es gebe viele Gelegenheiten. Wichtig sei es, KYC und AML automatisieren zu können, es auf eine Weise einzurichten, dass es die Vorteile von DeFi erhält. Konkrete Lösungen nennt sie aber nicht.

Verhilft dies dezentrale Identitäten (endlich) zum Durchbruch?

Die von Aave geplanten privaten, erlaubnispflichtigen Pools werden vielleicht ein Weg sein, Banken ins Boot zu holen. Für diese ist geht es schließlich weniger darum, dass der DeFi-Raum als ganzes mit der Regulierung konform geht, sondern dass sie sich an die Auflagen halten können. Unter Umständen können solche Pools die Regulierer zeitweilig zufrieden stellen und schärfere Maßnahmen verzögern.

Aber langfristig wird es kaum zu vermeiden sein, dass die Aufsicht von DeFi-Startups dieselben Maßnahmen verlangt wie von zentralisierten Börsen. Die spannende Frage wird sein, ob es den DeFi-Unternehmen gelingt, innovative Lösungen zu entwickeln und zu behaupten, die die Stärke von DeFi erhalten, etwa die autonome Verwaltung der Guthaben, der einfache, erlaubnisfreie Zugang, die hohe Schnelligkeit. An dieser Stelle treffen die Pläne von Aave und Fireblocks mit den Forderungen der Global DeFi Alliance zusammen.

Eine naheliegende Antwort auf das KYC-Problem wären onchain-Lösungen, etwa durch Token: Ein Identitätsdienstleister wie IDNow bestätigt die Identität eines Users, legt eine Hash der persönlichen Daten auf eine Blockchain und signiert das als ein Token. Ein User, der sich dann bei einer anderen Plattform einloggt, könnte seine persönlichen Daten eingeben und diese durch das Token bestätigen. Unter Umständen könnte man dies noch mit verschiedenen Arten von 2-Faktor-Methoden, etwa SMS, und gelegentlichen Nachprüfungen solider machen.

Konzeptionell wäre dies nicht weit von dem System entfernt, durch das das deutsche Startup Ubirch Corona-Testergebnisse auf mehreren Blockchains abspeichert, und es wäre die konsequente Anwendungen der seit Jahren gemachten Bemühungen um dezentrale Identitäten auf der Basis von Blockchains. Zahlreiche Projekte versuchen eine solche Art von dezentraler Blockchain-Identität umzusetzen, 3Box Labs, Blockpass, Bloom, BrightID und viele weitere. Sie alle unterscheiden sich mehr oder weniger in der Art, wie sie die dezentrale Identität aufbauen und verwalten, haben aber ein Grundkonzept gemeinsam – und dass sie bisher zwar ein System haben, aber noch so gut wie nicht im Einsatz sind.

Vielleicht wird DeFi solchen Identity-Projekten zum Durchbruch helfen, einfach deswegen, weil es notwendig ist – und vielleicht kann daraus etwas entstehen, das weit über DeFi hinausgeht: die seit langem versprochene und erwartete, aber bisher noch niemals eingelöste digitale Identität. Und zwar eine, die mehr ist als bloß eine Kopie der analogen Identität: flexibler, feiner, privater, modularer.

KYC und Kreditscores statt Kollateralen

Ein Projekt, das bereits im Begriff steht, eine solche dezentrale Identität für DeFi aufzubauen, ist die Wing-Dao. Dieses dezentrale Lending-Protokoll läuft auf mehreren Blockchains, etwa Ethereum, Ontology und die OKExChain; mit 200 Millionen Dollar an eingefrorenen Werten und einer Marktkapitaliserung der Wing-Token von 36 Millionen Dollar gehört es allerdings zu einer der kleineren DeFis.

Die Macher der Wing-Dao sind die Entwickler der Ontology-Blockchain. Sie haben offenbar begriffen, dass es mehr Erfolg verspricht, auf anderen, auch konkurrierenden Blockchains zu bauen, als darauf zu beharren, exklusiv der eigenen, vom Markt eher ignorierten Kette treu zu bleiben. Indem sie mit Wing nun einen “Inclusive Pool” einrichten, reagieren sie wie Aave auf die Anforderungen der regulierten Finanzinstitutionen – allerdings auf eine andere, interessante Weise.

