Was ist ein Custodial Wallet: Vollständiger Krypto-Custody-Leitfaden (2026)

Ein Depot-Wallet ist ein Kryptowährungs-Wallet, bei dem ein Dritter, typischerweise eine zentrale Börse oder eine institutionelle Depotbank, die privaten Schlüssel in Ihrem Namen kontrolliert. Wenn Sie sich bei Coinbase, Binance oder Kraken anmelden und Bitcoin einzahlen, besitzen Sie diese Bitcoin nicht wirklich. Die Börse hält es. Sie besitzen einen Schuldschein. Diese Unterscheidung ist das wichtigste Konzept, das Sie verstehen sollten, bevor Sie jemals einen Dollar in Kryptowährungen einzahlen, und sie ist der Grund für den Ausdruck not your keys, not your coins existiert.

Das Depotmodell ist die Art und Weise, wie die meisten Menschen zum ersten Mal mit Krypto interagieren. Es ist einfach und fühlt sich an wie ein normales Bankkonto. Sie melden sich mit E-Mail-Adresse und Passwort an, setzen Ihre Zugangsdaten zurück, wenn Sie sie vergessen, kontaktieren den Support, wenn etwas kaputt geht, und müssen nie über Startphrasen oder das Signieren von Transaktionen nachdenken. Aber Depot-Wallets haben auch eine lange Geschichte von Ausfällen, Hacks und regelrechtem Betrug, die Benutzer Dutzende Milliarden Dollar gekostet haben.

In diesem Leitfaden wird erläutert, was ein Depot-Wallet ist, wie die moderne Depotbank im Jahr 2026 funktioniert (einschließlich MPC und qualifizierter Depotbanken), welche rechtlichen Rahmenbedingungen derzeit für die Depotbank in den USA und der EU gelten, die Versicherungsrealität, die die meisten Benutzer missverstehen, und ein ehrlicher Entscheidungsrahmen dafür, wann Depotbank die richtige Wahl ist und wann Sie umziehen sollten Selbstverwahrung. Wir werden die vier größten Verwahrungsfehler (Mt Gox, QuadrigaCX, FTX, Bybit) durchgehen und daraus die Lehren ziehen, die heute gelten.

Was ist ein Custodial Wallet?

Eine Depot-Wallet ist jede Kryptowährungs-Wallet, bei der die privaten Schlüssel von einem Dritten und nicht von Ihnen kontrolliert werden. Der Verwahrer hält die Schlüssel, signiert die Transaktionen und ist technisch gesehen der Eigentümer der Kette. Ihr Kontostand ist ein Datenbankeintrag, der angibt, was die Depotbank Ihnen schuldet. Es handelt sich um eine Behauptung, nicht um eine Münze. Wenn die Datenbank korrekt ist, das Unternehmen zahlungsfähig ist und das Unternehmen Ihrem Auszahlungsantrag nachkommt, können Sie diesen Anspruch wieder in Vermögenswerte in der Kette umwandeln. Wenn eine dieser drei Bedingungen fehlschlägt, liegt ein Problem vor.

Der Satz not your keys, not your coins wird oft Andreas Antonopoulos zugeschrieben. Das Argument ist einfach. Wer auch immer das kontrolliert privater Schlüssel kontrolliert die Münzen. Alles andere, einschließlich Devisenguthaben und zentralisierte Stablecoin-Reserven, ist eine abgeleitete Forderung. Wenn die Chain of Custody unterbrochen wird, verlieren Sie den Basiswert.

Die eigentliche Debatte ist, ob Bequemlichkeit das Kontrahentenrisiko wert ist, und die Antwort hängt von Ihrer Situation ab. Ein Benutzer mit Kryptowährungen im Wert von 200 US-Dollar, der wöchentlich handelt, hat eine ganz andere Risikokalkulation als ein Hedgefonds mit 200 Millionen US-Dollar. In diesem Leitfaden wird die Frage ernst genommen, anstatt Depot-Wallets reflexartig abzulehnen.

So funktionieren Depot-Wallets

Wenn Sie sich für einen Verwahrungsdienst anmelden, erstellt die Plattform einen Kontodatensatz in ihrer Datenbank und verknüpft ihn über diese mit Ihrer Identität KYC und AML -Verifizierung und weist Ihnen eine Einzahlungsadresse zu. Wenn Sie Bitcoin an diese Adresse senden, landet das Geld in einer Wallet, die von der Börse kontrolliert wird. Die Börse schreibt Ihren Datenbankeintrag gut. Ihr sichtbares Guthaben steigt. Die eigentlichen Münzen sind nun Teil des Sammelpools der Börse.

Die meisten Börsen arbeiten mit einem Hybridspeichermodell. Ein kleiner Prozentsatz der Kundengelder wird einbehalten hot wallets für tägliche Abhebungen mit dem Internet verbunden. Der Großteil wird eingelagert cold storage, Schlüssel, die auf Hardware gespeichert sind, die noch nie mit dem Internet in Berührung gekommen ist, oft geschützt durch multisig oder MPC. Coinbase behauptet, dass 98 % der Kundenvermögenswerte im Kühlhaus liegen. Der Unterschied zwischen einer gut geführten und einer schlecht geführten Depotbank hängt davon ab, wie dieses Verhältnis verwaltet wird und wie der Kaltsignierungsprozess gesichert wird.

Wenn Sie von einem Depotkonto aus handeln, löst Ihre Aktion keine On-Chain-Transaktion aus. Es aktualisiert die interne Datenbank. Die meisten Trades auf Coinbase, Binance oder Kraken berühren nie die Blockchain, da sie mit anderen Benutzern auf derselben Plattform abgeglichen werden. Die Blockchain ist nur bei Ein- und Auszahlungen beteiligt. Aus diesem Grund bieten zentralisierte Börsen im Vergleich zu On-Chain-DEXs nahezu sofortige Transaktionen und niedrige Gebühren.

