system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/ist-fixedfloat-2026-sicher-risiko-check$ cat post.md

Ist FixedFloat 2026 sicher? Ein ehrlicher Risiko-Check

// by ~anon · 2026-05-30 · mock,auto-generated,de

Ist FixedFloat 2026 sicher? Ein ehrlicher Risiko-Check

Am 16. Februar 2024 verlor FixedFloat in einem koordinierten Angriff rund 26 Millionen US-Dollar in BTC und ETH, nachdem Angreifer die Hot Wallets des Dienstes leergeräumt hatten. Zwei Jahre später ist die Frage, die Krypto-Nutzer immer noch in die Suchleiste tippen, dieselbe geblieben: Ist diese Börse, die sich als „schneller, anonymer Sofort-Tausch ohne Konto" vermarktet, tatsächlich wieder vertrauenswürdig? Mit dem Aufstieg des Cross-Chain-Memecoin-Handels und einem nach FCMP++ gereiften Monero-Ökosystem stehen Instant Swapper wie FixedFloat im Zentrum einer hitzigen Debatte über Verwahrung, schleichendes KYC und operative Sicherheit. Dieser Check schaut sich an, was damals passiert ist, was FixedFloat seitdem geändert hat und wie der Dienst im Vergleich zu Alternativen wie MoneroSwapper abschneidet — also für Nutzer, denen Privatsphäre genauso wichtig ist wie die Sicherheit ihrer Coins.

Wir wollen den Dienst weder schlechtreden noch unkritisch loben. Wir sagen dir, welche Risiken real sind, welche überzeichnet werden und was ein sicherheitsbewusster Nutzer 2026 konkret tun sollte, wenn er entscheidet, wo er seine Monero, Bitcoin oder andere liquide Assets tauscht.

Was FixedFloat ist — und was nicht

FixedFloat ist eine sogenannte Instant-Krypto-Börse, mit der man zwischen Dutzenden Assets — darunter XMR, BTC, ETH, LTC, SOL und einige Stablecoins — tauschen kann, ohne sich zu registrieren. Die Oberfläche ist bewusst minimal gehalten: Paar wählen, Betrag eingeben, Auszahlungsadresse einfügen, abschicken. Im Hintergrund aggregiert die Plattform Liquidität und schickt das gewünschte Asset an deine Adresse.

Der Dienst gehört zu einer Kategorie, die manche als quasi-nicht-verwahrend bezeichnen. Diese Formulierung ist wichtig: FixedFloat ist für die Sekunden bis Minuten zwischen Eingangsbestätigung deiner Einzahlung und der Auszahlung sehr wohl ein Verwahrer. In genau diesem Zeitfenster liegen deine Coins in der Hot Wallet der Börse. Diese architektonische Wahrheit gilt genauso für SimpleSwap, StealthEx, ChangeNOW, Trocador und praktisch jeden „No-Account"-Swap am Markt. Die Marketingsprache variiert; die zugrundeliegende Mechanik nicht.

  • Standardmäßig kein Konto: Du registrierst dich nicht, durchläufst kein KYC an der Eingangstür und bekommst keinen Login.
  • Zwei Tarifmodi: ein „Fixed"-Kurs (zum Quote-Zeitpunkt fixiert, etwas schlechter, aber kalkulierbar) und ein „Float"-Kurs (zum Ausführungszeitpunkt zum Marktpreis, mal besser, mal schlechter).
  • Pflicht zur Refund-Adresse: Bei nicht-trivialen Swaps verlangt die Plattform eine Rücksendeadresse, damit deine Coins zurückgeschickt werden können, falls eine Transaktion geflaggt, eingefroren oder vom Compliance-Check ausgesetzt wird.
  • Adress-Screening: Wie jeder regulierungsnahe Dienst 2026 werden Einzahlungs- und Auszahlungsadressen gegen Sanktionslisten und AML-Risikodatenbanken geprüft; selbst eine „saubere" Einzahlung kann durch heuristisches Risiko-Scoring geflaggt werden.

