Liste volkstümlicher Bitcoin Irrtümer - FAQ

[trantute2]

Christoph Bergmann hat auch nochmal das Thema Bitcoin und Quantencomputer zusammengefasst:

https://bitcoinblog.de/2018/03/28/die-wahrheit-ueber-bitcoin-und-quantencomputer/

[Evolyn]

Finde das FAQ gut!

Bin mit Punkt 9 mit dem soliden Nein nicht ganz einverstanden. Wenn die Wahrscheinlichkeit, egal wie gering sie ist aber größer 0 ist kann die Antwort nicht Nein sein

Hatte neulich wieder eine Unterhaltung mit jemand über Bitcoin der damit nicht ganz so vertraut ist wie wir. Seine Irrtümer die man evtl. hier einbauen könnte waren:
- Bitcoin wird nur für Geldwäsche benutzt (ggf. Unterpunkt für wird nur von Kriminellen verwendet)
- Bitcoin ist eine Aktie
- Es gibt nur "ganze" Bitcoin

[Lincoln6Echo]

Finde das FAQ gut!

Bin mit Punkt 9 mit dem soliden Nein nicht ganz einverstanden. Wenn die Wahrscheinlichkeit, egal wie gering sie ist aber größer 0 ist kann die Antwort nicht Nein sein

Hatte neulich wieder eine Unterhaltung mit jemand über Bitcoin der damit nicht ganz so vertraut ist wie wir. Seine Irrtümer die man evtl. hier einbauen könnte waren:
- Bitcoin wird nur für Geldwäsche benutzt (ggf. Unterpunkt für wird nur von Kriminellen verwendet)
- Bitcoin ist eine Aktie
- Es gibt nur "ganze" Bitcoin

An ersten beiden Irrtümern sind meiner Meinung nach die Medien mit ihrer schlechten Recherche, Copy&Paste sowie Clickbait Mentalität schuld.
Die Geldwäsche Behauptung rührt von dem Irrtum, dass Bitcoin anonym sei aber in Wirklichkeit pseudonym ist. Gutes Beispiel: Ross Ulbricht sowie Shaun Bridges.
https://www.theguardian.com/technology/2015/jul/02/silk-road-undercover-dea-agent-turned-bitcoin-thief-pleads-guilty

[d5000]

Mir ist zum Thema "51%-Angriff" noch ein Szenario in den Sinn gekommen, das hier noch nicht erwähnt wurde. über das ich aber schon in einigen Diskussionen hier im Forum gelesen habe. Es ist zwar ebenfalls sehr schwer bis unmöglich zu realisieren, aber immerhin wäre die Profitmöglichkeit höher.

Hier geht der Angreifer anders vor: Sein Hauptziel ist es nicht, einen Double Spend durchzuführen, sondern den Preis des BTC zu senken.

Folgende Vorgehensweise:
- Der Angreifer leiht sich eine hohe Anzahl Coins und verkauft diese (als Leerverkauf, wahrscheinlich auf verschiedenen Börsen mit Short-Möglichkeiten)
- Mit dem Erlös kann er erst einmal die Zinsen für den Short und zusätzlich zumindest einen Teil der notwendigen Hashrate für den Angriff kaufen.
- Nun führt er den Angriff durch, indem er eine zur Hauptchain inkompatible Chain durch seine Hashrate zur längsten macht. Er wird dabei einen Double Spend als "Beweis" einbauen, dass der 51%-Angriff geglückt ist. Allerdings kann er diesen auch gegen sich selbst (also eine andere Wallet, die ihm gehört) verüben -> dann wäre es wahrscheinlich nicht mal eine Straftat ...
- Nach dem Bekanntwerden des Angriffs ist es wahrscheinlich, dass der Kurs des BTC stark einbricht, da ja "Bitcoin erfolgreich angegriffen" wurde.
- Angreifer kauft seine Coins für einen deutlich niedrigeren Preis zurück. Wenn die Differenz höher ist als die Investitionen in Hashrate plus Zinsen für die geliehenen Coins hat er Profit gemacht.

Mich würde es beruhigen, wenn es für diesen Angriff einen ebenso eleganten "rebuttal" gibt wie für den traditionelleren, bereits hier beschriebenen 51%-Attack

[qwk]

Mir ist zum Thema "51%-Angriff" noch ein Szenario in den Sinn gekommen, das hier noch nicht erwähnt wurde. über das ich aber schon in einigen Diskussionen hier im Forum gelesen habe. Es ist zwar ebenfalls sehr schwer bis unmöglich zu realisieren, aber immerhin wäre die Profitmöglichkeit höher.

Hier geht der Angreifer anders vor: Sein Hauptziel ist es nicht, einen Double Spend durchzuführen, sondern den Preis des BTC zu senken.

Folgende Vorgehensweise:
- Der Angreifer leiht sich eine hohe Anzahl Coins und verkauft diese (als Leerverkauf, wahrscheinlich auf verschiedenen Börsen mit Short-Möglichkeiten)
- Mit dem Erlös kann er erst einmal die Zinsen für den Short und zusätzlich zumindest einen Teil der notwendigen Hashrate für den Angriff kaufen.
- Nun führt er den Angriff durch, indem er eine zur Hauptchain inkompatible Chain durch seine Hashrate zur längsten macht. Er wird dabei einen Double Spend als "Beweis" einbauen, dass der 51%-Angriff geglückt ist. Allerdings kann er diesen auch gegen sich selbst (also eine andere Wallet, die ihm gehört) verüben -> dann wäre es wahrscheinlich nicht mal eine Straftat ...
- Nach dem Bekanntwerden des Angriffs ist es wahrscheinlich, dass der Kurs des BTC stark einbricht, da ja "Bitcoin erfolgreich angegriffen" wurde.
- Angreifer kauft seine Coins für einen deutlich niedrigeren Preis zurück. Wenn die Differenz höher ist als die Investitionen in Hashrate plus Zinsen für die geliehenen Coins hat er Profit gemacht.

Mich würde es beruhigen, wenn es für diesen Angriff einen ebenso eleganten "rebuttal" gibt wie für den traditionelleren, bereits hier beschriebenen 51%-Attack

Der "Angriff" ist möglich.
Er hat nur nichts mit Bitcoin zu tun
Strafbar ist er übrigens auch, zumindest in der EU und den USA, vermutlich aber in den meisten zivilisierten Ländern der Welt. Unabhängig davon, ob der Angreifer den Double Spend gegen sich selbst ausführt oder nicht, handelt es sich um eine Marktmanipulation.

