Bitcoin-Kreditplattform Firefish veröffentlicht Quellcode

Die Bitcoin-Kreditplattform Firefish hat heute den Quellcode ihres Protokolls veröffentlicht. Schon seit Projektbeginn hatte das Team betont, dass dieser Schritt erfolgen wird. Es handelt sich daher nicht direkt um eine Reaktion auf Kritik, sondern um die konsequente Umsetzung eines lange angekündigten Transparenzversprechens.

Trotzdem kam es jüngst zu einigen kritischen Stimmen im Hinblick auf Verifizierbarkeit und möglicher Sicherheitslücken. Genau hier liefert der Code-Release nun handfeste Antworten.

Mit dem Release stehen nun zwei zentrale Bausteine öffentlich zur Verfügung:

• Die Rust-Implementierung des Firefish-Protokolls: Der Quellcode bildet die Logik des Bitcoin-Collateral-Escrows ab, inklusive Angebotserstellung, Transaktionssignaturen und Rückzahlungsmechanismen.
• Deterministische Build-Anleitungen: Nutzer können die WebAssembly-Binaries selbst reproduzieren und prüfen, ob die im Browser laufende Version mit dem veröffentlichten Code übereinstimmt. So ist Manipulation ausgeschlossen.

Zusätzlich hat Firefish ein Bug-Bounty-Programm gestartet, das Belohnungen von bis zu 10.000 US-Dollar für kritische Sicherheitslücken vorsieht. Ergänzt wird dies durch eine klar formulierte und veröffentlichte Security Policy mit Meldewegen und Contributing-Guidelines, die Community-Beiträge regeln.

Was in dem Zusammenhang vielleicht noch wichtig zu erwähnen ist: Der Quellcode ist genau genommen nicht „Open Source“, sondern wird unter einer speziellen Lizenz bereitgestellt. Die Firefish Protocol License erlaubt die Prüfung, das Kompilieren und die Nutzung im Zusammenhang mit der offiziellen Plattform, untersagt jedoch kommerzielle Weiterverwendung oder den Aufbau von Konkurrenzprodukten. Firefish spricht daher bewusst von Public Code – offen genug für Transparenz und Audits, aber eben geschützt vor Copycats.

Intransparenz bei Transaktionen

In erster Linie wird der Vorwurf, Firefishs Funktionsweise sei eine „Black Box“, durch die Veröffentlichung komplett entkräftet. Entwickler können nun im Quellcode genau nachvollziehen, wie Transaktionen erzeugt und signiert werden.

Fehlende Verifizierbarkeit

Kritiker hatten außerdem bemängelt, dass Nutzer nicht sicher sein können, ob der ausgelieferte Client tatsächlich dem angekündigten Code entspricht. Auch das ist mit den deterministischen Builds nun überprüfbar – jeder mit den entsprechenden Fachkenntnissen kann nun selbst nachprüfen, ob App und Source Code identisch sind.

Sicherheitsbedenken

Neben der Offenlegung schafft auch das genannte Bug-Bounty-Programm zusätzliche Sicherheit. Forscher, die Schwachstellen finden, werden finanziell belohnt. Auch mit diesem Schritt stärkt Firefish also das Vertrauen in den eigenen Service.

Hilfe aus der Community

Mit klaren Contributing-Regeln können Entwickler künftig auch aktiv an Verbesserungen mitwirken. Das stärkt nicht nur die Qualität des Codes, sondern zeigt auch, dass Firefish die Expertise der Bitcoin-Community aktiv einbindet, um das eigene Produkt stetig zu verbessern.

Auch wenn die Lizenz den Code (noch) nicht zu einer klassischen Open-Source-Software macht, ist das wichtigste Ziel erreicht: Jeder kann prüfen, ob Firefish so funktioniert, wie behauptet.

Das bedeutet allerdings nicht, dass Firefish komplett risikolos ist. Wie bei jedem Finanz- und Softwareprojekt bestehen weiterhin Restrisiken (z. B. durch ökonomische Faktoren). Doch gerade das technische Risiko ist durch die Offenlegung und die Möglichkeit unabhängiger Audits nun deutlich gesunken.

Damit setzt das Unternehmen ein klares Signal in Richtung Community: Vertrauen soll nicht eingefordert, sondern technisch überprüfbar gemacht werden. Im Bitcoin-Umfeld gilt ja bekanntlich das Prinzip „Don’t trust, verify“ – und Firefish hat nun die Grundlage dafür geschaffen.