Genau dieser letzte Punkt ist gemeint, wenn Nutzer über AML-Risiken bei Instant-Börsen meckern. Das ist kein FixedFloat-spezifisches Problem — aber es ist die mit Abstand häufigste Ursache für eingefrorene oder verzögerte Swaps in freier Wildbahn.

Der Hack vom Februar 2024: Was wirklich passierte

Zwei Jahre später ist der FixedFloat-Hack gut dokumentiert. Rund 1.728 BTC (damals etwa 21 Mio. USD) und etwa 409 ETH (~5 Mio. USD) verschwanden in mehreren Transaktionen aus den Hot Wallets der Börse. FixedFloat schob das zunächst auf „technische Probleme", bevor das Team 48 Stunden später den Einbruch öffentlich einräumte. Die Coins wurden zügig über Tornado Eight (damals ein sanktionierter Mixer) gewaschen und per Cross-Chain-Bridges weitergeleitet.

Die vom Team veröffentlichte Post-mortem verwies auf eine Kompromittierung der internen Infrastruktur — also keinen Smart-Contract-Exploit, da der Dienst keine eigene On-Chain-Logik besitzt. Der wahrscheinlichste Angriffsvektor war laut nachträglicher unabhängiger Analyse von Blockchain-Forensikfirmen eine Kombination aus kompromittierten Operator-Credentials und einer unzureichend segmentierten Signing-Architektur, die einem Angreifer erlaubte, Coins ohne Multi-Party-Freigabe zu bewegen.

Die eigentliche Lehre aus FixedFloat 2024 lautet nicht „Instant-Swaps sind unsicher". Sie lautet: Jeder Dienst, der Hot-Wallet-Liquidität vorhält, ist ein Ziel — und das Exposure-Fenster des Nutzers ist exakt die Zeit zwischen Bestätigung der Einzahlung und Auszahlung. Bei XMR sind das in der Regel unter fünfzehn Minuten.

Entscheidend: Es gingen keine Nutzergelder verloren, die bereits ausgezahlt waren. Der Schaden traf die Treasury von FixedFloat selbst, nicht laufende Kundentrades. Die Börse deckte den Verlust ab, pausierte etwa drei Wochen lang und nahm den Betrieb mit einer neuen (öffentlich nicht im Detail offengelegten) Wallet-Architektur wieder auf. Bis heute hat kein Nutzer öffentlich berichtet, durch diesen Vorfall einen laufenden Swap verloren zu haben.

Was sich zwischen 2024 und 2026 geändert hat

Zwei Jahre sind in Sachen Krypto-Betriebssicherheit eine sehr lange Zeit. FixedFloat hat einige sichtbare Änderungen vorgenommen — und das regulatorische Umfeld hat sich drumherum komplett verschoben.

Härtung nach dem Vorfall

Die Börse gibt inzwischen öffentlich an, dass sie auf Cold-Storage-Segregation, Multi-Signature-Hot-Wallets und Velocity-Limits pro Transaktion setzt. Nichts davon ist unabhängig auditiert; wir haben das Wort des Teams und die Tatsache, dass es seither keinen erneuten Vorfall gab. Bei einem Dienst ohne On-Chain-Smart-Contracts gibt es schlicht keinen Vertrag, den man lesen kann — die Vertrauensannahme ist strukturell.

MiCA und der europäische Compliance-Druck

Die EU-Verordnung über Märkte für Kryptowerte (MiCA) trat Ende 2024 für Krypto-Asset-Dienstleister vollständig in Kraft, mit zunehmend strenger Durchsetzung der Travel Rule im Laufe des Jahres 2025. In Deutschland überwacht die BaFin die Einhaltung, und das Bundesfinanzministerium hat die nationalen Ausführungsvorschriften präzisiert. FixedFloat hat — wie die meisten Instant Swapper — den Zugang aus EU-IPs für höhere Tiers ohne Verifizierung eingeschränkt. Ein kleiner „Verified"-Flow existiert mittlerweile für Nutzer, die größere Swap-Limits brauchen; der kontofreie Flow funktioniert weiterhin für kleinere Transaktionen, allerdings mit engeren Risk-Screening-Schwellen.

