[suppor]
Entgegen vieler Erwartungen erfreut sich das Ordinals-Protokoll nach wie vor recht hoher Nachfrage und Beliebtheit. Vor allem die darauf aufbauenden BRC-20 Token machen seit Längerem den größten Anteil unter den Inscriptions aus. Trotz fragwürdigem Anwendungsfall hat sich, ob es einem gefällt oder nicht, ein beachtlicher Markt mit einer gesamten Marktkapitalisierung von über einer Milliarde US-Dollar entwickelt.
Doch seit einigen Tagen kursieren interessante – für Liebhaber von BRC-20 Token wahrscheinlich besorgniserregende – Posts auf der Plattform 𝕏 (ehem. Twitter): Es werden Transaktionen mit angeblich gestohlenen BRC-20 Token geteilt. Was auf den ersten Blick mal wieder nach einem "Fehler" des Ordinals-Protkolls aussieht, stellt sich tatsächlich als raffinierter Kampf um Transaktionsgebühren heraus, der ganz nebenbei die mehr oder weniger umstrittene FullRBF-Funktion für Bitcoin-Miner schmackhafter macht. Da die ganze Situation auf den ersten Blick relativ komplex erscheint, fassen wir diese im Folgenden in einfachen Worten zusammen.
Es hat sich ein Ökosystem von Schnäppchenjägern herausgebildet, die nach anfälligen Inscriptions im Mempool suchen, die gegen Gebühren abgeschöpft werden können, um die eigenen Transaktionen zu beschleunigen.
@mononautical auf 𝕏
Ungewolltes Ersetzen
Bereits am Anfang des Monats fielen einige BRC-20-Transaktionen durch die Benutzung von Full-RBF auf. Unter Replace by Fee (RBF) versteht man ganz allgemein das Ersetzen einer noch nicht bestätigten Transaktion mit einer höheren Gebühr, um Bitcoin-Minern einen Anreiz zu geben, diese schneller zu bestätigen. Soweit also erstmal nichts Ungewöhnliches. Mit über 300.000 unbestätigten Transaktionen ist der Mempool schließlich nach wie vor stark gefüllt, was bei einer zu niedrig gewählten Gebühr eine ziemlich lange Wartezeit mit sich bringen kann.
Lese-Tipp: Bitcoin-Transaktionen schneller bestätigen: Was sind RBF und CPFP?
Die allermeisten Wallets setzen allerdings nach wie vor auf die „klassische“ RBF-Variante, bei der vorab angekündigt wird, dass die Transaktion eventuell ersetzt wird. Genau das ist mit der umstritteneren Full-RBF-Variante allerdings nicht mehr notwendig. Legt eine Bitcoin-Node diese Regel (mempoolfullrbf=1
) fest, kann ausnahmslos jede wartende Transaktion in ihrem Mempool ersetzt werden. Man könnte also zunächst meinen, dass die BRC-20-Nutzer einfach nur gerne die modernsten Bitcoin-Funktionen nutzen, und keine Lust auf die altmodischere RBF-Variante haben. Doch wirft man einen genaueren Blick auf die Transaktionen, zeichnet sich ein anderes Bild ab...
Der Raubzug
Denn die besagten Transaktionen geben teilweise gleich mehrere Outputs, die eigentlich für Inscriptions vorbereitet wurden, gleichzeitig aus und spenden diese einfach als Gebühr an die Miner. Mit dem ernsthaften Erstellen und Versenden von BRC-20 Token hat das natürlich nicht viel zu tun. Die ursprünglichen Transaktionen für die Inscriptions wurden also ungewollt von Dritten mithilfe von Full-RBF ersetzt und umgeleitet. Mit anderen Worten: Sie wurden gestohlen!
Doch wie kann das überhaupt möglich sein? Ob Inscription oder nicht - am Ende des Tages handelt es sich doch um normale Transaktionen, bei denen Bitcoin nur mit einer gültigen Signatur ausgegeben werden können. Diese Signaturen kann man als Außenstehender, ohne die zugehörigen privaten Schüssel zu kennen, nicht einfach so fälschen.