Eine vorsätzliche Markmanipulation, die noch dazu gewerblich und/oder bandenmäßig durchgeführt wird, ist ein Verbrechen, welches mit Freiheitsstrafe bis zu zehn Jahren geahndet werden kann. Die Geldbuße kann dabei bis zum Dreifachen des Gewinns betragen.

Alles in Allem würde ich sagen, der Angreifer hat das selbe Problem wie bei der normalen 51%-Attacke: er ist leicht identifizierbar und riskiert eine schwere Straftat, seine Miner können beschlagnahmt werden, er kassiert eine gewaltige Geldstrafe etc.
Anders gesagt: lohnt sich nicht. Punkt.

Marktmanipulation

Durch Marktmissbrauch wird die Integrität der Finanzmärkte verletzt und das Vertrauen der Öffentlichkeit in das Funktionieren der Märkte untergraben. Marktmanipulation ist eine Form des Marktmissbrauchs. Zum Schutz der Finanzmärkte ist Marktmanipulation daher verboten. Es ist eine wichtige Aufgabe der BaFin, Fälle von Marktmanipulation aufzudecken und zu verfolgen.

Seit 3. Juli 2016 ist die Verordnung (EU) Nr. 596/2014 – Marktmissbrauchsverordnung (MAR) in den Mitgliedstaaten der EU unmittelbar anwendbar. Ihr Ziel ist es, ein für die EU einheitliches Regelungswerk zum Schutz der Marktintegrität zu schaffen. Daneben wurde die das Strafrecht harmonisierende Richtlinie 2014/57/EU – Marktmissbrauchsrichtlinie (CRIM-MAD) erlassen. Der deutsche Gesetzgeber hat diese Richtlinie mit dem Ersten Finanzmarktnovellierungsgesetz (1. FiMaNoG) in deutsches Recht umgesetzt. Die alte Regelung des Verbots der Marktmanipulation in § 20a Wertpapierhandelsgesetz (WpHG a.F.) wurde aufgehoben. Durch das Zweite Finanzmarktnovellierungsgesetz (2. FiMaNoG) wurde das WpHG neu strukturiert und nummeriert.

Der Begriff der Marktmanipulation und das Verbot von Marktmanipulation sind nun in den Vorschriften der MAR geregelt. Nach Artikel 15 MAR sind Marktmanipulation und der Versuch hierzu verboten. Artikel 12 MAR regelt, welche Handlungen der Begriff „Marktmanipulation“ umfasst.

Danach ist es verboten, durch den Abschluss eines Geschäfts, die Erteilung eines Handelsauftrags oder jede andere Handlung falsche oder irreführende Signale hinsichtlich des Angebots, der Nachfrage oder des Preises eines Finanzinstruments zu geben. Hierzu enthält der Anhang der MAR eine nicht erschöpfende Aufzählung von Indikatoren für manipulatives Handeln. So kann der Umstand, dass getätigte Geschäfte nicht zu einer Änderung des wirtschaftlichen Eigentums eines Finanzinstruments führen, für eine Marktmanipulation in Form eines sog. Insichgeschäfts oder Wash Sales sprechen. Ebenfalls verboten sind sog. abgesprochene Geschäfte, d.h. Aufträge, die auf einer vorherigen Abstimmung zwischen Käufer und Verkäufer beruhen und nach außen nicht vor ihrer Ausführung entsprechend transparent gemacht worden sind.

Es ist auch verboten, Informationen zu verbreiten, die falsche oder irreführende Signale hinsichtlich des Angebots oder des Kurses eines Finanzinstruments geben oder ein künstliches Kursniveau herbeiführen. Zudem verbietet die MAR ausdrücklich die Manipulation von Referenzwerten.

Vom Verbot der Marktmanipulation sind insbesondere alle auf einem geregelten Markt, einem multilateralen oder organisierten Handelssystem gehandelten Finanzinstrumente erfasst. Dies umfasst neben Wertpapieren (wie z.B. Aktien und Anleihen) auch Geldmarktinstrumente oder derivative Geschäfte und Waren-Spot-Kontrakte, wenn diese von dem Kurs oder dem Wert eines Finanzinstruments abhängen oder Auswirkungen auf diesen haben können. Das Verbot gilt ausdrücklich auch für an einem inländischen Markt gehandelte Waren und ausländische Zahlungsmittel.
[...]
Die Straf- und Bußgeldvorschriften zu Marktmanipulation sind im Wertpapierhandelsgesetz (WpHG) geregelt. Wer vorsätzlich oder leichtfertig eine Marktmanipulation begeht, handelt ordnungswidrig (§ 120 Abs. 15 WpHG). Ordnungswidrige Marktmanipulationen werden von der BaFin verfolgt und mit einem Bußgeld sanktioniert. Die Höhe des Bußgelds ist abhängig von der Art der begangenen Marktmanipulation und kann z.B. gegenüber Einzelpersonen bis zu 5 Millionen € und gegenüber juristischen Personen bis zu 15 Millionen € bzw. 15 % des Gesamtumsatzes betragen. Darüber hinaus kann die Ordnungswidrigkeit mit einer Geldbuße bis zum Dreifachen des aus dem Verstoß gezogenen Vorteils geahndet werden.

Vorsätzliche Manipulationen, die auf den Börsen- oder Marktpreis eingewirkt haben, sind Straftaten, die mit Freiheitsstrafe von bis zu fünf Jahren oder Geldstrafe geahndet werden können (§ 119 Absatz 1 Nr. 1 WpHG). Handelt der Täter gewerbsmäßig oder bandenmäßig oder aber in Ausübung einer beruflichen Tätigkeit z.B. für ein Wertpapierdienstleistungsunternehmen, wird die Marktmanipulation als Verbrechen mit einer Freiheitsstrafe von einem Jahr bis zu zehn Jahren bestraft. Auch der Versuch der Marktmanipulation ist strafbar (§ 119 Absatz 5 WpHG).

[qwk]

Bin mit Punkt 9 mit dem soliden Nein nicht ganz einverstanden. Wenn die Wahrscheinlichkeit, egal wie gering sie ist aber größer 0 ist kann die Antwort nicht Nein sein

Das ist Prinzipienreiterei.
Mit der selben Argumentation könnte man einwenden, dass es möglich ist, dass spontan durch Quanteneffekte ein unsichtbares rosafarbenes Einhorn neben einem auftaucht und Bitcoins kackt.
Für alle geeigneten Werte von "möglich" ist eine Adresskollision unmöglich.