Monero-Delistings anderswo — und was das für Instant-Swaps bedeutet

Große zentralisierte Börsen wie Binance, Kraken (in einzelnen Jurisdiktionen) und OKX haben den Monero-Spothandel zwischen 2024 und 2025 eingestellt. Auch deutsche und europäische CEXs gerieten unter Druck. Das Ergebnis: Instant Swapper wie FixedFloat, SimpleSwap, StealthEx und MoneroSwapper sind für die XMR-Liquidität strukturell wichtiger geworden, nicht unwichtiger. FixedFloat unterstützt 2026 weiterhin Ein- und Auszahlungen in XMR — ein bedeutendes Signal, wenn man bedenkt, wie viele Mitbewerber Monero unter dem Druck still und leise gestrichen haben.

Das FCMP++-Upgrade und Adress-Screening

Das Monero-Upgrade Full-Chain Membership Proofs (FCMP++), dessen Aktivierung auf dem Mainnet 2026 erwartet wird, ersetzt die bisherigen Ring-Signaturen durch kryptografische Beweise, die das gesamte Ledger als Anonymity-Set abdecken. Für die Sicherheits-Posture einer Börse macht das weder einen Vor- noch einen Nachteil — aber es bedeutet, dass Monero-Auszahlungen von FixedFloat noch privatsphärefreundlicher sind als zur Zeit der 16er-Ringe. Kombiniert mit Stealth-Adressen und Bulletproofs+ ist eine XMR-Auszahlung am Empfangsende funktional nicht nachverfolgbar.

FixedFloat vs. Alternativen: Vergleich für 2026

Es gibt nicht den einen „besten" Instant Swapper für jeden Fall. Hier eine ehrliche Einordnung, wie FixedFloat gegen die Namen abschneidet, die du beim Recherchieren tatsächlich finden wirst.

Dienst Stärken Schwächen XMR-Support
FixedFloat Großes Paar-Angebot, schnelle UI, transparente Gebührenanzeige, nach Hack wieder aktiv Hot-Wallet-Hack in der Vergangenheit, intransparente interne Sicherheit, gelegentliche AML-Holds Ja (beide Richtungen)
MoneroSwapper XMR-zentriertes Design, kein Konto, geringe Angriffsfläche, keine JS-überladenen Widgets Bewusst engere Paar-Liste, kleinere Liquidität als Mega-Aggregatoren Ja — der eigentliche Use Case
SimpleSwap Sehr große Paar-Liste, lange Uptime-Historie, Mobile-App Aggressives AML-Screening, häufige Beschwerden über geflaggte Adressen Ja
StealthEx Aufgeräumte UI, faire Kurse, hat die Delisting-Welle 2024–2025 überstanden Custodial-Fenster, AGB verbieten „risikoreiche" Einzahlungen ohne Vorwarnung Ja
Trocador Aggregiert andere Anbieter, lässt dich KYC-Risiko pro Route auswählen Routing-Logik bringt eine zusätzliche Schicht; Refunds laufen über den Upstream-Anbieter Ja

Die richtige Wahl hängt davon ab, worauf du optimierst. Wenn dir die Privatsphäre der Output-Seite am wichtigsten ist — etwa beim Tausch von geflaggtem Ethereum zu sauberem Monero — ist ein Swapper, der sich öffentlich zu No-Logs verpflichtet und gut mit Tor zusammenspielt, die bessere Wahl. Wenn Swap-Größe und Liquidität entscheidend sind — zum Beispiel bei größeren BTC-Volumina — gewinnen die großen Aggregatoren. FixedFloat liegt in der Mitte, und das ist trotz des Vorfalls von 2024 für viele Nutzer eine vernünftige Position.

So tauschst du sicher auf jeder Instant-Börse (nicht nur FixedFloat)

Die wichtigste Grundwahrheit lautet: Der sicherste Swap ist der kleinste Swap, der den Job erledigt. Hier die Prozedur, an die sich ein sicherheitsbewusster Nutzer 2026 bei jeder Instant-Börse halten sollte.