Normalerweise trifft diese Annahme zwar vollkommen zu, doch die betroffenen Outputs sind alles andere als normal. Das Überprüfen einer Signatur ist nämlich keinesfalls Pflicht, sondern lediglich Teil sämtlicher Standards in der Bitcoin Script Sprache. Theoretisch könnte man seine Bitcoin auch mit einem Kreuzworträtsel absichern – die Möglichkeiten sind ziemlich groß, allerdings in der Regel nicht wirklich sinnvoll. Doch egal was man für ein Script zur Absicherung seiner Bitcoin wählt, die Anweisungen, Schlüssel und Signaturen in jeder Transaktion verbrauchen Speicherplatz, für den man schlussendlich in Form der Gebühren bezahlen muss.
Genau an dieser Stelle versuchen die Herausgeber diverser BRC-20 Token zu sparen, indem sie, so absurd das auch klingen mag, die Überprüfung einer gültigen Signatur einfach weglassen. Das bedeutet konkret: Jeder, der das genaue Script, welches sich zunächst hinter einem Hashwert versteckt, kennt, ist in der Lage, die damit gesicherten Bitcoin einfach auszugeben – zumindest so lange die Inscription noch nicht vollständig abgeschlossen ist.
Werbung für Full-RBF
Möchte man den BRC-20 Nutzern also einen Streich spielen, kann man das Bitcoin-Netzwerk einfach nach potenziell ausnutzbaren Transaktionen überwachen. Genauer gesagt also nach Outputs, die keine digitale Signatur verlangen, um ausgegeben werden zu dürfen. Dafür wartet man entweder die Veröffentlichung einer solchen Transaktion ab, da das entsprechende Script damit ohnehin veröffentlicht wird, oder man sucht bereits im Voraus, durch wiederholtes Ausprobieren, nach betroffenen Outputs. Und genau das ist auch passiert.
Wirklich praktisch möglich wird das ganze erst durch Full-RBF. Die Unterstützung für das allgemeine Ersetzen von Transaktionen ist mittlerweile weit genug verbreitet, sodass es die „Diebstahl-Transaktionen“ auch tatsächlich schaffen, sich im Netzwerk zu verbreiten.
Entsprechend profitieren also Bitcoin-Miner bzw. Mining-Pools, die Full-RBF aktiviert haben. Beispielsweise konnte AntPool fast einen kompletten Block mit Full-RBF-Transaktionen füllen und damit fast 0,01 BTC an zusätzlichen Gebühren einkassieren. Man könnte also davon sprechen, dass der Gebührenkampf um die BRC-20 Token ganz nebenbei einen Anreiz schafft, Full-RBF zu nutzen.
Fazit
Ereignisse in der Welt der Ordinals sind oft, so auch in diesem Fall, für eine recht witzige Geschichte zu gebrauchen. Doch auch als einfache Bitcoin-Nutzer können wir aus den eben erläuterten Geschehnissen etwas lernen.
Zum einen wird durch die mittlerweile recht verbreitete Unterstützung von Full-RBF verdeutlicht, dass unbestätigte Bitcoin-Transaktionen keine verlässliche Sicherheit bieten. Empfangen wir also Bitcoin von einer Person, die uns versichert, dass die Transaktion "ganz sicher" bestätigt wird, da RBF nicht einmal aktiviert ist, heisst es dennoch Vorsicht walten zu lassen. Grundsätzlich konnten Bitcoin-Transaktion zwar schon immer ersetzt werden, sofern diese noch nicht bestätigt wurden, doch diese eher theoretische Möglichkeit wird mit Full-RBF nun zur praktischen Realität. Auf mindestens ein bis zwei Bestätigungen sollte man also generell immer warten, im Idealfall und bei höheren Beträgen natürlich auch mehr.
Zum anderen sehen wir, wie ein Kompromiss, der bewusst Abstriche bei der Sicherheit macht, nach hinten losgehen kann. Zwar ist das vollständige Weglassen der Signatur-Prüfung zugegebenermaßen ein sehr extremes Beispiel, doch die Aussage bleibt dennoch gleich: Wer zu fahrlässig bei der Sicherheit der eigenen Bitcoin wird, bekommt früher oder später die entsprechende Quittung. Auch allgemein im Bereich der BRC-20 Token rät Blocktrainer.de zur Vorsicht. Nicht nur, weil an jeder Ecke unerwartete Ereignisse und Fehler lauern können, sondern auch aufgrund deren extrem spekulativen Natur und Regeln, die abseits von Bitcoin definiert und durchgesetzt werden müssen.