Was geschieht eigentlich, wenn alle Bitcoins geschürft sind?

Wer sichert das Netzwerk, wenn der Blockreward immer weiter sinkt? Kann Bitcoin überhaupt langfristig sicher bleiben? Und welche Risiken und Angriffe drohen konkret? Im letzten Teil unseres Themenschwerpunkts zum Halving widmen wir uns diesen heiklen Fragen.

Immer wieder, wenn man jemandem erklärt, wie Mining und Halving funktionieren, kommt eine schwierige, aber gute Frage: Was passiert, wenn die Mine versiegt? Wer sichert das Netzwerk, wenn es keinen Blockreward mehr gibt? Sollen die Miner dann für lau arbeiten?

Hinter dieser Fragestellung steckt ein ganzer Strauß an Fragen, Szenarien und Theorien. Diese versuchen wir im abschließenden Artikel unseres Themenschwerpunkts zum Halving zu erklären — so kurz wie möglich, aber so umfangreich wie nötig.

Die künftige Ökonomie der Zünfte

Beginnen wir mit dem Szenario, dem man unter Bitcoinern mit etwas Beunruhigung entgegenblickt: dass die Preise weniger schnell steigen, als der Blockreward sinkt. Über kurz oder lang wird dies unvermeidlich sein, weil der Bitcoin-Kurs nicht unendlich hoch steigen kann; realistisch betrachtet dürfte es spätestens in den 30ern akut werden.

Wenn es gut läuft, gleichen die Gebühreneinnahmen die Halvings aus. So hatte Satoshi es geplant: „In ein paar Jahrzehnten, wenn der Reward zu gering wird, werden die Transaktionsgebühren die wichtigste Entlohnung für die Nodes sein,“ schrieb er auf Bitcointalk.org, „Ich bin sicher, dass es in 20 Jahren entweder ein sehr großes Transaktionsvolumen gibt oder überhaupt keines.“

Nun entstand jedoch im Umfeld der Core-Entwickler die Idee, dass Satoshi das falsch verstanden hat: Es braucht nicht ein großes, sondern, ganz im Gegenteil: ein kleines, streng gedeckeltes Transaktionsvolumen, damit ein „Fee Market“ entsteht, der die Miner langfristig finanziert. Denn nur wenn der Platz auf der Blockchain knapp ist, konkurrieren die User mit ihren Gebühren darum. Dies war mit ein Grund, warum die Blocksize damals nicht erhöht werden durfte.

Die Idee erinnert ein wenig an die Ökonomie der Zünfte, die streng reglementiert haben, wie viele Tische, Hemden und Nägel ihre Mitglieder im Jahr herstellen durften, um stabile Preise zu erhalten. Oder auch an die Förderquoten der OPEC, die den Preis für Öl durch künstliche Verknappung hochhalten wollten.

Der Plan ging nicht auf, aber es sieht nicht schlecht aus

Weil die Blöcke klein bleiben mussten, brauchte es eine „Layer-2“ wie Lightning, durch die Bitcoin zum Zahlungsmittel für die Massen werden kann. Die Blockchain selbst sollte zur „Settlement-Schicht“ werden, wo man entweder große Summen überweist oder Lightning-Kanäle öffnet, schließt oder neu balanciert.

Zwar leitet Lightning einen Teil der Gebühren, die User für Transaktionen bezahlen, auf Lightning-Nodes um. Doch weil eine Onchain-Transaktion zum Tor für tausende Lightning-Transaktion wird, sind User bereit, dafür auch gut zu bezahlen. So zumindest die Theorie, die für Bitcoin seit 2016 die uneingeschränkte Roadmap ist.

Bisher war dieses Konzept aber eher mäßig erfolgreich: Weder hat Lightning Bitcoin zum Massenzahlungsmittel gemacht, noch sorgt der „Fee Market“ für solide Gebühren für die Miner.

Gerade der Vergleich mit Ethereum gab lange Zeit ein klägliches Bild ab: Dort erwirtschaften Smart Contracts, Token-Transfers, ICOs, DeFi und NFTs einen stabilen Gebührenstrom auf hohem Niveau, von dem Bitcoin-Miner nur träumen können. Es hat wohl seinen Grund, weshalb der moderne Kapitalismus die Ökonomie der Zünfte überwunden hat, und man heute die Produktion nicht mehr quotiert, sondern möglichst hoch skaliert.