Abhebungen erfolgen, wenn das Verwahrungsmodell der Realität entspricht. Wenn Sie den Rückzug zu Ihrem beantragen Hot- oder Cold-Wallet: Die Börse erstellt eine echte Blockchain-Transaktion und signiert diese. Wenn die Börse normal funktioniert, geschieht dies innerhalb von Minuten. Wenn die Börse betriebliche Probleme hat, zahlungsunfähig ist oder Ermittlungen laufen, können Abhebungen verzögert, ausgesetzt oder ganz abgelehnt werden. In der Geschichte der Kryptowährung gibt es viele Benutzer, die erst erfahren haben, was das Verwahrungsrisiko bedeutet, als sie versuchten, Geld abzuheben, dies jedoch nicht gelang.

Einzelhandelsverwahrstelle: Coinbase, Binance, Kraken, Bybit

Die vier größten Depotplattformen für den Einzelhandel im Jahr 2026 sind Coinbase, Binance, Kraken und Bybit, mit kleineren Playern wie Crypto.com, Bitstamp, OKX und Gemini. Jeder hat einen anderen Betriebsstil, einen anderen regulatorischen Fußabdruck und ein anderes Risikoprofil, aber alle haben das grundlegende Verwahrungsmodell gemeinsam. Sie zahlen ein, sie halten, Sie handeln mit ihrer Datenbank und Sie heben ab, wann Sie möchten.

Coinbase ist die größte öffentlich gehandelte Kryptobörse und die am stärksten regulierte US-Plattform. Es ist bei FinCEN registriert, verfügt über staatliche Geldtransmitterlizenzen und ist an der Nasdaq als COIN notiert. Die Coinbase Custody Trust Company ist eine separat gegründete New Yorker Treuhandgesellschaft und a qualified custodian gemäß den SEC-Regeln. Das Einzelhandelsprodukt und Coinbase Custody haben unterschiedliche rechtliche Strukturen, die den meisten Einzelhandelsnutzern nicht bewusst sind.

Binance ist die volumenmäßig größte Börse der Welt. Nach der Einigung des DOJ im Jahr 2023, die zu einer Geldstrafe von 4,3 Milliarden US-Dollar und dem Rücktritt von CZ führte, wurde Binance einer mehrjährigen Compliance-Überarbeitung unterzogen. Es bleibt die Standardeinstellung für Benutzer außerhalb der USA, die höchste Liquidität und die größte Token-Auswahl wünschen. Binance.US ist ein eigenständiges Unternehmen mit separater Lizenzierung.

Kraken ist nach Coinbase die zweitälteste US-Börse und hat sich einen Ruf für Sicherheit aufgebaut. Kraken wurde seit seiner Gründung im Jahr 2011 noch nie gehackt, was wirklich selten vorkommt. Das Unternehmen hat bestimmte Klagen der SEC im Zusammenhang mit der Beteiligung beigelegt, sein Kerngeschäft mit der Verwahrung ist jedoch stabil geblieben. Kraken veröffentlicht SOC2 Typ 2 meldet und verwendet geografisch verteilte Multisig.

Bybit erlangte bei Derivaten Bekanntheit. Im Februar 2025 erlebte Bybit den größten Krypto-Hack der Geschichte, als die nordkoreanische Lazarus-Gruppe während einer routinemäßigen Signierungsoperation etwa 1,5 Milliarden US-Dollar an Ethereum aus einem Cold Wallet stahl. Bybit zahlte alle Kundenguthaben aus den Reserven ein, aber der Vorfall veränderte die Art und Weise, wie institutionelle Depotbanken über die Betriebssicherheit von Cold Wallets denken.

Einen umfassenden Vergleich dieser Plattformen finden Sie in unserem Binance vs. Coinbase vs. Kraken-Vergleich , das tiefer auf Gebühren, unterstützte Token und regionale Verfügbarkeit eingeht.

Institutionelle Verwahrung: MPC vs. Cold Storage

Die institutionelle Verwahrung hat sich seit 2018 dramatisch weiterentwickelt. Die beiden vorherrschenden technischen Ansätze im Jahr 2026 sind traditionelle Kühllagerung mit Multisig und modern MPC (Mehrparteienberechnung). Das Verständnis des Unterschieds bestimmt, wie sicher Ihre Gelder tatsächlich sind, selbst auf einer Depotplattform.

Cold Storage generiert Schlüssel auf einem Air-Gap-Gerät, speichert sie offline und isoliert sie physisch von jedem mit dem Internet verbundenen System. Beim Signieren muss ein Bediener eine nicht signierte Transaktion physisch in die kalte Umgebung transportieren, offline signieren und die signierte Transaktion wieder zur Übertragung bringen. Sehr sicher gegen Remote-Angriffe, aber betrieblich langsam. Multisig-Schichten darüber hinaus erfordern mehrere separate Schlüssel (die oft von verschiedenen Personen an verschiedenen Orten gehalten werden), um eine Transaktion zu autorisieren.

MPC-Verwahrung ist ein kryptografischer Ansatz, bei dem der private Schlüssel nirgendwo als einzelnes Objekt existiert. Der Schlüssel wird mithilfe der Schwellenwertkryptographie in Anteile aufgeteilt, und die Signatur erfolgt durch die Anteilinhaber, die eine verteilte Berechnung durchführen, die eine gültige Signatur erzeugt, ohne dass eine Partei jemals den vollständigen Schlüssel zusammenstellt. Aus Sicht der Blockchain ist eine MPC-Signatur identisch mit einer regulären Signatur. Das Sicherheitsmodell unterscheidet sich, da es keinen Single Point of Failure gibt.

