Update: seit dem Verfassen dieses Artikels haben die Entwickler von TorWallet die Kommunikation eingestellt und der Dienst bearbeitet keine Auszahlungsanfragen, so dass es sich bei der Seite mit überwältigender Wahrscheinlichkeit um einen Betrug handelt. Lassen Sie dies eine weitere Erinnerung an alle Bitcoin-Nutzer sein: Anonym betriebenen Finanzdienstleistungen ist in fast allen Fällen nicht zu trauen.
Die neueste Online-Bitcoin-Wallet, TORwallet, ist, vereinfacht ausgedrückt, eine Kombination aus Instawallet und einem Bitcoin-Mischdienst (oder „Tumbler“ oder „Wäscherei“, wie das Konzept manchmal genannt wird). Genau wie bei Instawallet generiert der Dienst eine zufällige URL für jede neue Wallet und zeigt eine Bitcoin-Adresse an, auf die man einzahlen kann, um der Wallet Geld hinzuzufügen. Wenn Sie einmal Geld eingezahlt haben, brauchen Sie nur dieselbe URL erneut aufzurufen, die Zieladresse einzugeben und auf „Bitcoins senden“ zu klicken, um es zu einem beliebigen Zeitpunkt wieder abzuheben. Das andere entscheidende Merkmal der Wallet, der Mixer, mischt Ihre Bitcoins in einen großen Pool und schickt Ihnen dann Bitcoins zurück, die jedoch nicht mit Ihren ursprünglichen Münzen in der Blockchain verknüpft sind. Für einen Angreifer, der TORwallet nicht kompromittiert hat, ist es nahezu unmöglich, Ihre neuen „gewaschenen“ Bitcoins mit den alten zu verknüpfen.
Während die Idee auf den ersten Blick bequem erscheint, kann die Effektivität dieser Implementierung in Frage gestellt werden. Zunächst einmal ist die Darstellung von TORwallet als „anonyme Bitcoin-Mischgeldbörse“ etwas irreführend. Man würde erwarten, dass eine solche Wallet ihre Mischfunktion automatisch und hinter den Kulissen ausführt, so dass der Nutzer sicher sein kann, dass die „Misch-Wallet“ das Mischen für ihn übernimmt, aber bei TORwallet ist das nicht der Fall. Damit das Mischen überhaupt stattfinden kann, muss der Nutzer die Funktion manuell aktivieren, indem er auf die Schaltfläche „Münzen mischen“ klickt und den höheren Betrag von 3 % des gemischten Betrags oder 0.5 Bitcoins als Gebühr, so dass die Funktionen „Mischen“ und „Brieftasche“ im Wesentlichen vollständig getrennt sind. Diese besondere Art der Implementierung der Mischfunktion ist nicht nur wegen der Benutzerfreundlichkeit höchst problematisch, sondern auch, weil sie die Funktionalität einschränkt; was ist, wenn ein Benutzer regelmäßig neue Münzen einzahlt, die gegen „saubere“ Münzen getauscht werden müssen, und nicht jedes Mal eine 3%ige Steuer auf seinen gesamten Sparpool zahlen möchte??
Das Sicherheitsmodell der Wallet, eine Kopie des von InstaWallet verwendeten, ist ebenfalls problematisch. Die Strategie, die URL als Passwort zu verwenden, ist höchst problematisch, da dies bedeutet, dass jeder, der Zugang zu Ihrem Browser erhält, einfach Ihren Verlauf durchsehen, Ihre Geldbörse öffnen und sie innerhalb von Sekunden leeren kann. Der Zugriff auf die Wallet nur über einen privaten Browsermodus (was das Tor-Browserpaket standardmäßig tut) löst dieses Problem, schafft aber auch das Problem, einen Ort zum Speichern der URL finden zu müssen. Um zu verhindern, dass Angreifer es mit einem einfachen Dateiverzeichnis-Scan finden, müsste es verschlüsselt gespeichert werden, und an diesem Punkt ist das, was Sie haben, einfach eine schwerfälligere Version eines richtigen Benutzername/Passwort-Authentifizierungs-Frameworks, wie es von sicheren Wallets wie Blockchain verwendet wird. Das soll nicht heißen, dass Instawallet wertlos ist; die extreme Benutzerfreundlichkeit der Wallet macht sie zu einem idealen Kandidaten für Nutzer, die gerade erst mit Bitcoin anfangen oder keine Zeit haben, ein Konto bei einer fortgeschritteneren Alternative einzurichten. Instawallet selbst empfiehlt jedoch, „bitte nicht mehr als etwas Kleingeld hier zu speichern“, und da die Gebührenstruktur von TORwallet impliziert, dass sie erwarten, dass die Leute mehr als 16.7 BTC ($100) mit ihnen, würden sie gut daran tun, auf Instawallet’s eigenen Rat zu hören.