[qwk]

- Es gibt nur "ganze" Bitcoin

Hm, ist eigentlich durch Punkt 11 schon erklärt. Es gibt keine ganzen Bitcoins, sondern nur ganze Satoshis

[d5000]

Der "Angriff" ist möglich.
Er hat nur nichts mit Bitcoin zu tun

Da bin ich anderer Meinung, da ein spezifisches Charakteristikum von Bitcoin ausgenutzt wird - dass 50% der Hashrate "ehrlich" sein müssen (von einer Schwäche würde ich hier angesichts der Schwierigkeit eines Angriffs nicht unbedingt sprechen).

Strafbar ist er übrigens auch, zumindest in der EU und den USA, vermutlich aber in den meisten zivilisierten Ländern der Welt. Unabhängig davon, ob der Angreifer den Double Spend gegen sich selbst ausführt oder nicht, handelt es sich um eine Marktmanipulation.

Danach ist es verboten, durch den Abschluss eines Geschäfts, die Erteilung eines Handelsauftrags oder jede andere Handlung falsche oder irreführende Signale hinsichtlich des Angebots, der Nachfrage oder des Preises eines Finanzinstruments zu geben.

Hm. Der Angreifer gibt aber eigentlich imho keine "falschen oder irreführenden Signale" von sich. Er gibt ja erst mal überhaupt keine Signale und greift dann das System an, ab da kann er mit offenen Karten spielen.

Vielleicht kann er das auch von Anfang an tun: Man könnte sich das Szenario eines Bitcoin-Gegners vorstellen (oder zumindest einem, der so tut, als sei er ein Bitcoin-Gegner), der z.B. eine Website betreibt, auf der er behauptet, Bitcoin würde nicht funktionieren - und dann den Angriff als "Beweis" durchführt und davon profitiert. Dann hätte er selber keine "falschen" Signale gesendet.

Der einzige Punkt, an dem man eventuell auf ein "falsches oder irreführendes Signal" kommen könnte, ist der Moment, in dem er sich die Bitcoins leiht. Allerdings ist es hinlänglich bekannt, dass Leerverkäufe durchgeführt werden und deshalb jemand, der sich Bitcoins leiht, mit hoher Wahrscheinlichkeit von einem sinkenden Preis ausgeht.

Dass der Angriff höchst schwierig und riskant ist - da bin ich bei dir. Außerdem könnte auf eine andere Weise eine Strafbarkeit eintreten, da der Angriff ja zu Schaden bei den Bitcoin-Haltern führt. Aber Manipulation sehe ich da eigentlich nicht (falls ich nicht irgendwas übersehe).

[qwk]

Mal ein erster Entwurf, weil ich das schon länger vor mir herschiebe:

Warum auch eine 100%-Attacke keine Gefahr für Bitcoin darstellt

Um das zu erklären, ist sicherlich ein einfaches Gedankenexperiment am besten.

Bob hat einen Super-Virus entwickelt, der alle Computer, die an Bitcoin minen, auf einen Schlag zerstört (bis auf seine eigenen, natürlich).
Damit kommt er plötzlich zu 100% der Rechenleistung im Bitcoin-Netzwerk.

Was kann er jetzt mit seiner Superkraft anfangen?
Er kontrolliert in jedem Fall, welche Transaktionen überhaupt noch in neue Blöcke gelangen.
Das macht ihn sozusagen zur "Zensurbehörde" des Bitcoin-Netzwerks.

Somit kann er z.B. verhindern, dass noch Bitcoins zu Börsen überwiesen werden.
Er kann damit den Preis von Bitcoin mit Sicherheit massiv nach unten drücken.

Er kann auch verhindern, dass Alice Bitcoins überweist. Die Bitcoins von Alice sind damit insofern "wertlos", als Alice sich damit nichts mehr kaufen kann.

Kann Bob die Bitcoins von Alice aber klauen? Nein.
Sofern Alice ihre Bitcoins schon eine zeitlang hat, sind ihre Bitcoins sicher.
Wenn Alice ihre Bitcoins erst vor ein paar Transaktionen bekommen hat, könnte Bob die Transaktion, in der Alice ihre Bitcoins erhalten hat, "rückgängig" machen, genauer gesagt, er kann eine Blockchain durchsetzen, in der Alice diese Bitcoins nie erhalten hat.
Alice hat zwar ihre Bitcoins nicht mehr, aber Bob hat sie auch nicht, sondern wieder derjenige, der die Bitcoins eigentlich an Alice gesendet hatte.

Soweit, so schlimm.

Das Problem an der Sache ist für Bob, dass all das nicht unbemerkt bleibt.
Zum einen wundern sich die Miner auf aller Welt, warum ihre ASICs plötzlich explodiert sind und zum anderen wundern sich Bitcoiner auf aller Welt, warum sie ihre Bitcoins nicht mehr versenden können.
Da niemand so recht weiß, was da eigentlich los ist, wird vorerst niemand mehr Bitcoins überweisen.

Wenn dieser Zustand länger anhält (dafür reichen in der Praxis wahrscheinlich schon ein, zwei Stunden), werden die Entwickler von Bitcoin Telefonkonferenzen mit den großen Minern abhalten, um zu klären, was hier gerade passiert.
So etwas ähnliches ist schon einmal geschehen, als sich in einem Versionswechsel ( von 0.7 auf 0.8 ) die Bitcoin-Blockchain versehentlich "aufgespalten" oder "geforkt" hat.
In diesem Zuge werden die Miner und Entwickler sehr schnell zu dem Ergebnis kommen, dass es sich hier um einen großangelegten "Angriff" auf Bitcoin handelt.

Den Entwicklern bleibt in solch einem Fall eigentlich nur eine Lösung:
Der Mining-Algorithmus von Bitcoin muss sofort geändert werden.
Die Miner werden davon sicherlich nicht begeistert sein, alle ihre ASICs sind damit auf einen Schlag wertlos.
Andererseits bleibt ihnen nichts anderes übrig, weil ohne eine Änderung ihr Equipment auch wertlos ist, wenn Bitcoin nicht mehr "funktioniert" (abgesehen davon ist ihr Equipment sowieso kaputt).
Die großen Miner werden vermutlich darauf drängen, einen bestehenden Algorithmus zu verwenden, für den sie selbst schon Equipment am Laufen haben.
Die meisten größeren Miner dürften also z.B. auf den Scrypt-Algorithmus setzen, was auch insofern sinnvoll ist, als damit das neue Bitcoin-Netzwerk von Beginn an eine gewisse, hohe Leistungsfähigkeit hat.

Wie lange es dann dauert, bis die Entwickler eine neue Version von Bitcoin "programmiert" haben, die den neuen Algorithmus verwendet, ist schwer abzuschätzen. Man wird sicherlich auf Nummer sicher gehen wollen, und die Software wenigstens ein paar Tage testen.