Eine Börse, die auf MPC läuft, birgt strukturell andere Risiken als eine Börse, die auf Multisig-Cold-Storage läuft. MPC-Plattformen signieren schnell, ohne die Sicherheit zu beeinträchtigen, sodass das Heiß-Kalt-Verhältnis mehr Kaltspeicherung mit schnelleren Abhebungen begünstigen kann. Multisig-Plattformen erfordern physische Unterzeichnungszeremonien, sind jedoch weniger von der Implementierung eines einzelnen MPC-Anbieters abhängig. Beide werden auf institutioneller Ebene oft in Kombination eingesetzt.

Große institutionelle Depotbanken 2026

Die institutionelle Verwahrung hat sich zu etwa einem Dutzend ernsthaften Akteuren zusammengeschlossen. Die meisten Einzelhandelsplattformen verlassen sich bei der tiefsten Kühllagerung letztendlich auf einen dieser Depotbanken.

Feuerblöcke ist die dominierende MPC-Plattform mit über 1.800 institutionellen Kunden und einem kumulierten Transferwert von über 7 Billionen US-Dollar. Es bietet eine MPC-Wallet-Infrastruktur, eine Transaktionsrichtlinien-Engine, Netzwerkkonnektivität zu über 100 Veranstaltungsorten und SOC2 Typ 2 plus ISO 27001-Zertifizierungen. Fireblocks ist ein Wallet-Infrastrukturanbieter und kein strenger gesetzlicher Verwahrer, sodass die Kundeninstitutionen die rechtliche Kontrolle behalten.

Coinbase Prime wird über die Coinbase Custody Trust Company betrieben, einen New Yorker Trust mit beschränktem Zweck, der unter NYDFS gegründet wurde. Es ist eine qualifizierte Depotbank gemäß SEC Rule 206(4)-2 und die Hauptdepotbank für die meisten US-Spot-Bitcoin-ETFs, einschließlich IBIT von BlackRock und FBTC von Fidelity.

BitGo leistete 2013 Pionierarbeit bei institutionellem Multisig und operiert über die BitGo Trust Company im Rahmen einer South Dakota-Charta. BitGo bietet sowohl traditionelle 2-von-3-Multisigs, bei denen der Kunde einen Schlüssel besitzt, als auch ein vollständig verwahrungsfähiges Produkt. Die Plattform umfasst bis zu 250 Millionen US-Dollar an Lloyd's of London-Versicherungen pro Kunde.

Anchorage Digital verfügt über die einzige bundesstaatliche OCC-Bankencharta für eine kryptofokussierte Institution und ist damit eine qualifizierte Depotbank sowohl im SEC- als auch im OCC-Rahmen. Anchorage verwendet eine proprietäre, hardwarebasierte Schlüsselverwaltung mit biometrischen Kontrollen.

Komainu ist ein Joint Venture von Nomura, Hauptbuchund CoinShares. Das Unternehmen ist als regulierte Depotbank in Jersey, Dubai und Singapur tätig und richtet sich an institutionelle Kunden, die eine banknahe Depotbank außerhalb der USA wünschen. Der Stack kombiniert die Hardwaremodule von Ledger mit benutzerdefinierter MPC-Orchestrierung.

Weitere bedeutende Depotbanken sind Copper, Hex Trust, Zodia (Standard Chartered), Bakkt Trust (ICE) und Gemini Custody. Der Markt hat sich in US-qualifizierte Depotbanken, EU-MiCA-CASPs und in Asien regulierte Depotbanken aufgeteilt.

Depotversicherung: Realitäten und Grenzen

Versicherungen sind der am meisten missverstandene Teil des Depotmarketings. Börsen fördern große Versicherungszahlen auf eine Art und Weise, die darauf hindeutet, dass Ihre individuellen Einlagen geschützt sind. Die Realität ist differenzierter und der praktische Schutz pro Benutzer ist oft weitaus geringer, als die Gesamtzahl vermuten lässt.

Coinbase hält etwa 320 Millionen US-Dollar insurance auf Hot-Wallet-Bestände im Rahmen einer syndizierten Police, die von Lloyd's of London Markets und anderen unterzeichnet wurde. Abgedeckt sind Diebstahl aus Hot Wallets, der durch externe Hackerangriffe, Mitarbeiterdiebstahl und bestimmte Betriebsrisiken verursacht wird. Unbefugter Zugriff auf Ihr individuelles Konto durch Phishing, SIM-Tausch, schwache Passwörter oder die Weitergabe von Zugangsdaten an Dritte ist nicht abgedeckt. Die Insolvenz von Coinbase ist nicht abgedeckt. Bei den 320 Millionen US-Dollar handelt es sich um einen Gesamtpool, aus dem alle Hot-Wallet-Verluste aller Kunden bezahlt würden, und 98 % der Kundengelder befinden sich überhaupt nicht in Hot-Wallets.

BitGo verfügt pro Kunde über eine Lloyd's of London-Versicherung in Höhe von bis zu 250 Millionen US-Dollar für Vermögenswerte in qualifizierter Verwahrung, was strukturell großzügiger ist als die Gesamtpooldeckung. Die Police zahlt an den konkreten Kunden aus, dessen Vermögen verloren gegangen ist. Dies ist einer der Gründe, warum BitGo von ETF-Emittenten und institutionellen Fonds bevorzugt wird.

Die FDIC-Versicherung gilt nicht für Krypto in irgendeiner Form. Einige Börsen halten USD-Fiat-Guthaben von Kunden auf FDIC-versicherten Durchgangskonten bei Partnerbanken, sodass USD-Guthaben bis zum Limit durch die FDIC abgedeckt sind. Kryptoguthaben sind unter keinen Umständen FDIC-versichert. Wer etwas anderes behauptet, ist falsch informiert oder lügt.

