Ich dachte früher, dass tokenisierte Real-World-Assets (RWAs) vor allem ein rechtliches Problem seien. Man bringt das Wertpapierrecht richtig hin, man bringt die Verwahrung richtig hin, und der technologische Teil ergibt sich ganz natürlich. Das ist ehrlich gesagt ein vernünftiger Ausgangspunkt.

Aber je genauer ich mir angesehen habe, wie diese Systeme tatsächlich ausfallen, desto weniger sah es nach einem reinen Rechtsversagen aus.

Es wirkte wie ein Problem mit den Schlüsselinhabern.

Weil die meisten Protokolle für tokenisierte Assets ihre besonders sensiblen Aktionen nach wie vor über irgendeine Form eines Admin-Keys routen – das Erstellen (Minting), die Rücknahme (Redemption), das Aktualisieren des Preises, wie viel ein Asset wert ist. Eine einzige Signatur, enorm viel Befugnis. Das ist kein versteckter Fehler. Es wird normalerweise offen offengelegt, manchmal sogar als Feature vermarktet. Schnell und flexibel: Jemand kann sofort handeln, wenn etwas behoben werden muss.

Das Problem ist, dass „jemand kann schnell handeln“ und „jemand hat den Key gestohlen und kann schnell handeln“ aus Sicht des Contracts identisch aussehen.

Ich bleibe dabei: Wie viel Schaden diese Ähnlichkeit verursacht.

Milliardenverluste in DeFi sind im Allgemeinen nicht annähernd so häufig aus cleveren Protokoll-Exploits entstanden, wie sie genau aus so etwas hervorgingen. Ein Key wird kompromittiert – und in dem Moment werden alle Regeln, von denen das Protokoll behauptet hat, sie zu haben, irrelevant, weil die Regeln nie wirklich unabhängig vom Key waren. Der Key war die ganze Zeit die eigentliche Autorität. Die Regeln waren nur das, was er normalerweise eben dafür auswählt.

Das ist die Unterscheidung, auf die Newtons Ansatz für RWAs offenbar hinausläuft.

Man vertraut stattdessen nicht darauf, dass ein Key sich korrekt verhält, sondern verlagert die eigentlichen Einschränkungen vollständig außerhalb der Reichweite des Keys. Emissionsrestriktionen, Schranken für Sekundärtransfers, NAV-Toleranzprüfungen – alles als Policy formuliert und durch ein separates Netzwerk gestakter Operatoren durchgesetzt, nicht durch die Person, die an dem Tag gerade einen privaten Key in der Hand hat.

Das bedeutet: Ein gestohlener Key heißt nicht automatisch, dass das Protokoll kaputt ist.

Ein Angreifer mit dem Admin-Key kann weiterhin versuchen, mehr Tokens zu prägen als erlaubt, oder eine Übertragung an jemanden durchzudrücken, der gar nicht berechtigt ist. Aber die Transaktion muss trotzdem zuerst die Autorisierungsebene passieren. Der Key öffnet eine Tür. Er entfernt nicht die Tür.

Ich denke, das ist ein wirklich anderes Sicherheitsmodell als das, was die meisten Plattformen für tokenisierte Vermögenswerte verwenden – selbst wenn es auf dem Papier wie eine kleine Designentscheidung klingt.

Eine Laufzeit-Invariante fragt nicht, ob der Signer in irgendeinem administrativen Sinn autorisiert ist. Sie fragt, ob die Aktion selbst – Prägebetrag, Transferberechtigung, Preisgrenzen – die Regel erfüllt, unabhängig davon, wer sie eingereicht hat. Diese Art von Formulierung entfernt den Keyholder aus der Rolle als einziger Dreh- und Angelpunkt, auf dem alles aufbaut.

Trotzdem gibt es einen Haken, über den man ehrlich sein sollte.

Nichts davon schützt etwas, wenn ein Emittent eine Notfall-Override einbaut, die die Policy-Überprüfung vollständig umgeht – „nur für Ausnahmen“. Eine solche Abkürzung stellt leise genau denselben einzelnen Punkt der Schwachstelle wieder her, den das gesamte Design eigentlich beseitigen sollte. Eine Laufzeit-Invariante, die man ausschalten kann, ist keine Invariante wirklich.

Damit verlagert sich die Verantwortung nicht vollständig weg vom Emittenten. Sie wechselt nur von „Verlier den Key nicht“ zu „Baue keine Hintertür um das herum, was dich davor schützt, den Key zu verlieren“.

$NEWT sitzt unterhalb der Ebene, die diese Durchsetzung überhaupt erst vertrauenswürdig macht – verbunden mit Operatoren, die dagegen gestaked sind, dass ein ungültiges Mint oder eine nicht berechtigte Übertragung durchrutscht, nur weil ihnen ein Admin-Key gesagt hat, dass sie es sollen.

Ich glaube nicht, dass die meisten Menschen, die Plattformen für RWAs bewerten, diese Frage schon stellen. Der Pitch dreht sich meistens um Rendite, um Zugang, darum, welche Assets als Nächstes tokenisiert werden können.

Aber ein Markt im Wert von 21 Milliarden US-Dollar, der vor allem darauf setzt, dass Keys nicht gestohlen werden, war nie wirklich abgesichert. Er war lediglich bisher nicht angegriffen worden.

Newton entfernt den Admin-Key nicht.

Es geht darum sicherzustellen, dass der Key von Anfang an nie das einzige Hindernis zwischen dem Vermögenswert und einer Katastrophe war.

#newt #Newt @NewtonProtocol #NEWT

NEWT
NEWTUSDT
0.04296
-2.58%

$EDGE

EDGEBSC
EDGEUSDT
0.4536
+7.46%

$EVAA

EVAABSC
EVAA
0.83647
-8.60%