Vitalik schlägt simulierte Transaktionen vor, um die Sicherheit im Krypto-Bereich neu zu überdenken

Vitalik Buterin sagt, Transaktionssimulationen könnten die Kluft zwischen Nutzerabsicht und On-Chain-Ergebnissen schließen und die Kryptosicherheit von Grund auf neu gestalten.

Ethereum-Mitbegründer Vitalik Buterin hat eine neue Denkweise zur Kryptosicherheit vorgestellt. Sie beginnt nicht mit Code. Sie beginnt mit der Absicht.

In einem Beitrag auf X argumentierte Vitalik Buterin, dass Sicherheit und Nutzererfahrung überhaupt keine getrennten Bereiche sind. Beides, schrieb er, dreht sich darum, die Kluft zwischen dem, was ein Nutzer tatsächlich will, und dem, was ein System tatsächlich tut, zu verringern. Der Unterschied besteht darin, dass Sicherheit sich mit der schlimmsten Version dieser Kluft befasst, bei der feindliches Verhalten die Divergenzkosten sehr hoch macht.

Das Argument trifft etwas, das die meisten Krypto-Entwickler als selbstverständlich ansehen.

Warum „Perfekte Sicherheit“ Niemals Real War

Buterin sagte auf X, dass perfekte Sicherheit unmöglich ist. Nicht weil Maschinen versagen. Nicht weil Ingenieure Fehler machen. Sondern weil menschliche Absichten zu komplex sind, um jemals vollständig codiert zu werden.

Er verwendete ein einfaches Beispiel. Ein Nutzer, der 1 ETH an Bob senden möchte, klingt klar. Aber „Bob“ kann nicht mathematisch definiert werden. Der öffentliche Schlüssel könnte falsch sein. Die Kette könnte forken. Das Wort „ETH“ wird subjektiv. Die Kluft zwischen dem realen Bild des Nutzers und der mathematischen Darstellung des Systems ist der Ort, an dem Risiko lebt.

Es wird noch unübersichtlicher bei Datenschutz-Zielen. Das Verschlüsseln von Nachrichten erscheint ausreichend. Aber Metadaten, Timing-Muster und Kommunikationsgraphen können eine große Menge an Informationen preisgeben. Was gilt als triviale Exposition versus katastrophale Exposition? Keine Formel beantwortet das eindeutig.

Das Redundanzprinzip, das Buterin vorantreibt

Die Lösung, auf die Buterin hinweist, ist kein einzelner stärkerer Verschluss. Es sind überlappende Spezifikationen. Das System handelt nur, wenn mehrere Beschreibungen der Absicht übereinstimmen.

Er nannte bereits mehrere Beispiele, bei denen dieses Muster in der Praxis funktioniert. Typsysteme in der Programmierung lassen Entwickler sowohl das, was der Code tut, als auch die Form jeder Datenstruktur angeben. Wenn diese beiden Beschreibungen des Programms widersprechen, wird es nicht kompiliert. Formale Verifikation macht etwas Ähnliches wie mathematische Beweise. Multisignatur-Wallets erfordern, dass mehrere Schlüssel zustimmen, bevor Gelder bewegt werden. Warnungen vor Ausgabenlimits werden ausgelöst, wenn etwas ungewöhnlich erscheint.

Transaktionssimulationen folgen derselben Logik. Laut Vitalik Buterin auf X gibt der Nutzer zunächst eine Aktion vor, dann sieht er eine simulierte Vorschau dessen, was tatsächlich on-chain passiert. Das Klicken zur Bestätigung oder zum Abbrechen dieser Simulation wird zu einer zweiten Spezifikation. Beide müssen in die gleiche Richtung zeigen.

Post-Assertions in Transaktionen gehen noch einen Schritt weiter. Die Transaktion selbst kodiert sowohl die Aktion als auch ihre erwarteten Effekte. Wenn sie bei der Ausführung nicht übereinstimmen, schlägt die Transaktion fehl.

Sie könnten auch interessiert sein: npm Worm stiehlt Krypto-Schlüssel, zielt auf 19 Pakete ab

Wo LLMs ins Bild kommen

Buterin hielt nicht bei traditionellen Werkzeugen an. Er zog eine direkte Linie von diesem Rahmen zu der Art und Weise, wie KI-Sprachmodelle in der Kryptosicherheit verwendet werden sollten und nicht sollten.

Ein allgemeines LLM, sagte er in seinem X-Post, wirkt wie ein Schatten des menschlichen gesunden Menschenverstands. Ein Modell, das auf das Verhalten eines bestimmten Nutzers feinabgestimmt ist, nähert sich diesem Nutzer’s Gefühl dafür an, was normal und was ungewöhnlich ist. Das macht es zu einem weiteren Blickwinkel, aus dem Absichten approximiert werden können. Ein wirklich anderer Ansatz als formaler Code oder kryptografische Signaturen, was der ganze Punkt ist. Redundanz funktioniert am besten, wenn die Spezifikationen aus völlig unterschiedlichen Richtungen kommen.

Er war sich jedoch der Grenzen bewusst. Ein LLM sollte niemals die einzige Entscheidungsgrundlage sein, ob eine Transaktion die Absicht des Nutzers widerspiegelt. Das würde die Redundanz, auf die der gesamte Ansatz angewiesen ist, zum Kollabieren bringen.

Lesenswert: Vitaliks Cypherpunk-Schichtenplan könnte Ethereum für immer verändern

Sicherheit bedeutet nicht mehr Klicks

Ein Punkt, den Buterin hervorhob, verdient besondere Aufmerksamkeit. Gute Sicherheit bedeutet nicht, dass Nutzer alles öfter bestätigen müssen. Das tauscht ein Problem gegen ein anderes.

Das eigentliche Ziel, so sagte er auf X, ist es, risikoarme Aktionen einfach oder automatisiert zu machen, während wirklich gefährliche Aktionen schwer sind. Dieses Gleichgewicht ist die eigentliche Design-Herausforderung. Reibung an den falschen Stellen schützt Nutzer nicht. Es trainiert sie nur, Warnungen zu ignorieren, ohne sie zu lesen.

Diese Erkenntnis hat direkte Auswirkungen darauf, wie Ethereum-Wallets gebaut werden. Sie betrifft auch jede Schicht des Stacks, von Betriebssystemen über Smart-Contract-Verifikation bis hin zu Hardware. Das gleiche Prinzip gilt für alle.

Auch lesen: Bitcoin-ETFs ziehen 88 Mio. USD an, während Ethereum-Flow auf nahezu Null sinkt

Buterins Ansatz verspricht kein gelöstes Problem. Er schlägt eine bessere Denkweise für ein unlösbares vor. Keine einzelne Spezifikation der Nutzerabsicht wird jemals vollständig sein. Die Frage ist, aus wie vielen verschiedenen Blickwinkeln man sie prüfen kann, bevor das System handelt.