Insofern kann man davon ausgehen, dass im Falle einer 100%-Attacke das Bitcoin-Netzwerk für einige Tage stillsteht.
Danach geht es mit neuem Algorithmus weiter.
Die alten Miner haben herbe Verluste erlitten, weil ihr Equipment in Flammen aufging und die entwickelten ASCIs wertlos sind. Andererseits besteht ihre Infrastruktur weiterhin und sie sind in der Lage, ihre Rechenzentren relativ schnell mit neuen ASICs für den neuen Algorithmus auszustatten. Damit bleiben sie wohl weiterhin die dominanten Player im Bitcoin-Netzwerk.

Das neue Bitcoin-Netzwerk ist kurzfristig deutlich geschwächt, die Miner werden aber in relativ kurzer Zeit (vermutlich ein paar Wochen bis wenige Monate) ihre Rechenzentren mit voller Kapazität wieder laufen haben.

Einige wenige Transaktionen in einem Zeitraum von einigen Stunden sind "unklar", es muss also eine Entscheidung getroffen werden, ob diese gültig sind oder nicht. Man wird sich vermutlich auf die konservative Lösung einigen, im Zweifel lieber ein paar Blöcke weiter zurückzugehen, um den letzten "sicheren" Block zu bestimmen.
Damit müssen wahrscheinlich einige Nutzer mit gewissen Verlusten leben, andere werden mit ihren Geschäftspartnern eine Neu-Abwicklung bereits getätigter Transaktionen aushandeln müssen.

Das Bitcoin-Netzwerk als solches ist nicht unsicher geworden, es hatte nur einen mehrtägigen Herzstillstand.
Die schnelle Lösung des Problems ohne, dass es hierbei zu einer Zentralisierung gekommen wäre, ist ein überzeugender Beweis für die Robustheit des Systems Bitcoin.
Mittel- und langfristig geht Bitcoin deutlich gestärkt aus diesem Vorfall hervor.
Kurzfristig kommt es natürlich zu Kurseinbrüchen und schlechter Presse.
Wenige Nutzer werden tatsächlich einen Schaden haben.


Und Bob? Er hat eine Menge Geld in sein eigenes Equipment investiert.
Dieses Equipment kann nur SHA256, den ursprünglichen Algorithmus von Bitcoin.
Bitcoin verwendet nun aber kein SHA256 mehr.
Seine Investition ist wertlos.
Er konnte keine Bitcoins erbeuten.
Er konnte das Bitcoin-Netzwerk nicht ernsthaft beschädigen.
Hat er versucht, mit massivem Shorting oder dergleichen Geld zu verdienen, wird er voraussichtlich beim "Auscashen" erwischt und wandert auf Jahre in den Knast.
War er ein Geheimagent, der seinen Chef überzeugt hat, dass dieses Milliardenprojekt Bitcoin in die Knie zwingen wird, hat sein Scheitern sicherlich seine Kündigung zur Folge.
Armer Bob.

[qwk]

Im Zusammenhang mit der 100%-Attacke noch ein Gedanke zur 50% minus X -Attacke:

51% als DOS-Attacke (genauer: 50% minus X DOS-Attacke)

Ein Angreifer, der über 51% der Rechenleistung verfügt, kann einen DOS-Angriff auf das Bitcoin-Netzwerk stets erfolgreich durchführen.
Er benötigt hierfür genau genommen sogar ein klitzekleines Bisschen weniger als 50% der Rechenleistung im Netzwerk. Dadurch, dass er in seinem DOS-Angriff nämlich keine Transaktionen mehr verarbeitet, hat er einen minimalen Vorteil gegenüber Minern, die weiterhin Transaktionen in ihre Blöcke aufnehmen, und arbeitet somit minimal schneller.

Der DOS-Angriff funktioniert dabei letztlich genauso wie die "normale" 51%-Attacke, nur, dass der Miner immer leere Blöcke erzeugt. Damit kann er verhindern, dass im Bitcoin-Netzwerk noch Transaktionen verarbeitet werden können. Das entspricht einem DOS (Denial of Service, "Einstellung / Verhinderung / Verweigerung des Dienstes").

Somit können sich die Nutzer von Bitcoin keine Coins mehr senden, sie können sie z.B. auch nicht auf Börsen schicken, um sie dort zu verkaufen, ebensowenig können sie sich noch Coins von den Börsen abheben.

Der Angreifer legt in so einem Fall das gesamte Bitcoin-Netzwerk vollständig still.

Der Schaden eines solchen Angriffs ist sicherlich erheblich, kostet den Angreifer aber voraussichtlich so viel Geld, dass es schwer vorstellbar ist, wie ein solcher Angriff profitabel sein könnte.
Will aber z.B. ein Geheimdienst einfach nur das Bitcoin-Netzwerk lahmlegen, ist das prinzipiell machbar.

Der Nachteil an diesem Angriff ist wie auch bei der "normalen" 51%-Attacke, dass dieser Angriff nicht unbemerkt bleibt und vermutlich zu einem Wechsel des Mining-Algorithmus im Bitcoin-Netzwerk führt. Damit verliert der Angreifer seine Fähigkeit, den Angriff fortzuführen, und das Netzwerk kann weiter laufen.

Insgesamt ist ein solcher Angriff als Akt der Cyber-Kriegsführung denkbar, für den Fall, dass Bitcoin z.B. eines Tages tatsächlich zu einer wesentlichen Säule des internationalen Finanzsystems wird.
Vergleichbar ist dieser Angriff dabei aber letztlich nur mit einer Atombombe.
Einmal eingesetzt, wird man vermutlich selbst hart getroffen.
Somit ist eher ein Szenario gegenseitiger Abschreckung denkbar, in der gegnerische Parteien die Kapazität aufbauen, einen entsprechenden Angriff durchzuführen, ohne ein Interesse daran zu haben, diese jemals einzusetzen.
Im Resultat käme es zu einem instabilen Gleichgewicht der Kräfte.
Letztlich sind das allerdings eher Gedankenspiele für eine potentielle Zukunft in einem von Bitcoin dominierten Welt-Finanzsystem.

