Exchanges versagen nicht auf eine Art. Sie versagen auf sieben. Die meisten Nutzer lernen den nächsten Versagensmodus erst kennen, wenn er sie trifft — der FTX-Kunde, der am Montag noch auszahlen konnte und am Mittwoch nicht mehr, der Mt.-Gox-Gläubiger, der elf Jahre später immer noch wartet, der Nutzer in einem sanktionierten Land, der sich einloggte und sein Guthaben gesperrt vorfand.
Dies ist der dritte Artikel der Reihe Self-Custody Fundamentals. Der erste, not your keys, not your coins, hat die Begründung geliefert. Der zweite, custodial vs. non-custodial wallets, hat die Linie gezogen. Dieser inventarisiert die tatsächlichen Versagensmodi — wie jeder aussieht, wann er aufgetreten ist, und was du tun kannst, bevor er dich trifft.
TL;DR
- Eine Exchange ist ein Custodian. Ein Custodian kann auf mindestens sieben unterschiedliche Arten versagen, und die Versagensmodi kumulieren sich meist.
- Die sieben Modi: Insolvenz, Hacks, regulatorisches Einfrieren, Exit Scams, Sanktionen, KYC/Konto-Sperre und Auszahlungsstopp.
- Jeder Modus hat historische Präzedenzfälle — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart und viele mehr.
- Versicherung, Regulierung und "Audits" lassen keinen dieser Modi verschwinden. Sie ändern, wer die Reihenfolge im Insolvenzfall bestimmt, nicht ob eine Insolvenz eintritt.
- Die Absicherung gegen jeden Modus ist dieselbe — halte die Schlüssel selbst, auf Geräten, die nicht davon abhängen, dass eine einzige Venue solvent, online und legal bleibt.
Modus 1 — Insolvenz
Der Exchange geht das Geld aus, das sie den Kunden schuldet. Das ist der kanonische Versagensfall und derjenige, den Retail-Nutzer am meisten unterschätzen, weil die UI bis zum Stopp der Auszahlungen weiter die richtigen Salden anzeigt.
Insolvenz passiert aus den langweiligen Gründen, aus denen Banken untergehen (faule Kredite, Duration-Mismatch zwischen Hot- und Cold-Wallet-Floats) und aus krypto-spezifischen (ein Venture-Arm, der zugleich Market Maker war, eine Token-Treasury als Sicherheit verwendet, ein interner Hausnamen-Token-Bestand als "Liquidität"). Die Kaskade 2022 — Celsius, Voyager, BlockFi, FTX — war eine Insolvenz-Kaskade.
Das Signal, das du bekommst: Auszahlungen werden pausiert "zur Steuerung der Abflüsse", ein Vorstand tweetet, die Mittel seien sicher, dann Chapter-11-Antrag zwei bis sieben Tage später. Die Mittel waren nicht sicher. Sie waren verliehen, hypothekiert oder existierten nie als identifizierbare Salden on-chain.
Was übrig bleibt: eine Forderung, denominiert in dem, was das Insolvenzgericht festlegt (oft in USD zum Antragsdatum, nicht zum aktuellen Wert des Assets). Mt.-Gox-Gläubiger erhielten Ausschüttungen ab 2024 — elf Jahre nach der Pleite. FTX-Kunden hatten bessere Ergebnisse schneller, aber dennoch zu Dollar-Werten zum Antragsdatum — sie verpassten den folgenden Bullenmarkt.
Modus 2 — Hacks
Die Hot Wallets (oder in manchen Fällen Cold Wallets) der Exchange werden von einem Angreifer geleert. Anders als Insolvenz, weil das zugrundeliegende Geschäft am Morgen des Hacks solvent war; anders als ein Exit Scam, weil der Betreiber das Opfer ist, nicht der Täter.
Historische Beispiele: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, teils 2022 zurückgewonnen), Coincheck (2018, $530M in NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Was danach passiert, hängt davon ab, wer den Schaden trägt. Manche Exchanges (Binance via SAFU, Bitfinex via Post-Hack-Token) sozialisierten den Verlust und entschädigten Kunden über die Zeit. Andere (Mt. Gox) konnten das nicht. Das Muster: Wenn die Exchange überlebt, bekommst du am Ende etwas zurück — potenziell weniger als 100%. Überlebt sie nicht, siehe Modus 1.
Übliche Angriffsflächen: Kompromittierung des Hot-Wallet-Schlüssels (am häufigsten), Social Engineering gegen einen internen Admin, Supply-Chain-Angriff auf die Trading- oder Signing-Infrastruktur, Smart-Contract-Bug an einer verbundenen Bridge. Das Cold-/Hot-Verhältnis, das eine Exchange publiziert (sofern überhaupt), ist ein Teil-Indikator, keine Garantie — siehe der WazirX-Fall 2024, in dem das Ziel die Multisig-Signing-Infrastruktur war, nicht die Wallet-Grenze.