Behandeln Sie die Austauschversicherung als Puffer gegen bestimmte Betriebsausfälle und nicht als Garantie für eine vollständige Wiederherstellung in Katastrophenszenarien. Wenn eine Börse durch einen Hack mit einer Deckung von 320 Millionen US-Dollar 1 Milliarde US-Dollar verliert, zahlt die Police 320 Millionen US-Dollar aus und die restlichen 680 Millionen US-Dollar werden von der Bilanz, von Kunden über sozialisierte Verluste oder einer Kombination aus beidem getragen. Gut kapitalisierte Unternehmen wie Coinbase oder Binance können die Lücke schließen. Andere können das nicht.

Regulatorische Verwahrungsanforderungen

Die Regulierungslandschaft für die Kryptoverwahrung im Jahr 2026 ist deutlich weiter entwickelt als vor drei Jahren. Die USA, die EU, das Vereinigte Königreich, Singapur, Hongkong, Japan und Dubai sind alle von der Ad-hoc-Durchsetzung zu strukturierten Lizenzsystemen übergegangen.

In den USA ist das Schlüsselkonzept das qualified custodian -Standard gemäß SEC Rule 206(4)-2 des Investment Advisers Act. Um sich zu qualifizieren, muss es sich bei einem Unternehmen um eine Bank, einen registrierten Broker-Händler, einen Futures-Provisionshändler oder eine ausländische Institution handeln, die üblicherweise finanzielle Vermögenswerte hält. Sowohl staatlich zugelassene Treuhandgesellschaften (Coinbase Custody Trust in New York) als auch staatlich zugelassene Banken (Anchorage) sind qualifiziert. Für bei der SEC registrierte Berater, die Kunden-Kryptowährungen verwalten, ist eine qualifizierte Verwahrung obligatorisch.

New York betreibt die BitLicense -Regime durch NYDFS, eines der strengsten Rahmenwerke auf Landesebene. Zu den Inhabern gehören Coinbase, Gemini, Paxos, Circle, BitGo und Anchorage. Die BitLicense schreibt Kapitalanforderungen, Cybersicherheitsstandards, AML-Compliance und Betriebsrisikokontrollen vor.

Die EU hat die MiCA (Markets in Crypto-Assets Regulation) mit vollständiger Durchsetzung im Zeitraum 2025–2026 eingeführt und so eine einheitliche Lizenz für Crypto-Asset Service Provider (CASP) geschaffen, die in allen 27 Mitgliedsstaaten gilt. CASPs, die Depotdienstleistungen anbieten, müssen die Vermögenswerte ihrer Kunden trennen, die Kapitalanforderungen erfüllen und den Versicherungsschutz aufrechterhalten. MiCA hat die meisten Börsen, die EU-Kunden bedienen, dazu gedrängt, CASP-Lizenzen zu erhalten oder sich umzustrukturieren.

Das Vereinigte Königreich verfügt über ein separates FCA-Registrierungssystem. Singapur-Lizenzen gemäß dem MAS Payment Services Act. Japan verlangt nach dem Coincheck-Hack eine FSA-Registrierung mit strengen Anforderungen an die Kühllagerung. Hongkong betreibt die Lizenzierung der SFC-Handelsplattform für virtuelle Vermögenswerte. Dubais VARA zielt sowohl auf die institutionelle als auch auf die Privatkundenverwahrung ab. Um im Jahr 2026 rechtmäßig als Depotbank tätig zu sein, ist ein Portfolio an Gerichtslizenzen erforderlich, die kleinere Wettbewerber nicht zusammenstellen können.

Historische Verstöße bei der Verwahrung

Die Geschichte der Krypto-Custodial-Wallets ist eine Geschichte wiederkehrender Fehler. Jeder Zyklus hat zu großen Verlusten geführt und die Muster wiederholen sich. Das Verständnis dieser Fehler ist nicht akademisch. Dieselben Risikofaktoren, die Mt Gox, QuadrigaCX, FTX und Bybit zerstört haben, sind auch im Jahr 2026 auf einigen Depotplattformen vorhanden.

Allein die kombinierten Verluste aus diesen vier Ereignissen übersteigen 10 Milliarden US-Dollar an Benutzergeldern, und die breitere Geschichte kleinerer Börsenausfälle (Cryptopia, Bitfinex‘ Hack von 2016, Coincheck, Bitgrail, Bitmart, KuCoin, Liquid, AAX und Dutzende andere) führt dazu, dass die Gesamtsumme deutlich höher ausfällt. Eine umfassende Liste der größten Veranstaltungen finden Sie in unserer größte Krypto-Hacks aller Zeiten -Ressource.

Mt Gox Retrospektive

Mt Gox war die erste Krypto-Börse, die den Markt dominierte, und die erste, die in großem Maßstab demonstrierte, wie stark verwahrte Geldbörsen versagen. Im Jahr 2010 als Magic: The Gathering Online-Börse gestartet (der Name ist ein wörtliches Akronym), wurde sie 2011 von Mark Karpeles übernommen und auf den Bitcoin-Handel umgestellt. Bis 2013 wickelte Mt Gox etwa 70 % aller Bitcoin-Transaktionen weltweit ab.

Der Zusammenbruch im Februar 2014 zeigte, dass über Jahre hinweg nach und nach etwa 850.000 BTC aus Hot Wallets abgezogen wurden. Zum Zeitpunkt des Zusammenbruchs war es 460 Millionen Dollar wert. Im Jahr 2026 wären die gleichen Münzen bei 90.000 US-Dollar pro BTC über 76 Milliarden US-Dollar wert. Die Verluste entstanden durch externe Hackerangriffe, bei denen die schreckliche Transaktionsabwicklung, internes Missmanagement und möglicher Insiderdiebstahl ausgenutzt wurden. Karpeles wurde schließlich in Japan wegen Urkundenfälschung verurteilt, aber wegen Unterschlagung freigesprochen.

