Krypto in SSP kaufen: die Aggregator-Engine erklärt

·6 Min. Lesezeit·Von SSP Editorial Team
SSP-Academy-Titelbild: Krypto in SSP kaufen und wie die Aggregator-Engine arbeitet

Krypto in SSP kaufen: die Aggregator-Engine erklärt

Wenn du in SSP auf Kaufen / Verkaufen tippst, kaufst du keine Krypto von SSP. SSP verkauft dir nichts, nimmt deine Kartendaten nicht entgegen und hält dein Geld keinen Augenblick lang. Was tatsächlich passiert, ist interessanter — und wenn du es verstehst, weißt du genau, wohin dein Vertrauen wandert.

Dieser Leitfaden geht die On-Ramp von Anfang bis Ende durch: was der Button tut, wer die Gegenpartei wirklich ist und welchen einen kryptografischen Kniff SSP nutzt, damit die gekauften Coins ausschließlich in deiner Wallet landen können.

Der Button, Schritt für Schritt

Vom Hauptbildschirm der Wallet aus öffnet Kaufen / Verkaufen ein Modal. Bevor irgendetwas lädt, erscheint ein Einwilligungsbildschirm, der dich bittet, die Risiken der Nutzung eines Drittanbieterdienstes anzuerkennen. Diese Schranke ist Absicht: alles dahinter ist die regulierte Kasse eines anderen, nicht die von SSP.

Stimmst du zu, lädt die Wallet ein Anbieter-Widget direkt innerhalb der Erweiterung. Du wirst nicht auf eine Website hinausgeworfen. Der Kaufablauf — Fiat-Währung wählen, Zahlungsmethode wählen, deine Daten eingeben — findet in diesem eingebetteten Panel statt, und wenn er abgeschlossen ist, wird die Krypto on-chain an deine SSP-Adresse geliefert.

Bei wem du tatsächlich kaufst

Das Widget ist Onramper, und Onramper ist selbst ein Aggregator. Auch er verkauft dir keine Krypto. Er bündelt eine Reihe regulierter Fiat-On-Ramp-Anbieter, vergleicht sie für die von dir gewählte Währung, das gewählte Asset und die gewählte Zahlungsmethode und leitet deinen Kauf an einen von ihnen weiter.

Die Kette der Gegenparteien sieht damit so aus:

Du → Onramper (Aggregator) → ein regulierter Fiat-Anbieter → die Blockchain → deine SSP-Adresse.

Diese Schichtung ist aus drei praktischen Gründen wichtig:

  • KYC gehört dem Anbieter, nicht SSP. Wenn das Widget nach deinen Ausweisdokumenten fragt, kommt diese Aufforderung von dem regulierten Unternehmen, das die Zahlung abwickelt. SSP erhält, speichert und sieht davon nie etwas.
  • Die Verfügbarkeit ist die des Anbieters, nicht die von SSP. Welche Länder, welche Fiat-Währungen, welche Zahlungsmethoden und welche Assets angeboten werden, entscheiden die Anbieterliste und deren Lizenzen. Zwei Menschen, die denselben Bildschirm in verschiedenen Ländern öffnen, können unterschiedliche Optionen sehen. (Dazu gibt es einen eigenen Artikel in dieser Serie — siehe den Leitfaden zur Abdeckung.)
  • Der Preis ist der des Anbieters. Der dir angezeigte Kurs enthält dessen Spread und dessen Gebühren zusätzlich zum Marktpreis. SSP legt ihn nicht fest und behält nichts davon ein.

Was SSP sehr wohl beisteuert, ist die Verrohrung — und ein sehr konkretes Stück Sicherheit.

Der Teil, der dich schützt: eine signierte Zieladresse

Hier ist das Fehlerszenario, um das sich jedes eingebettete Zahlungs-Widget sorgen sollte. Dem Widget wird gesagt, wohin es die Coins liefern soll. Könnte ein Angreifer dieses Ziel manipulieren — es in der URL umschreiben, es in den Frame einschleusen —, würdest du echtes Geld zahlen, und die Krypto landete in seiner Wallet. Du hättest jemand anderem einen Coin gekauft.

SSP schließt dieses Loch kryptografisch. Bevor das Widget lädt, sendet die Wallet dein Netzwerk und deine Empfangsadresse an SSP Relay, das beides mit einer HMAC-SHA256-Signatur unter Verwendung eines mit Onramper geteilten Geheimnisses signiert. Die signierte Nutzlast — praktisch networkWallets=<Netzwerk>:<deine Adresse> — wird dem Widget zusammen mit der Signatur übergeben.