Der Inclusive Pool ist, so die Pressemitteilung, ein “durch KYC gedeckter Kredit-Lending-Pool”. In diesem können sich die User Dollar-Token leihen können – USDC, USDT und DAI – die aber nicht, wie bei DeFi üblich, durch andere Token mit mehrfachem Wert des Darlehens gedeckt sind, sondern durch Token mit weniger Wert. Laut Dokumentation läuft der Inclusive Pool bisher allerdings ausschließlich auf der Ontology-Blockchain. Dementsprechend leiht man sich hier nicht die von Circle, Tether oder der Maker-DAO herausgegebenen Token, sondern lediglich deren Repräsentationen (pDAI, pUSDT, pUSDC).

Um ein Verleihen mit einer geringeren Deckung zu ermöglichen, sichert der Inclusive Pool das Darlehen durch Identität ab. Genauer gesagt durch zwei Arten von Identitäten: Die echte, staatsbürgerliche, und eine finanzielle, blockchainbasierte.

Zunächst muss man sich, um im Inclusive Pool teilzunehmen, in der Ontology-Wallet einen OScore generieren: ein “DeFi-natives Kreditpunktesystem”, das Sicherheit schaffen soll anstelle der “Kredit-, Asset- oder Bankkonten der User in der echten Welt.” Also eine Art Schufa-Score auf der Blockchain. Der OScore integriert “alle Arten von Daten von der Blockchain. Ein OScore repräsentiert das Level der Assets, die der User besitzt.”

Um Token auf anderen Blockchains zu berücksichtigen, müssen diese allerdings in P-Token auf der Ontology-Blockchain konvertiert werden. Danach kann der OScore die Limits für Darlehen durch die Wing-Dao beeinflussen. Je höher er ist, desto höher ist die Kreditwürdigkeit. Es handele sich, schreiben die Entwickler, um “ein ambitioniertes und riskantes Konzept, das aber möglicherweise den Weg für DeFi-native Kreditsysteme ebnet.”

Darüber hinaus verlangt die Teilnahme im Inclusive Pool noch die Verifizierung der echten, staatsbürgerlichen Identität. Dazu muss man in der Wallet ein Ausweisdokument hochladen und dieses durch eine Videoaufzeichnung bestätigen. Der Dienstleister dafür ist ShuftiPro, der die Bestätigung der Identität dann vermutlich auf der Ontology-Blockchain ablegt.

Mehr als die Summer seiner Teile

Natürlich ist Ontology eine Nischenblockchain. Natürlich sind die Dollar-Token auf dieser Blockchain weniger “echt”, als die Dollar-Token, die Unternehmen originär auf Ethereum herausgeben. Und natürlich kann ein Projekt wie die Wing-DAO es sich viel eher erlauben, zu experimentieren, als die großen DAOs wie Aave, Uniswap, Compound und so weiter.

Dafür wirkt das, was die Wing-DAO mit den Inclusive Pools schafft, extrem spannend und innovativ. Die Tokenisierung von Identität erlaubt es, die Auflagen der Regulierung zu erfüllen. Das mag bürokratisch gesehen ein großer Gewinn sein, ist aber, auf einer höheren Ebene, eher ein Nebeneffekt. Wichtiger dürfte sein, dass die Dualität der Identitäten es ermöglicht, dass pseudonyme Accounts eine Kreditwürdigkeit aufbauen können. Sollte sich dies etablieren, wäre dies ein großer Schritt nach vorne. Und noch wichtiger ist vermutlich, dass die Verbindung von echter, staatsbürgerlicher Identität und Kreditscore es einer DeFi-DAO ermöglicht, Darlehen zu vergeben, ohne dass diese wie bisher üblich durch ein Überkollateral gedeckt sind. Wenn dies hält, wird es einen noch größeren Schritt vorwärts darstellen.

Mehrere Teile – KYC, Kreditscores, Darlehen, DAOs, DeFi, Kollaterals, Onchain-Analysen – greifen zusammen und ergeben ein Ganzes, das über ihre Summe hinausgeht. Die FATF, die Regulierung einfordert, wird dabei womöglich versehentlich zum Geburtshelfer einer künftigen DeFi-Landschaft, die noch mehr als jetzt schon den Banken als Kreditdienstleistern die Butter vom Brot stiehlt.