Auch bei Bitcoin ist man mittlerweile einen Schritt weiter. Taproot und Ordinals haben mit NFTs, Token und Rollups einige der „Hits“ von Ethereum auf die Bitcoin-Blockchain gebracht, und der Markt honoriert dies mit ansehnlichen Gebühren. Mittlerweile erwirtschaften die Bitcoin-Miner am Tag zwischen einer und acht Millionen Dollar an Gebühren, wobei die Summe aber weniger stabil ist als bei Ethereum.

Wenn mit dem nächsten Halving nur noch 3,125 Bitcoins je Block erzeugt werden, summiert sich der tägliche Blockreward bei einem Preis von 70.000 Dollar auf etwa 31,5 Million Dollar. Die Gebühren sind ein kleiner, aber schon sichtbarer Teil davon. Es sieht also gar nicht so schlecht aus.

Zentralisierung und Schattenflotten

Aber was, wenn es nichts wird? Nehmen wir mal an, Lightning bleibt so unfruchtbar wie es heute ist, andere Layer-2 kommen nicht auf die Beine, und alles um Token und NFTs wandert wieder zurück ins Web3-Ökosystem um Ethereum.

Was passiert dann? Was droht, wenn die absolute Einnahmen der Miner im Lauf der Zeit immer weiter sinken?

Zunächst einmal wird dies nicht auf einen Schlag geschehen, sondern sukzessive. Die meisten Miner haben in ihren Investments die Halvings bereits einkalkuliert. Daher dürften erst in den Monaten und Jahren danach sukzessive alte Geräte abgeschaltet und Mining-Farmen mit teurem Strom abgebaut werden.

Wenn nur effiziente Miner bleiben und der günstigste Strom auch der sauberste Strom ist – sagen wir, überschüssige Hydroenergie, oder noch nicht ans Netz angeschlossene Windkraft – würde dies Bitcoin zunächst vor allem ökologischer machen. Da daraus zunächst noch keine Bedrohung für das Netzwerk erwächst, wäre ein Rückbau des Minings sogar wünschenswert.

Im Lauf der Zeit kann es aber kritisch werden. Einerseits kann der ökonomische Druck das Ökosystem der Miner zentralisieren: nur diejenigen mit Zugriff auf effiziente Miner – die vermutlich wegen der sinkenden Einnahmen nicht weiter entwickelt werden – oder Zugang zu günstigem, wenn nicht gar kostenlosen Strom, haben eine Chance, zu bestehen. Dies könnten am Ende nur eine kleine Handvoll Akteure sein.

Andererseits bildet sich eine Art „Schattenflotte“ der Miner heraus. Als Ethereum mit dem Merge die Miner „gefeuert“ hat, konnten diese ihre gigantische GPU-Flotte durch „KI-Mining“ weiter verwerten. Die Asics, mit denen Bitcoin erzeugt werden, können aber nur eines – Bitcoins minen. So wird eine zunehmend größere Schattenflotte an Asics auf den Markt strömen, die nicht in der Hashrate auftaucht, weil sich mit ihr das Mining nicht mehr lohnt – möglicherweise aber ein Angriff auf Bitcoin.

Aber welche Angriffe gibt es überhaupt? Was können die Miner mit einer Masse an Hashrate machen? Und welche Profite locken dabei?

Der klassische 51-Prozent-Angriff

Grundsätzlich gibt es für eine Majorität der Hashrate zwei Angriffe: den traditionellen 51-Prozent-Angriff sowie den Softfork-Angriff.

Der 51-Prozent-Angriff setzt voraus, dass ein maliziöser Akteur mehr als 50 Prozent der Hashrate akkumuliert hat. In diesem Fall ist er in der Lage, dem Netzwerk seine Version der Wirklichkeit aufzuzwingen. Er könnte beispielsweise die Blöcke anderer Miner abweisen und Transaktionen dauerhaft zensieren.