Beide Schlüsselfunktionen von TORwallet haben überlegene Alternativen als separate Einheiten – Bitcoin Fog als Mischdienst, da er eine geringere Gebühr (zufällig 1-3%) und ein geringeres Minimum (1.00 BTC abheben ohne feste Gebührenkomponente), und Blockchain ist eine stärkere Wallet. Darüber hinaus gibt es sogar einen Dienst, den man als gut gemachte Mischgeldbörse bezeichnen kann: Silk Road. Die auf Tor basierende Schwarzmarkt-Auktionsseite verwendet einen sicheren Mischdienst, der selbst für Nutzer, die in illegale Aktivitäten verwickelt sind, sicher genug sein soll, um alle Bitcoins, die das System durchlaufen, zu schützen, und umfasst die Sende-, Empfangs- und Speicherfunktionen, die für eine einfache Geldbörse erforderlich sind.
Das letzte Problem ist das des Vertrauens. Wie wir aus den Beispielen von MyBitcoin und Bitscalper wissen, kann man anonymen Diensten, deren einzige Funktion die Aufbewahrung von Geld ist, nicht trauen, weil der Gewinn, den sie erzielen würden, wenn sie mit den Münzen aller zu irgendeinem Zeitpunkt abhauen würden, im Vergleich zu dem Gewinn, den sie in Zukunft durch ehrliches Handeln zu erzielen hoffen, so hoch ist, dass es für sie oft sinnvoll ist, zu verschwinden. Einzahlungskonten können immer noch vertrauenswürdig sein; wenn der Anbieter genug Informationen darüber liefert, wer er ist und wo er gefunden werden kann, wird die Bedrohung durch die Strafverfolgung das Kalkül in Richtung Ehrlichkeit verschieben, und sogar einige anonyme Dienste können vertrauenswürdig sein. Im Fall von Silk Road beispielsweise müssen die Nutzer nur einige Tage lang Kleingeld in dem Dienst aufbewahren, und die Besitzer verfügen über eine effektive Einnahmequelle, deren künftige Erwartung ausreicht, um sie ständig zu ehrenhaftem Verhalten zu verleiten. TORwallet ist jedoch als langfristiger Geldspeicher gedacht und hat sich dafür entschieden, seine Anonymität beizubehalten, was es in Bezug auf den Grad des Vertrauens, den es derzeit verdient, auf eine Stufe mit Bitscalper stellt.
Das einzige Merkmal, das TORwallet seinen Alternativen voraus hat, ist die direkte Zugänglichkeit über Tor als versteckter Dienst, etwas, das keine andere Online-Bitcoin-Wallet (außer Silk Road und Konsorten) anbietet. Abgesehen von diesem Vorteil hat der Dienst jedoch noch einen langen Weg vor sich, wenn es darum geht, einen zuverlässigen Rahmen für Sicherheit und Vertrauen zu schaffen. Ein Vorschlag wäre, zu einem Blockchain-Wallet-Sicherheitsmodell zu wechseln, bei dem die Wallet verschlüsselt gespeichert wird und alle Berechnungen clientseitig durchgeführt werden, und den Mixer als Einzahlungsmechanismus nahtlos in die Wallet zu integrieren – die Wallet würde eine Einzahlungsadresse anzeigen, an die Nutzer ihre Gelder senden können, was automatisch einen Mixer-Service auslöst, der zufällig ausgewählte Bitcoins an die Wallet sendet, die der Nutzer kontrolliert, vielleicht abzüglich einer Gebühr von 1-2%. Dies würde das Vertrauens- und Sicherheitsproblem lösen und es gleichzeitig zu einer echten „Mischgeldbörse“ machen. Die Abkehr vom Instawallet-URL-als-Passwort-Modell für etwas Sichereres ist eine weitere Notwendigkeit. Derzeit gibt es jedoch weitaus bessere Alternativen für die von ihr gebotenen Funktionen.