Der Treuhänder von Mt Gox hat im Zeitraum 2024 bis 2026 die zurückgewonnenen Bitcoins an die Gläubiger verteilt und dabei etwa 142.000 BTC zurückgegeben. Die Episode bildete die Vorlage für fast alle nachfolgenden Verwahrungsfehler: eine Plattform, die zu schnell wuchs, es an internen Kontrollen mangelte, zu viel in Hot Wallets aufbewahrt wurde und deren Betriebsabläufe einer grundlegenden finanziellen Prüfung nicht standhielten. Je größer eine Plattform wird, desto stärker muss ihre Betriebsreife mit ihren Vermögenswerten skalieren, und die meisten schaffen diesen Übergang nicht.

FTX-Zusammenbruch

FTX unterschied sich in fast jeder betrieblichen Hinsicht von Mt Gox, doch das Ergebnis war nahezu identisch. FTX wurde 2019 von Sam Bankman-Fried gegründet und erreichte Anfang 2022 einen Spitzenwert von 32 Milliarden US-Dollar. Das Unternehmen sponserte Stadien, schaltete Super Bowl-Werbung und bezahlte die Werbung von Tom Brady und Larry David. SBF war als nächster Warren Buffett auf dem Cover von Fortune.

Der Zusammenbruch begann am 2. November 2022, als CoinDesk eine durchgesickerte Bilanz von Alameda Research veröffentlichte, einem Handelsunternehmen, das sich mehrheitlich im Besitz von SBF befindet. Es zeigte sich, dass ein erheblicher Teil der Vermögenswerte von Alameda aus FTT bestand, dem FTX-Börsen-Token, der als Sicherheit für FTX-Darlehen verwendet wurde. CZ kündigte an, dass Binance seine FTT verkaufen würde. Der Preis stürzte ab. Kunden zogen sich zurück. FTX konnte Auszahlungen nicht akzeptieren. Bis zum 11. November beantragte FTX Kapitel 11.

Nachfolgende Untersuchungen ergaben, dass FTX jahrelang Kundeneinlagen zur Finanzierung von Alameda verwendet hatte. Der Fehlbetrag belief sich auf etwa 8 Milliarden US-Dollar. Insolvenzverwalter John Ray III (der zuvor für Enron verantwortlich war) beschrieb die Buchhaltung von FTX als eine der schlechtesten, die er je gesehen habe. SBF wurde im November 2023 in sieben Bundesangelegenheiten verurteilt und im März 2024 zu 25 Jahren Haft verurteilt.

Die FTX-Lektion ist beunruhigender als Mt Gox, weil FTX legitim aussah. Zu den Unterstützern gehörten Sequoia, Temasek und der Ontario Teachers' Pension Plan. Es verfügte über eine behördliche Lizenz der Bahamas. Es hatte Jahresabschlüsse geprüft (mangelhafte Prüfungen). Die oberflächliche Legitimität und selbst die behördliche Lizenzierung sind kein ausreichender Beweis dafür, dass eine Depotplattform operativ einwandfrei ist. Entscheidend ist die tatsächliche Integrität der Kundengeldtrennung, die von außen viel schwieriger zu überprüfen ist.

Bybit-Hack

Der Bybit-Vorfall im Februar 2025 ist der größte einzelne Kryptodiebstahl in der Geschichte. Im Gegensatz zu Mt Gox oder FTX war Bybit nicht zahlungsunfähig und bestohlte nicht von Kunden. Es wurde Opfer eines äußerst raffinierten Angriffs auf die menschliche und verfahrenstechnische Ebene rund um ein ansonsten sicheres Kühllagersystem.

Am 21. Februar 2025 führte Bybit einen routinemäßigen Transfer von etwa 401.000 ETH (ungefähr 1,5 Milliarden US-Dollar) von einem Cold Wallet zu einem Hot Wallet durch. Die Transaktion wurde mit Standard-Multisig signiert. Was die Unterzeichner von Bybit nicht wussten, war, dass die Benutzeroberfläche, die sie während der Unterzeichnung sahen, von der nordkoreanischen Lazarus-Gruppe kompromittiert worden war. Sie genehmigten, was ihrer Meinung nach eine Übertragung an eine Bybit-Adresse war. Sie haben tatsächlich eine Überweisung an eine Lazarus-Adresse unterzeichnet.

Der Angriffsvektor war die Multisig-Benutzeroberfläche von Safe (ehemals Gnosis Safe). Lazarus hat einen Safe-Entwicklercomputer kompromittiert, bösartiges JavaScript eingeschleust, das selektiv an die Signaturadressen von Bybit verteilt wurde, und das Ziel zum Zeitpunkt der Signaturanzeige ersetzt. Unterzeichner sahen eine Adresse auf dem Bildschirm und unterschrieben in den Transaktionsdaten eine andere Adresse. Hierbei handelt es sich um einen Blind-Signing-Angriff, bei dem das Betriebsrisiko durch Hardware-Wallets und Clear-Signing-Protokolle gemindert werden soll.

Bybit hat alle Kundensalden innerhalb weniger Tage beglichen und dabei auf Rücklagen und Überbrückungskredite zurückgegriffen. Die Plattform überlebte als laufendes Unternehmen. Die Folgen führten zu Investitionen in Transaktionssimulation, Clear-Signing-UX und hardwarebasiertes Signieren. Die Lehre daraus ist, dass selbst bei solider kryptografischer Sicherheit die operative Ebene zwischen Personal und Schlüsseln eine Schwachstelle darstellen kann. Eine rein technische Lösung gibt es nicht.