In der Regel meint man mit einem 51-Prozent-Angriff aber einen „Double-Spend“, also die doppelte Ausgabe eines Coins. Das läuft etwa so ab: Der Miner versendet zuerst einige Bitcoin an jemanden, sagen wir, einen Geschäftspartner, und während andere Miner die Transaktion bestätigen, bildet er eine geheime „Schattenkette“ aus Blöcken. Wenn er sie dann veröffentlicht, hat sie mehr Proof of Work als die bisher sichtbare Kette (er hat ja die Mehrheit der Hashrate!) und überschreibt diese daher. Die Transaktion, die eben noch bestätigt war, verschwindet aus der Wallet des Empfängers.

Solche 51-Prozent-Angriffe dürften zunächst nicht bei Bitcoin selbst auftreten, sondern bei verwandten Blockchains mit demselben Mining-Algorithmus, etwa Bitcoin Cash (BCH) oder Bitcoin SV (BSV). Diese könnten damit wie ein Kienspan in einem Keller ein Frühindikator dafür sein, dass eine Schattenflotte von Minern existiert, für die das reine Mining nicht mehr profitabel ist.

Eine offene Frage ist aber, wann sich solche Angriffe überhaupt für wen lohnen. Gerade hier herrscht viel Verwirrung. Schon Satoshi hat beschrieben, dass ein Miner, der 51 Prozent der Hashrate akkumuliert hat, starke Anreize hat, die Integrität des Systems eben nicht anzugreifen. Schließlich würde er für einen kleinen Gewinn den Wert seiner gesamten Hardware-Flotte aufs Spiel setzen.

Selbst in einer stark zentralisierten Mining-Landschaft müsste der Leidensdruck extrem hoch sein, damit die Miner sich in solche unlauteren, selbstschädigenden Praktiken flüchten. Langfristig wäre aber vorstellbar, dass die Miner ihre Kosten durch eine Art „Double-Spend-as-a-Service“ decken. Vorstellbar wäre auch, dass sie durch 51-Prozent-Angriffe illegale Transaktionen rückabwickeln, etwa Zahlungen für Ransomware oder Börsenhacks, oder dass sie Sanktionen und Blacklists durchsetzen. Bitcoin würde damit zu einer Art PayPal 2.0 werden.

Wenn die Schattenflotte auftaucht …

Eine größere Bedrohung geht jedoch von der Schattenflotte an Asics aus, die nicht mehr rentabel minen können. Die einzige Möglichkeit, aus diesen Chips noch Profite herauszuquetschen, sind Angriffe auf Bitcoin. Die Spieltheorie, die bei den aktiven Minern so gut hält, greift hier ins Leere.

Doch wie würde die Schattenflotte mit Double Spends Profite machen? Ein klassisches Beispiel wäre es, wenn man Bitcoins zu einer Börse sendet. Man wartet sechs Bestätigungen, verkauft die Bitcoins gegen Euro, veröffentlicht dann die Schattenkette mit sechs Blöcken, so dass man die Bitcoins niemals eingezahlt hat.

Das Ergebnis: Man hat die Börse betrogen, da man Euro bekommen, aber Bitcoins behalten hat – doch die Börsen hat Namen und Bankverbindung des Betrügers. Der Spaß bekommt damit ein ziemlich tiefes Loch. Damit sich der Aufwand des Double Spendings lohnt, müsste man in der Lage sein, anonym ein großes Volumen an Bitcoins zu wechseln – gegen Fiatgeld, andere Kryptowährungen oder andere Bitcoin-UTXO.

Die Möglichkeiten dazu sind derzeit ziemlich dürftig. Dezentrale Atomic Swaps, wie gegen Monero, wären ein Beispiel, Payment-Channels in Lightning ein zweites, Onchain-Wechsel von Ordinal-Tokens gegen Bitcoins ein drittes. All das bietet derzeit jedoch nicht im Ansatz die Liquidität, um den Aufwand zu rechtfertigen, eine so gewaltige Mining-Flotte aufzubauen.

Langfristig könnte ein extrem dominanter Miner – oder eine die tatsächliche Hashrate vielfach übersteigende Schattenflotte – jedoch in der Lage sein, nicht nur einige Blöcke neu zu schreiben, sondern Monate, gar Jahre zu ändern. Dies könnte Transaktionen mit einer großen Summe grundsätzlich unsicher machen, auch nach hunderten oder tausenden Bestätigungen, und Bitcoin zu einem Zahlungsmittel machen, bei dem Transaktionen niemals wirklich finalisiert werden.