[qwk]

"Schnellere Blöcke sind besser", "mehr Confirmations sind sicherer"

Die Anzahl der Bestätigungen sagt nichts über die Sicherheit einer Transaktion aus.
Das hört sich erstmal falsch an. In der Tat ist natürlich innerhalb des Bitcoin-Netzwerks eine Transaktion mit mehr Bestätigungen stets sicherer als eine Transaktion mit weniger Bestätigungen.
Aber, es kommt genau genommen nicht auf die Anzahl der Bestätigungen an, sondern auf die Zeit, die seit einer Transaktion vergangen ist.
Die Sicherheit einer Transaktion in einer Blockchain ist stets so "hoch" wie die Rechenleistung, die benötigt würde, um diese Transaktion "rückgängig" zu machen (siehe hierzu auch die 51%-Attacke).
Man kann es auch anders formulieren: um eine Transaktion rückgängig zu machen, ist immer ein gewisser Stromverbrauch notwendig. Je höher dieser Stromverbrauch, umso teurer wird es für einen Angreifer. Irgendwann ist der Angriff einfach zu teuer.

Wenn nun ein Altcoiner sagt, "wir haben einen Block pro Minute, also hat eine Transaktion viel schneller 6 Bestätigungen, und ist deswegen schneller sicher", liegt er damit schon aus zwei Gründen falsch.
Zum einen haben seine 6 Bestätigungen nur 6 Minuten gedauert, er hat also nur die Sicherheit von 6 Minuten Rechenzeit in seinem Netzwerk, im Gegensatz zu einer Stunde im Bitcoin-Netzwerk.
Zum anderen verfügt sein Netzwerk vermutlich auch über deutlich weniger Rechenleistung als das Bitcoin-Netzwerk, damit ist der Aufwand oder "Stromverbrauch" für einen Angriff ohnehin erheblich geringer.
In Summe sind also z.B. 6 Bestätigungen in z.B. Litecoin erheblich unsicherer als 6 Bestätigungen im Bitcoin-Netzwerk.
Geschätzt um den Faktor 100 unsicherer, um genau zu sein (Faktor 10 wegen "eine Bestätigung pro Minute", x Faktor 10 wegen der um mindestens ein 10-faches geringeren Rechenleistung des gesamten Litecoin-Netzwerks).

Eine kleine Anmerkung hierzu:
Die Entwickler von Altcoins sind i.d.R. Informatiker. Sie haben gelernt, solche Berechnungen durchzuführen.
Man darf daher mit Fug und Recht davon ausgehen, dass sie sich keineswegs einfach nur "irren", wenn sie behaupten, ihr Altcoin mit einer Bestätigung pro Minute wäre "sicherer" als Bitcoin.
Man muss davon ausgehen, dass die Entwickler solcher Altcoins ihre Nutzer vorsätzlich täuschen, um ihre Produkte zu verkaufen. Nach Deutschem Recht ist ein solches Vorgehen Betrug, und somit eine Straftat.
Anders gesagt: die Entwickler solcher Altcoins sind Kriminelle.

[qwk]

Proof of Stake (POS) und Proof of Space/Capacity (POC)

POS/POC funktioniert nicht. Punkt.
Das ist der "Stand der Forschung" in der Informatik nach ca. 7 Jahren Arbeit am Thema.
Damit ist eigentlich alles gesagt.
Aber ich muss mich hier einfach mal an einer Erklärung versuchen, damit das endlich auch beim "Laien" ankommt.

Es gibt einen (theoretischen) Angriffsvektor gegen POS (der genauso bei POC funktioniert), für den bis heute keine Absicherung gefunden wurde.
Dieser Angriffsvektor heißt "Nothing at Stake".

Vereinfacht gesagt, besagt "Nothing at Stake", dass ein Angriffsversuch auf POS nichts kostet.
Im Vergleich dazu ist ein Angriff auf POW (Proof of Work, der Mechanismus bei Bitcoin) immer äußerst kostspielig (siehe auch 51%-Attacke).
Zwar ist die Wahrscheinlichkeit, dass ein Angriff auf POS erfolgreich ist, sehr gering (vergleichbar mit dem Versuch, im Bitcoin-Netzwerk eine 51%-Attacke mit weniger als 51% der Rechenleistung durchzuführen), aber die Wahrscheinlichkeit ist nicht null.
Damit "lohnt" es sich für jeden Teilnehmer in einem POS-Netzwerk, zu jeder Zeit stets gleichzeitig zur "fairen" Teilnahme am Netzwerk stets auch einen Angriff zu "versuchen", es kostet ja nichts.
Wenn sich nun alle Teilnehmer an einem Netzwerk entscheiden würden, stets Angriffe auf das Netzwerk durchzuführen, steigt die Gesamtwahrscheinlichkeit, dass wenigstens einer dieser Angriffe erfolgreich ist, irgendwann auf 100%.

Anders gesagt: wenn ich als Teilnehmer mit 1% der Stakes in einem POS-Netzwerk einen Angriff versuche, ist meine Chance, erfolgreich zu sein, fast gleich null. Der Angriff kostet mich aber nichts, also kann ich es einfach "nebenher" versuchen.
Wenn alle Teilnehmer das machen, führen insgesamt 100% des Netzwerks einen Angriff durch, damit steigt die Wahrscheinlichkeit für einen erfolgreichen Angriff auf bis zu 100%. (Die Mathematik dahinter ist ein bisschen kompliziert, und ich bin darin nicht so fit. Wenn jeder einen Angriff versucht, beträgt die Wahrscheinlichkeit für einen Erfolg 50%. Da aber jeder Teilnehmer unendlich viele Angriffe durchführen kann, ist die Summe aller Angriffe irgendwann so groß, dass die Wahrscheinlichkeit infinitesimal gegen 1 geht. Oder so. Kann das mal jemand für mich durchrechnen? )

In der Praxis sind solche Angriffe bisher nicht relevant. Es sind keine Fälle bekannt, in denen erfolgreiche "Nothing at Stake"-Angriffe auf POS-Netzwerke durchgeführt wurden.
Das bedeutet aber nur, dass es sich bisher nicht gelohnt hat, die Werkzeuge hierfür fehlen, und solange nur ein kleiner Teil der Teilnehmer an einem POS-Netzwerk das "ausprobiert" die Wahrscheinlichkeit für den Erfolg eines solchen Angriffs erwartungsgemäß verschwindend gering ist.
Es ändert aber nichts daran, dass ein Netzwerk, in dem tatsächlich die entsprechenden Werkzeuge allgemein verfügbar sind, und in dem sich das "rumspricht", früher oder später einen erfolgreichen Angriff erleben wird.

Im Übrigen auch hierzu eine Anmerkung:
Die Entwickler von Altcoins mit POS sind i.d.R. Informatiker.
Sie sind sich des Problems bewusst und haben (stets erfolglos) versucht, das Problem zu lösen.
Dennoch behaupten sie weiterhin, ihre POS-Coins wären sicher.
Es handelt sich hierbei zwangsläufig nicht um einen Irrtum seitens der Entwickler.
Man muss davon ausgehen, dass die Entwickler solcher Altcoins ihre Nutzer vorsätzlich täuschen, um ihre Produkte zu verkaufen. Nach Deutschem Recht ist ein solches Vorgehen Betrug, und somit eine Straftat.
Anders gesagt: die Entwickler solcher Altcoins sind Kriminelle.

