Man sagt, GRVT @grvt_io sei sehr schnell, aber ich kümmere mich mehr darum, ob diese Tür tatsächlich abgeschlossen ist. Ich habe in letzter Zeit die technischen Dokumente von GRVT durchgesehen und dabei ein Design gefunden, das mich nicht ganz ruhig schlafen lässt: Es legt das Orderbuch und sämtliche Details aller Trades auf einen eigenen zentralisierten Server. Auf dem Ethereum-Mainnet wird nur noch ein Zustands-Root gespeichert. Das ist ungefähr so, als würdest du einen Tresor mieten – der Tresen steht zwar auf deinen Namen, aber der Schlüssel und die Aufzeichnungen darüber, wann der Tresor geöffnet wurde, liegen bei jemand anderem. Du hast nur einen Beleg in der Hand mit dem Aufdruck: „Im Tresor ist etwas“.
Ich gebe euch ein Beispiel, um das greifbarer zu machen: Angenommen, eines Tages fällt der GRVT-Server plötzlich aus. Du sagst: „Ich möchte auszahlen.“ Auf dem Mainnet wird dein Kontostand richtig angezeigt, aber für den Auszahlungskanal musst du Signaturdaten der letzten drei Transaktionen einreichen, um deine Identität zu verifizieren – und diese Daten befinden sich nur in den Servern von GRVT. Wenn der Server komplett ausfällt: Wie kannst du dann nachweisen, dass genau diese drei Transaktionen von dir ausgeführt wurden? On-chain wird nur die Zahl für den Kontostand gespeichert, aber nicht die Abfolge deiner Aktionen. In dem Moment schaust du auf die Zahlen in deiner Wallet und kannst einfach nichts abwickeln – du stehst da und kannst nur zusehen. Vitalik hat genau diese Schwachstelle schon lange angesprochen, und L2BEAT hat solche Risiken auch direkt als „fatal“ eingestuft.
Sie haben zwar auch eine Gegenmaßnahme: Sie haben einen Ausschuss eingerichtet, in dem mehrere große Institutionen gemeinsam bürgen. Aber ich frage mich: Ist das nicht im Grunde nur eine Übergabe des Lebens an eine Person – die dann durch mehrere Personen ersetzt wird? Im Kern bleibt es Vertrauensfragen statt Code-Vertrauen. Kryptographie kann belegen, dass jede einzelne Transaktion in der Vergangenheit korrekt ist, aber sie kann nicht garantieren, dass der Server morgen noch ordnungsgemäß starten kann. Für ein bisschen mehr Geschwindigkeit die Systemsicherheit der Vermögenswerte auf so ein Design zu stützen, finde ich es nicht wert. #grvt