Mittelfristig jedoch dürften Softfork-Angriffe eine größere Bedrohung sein.

Der Softfork-Angriff

Man kann die Konsens-Regeln von Bitcoin auf zwei Methoden ändern: durch eine Hardfork und eine Softfork.

Eine Softfork hat die Eigenschaft, dass Knoten, die kein Update eingespielt haben, nicht betroffen sind. Lediglich die Miner müssen den neuen Regeln zustimmen, um weiterhin gültige Blöcke zu produzieren. Dementsprechend braucht es nur ein Kartell von Entwicklern und Minern, um eine potenziell bösartige Regeländerung per Softfork zu erzwingen.

Der Softfork-Angriff stellt schon heute den vermutlich bedrohlichsten Angriff auf Bitcoin dar. Wenn es infolge des austrocknenden Block-Rewards zu einer weiteren Zentralisierung der Miner – oder dem Aufbau einer massiven Schattenflotte – kommt, könnte sie einer sehr geringen Anzahl von Akteuren die Kontrolle über die Regeln von Bitcoin geben.

Mit einer Softfork könnte man bestimmte Adressen auf eine Blacklist zu setzen, so dass ein Block, der Transaktionen von ihnen enthält, per Definition ungültig ist. Man könnte die Blocksize so weit verengen, dass nur noch eine Handvoll Transaktionen in einen Block passt – und Bitcoin damit faktisch unbrauchbar wird – oder verlangen, dass jede Transaktion eine Extra-Signatur von einem KYC-Anbieter enthält. Man könnte auch ganze Klassen von Transaktionen ungültig machen, etwa Multisig- oder Taproot-Transaktionen.

Auch hier arbeitet die Spieltheorie eher gegen den Angriff. Denn Stakeholder dürften versuchen, alles zu verhindern, was Bitcoin an sich bedroht. In den USA sind dies etwa Michael Saylor und mittlerweile Blackrock, die ihre Investments nicht gefährden wollen, in Russland ist dies mittlerweile der – über mehr als genug Energie verfügende – Staat, der Bitcoin oder Krypto braucht, um Sanktionen zu umgehen. Und so weiter.

Dennoch bleibt der Softfork-Angriff ein Szenario, das technisch desto einfacher umzusetzen wird, je weiter die Halvings den Blockreward austrocknen.

Auf lange Zeit kein ernsthaftes Problem

Insgesamt bleibt die Bedrohungslage auf absehbare Zeit sehr moderat. Ich schätze, selbst wenn die Preisentwicklung weit unter den üblichen Erwartungen bleibt, dürfte bis in die späten 30er kein ernsthaftes Risiko für Bitcoin bestehen.

Wie es danach weitergeht, hängt von vielen Faktoren ab. Möglicherweise haben Lightning, Ordinals und andere L2 bis dahin genügend Volumen, um die sinkenden Belohnungen mit Gebühren so weit auszugleichen, dass Bitcoin einen sicheren Gleichgewichtszustand findet. Dann wäre alles gut.

Wenn nicht, dürften sich diverse Risiken manifestieren, etwa „Double-Spend-as-a-Service“, die Zensur illegaler Transaktionen oder willkürliche Regeländerungen durch Softforks. Wenn Lightning und Atomic Swaps bis dahin ein ausreichend hohes Volumen stemmen, werden sie vermutlich zu beliebten Zielen, auch die Ankertransaktionen zu Sidechains und Rollups könnten unsicher werden.

Sollten die Gebühren in den 2040er Jahren gering bleiben, wird der zunehmend dahinschwindende Blockreward zu einem echten Problem werden. In dem Fall müsste man mit Änderungen des Codes reagieren. Checkpoints könnten Transaktionen ab einer gewissen Anzahl an Bestätigungen „artifiziell“ finalisieren und damit den Double-Spend-Angriffen die Zähne ziehen, eine Erhöhung der Blocksize könnte neue Einnahmequellen erschließen (und unabhängig von den nun unsicheren Layer-2 skalieren), und, als eine Art letzte Notlösung, könnte man das Halving selbst abschaffen.

Sollte all das nicht geschehen, könnte Bitcoin in den 40er Jahren aufhören, ein zuverlässiges Zahlungsmittel zu sein.