Modus 3 — Regulatorisches Einfrieren
Ein Gericht, eine Aufsichtsbehörde oder eine Regierungsstelle ordnet an, dass die Exchange Auszahlungen stoppt oder bestimmte Konten einfriert. Die Exchange läuft normal — solvent, nicht gehackt — kann aber rechtlich keine Mittel zurückgeben, bis die Anordnung gelöst ist.
Das tritt in zwei Varianten auf. Gezielt: Ein bestimmtes Konto wird per Gerichtsbeschluss, AML-Flag oder Ermittlung eingefroren (häufig, meist in Wochen bis Monaten gelöst). Pauschal: Die ganze Exchange oder die Konten eines ganzen Landes werden im Zuge einer regulatorischen Maßnahme eingefroren.
Beispiele für die pauschale Variante: BitMEX (2020, CFTC-Maßnahme schränkte US-Nutzer ein), Bittrex (2023, SEC-Enforcement, US-Nutzer hatten eine Auszahlungsfrist), Binance.US (2023-2024, regulatorischer Druck schränkte Funktionen und Auszahlungen ein), verschiedene Einfrierungen russischer Nutzer auf europäischen Exchanges nach den Sanktionen 2022. Die gezielte Variante ist konstantes Hintergrundrauschen; Nutzer merken es oft erst, wenn ein Auszahlungsversuch eine zuvor unbekannte KYC-Re-Verifizierung auslöst.
Was du während einer Einfrierung tun kannst: meist warten. Manchmal kannst du auf eine andere Plattform transferieren, manchmal nicht. Die Einfrierung löscht deine Forderung nicht, bedeutet aber, dass das Asset für unbestimmte Zeit illiquide ist — lange genug, dass der spätere Auszahlungspreis nicht mehr wiederzuerkennen ist.
Modus 4 — Exit Scams
Der Betreiber verschwindet. Anders als ein Hack, weil die Exchange selbst der Angreifer ist; anders als Insolvenz, weil die Mittel existierten, aber bewusst entwendet wurden, nicht durch schlechte Wetten verloren gingen.
Zwei historische Muster. Der direkte Rug: Eine kleine oder mittelgroße Exchange geht über Nacht offline, Kundengelder weg — Beispiele: WEX (Russland, 2018, ~$450M nach dem BTC-e-Relaunch), Africrypt (Südafrika, 2021, ~$3,6 Mrd. behauptet) und ein langer Schwanz kleinerer Plätze. Der langsame Exit: Der Betreiber stirbt, verschwindet oder ist nicht mehr erreichbar, während er den einzigen Satz Cold-Wallet-Schlüssel hält — der QuadrigaCX-Fall (Kanada, 2019, ~$190M CAD gesperrt, als CEO Gerald Cotten als einziger Schlüsselinhaber starb) ist der Archetyp, und die spätere Untersuchung kam zum Schluss, der "Tod" sei zweitrangig; der Betrieb war lange vorher Betrug.
Das Signal: undurchsichtige Eigentumsstruktur, undokumentierte Bankbeziehungen, kein Audit, keine veröffentlichten Proof-of-Reserves, unübliche Auszahlungslimits für die behauptete Größe. Keines ist allein disqualifizierend, die Kombination schon. Sei besonders vorsichtig bei Exchanges, in denen öffentlich eine Person die ganze Firma ist.
Modus 5 — Sanktionen
Dein Konto ist okay. Deine Jurisdiktion nicht. Ein Sanktionsregime — OFAC in den USA, Pendants in EU, UK, UN — setzt dein Land oder eine mit dir verbundene Person auf eine Liste. Die Exchange ist jetzt gesetzlich verpflichtet, deinen Zugang zu sperren — oft ohne Vorwarnung.
Das ist seit 2022 wiederholt eingetreten. Iranische, russische, belarussische und venezolanische Nutzer erlebten plötzliche Sperren bei großen Exchanges, sobald neue Sanktionspakete in Kraft traten. Die Bitzlato-Beschlagnahme (Januar 2023, FinCEN-Designation, Konten eingefroren, Infrastruktur in Abstimmung mit französischen Behörden beschlagnahmt) ist ein besonders klares Beispiel: Die Exchange selbst war die designierte Entität, und jedes Konto war augenblicklich unerreichbar.
Sanktionen treffen nicht nur Staaten. Tornado-Cash-Adressen wurden 2022 von OFAC sanktioniert; Exchanges, die mit markierten Adressen in Berührung kamen, gaben die Folgen an ihre Nutzer weiter. Wenn du in einer sanktionierten Jurisdiktion lebst oder mit sanktionierten Adressen umgehst (auch unwissentlich, durch Empfang einer kontaminierten UTXO), trägt der Custodian dieses Risiko und löst es, indem er deinen Zugang schließt.