[d5000]

Nun ja, beim 100%-Attack würde aber Bob:
- kaum Geld für ASICs ausgeben müssen (die anderen sind ja eh explodiert)
- selber double spenden, nicht irgendwelche anderen Transaktionen rückgängig machen
- vielleicht sogar Segwit-Anyonecanspend durchsetzen (dazu müsste er den Angriff aber heimlich durchführen, ohne den "Supervirus", sondern einen, der einfach die Effizienz der Asics runtersetzt oder so )
... oder alternativ:
- Bitcoin massiv shorten - wie bei meinem letzten Post erklärt.

Der PoS-Abschnitt:  . Punkt.

[qwk]

Nun ja, beim 100%-Attack würde aber Bob:
- kaum Geld für ASICs ausgeben müssen (die anderen sind ja eh explodiert)

Das ist so nicht richtig.
Wenn er versucht, das Netzwerk mit einem kleinen USB-Miner am Laufen zu halten, erzeugt er den nächsten Block erst in zigtausend Jahren oder so.
Das ist dann auch eine Form von DOS, aber einfach nur Stillstand.

- selber double spenden, nicht irgendwelche anderen Transaktionen rückgängig machen

Das bringt nichts, wie in der 51%-Attacke schon erklärt.
Oder zumindest gehen Kosten und Nutzen so weit auseinander, dass die "Rendite" einfach lächerlich gering ist.
Da geht er lieber Flaschenpfand sammeln.

- vielleicht sogar Segwit-Anyonecanspend durchsetzen (dazu müsste er den Angriff aber heimlich durchführen, ohne den "Supervirus", sondern einen, der einfach die Effizienz der Asics runtersetzt oder so )

Ja, vermutlich kann er das auch, aber sicher nicht unbemerkt.
Womit er wieder vor dem selben Problem steht.
Ist der Angriff "erkannt", wird er mit einem Wechsel des Algorithmus gebannt und mit einem "Rollback" zu einem konservativ gewählten Block rückgängig gemacht,
Profitieren kann Bob davon nicht.

- Bitcoin massiv shorten - wie bei meinem letzten Post erklärt.

Darauf bin ich doch sogar eingegangen.
Ich gehe letztlich davon aus, dass er sicher keine Börse finden würde, die ihm das Geld letztlich auszahlt
Wenn doch, wird er sich vermutlich in den meisten Ländern der Welt vor einem Gericht verantworten müssen.

Der PoS-Abschnitt:  . Punkt.

Das war klar
Aber du weißt selbst, dass die Ausführungen zu POS prinzipiell richtig sind. Du gehst ja schließlich nur davon aus, dass sich das mit einer Kombination mit POW oder dergleichen "lösen" lässt. Darauf müsste ich noch eingehen, aber das gehört nicht in die grundsätzliche Erklärung, warum "reines POS" nicht funktioniert.

[d5000]

Punkt 1 - haste vollkommen recht, hab das mit der Difficulty nicht bedacht. Zumindest einen Teil der Hashrate könnte er sich aber sicher auch mieten.

Ich denke, er würde eine Kombination aus Punkt 2 und 3 (massives Double Spending und Shorten) versuchen. Hab deinen Satz zum Shorten jetzt gesehen - aber ich bin nach wie vor nicht 100% überzeugt, dass der Shorter hier eine Straftat begeht (vielleicht Sachbeschädigung?).

Jedenfalls glaube ich, dass ein Angreifer mit 100% ziemlich viel Unheil anstellen kann, und dass damit das Vertrauen in die betroffene Blockchain erst mal dahin ist (=Quasi-Totalverlust für alle "Investoren").

Mir ist schon klar, dass du das nur als Extrembeispiel bringst, aber dennoch ist mir das etwas zu "rosig" beschrieben.

Zu PoS nur ganz kurz, deine Meinung ist ja da "gefestigt": Ich bin mir eigentlich fast sicher, es geht auch ohne PoW gut genug für eine funktionierende und sichere Kryptowährung. Sieben Jahre Forschung, dazu noch in einem Nischengebiet der Informatik, sind halt nicht sooo viel, jedenfalls nicht genug, um ein Problem ad acta zu legen, das eines der großen Probleme von Bitcoin lösen könnte ...

[1miau]

Schöne Liste, kann man definitiv weiterempfehlen, wenn sich jemand neu mit Bitcoins beschäftigen möchte! Vor allem der gute Schreibstil macht vieles leicht verständlich.

Was man vielleicht noch ergänzen könnte, wäre der Vorwurf an Bitcoin, dass er prinzipiell wertlos wäre, da er einen inneren Wert von 0 besäße. Das ist eines der dämlichsten aber auch häufigsten Totschlagargumente, die immer wieder gerne gegen den Bitcoin aufgefahren werden, vor allem von der Finanzindustrie...
Wenn du viel Zeit haben solltest, würde ich mich über diesen Punkt noch sehr freuen, gibt ja denke ich etliche Ansätze, wie man diesen Kritikpunkt entkräften kann. Sei es über PoW oder den direkten Vergleich mit ungedecktem Fiat-Geld.

[qwk]

Was ist eigentlich ein "Hash"?
Ein Hash ist eine Art eindeutiges "Alias" für einen Wert.
Klingt komisch, ist aber so.

Das ist der Bernd. Der Bernd, der hat 'ne Disco.
Weil da immer viele Leute reinwollen, hat der einen Türsteher, den Klaus.
Der Klaus bekommt vom Bernd jeden Abend eine Gästeliste.
Da stehen Leute drauf, die in die Disco rein dürfen.

Weil der Bernd aber nicht will, dass der Klaus zur Presse geht, und den Paparazzi erzählt, dass heute abend die Lady Gaga auf der Gästeliste steht, schreibt der Bernd nicht die Namen der Gäste auf die Liste, sondern nur einen Alias.
Mit dem Alias kann der Klaus an der Tür nachschauen, ob der Gast auch eingeladen ist. Und trotzdem weiß der Klaus nicht, wer da eigentlich auf der Liste steht.

Deswegen hat sich der Bernd eine Hashfunktion für die Namen auf der Gästeliste einfallen lassen.
Er nimmt den Nachnamen und den Vornamen von 'nem Gast, dann entfernt er einfach alle Vokale und Leerzeichen.