Verwahrung vs. Nicht-Verwahrung: Kompromisse

Die Wahl zwischen Sorgerecht und Nicht-Betreuung ist keine moralische Frage. Es handelt sich um einen Kompromiss zwischen unterschiedlichen Risikoprofilen und unterschiedlichen Benutzererfahrungen, und vernünftige Menschen treffen je nach ihren spezifischen Umständen unterschiedliche Entscheidungen. Der ehrliche Vergleich sieht so aus.

Das Muster ist klar. Custodial profitiert von Komfort, Wiederherstellung, Unterstützung und Integration in das traditionelle Finanzsystem. Vorteile ohne Verwahrung in Bezug auf Souveränität, Zensurresistenz, DeFi-Zugang und Eliminierung des Kontrahentenrisikos. Keines von beiden ist allgemein besser. Die Frage ist, welche Kompromisse zu Ihrem tatsächlichen Anwendungsfall passen.

Wenn die Verwahrung die richtige Wahl ist

Es gibt bestimmte Szenarien, in denen ein Custodial Wallet wirklich die bessere Wahl für einen bestimmten Benutzer ist, und das Erkennen dieser Szenarien ist Teil einer ehrlichen Bewertung und nicht einer reflexiven Empfehlung zur Selbstverwahrung.

Der Hybridansatz in der mittleren Spalte ist das, was die meisten ernsthaften Krypto-Benutzer tatsächlich tun. Die Idee, dass man sich für ein Modell entscheiden und sich voll und ganz darauf einlassen sollte, lässt außer Acht, wie Technologie und Wirtschaftlichkeit tatsächlich funktionieren. Eine angemessene Zuteilung für jemanden mit erheblichem Krypto-Engagement sieht aus wie ein kleiner Prozentsatz an Börsen für aktiven Handel und Fiat-Onramps, ein größerer Teil in selbstverwahrten Hot Wallets für die DeFi-Teilnahme und der Großteil in Kühllagerung oder qualifizierter Verwahrung für die langfristige Aufbewahrung. Die genauen Verhältnisse hängen vom Aktivitätsniveau und der Risikotoleranz ab.

So wählen Sie sicher ein Depot-Wallet aus

Wenn für einige Ihrer Kryptowährungen ein Depot-Wallet geeignet ist, stellt sich die Frage, wie Sie eines mit dem geringsten Risiko auswählen können. Es gibt keine perfekte Antwort, aber es gibt konkrete Kriterien.

Behördliche Lizenzierung ist der erste Filter. Eine Plattform mit einer New York BitLicense, US-amerikanischen Geldtransmitterlizenzen, einer NYDFS Trust Charter, einer Federal OCC Charter, einer EU MiCA CASP Lizenz oder einer Singapore MAS Lizenz wurde einer unabhängigen Betriebsprüfung unterzogen. Dies ist keine Garantie (FTX hatte eine Bahamas-Lizenz), aber das Fehlen ist ein Warnsignal. Bevorzugen Sie mehrere Lizenzen in wichtigen Gerichtsbarkeiten gegenüber reinen Offshore-Strukturen.

Nachweis der Reserven is a cryptographic attestation that the platform holds enough on-chain assets to cover customer balances. A real proof of reserves combines on-chain holdings (visible to anyone checking the addresses) with a Merkle tree commitment to the customer liability total, ideally audited by a third party. Coinbase, Kraken, BitGo, OKX, and Bybit publish proof of reserves. Many smaller platforms do not.

Audit- und Sicherheitsoffenlegungen Materie, die nicht nachweisbar ist. SOC2-Typ-2-Audits umfassen betriebliche Kontrollen. ISO 27001 deckt das Informationssicherheitsmanagement ab. Bug-Bounty-Programme und eine transparente Offenlegung von Vorfällen sind positive Signale. Plattformen, die über viele Jahre hinweg nie ein operatives Problem öffentlich bekannt gegeben haben, haben entweder ungewöhnlich viel Glück oder sind ungewöhnlich undurchsichtig.

Versicherungsdetails erfordern sorgfältiges Lesen. In den Schlagzeilen wird die Abdeckung pro Benutzer normalerweise überbewertet. Lesen Sie die tatsächlichen Versicherungsbeschreibungen und verstehen Sie den Unterschied zwischen Hot-Wallet- und Vollkaskoversicherung. Versicherungen sind eine Schutzmaßnahme und kein Ersatz für die Wahl einer gut geführten Plattform.

Auszahlungsbilanz bei Stress ist das am meisten unterschätzte Signal. Plattformen, die während der Ansteckung im Jahr 2022 (Terra, Celsius, FTX-Kaskade) und der Bankenkrise im Jahr 2023 (Silvergate, Signature, USDC-Depeg) reibungslose Abhebungen aufrechterhielten, haben eine Widerstandsfähigkeit bewiesen, die Broschüren nicht reproduzieren können. Plattformen, die ihre Auszahlungen während dieser Ereignisse pausierten, verdienen mehr Skepsis, als sie normalerweise danach erhalten.

Migrationspfad: Schritt für Schritt vom Sorgerecht zum Selbstsorgerecht

Die wertvollste Maßnahme, die die meisten Privatanwender ergreifen können, besteht darin, langfristige Bestände von Depotplattformen in die Selbstverwahrung zu übertragen. Der Vorgang ist unkompliziert, muss jedoch sorgfältig durchgeführt werden.

Schritt 1. Erwerben Sie ein Hardware-Wallet von einem namhaften Hersteller. Die dominierenden Optionen im Jahr 2026 sind Ledger und Trezor, mit neueren Optionen wie Keystone, BitBox, Coldcard (nur Bitcoin) und Tangem. Kaufen Sie direkt auf der Website des Herstellers. Kaufen Sie niemals bei einem Drittanbieter oder Marktplatz. Kompromittierte Hardware-Wallets, die von böswilligen Akteuren verkauft wurden, haben erhebliche Verluste verursacht. Sehen Sie sich unsere an Vergleich der besten Cold Wallets für Modellkompromisse.