Das Ergebnis: die Zieladresse ist authentifiziert. Das Widget zahlt nur an die Adresse aus, die signiert wurde. Eine manipulierte Adresse trägt keine gültige Signatur, und der Kauf wird nicht auf ihr abgewickelt. SSP Relay sieht deine Schlüssel nie — es signiert eine öffentliche Empfangsadresse, die kein Geheimnis ist und niemandem Verfügungsgewalt verleiht.

Das lohnt sich zu verinnerlichen, denn es dreht den üblichen Rat um. Bei den meisten „Krypto kaufen"-Abläufen fügst du eine Zieladresse ein und prüfst sie selbst dreifach. Hier behauptet die Wallet die Adresse für dich und beweist, dass sie unterwegs nicht verändert wurde.

Was SSP nie berührt

Die Liste ist kurz, und sie ist die entscheidende:

  • Deine Schlüssel und dein Seed. Sie verlassen deine Geräte nie. Die On-Ramp braucht sie nicht und kann nicht danach fragen. Jeder „Kauf"-Ablauf, der nach deiner Seed-Phrase fragt, ist ein Phishing-Versuch, Punkt.
  • Deine Karten- und Bankdaten. Werden vom regulierten Anbieter in dessen eigener Kasse erhoben.
  • Deine Ausweisdokumente. Ebenso.
  • Die Verwahrung der Coins nach der Lieferung. Sobald der Anbieter die Transaktion sendet, liegt das Asset auf deiner Adresse, unter deinem 2-von-2-Multisig. Niemand — weder SSP noch Onramper noch der Anbieter — kann es bewegen, ohne dass beide deiner Geräte signieren.

Achte darauf, was in dieser Liste fehlt: Zu keinem Zeitpunkt signierst du eine Transaktion, um zu kaufen. Kaufen ist ein eingehender Transfer. Deine Signaturen sind nicht nötig, weil nichts deine Wallet verlässt. Auf der Verkaufsseite ändert sich das, und genau damit beginnt der nächste Artikel dieser Serie.

Vor dem Kauf: die kurze Checkliste

  • Prüfe das Netzwerk, nicht nur das Kürzel. Du kaufst ein Asset auf einer Chain. USDC auf einem Netzwerk zu kaufen und es auf einem anderen zu erwarten, ist der klassische Weg, am Ende auf ein leeres Guthaben zu starren. Das Widget ist auf die Chain begrenzt, die du in der Wallet ausgewählt hattest — vergewissere dich, dass es die Chain ist, die du wirklich willst.
  • Lies die angezeigte Gesamtsumme. Spread und Gebühren des Anbieters stecken im Kurs. Die Zahl, die man vergleicht, ist, wie viel Krypto tatsächlich ankommt, nicht der Schaufenster-Kurs.
  • Rechne mit KYC — und damit, dass es variiert. Ein Kartenkauf in einem Land kann sofort gehen; eine Banküberweisung in einem anderen kann Tage dauern und mehr Dokumente verlangen. Das ist der Prozess des Anbieters.
  • Fang bei einer neuen Zahlungsmethode klein an. Der erste Kauf über eine neue Schiene ist der, bei dem die Überraschungen auftauchen. Ein kleiner Testkauf kostet dich etwas Spread und kauft dir Gewissheit.
  • Bestätige, dass die Coins in der Wallet angekommen sind, nicht nur im Widget. Wenn das Widget „Erfolg" meldet, heißt das, dass die Zahlung durchging. Das Asset gehört dir, wenn es on-chain auf deiner Adresse bestätigt ist.

Wo das hineinpasst

Kaufen ist die einfache Richtung: Geld rein, Coins raus, keine Signaturen, keine Übergabe der Verwahrung nach der Lieferung. Die beiden anderen Abläufe dieser Serie unterscheiden sich deutlich — Verkaufen bedeutet, Krypto hinaus an einen Anbieter zu signieren und auf Fiat zu warten, und der In-Wallet-Swap übergibt deine Mittel unterwegs einem zentralisierten Exchanger. Beide legen für eine Weile etwas von dir in fremde Hände. Die On-Ramp — als Einzige — tut das nicht.

Für das größere Bild, wie Kaufen, Verkaufen und Swappen zusammenhängen, beginne mit dem Überblick in Krypto von SSP aus tauschen. Für die Mechanik dessen, was passiert, sobald die Coins in deiner Wallet sind, siehe Bitcoin mit SSP senden.

Diesen Artikel teilen

Verwandte Artikel