Aus "Lady Gaga" wird dann erstmal "Gaga Lady" und schließlich "ggld".
Weil der "Elton John" auch zur Party kommt, steht auf der Liste auch "jhnltn".

Wenn jetzt am Abend die Lady Gaga an der Tür steht, kann die dem Klaus ihren Ausweis zeigen, da steht "Lady Gaga" drauf, der Klaus wendet wieder die Hashfunktion an und schaut nach, ob "ggld" auf der Gästeliste steht. Weil er "ggld" auf der Liste hat, lässt er die Lady Gaga jetzt rein.


Was ist eine "Kollision" bei einem "Hash"?
Weil der Hash manchmal für unterschiedliche Werte den gleichen Alias erzeugt, kann es schonmal zu Verwechslungen kommen.
Wenn die "Anna Meier" und die "Anne Mayr" vor Türsteher Klaus stehen, haben die beide den Hash "mrnn", also lässt der Klaus natürlich auch beide rein. Eigentlich wollte der Bern aber nur die Anna reinlassen, nicht die Anne.
Sowas nennt man dann eine Kollision. Das kommt bei einem Hash gelegentlich vor.
Eine gute Hashfunktion sorgt natürlich dafür, dass es selten zu solchen Kollisionen kommt.

[GOYA58]

Das mit der Bitcoin Dominance hat mich schon immer gewundert und ich dachte mir schon mehrmals, dass das gar nicht sein kann und unsinnig ist. Vom Gefühl her kam es mir so vor, als würde Coinmarketcap hier einfach die Top 100 nehmen und dann Bitcoin im Verhältnis dazu angeben. Aber jetzt hast du auch das mit Market Cap erwähnt und auch gezeigt, wie schwachsinnig das ist und wie leicht man das austricksen könnte. Ich mein es ist irgendwo schon praktikabel Coins anhand des Market Caps zu vergleichen, egal wie richtig oder falsch das ist. Gäbe es hier aber eine sinnvollere Alternative?

[qwk]

Mal ein weiterer Entwurf (und ja, ich weiß, dass ich mal die eigentliche FAQ überarbeiten und ergänzen muss)

Smart Contracts
Smart Contracts sind eine tolle Sache und man darf davon ausgehen, dass sie über kurz oder lang in vielen Bereichen zum Einsatz kommen werden.
Die allein glückselig machende Lösung aller juristischen, finanziellen und technischen Probleme sind sie aber sicher nicht.
In vielen Fällen sind Smart Contracts vor allem: juristisch problematisch, "dumm" und teuer.


Was sind Smart Contracts eigentlich?
Vereinfacht gesagt ist ein Smart Contract ein Stück Software, in dem bestimmte Regeln beschrieben sind, nach denen irgend ein Vorgang abläuft. Das ist so allgemein formuliert, dass man eigentlich auch sagen könnte: jedes Computer-Programm ist ein Smart Contract.
Insofern muss man die Definition sicherlich eingrenzen und voraussetzen, dass ein Smart Contract in der Lage sein muss, nach Außen wirksame Entscheidungen auf der Basis vorher bestimmter Regeln zu treffen. Aber selbst das trifft eigentlich noch auf alle Programme zu (nach Außen wirksam wäre z.B. die Ausgabe von Zeichen auf einem Computerbildschirm).
In Bezug auf unseren heutigen Umgang mit dem Begriff Smart Contract wäre also noch zu ergänzen, dass dieser in der Lage sein muss, direkt finanziell wirksame Entscheidungen zu treffen. Dies kann der Smart Contract nur dann, wenn er unmittelbar Zugriff auf die finanziellen Mittel hat.

Man kann das einfacher sagen:
Ein Smart Contract ist ein Programm, in dem Geld "drinsteckt", das er nach vorher definierten Regeln verteilen kann.


Benötigt man für Smart Contracts eine Blockchain?
Nein.
Smart Contracts können auch einfach auf einem einzelnen Computer ablaufen.
Die Blockchain dient lediglich dazu, dass die Benutzer des Smart Contracts dem Computer nicht mehr vertrauen müssen.
Auch für das Geld, das im Smart Contract stecken soll, sind Blockchains i.d.R. eine Voraussetzung.


Für den folgenden Abschnitt gilt als enge Definition für einen Smart Contract:
Ein Smart Contract ist ein Programm, welches auf einer Blockchain läuft, selbst unmittelbar Geld "enthält" und dieses Geld nach den vorher definierten Regeln des Programms verteilen kann.


Sind Smart Contracts (im juristischen Sinne) Verträge?
Das muss man mit einem ziemlich eindeutigen "Nein" beantworten.
Das folgende beschreibt zunächst die juristische Situation in Deutschland, analog gilt das aber wohl in den meisten Rechtssystemen weltweit.
Für das Zustandekommen eines Vertrags bedarf es zweier übereinstimmender Willenserklärungen von (natürlichen oder juristischen) Personen.
Er wird geschlossen durch die Abgabe eines Angebots und einer Annahme desselben.
Man kann also zunächst davon ausgehen, dass der "Initiator" eines Smart Contracts ein Angebot in Form des Quelltexts abgibt.
Da nun für gewöhnlich ein Nutzer nicht zugleich Programmierer ist, ist er auch nicht in der Lage, den eigentlichen Angebotsinhalt, also den Quelltext, zu verstehen.
Somit ist er aber auch nicht in der Lage, überhaupt eine Willenserklärung zur Annahme abzugeben.
Damit kommt der Vertrag rein formal nicht zustande.
Vielmehr wird der Nutzer i.d.R. seine Zustimmung zur geschilderten Funktionsweise des Smart Contract erteilen.
Er nimmt also nicht den Smart Contract selbst an, sondern lediglich dessen "umgangssprachliche" Beschreibung durch den Anbieter.
Dies hat erhebliche Auswirkungen.
Weicht nämlich die Ausführung des Smart Contract von der "umgangssprachlichen" Formulierung ab, haftet ggf. der Anbieter für Schäden, die aus dieser Abweichung entstehen.
Natürlich kann es hier Sonderfälle geben, wenn z.B. sowohl Anbieter als auch Annehmender Programmierer sind und den Quelltext verstehen, oder wenn unter echten Kaufleuten die Vereinbarung getroffen wird, den Smart Contract als maßgeblich anzusehen, selbst wenn dieser
von umgangssprachlichen Formulierungen abweicht.
Für die Frage aber, ob ein Smart Contract tatsächlich üblicherweise als Vertrag angesehen werden kann, lautet die Antwort eindeutig: Nein.