Schritt 2. Initialisieren Sie die Hardware-Wallet privat. Generieren Sie mithilfe der integrierten Zufälligkeit des Geräts eine neue Startphrase. Schreiben Sie den Samen auf physische Medien. Für die kurzfristige Lagerung eignet sich Papier, für die langfristige Lagerung von Saatgut aus Metall (Cryptosteel, Billfodl) ist es viel besser. Geben Sie den Samen niemals in einen Computer ein, fotografieren Sie ihn nicht und speichern Sie ihn niemals in Cloud- oder Passwort-Managern.

Schritt 3. Generieren Sie eine Empfangsadresse auf der Hardware-Wallet für den Vermögenswert, den Sie übertragen. Überprüfen Sie die Adresse auf dem Gerätebildschirm, nicht auf dem Computerbildschirm. Dies schützt vor Malware aus der Zwischenablage, die Zieladressen ersetzt. Wenn auf dem Gerätebildschirm und dem Computerbildschirm unterschiedliche Adressen angezeigt werden, werden Sie angegriffen.

Schritt 4. Senden Sie zunächst eine kleine Testtransaktion. Ein paar Dollar des Zielvermögens. Warten Sie auf die Bestätigung und überprüfen Sie, ob das Geld in der Hardware-Wallet angezeigt wird. Überweisen Sie erst dann den Gesamtbetrag.

Schritt 5. Senden Sie den gesamten Betrag. Bei großen Beträgen begrenzt die Aufteilung in mehrere kleinere Transaktionen das Risiko, falls etwas schief geht.

Schritt 6. Überprüfen Sie, ob die Wiederherstellung der Seed-Phrase funktioniert, bevor Sie große Beträge übertragen. Setzen Sie das Hardware-Wallet zurück und stellen Sie es vom geschriebenen Seed wieder her. Bestätigen Sie, dass das Gerät nach der Wiederherstellung dieselben Adressen generiert.

Schritt 7. Planen Sie Vererbungs- und Katastrophenszenarien. Ein Samen, zu dem nur Sie Zugriff haben, ist nur einen Unfall von einem dauerhaften Verlust entfernt. Erwägen Sie die geografische Verteilung von Backups, verschlüsselte Dokumentation bei vertrauenswürdigen Familienangehörigen oder Anwälten, Multisig-Setups oder spezialisierte Erbschaftsdienste. Bei größeren Beständen sind diese nicht optional.

Risiken von Depot-Wallets

Depotbankrisiken lassen sich in mehrere Kategorien einteilen, von denen jede unabhängig voneinander große Verluste verursacht hat.

Exchange-Hacks kommt trotz Verbesserungen im Sorgerecht weiterhin vor. Der Bybit 2025-Hack zeigte, dass selbst Cold Storage mit Multisig durch operative Angriffe kompromittiert werden kann. Hot-Wallet-Hacks sind nach wie vor häufiger anzutreffen. Versicherungsgemeinschaften bieten einen Teilschutz, decken aber selten alles ab.

Regulatorische Maßnahmen und Kontosperrungen sind getrennt. Regierungen können Plattformen dazu zwingen, Konten einzufrieren, Gelder herauszugeben oder Abhebungen zu verweigern. Betroffen davon sind Benutzer, denen Sanktionen auferlegt wurden, Konten, die wegen Geldwäsche markiert wurden, und Konten, die in Streitigkeiten zwischen Plattformen und Behörden verwickelt waren. Die kanadischen Trucker-Proteste im Jahr 2022 haben gezeigt, dass Depotplattformen Konten einfrieren können, selbst wenn die zugrunde liegende Aktivität ansonsten legal ist.

Konkurs und Insolvenz haben die größten historischen Verluste verursacht. Kundenguthaben werden zu ungesicherten Forderungen. Die Wiederherstellung dauert Jahre und ist sehr unterschiedlich. FTX-Kunden erleben schließlich eine deutliche Erholung. Die Gläubiger von Mt. Gox warteten ein Jahrzehnt. Die Gläubiger von QuadrigaCX erhielten fast nichts.

Betrug beenden handelt es sich um vorsätzlichen Betrug, bei dem sich Betreiber mit Kundengeldern aus dem Staub machen. Kommt häufiger bei kleineren Börsen mit schnellem Wachstum und unhaltbaren Werbebedingungen vor. Mehrere kleinere Börsen haben im letzten Jahrzehnt aufgrund von Ausstiegsbetrug ihren Betrieb eingestellt.

Betriebsfehler auf Benutzerebene ist spezifisch für Depotkonten. Phishing, SIM-Tausch, Wiederverwendung von Passwörtern und Social Engineering des Supports können zu Verlusten führen, die die Plattform möglicherweise erstattet, aber nicht unbedingt. Die Angriffsfläche (E-Mail, Telefon, Anmeldevorgänge) ist viel einfacher zu kompromittieren als ein Hardwaregerät.

Häufig gestellte Fragen

Ist Coinbase eine Depot-Wallet?

Ja. Coinbase ist eine Depotplattform für Privatanwender. Wenn Sie Krypto in Ihrem Coinbase-Konto halten, verwahrt Coinbase die privaten Schlüssel in Ihrem Namen und Sie haben einen vertraglichen Anspruch gegenüber Coinbase und nicht den direkten Besitz in der Kette. Coinbase Wallet (ein separates Produkt von Coinbase Exchange) ist nicht verwahrungspflichtig und ermöglicht es Ihnen, Ihre eigenen Schlüssel zu behalten.

Sind Depot-Wallets sicher?