Modus 6 — KYC/Konto-Sperre
Du unterliegst individuell einer KYC- oder AML-Sperre. Du bist nicht sanktioniert, die Exchange ist nicht eingefroren, aber eine bestimmte Transaktion oder ein Kontoprofil hat eine Prüfung ausgelöst. Dein Konto ist gesperrt, bis du Dokumente einreichst — das dauert zwischen 48 Stunden und nie.
Häufige Auslöser: Einzahlung von einer "hochriskanten" Adresse (eine Exchange, die das Compliance-Team nicht mag, ein Mixer, ein Privacy Pool), ein Auszahlungsmuster, das einer Structuring-Vorlage entspricht, ein Länderwechsel der IP, ein Login von einem neuen Gerät, eine Namensänderung im Ausweis. Der Compliance-Dienstleister markiert dich, die Prüf-Warteschlange staut sich, und du wartest.
Das Signal: ein Banner in der App, manchmal eine E-Mail mit Bitte um neues Ausweisfoto und Selfie. Die Reibung ist der Punkt — viele Nutzer brechen eine teilweise KYC ab und verlieren den Zugang ganz. Bei höherwertigen Konten kann die Prüfung Herkunftsnachweise, Kontoauszüge und Erklärungen zu bestimmten Transaktionen aus zurückliegenden Jahren verlangen.
Das Risiko ist nicht die kurzzeitige Unannehmlichkeit. Es ist, dass die Sperre offen sein kann, und in dieser Zeit sind deine Werte illiquide. Die Exchange tut regulatorisch nichts Falsches — sie tut, was verlangt wird. Die Asymmetrie: Die Kosten trägst du.
Modus 7 — Auszahlungsstopp
Die Exchange pausiert Auszahlungen "vorübergehend zur Wartung". Manchmal stimmt das wörtlich — Rotation des Hot-Wallet-Schlüssels, Chain-Upgrade, Congestion-Mitigation — und Auszahlungen laufen in Stunden wieder. Manchmal ist es das erste sichtbare Symptom von Modus 1.
Du kannst es vorher nicht wissen. In beiden Fällen erscheint dasselbe Banner. Mt. Gox stoppte Auszahlungen im Februar 2014 unter Hinweis auf "Transaction Malleability" und war drei Wochen später pleite. FTX stoppte Auszahlungen im November 2022 mit Verweis auf "extrem hohes Volumen" und stellte binnen Tagen Chapter-11-Antrag. Celsius stoppte Auszahlungen im Juni 2022 unter Hinweis auf "extreme Marktbedingungen" und stellte einen Monat später Chapter-11-Antrag.
Dies ist der Modus, der die anderen von Hintergrundrisiko in sofortigen Verlust verwandelt. Du kannst eine Forderung gegen eine insolvente Exchange haben und teilweise zurückbekommen. Du kannst den Zugang in einer Sanktionssperre verlieren und zurückbekommen. Aber während des Auszahlungsstopps — die Tage oder Wochen, bevor du weißt, in welchem Modus du wirklich bist — sind deine Werte unerreichbar. Das Mt.-Gox/FTX/Celsius-Muster zeigt, dass die Zeit zwischen einem Auszahlungsstopp und voller Klarheit zwischen 12 Stunden und 11 Jahren liegen kann.
Was das für dich bedeutet
Diese sieben Modi sind keine Randfälle. Sie sind die regulären Betriebsmodi des Custodial-Exchange-Geschäfts. Jeder langjährige Krypto-Nutzer war auf der falschen Seite mindestens eines davon; viele auf der mehrerer.
Die Absicherung für alle sieben ist dieselbe: Halte Schlüssel, die du kontrollierst, auf Geräten, die du kontrollierst, hinter einer Recovery, die du verstehst. Es gibt keinen cleveren Weg, eine Exchange zu nutzen, der diese Modi vermeidet — die Modi sind dem Modell inhärent. Der richtige Rahmen ist operativ: Nutze Exchanges für das, worin sie gut sind (Fiat-On-Ramps, regulierter Handel, Tiefe), und halte dort keine relevanten Salden länger als nötig.
SSPs 2-of-2 Multisig adressiert die entsprechenden Versagensmodi auf der Self-Custody-Seite — Verlust eines Geräts, Schlüsselkompromittierung, Zugriffsverlust auf Reisen — indem es die Signaturanforderung auf zwei Geräte verteilt, statt sie in einem zu bündeln. Seed-Phrase-Best-Practices deckt die Recovery-Ebene darunter ab.
Der nächste Artikel der Reihe, what self-custody actually requires of you, ist das ehrliche Gegenstück: Eine Exchange kann auf sieben Arten versagen, und Self-Custody kann auf ein paar eigenen versagen. Der Punkt ist nicht, dass eine risikofrei wäre. Der Punkt ist, dass du wählst, welches Risikobündel du trägst.