An dieser Stelle mein Dank an iudica, dem wir hierzu eine anschauliche juristische Betrachtung verdanken:
Smart Contract | Wirksamkeit & Unwirksamkeit von Vertragsprogrammen


Lassen sich Verträge überhaupt in einem Smart Contract abbilden?
Um den typischen Juristen-Spruch zu bemühen: "kommt drauf an".
Sehr einfache Verträge lassen sich sicherlich fehlerfrei in einem Smart Contract abbilden.
Eine der einfachsten Formen eines solchen Smart Contract ist z.B. eine Bitcoin-Transaktion.
Auch einfachste Wenn-Dann-Regeln können hierbei zum Einsatz kommen, man denke dabei an Multisig-Transaktionen.
Bei komplexeren Sachverhalten wird es aber schwierig.
Aus ca. 4000 Jahren Rechtsgeschichte (um hier den "Codex Hammurapi" als willkürlichen "Anfang" zu nehmen) kann man als empirisch belegt ansehen, dass es alles andere als trivial ist, eindeutige, fehlerfreie Regeln selbst für relativ einfach gestaltete Rechtsgeschäfte zu definieren, die keiner weiteren Interpretation bedürfen.

Komplexität ist hierbei tatsächlich das "Zauberwort".
Inwieweit der massenhafte Einsatz von Smart Contracts in trivialen Fällen hier zu einer Weiterentwicklung hin zu steigender Komplexität ermöglicht, wird in den kommenden Jahren sicherlich spannend mitzuverfolgen sein.
Wenn wir aus der Rechtsgeschichte aber eines lernen dürfen, dann, dass mit zunehmender Komplexität der zu regelnden Geschäftsvorfälle die Komplexität der diese regelnden Verträge eher überproportional zunimmt.

Ein abschließendes Urteil, wozu Smart Contracts tatsächlich einmal fähig sein werden, will ich mir nicht erlauben, ich bleibe vorerst allerdings vorsichtig pessimistisch.


Sind Smart Contracts "smart"?
Nein.
Im Vergleich mit anderen Programmen sind Smart Contracts i.d.R. äußerst "dumm".
Und das ist auch gut so.
Je komplexer ein Programm wird, desto höher ist die Wahrscheinlichkeit für Fehler.
Wer in seinem Smart Contract größere Geldbeträge bindet, will diese sicherlich nicht wegen einem kleinen Programmierfehler verlieren.
Insofern ist es nur vernünftig, die Komplexität von Smart Contracts so gering wie möglich zu halten.

Im Vergleich mit "echten" Verträgen sind sie ebenfalls "dumm".
Ein klassischer juristischer Vertrag "beinhaltet" immerhin letztlich die Weisheit von einigen Tausend Jahren Justizgeschichte und Fortentwicklung von Rechtssystemen, sowie die "Ausführungskapazität" des Gehirns eines durchschnittlichen Richters. Ich will mich hier nicht über die Intelligenz von Richtern auslassen, aber zumindest für den Moment darf man davon ausgehen, dass selbst der dümmste Richter noch um einiges "smarter" ist als selbst der leistungsfähigste Computer.


Sind Smart Contracts kostengünstig?
Das ist relativ. In jedem Fall sind (sinnvolle) Smart Contracts alles andere als kostenlos.
Damit ein Smart Contract seine Aufgabe erfüllen kann, muss das von ihm zu verteilende Geld in ihm "gebunden" sein.
Das bedeutet, dass ein Smart Contract für die Dauer seiner Laufzeit das Kapital, über welches er zu entscheiden hat, vollständig bindet.
Kapital zu binden, kostet Geld.
In der Wirtschaftswissenschaft spricht man hierbei von sog. "Opportunitätskosten", das sind die Kosten, die entstehen, weil einem quasi an anderer Stelle Gewinne entgehen.
Vereinfacht gesagt hätte man das Geld auf ein Sparbuch legen können und dafür Zinsen bekommen.

Damit ist auch klar, wie sich diese Kosten in Relation zum Smart Contract verhalten:
je länger der Smart Contract das Geld hält und je höher der Geldbetrag ist, umso höher sind die Kosten für seine Ausführung.
Dazu kommen ggf. noch weitere Kosten, die z.B. aus Kursschwankungen entstehen und aus Transaktionsgebühren, aber diese vernachlässige ich für diese Betrachtung.
Nehmen wir als Beispiel einen Smart Contract, der 1 Million Dollar verwalten und diese in einem Jahr wieder an die Vertragspartner ausschütten soll.
Gehen wir von 3% Zinsen aus, entstehen hier Opportunitätskosten i.H.v. 30.000 Dollar für diesen Smart Contract.
Ein anderer Smart Contract verwaltet vielleicht nur einen Dollar für eine Sekunde. Das kann ich nicht mal mehr berechnen, der Betrag ist sicherlich winzig. Aber wenn man sich vorstellt, dass ein solcher Smart Contract vermutlich millionenfach Verwendung findet, weil er z.B. für Micropayments oder dergleichen zum Einsatz kommt, ist die Summe der Kosten schnell wieder in der selben Höhe wie im oben geschilderten Fall.

Ob der Smart Contract also kostengünstig ist oder nicht, ist immer in Relation zu den Kosten zu sehen, die ein vergleichbares System ohne Smart Contract verursachen würde.
Es kann durchaus sein, dass in einem Fall der Smart Contract "billiger" ist, in einem anderen aber ein "klassischer" Vertrag mit Notar, Gutachtern, Versicherungen, Banken, etc. pp.

[Waikoloa16]

@qwk: Vielen Dank für die FAQ, sehr hilfreich und gut verständlich geschrieben!

Wenn Du eine Nachfrage erlaubst: Sind nicht die dargestellten Szenarien der 51% und der 100% Attacke genau das, was kürzlich einigen sog. Sh..coins passiert ist, nämlich Verge und Bitcoingold? Ich habe dafür jetzt keine Links parat, aber bei beiden wurden wohl erhebliche Summen erbeutet. Es ist dann auch genau das eingetreten, was Du beschreibst. Sie haben den Mining-Algorithmus geändert, damit dieser Asic resistent wurde. Was genau ist dann an diesen Sh..coins problematisch, wenn sie und ihre Netzwerke offenbar immer noch bestehen, müssten sie dann nicht aus diesen Attacken ebenfalls gestärkt hervorgehen? Oder ist es so, dass Bitcoin aufgrund seines SHA-256 schlicht so viel robuster und sicherer ist, dass mit solchen Attacken von Anfang an nicht ernstlich gerechnet werden musste?

Vielen Dank und beste Grüße,

W.