Verwahrte Wallets auf gut regulierten Plattformen mit strengen Betriebskontrollen, Reservenachweisen und angemessener Versicherung sind für die meisten Benutzer für kurzfristige und kleine bis mittlere Bestände einigermaßen sicher. Sie eignen sich nicht als alleinige Aufbewahrungsmethode für große langfristige Bestände, da das kumulative Kontrahentenrisiko im Laufe der Zeit selbst bei den besten Plattformen von Bedeutung ist. Die Geschichte der Kryptowährungen umfasst sowohl sehr gut geführte Börsen, die seit über einem Jahrzehnt ohne größere Zwischenfälle operieren, als auch Plattformen, die sicher aussahen, es aber nicht waren.

Was ist der Unterschied zwischen verwahrten und nicht verwahrten Wallets?

Bei einem Depot-Wallet werden die privaten Schlüssel von einem Dritten, beispielsweise einer Börse, gehalten. A nicht verwahrte Geldbörse verfügt über private Schlüssel, die direkt von Ihnen gehalten werden und normalerweise durch eine Startphrase gesichert sind, die nur Sie kennen. Der Unterschied bestimmt, wer tatsächlich Transaktionen autorisieren kann, wer das Risiko trägt, wenn etwas schief geht, und was passiert, wenn Sie den Zugriff verlieren.

Kann die Regierung Kryptowährungen aus einer Depot-Wallet beschlagnahmen?

Ja. Verwahrungsplattformen in regulierten Gerichtsbarkeiten sind verpflichtet, Gerichtsbeschlüssen, behördlichen Durchsetzungsmaßnahmen und der Durchsetzung von Sanktionen Folge zu leisten. Gelder auf Depotkonten können eingefroren, beschlagnahmt oder im Rahmen geeigneter rechtlicher Verfahren zur Übertragung an Behörden gezwungen werden. Dies ist einer der strukturellen Unterschiede zur Selbstverwaltung, bei der es keine zentrale Partei gibt, die zum Handeln gezwungen werden kann.

Was passiert mit meiner Kryptowährung, wenn eine Depotbörse in Konkurs geht?

Ihre Kryptowährung wird im Insolvenzverfahren zu einer ungesicherten Forderung. Sie reihen sich in die Schlange der Gläubiger ein und können schließlich oft Jahre später einen Teil Ihrer Anteile zurückerhalten, oft zu einem Prozentsatz des ursprünglichen Wertes. Das konkrete Ergebnis hängt davon ab, ob Ihr Vermögen in den Nutzungsbedingungen der Plattform als Ihr treuhänderisches Eigentum (besseres Ergebnis) oder als allgemeine Haftung des Unternehmens (schlechteres Ergebnis) behandelt wird und ob die tatsächlichen Betriebspraktiken der Plattform mit den angegebenen Bedingungen übereinstimmten.

Was ist MPC und wie verbessert es das Sorgerecht?

MPC (Multi-Party Computation) ist eine kryptografische Technik, die es mehreren Parteien ermöglicht, gemeinsam eine digitale Signatur zu erstellen, ohne dass eine einzelne Partei jemals im Besitz des vollständigen privaten Schlüssels ist. Dies eliminiert den Single Point of Failure, der bei der herkömmlichen Schlüsselspeicherung entsteht, ermöglicht ein betriebsschnelles Signieren ohne Beeinträchtigung der Sicherheit und wird zum vorherrschenden Ansatz für die institutionelle Verwahrung. Plattformen wie Fireblocks nutzen MPC als Kern ihrer Infrastruktur.

Fazit

Depot-Wallets sind der dominierende Einstieg in die Kryptowelt und werden es auch bleiben. Sie bieten Komfort und Vertrautheit, lassen sich auf eine Art und Weise in das Fiat-Banking-System integrieren, wie es bei einer Selbstverwahrung nicht möglich ist, und bieten auf gut regulierten Plattformen ein Maß an Betriebssicherheit, das sich dramatisch verbessert hat. Die institutionelle Verwahrungsebene im Jahr 2026 mit qualifizierten Verwahrern, MPC-Infrastruktur, MiCA-lizenzierten CASPs und einer von Lloyd's unterstützten Versicherung ist eine wirklich andere Kategorie als die chaotische Börsenlandschaft von 2014.

Und doch ist die Geschichte eindeutig. Depot-Wallets haben mehr Benutzergelder verloren als jede andere Kategorie zusammen. Mt Gox, QuadrigaCX, FTX und Bybit sind keine Abweichungen. Sie sind die vorhersehbaren Ergebnisse eines Modells, bei dem jemand anderes Ihre Schlüssel besitzt und betrieblichen, regulatorischen und menschlichen Risiken unterliegt, die keine Versicherungspolice vollständig eliminiert. Nicht Ihre Schlüssel, nicht Ihre Münzen sind keine Krypto-Theologie. Es handelt sich um eine Beschreibung dessen, was passiert, wenn die Sorgerechtskette unterbrochen wird.

Die praktische Schlussfolgerung ist, dass verwahrte und nicht verwahrte Wallets unterschiedliche Funktionen erfüllen und die meisten ernsthaften Krypto-Benutzer beide in unterschiedlichen Anteilen verwenden sollten. Der Handel mit Kapital an einer regulierten Börse ist in Ordnung. Langfristiger Wohlstand in kalter Selbstverwaltung ist besser. Eine DeFi-Teilnahme über ein Hot Self-Custody Wallet ist angemessen. Institutionelle Bestände über eine qualifizierte Depotbank sind angemessen. Der Fehler besteht darin, jeden einzelnen Ansatz als Antwort auf jede Situation zu betrachten. Lesen Sie unseren Begleiter nicht verwahrte Geldbörse, Hot vs. Cold Wallet, und Multisig-Wallet Anleitungen zur richtigen Strukturierung Ihrer Kryptobestände.