  1. URL prüfen. Phishing-Klone von FixedFloat, SimpleSwap und StealthEx sind weit verbreitet. Speichere die echte Domain als Lesezeichen — nicht googeln und das erste Ergebnis anklicken. Im Zweifel auch die Details des TLS-Zertifikats verifizieren.
  2. Erst mit kleinem Swap testen. Ein Test-Swap zwischen 20 und 50 Euro kostet ein paar Cent Gebühren und bestätigt, dass der Dienst läuft, der Kurs ehrlich ist und deine Auszahlungsadresse stimmt.
  3. Tor oder einen privatsphärefreundlichen VPN nutzen. Vor allem bei Monero-Swaps. Die Börse loggt deine IP, wenn du nichts dagegen tust; diese Seite des Lecks kontrollierst du selbst.
  4. Für planbare Ausführung den Fixed-Kurs nehmen. Float-Kurse können geringfügig bessere Zahlen geben, setzen dich aber während des Confirmation-Fensters dem Slippage-Risiko aus. Bei Monero (~20 Minuten Bestätigungszeit) ist das Float-Fenster lang genug, dass du in der Regel besser bei Fixed bleibst.
  5. Eine echte Refund-Adresse angeben. Wenn der Swap scheitert — AML-Hold, Netzwerk-Reorg, Deposit-Timeout — sollen deine Coins zurückkommen können. Das Refund-Feld leer zu lassen ist mit Abstand der häufigste Grund, warum Nutzer auf Instant-Swaps Geld verlieren, und das hat überhaupt nichts mit Bösartigkeit der Börse zu tun.
  6. An die eigene Wallet auszahlen, nicht an eine andere Börse. Verkettete CEX-zu-CEX-Swaps sind genau das Muster, das Compliance-Trigger gruppieren.
  7. Swap-ID und Transaktionshashes sichern. Wenn ein Swap hängt, kann der Support ohne diese Details schlicht nichts ausrichten. Screenshot machen.
  8. Bei Monero das Subadress-Format prüfen. Ein Tippfehler in einer Base58-Monero-Adresse ist eher noch zu retten als bei Bitcoin (das Format wird stärker validiert), aber die Rettung hängt trotzdem an der Policy der Börse. Doppelt checken.

Wer diese Routine einhält, eliminiert die allermeisten „Ich habe Geld bei einem Instant-Swap verloren"-Geschichten — die, wenn man sie zurückverfolgt, fast nie mit einem Diebstahl der Börse zu tun haben, sondern fast immer mit Nutzerfehlern oder Phishing.

Praxisbeispiel: ein vorsichtiger 2026er-Workflow

Stell dir folgenden Fall vor: Du hast 0,5 BTC, die von einer Auszahlung einer zentralen Börse stammen, und willst sie in XMR umtauschen, um sie langfristig in deiner eigenen Monero-Wallet zu halten. Du sorgst dich erstens darum, dass die On-Chain-Historie der BTC mit deiner KYC-Identität bei der Ursprungsbörse verknüpft ist, und zweitens um den Sicherheitsruf von FixedFloat. Ein vernünftiger Ablauf könnte so aussehen:

Erstens: Schick die BTC zuerst an eine selbstverwahrte Wallet, die du kontrollierst. Warte auf eine Bestätigung. Das durchbricht die direkte On-Chain-Verknüpfung „Börsenadresse → Swap-Adresse". Zweitens: Öffne den Tor Browser und steuere deinen gespeicherten Swap-Dienst an. Mach einen kleinen Test — etwa 0,005 BTC zu XMR — um Kurs, Zieladresse und das End-to-End-Timing zu prüfen. Drei bis fünfzehn Minuten später sollte XMR in deiner Monero-Wallet ankommen.

Jetzt der eigentliche Swap. Nimm den Fixed-Kurs. Trage eine Refund-Adresse einer selbstverwahrten BTC-Wallet ein, die nicht dieselbe ist wie deine Source-Wallet, damit ein eventueller Refund nicht ausgerechnet die UTXOs zusammenführt, die du eigentlich trennen wolltest. Schick die BTC. Warten. Die XMR landet in deiner Monero-Wallet, wo Stealth-Adressen, Ring Confidential Transactions (RingCT) und Bulletproofs+ dafür sorgen, dass die Coins vom BTC-Ursprung her nicht mehr nachverfolgbar sind. Tools wie MoneroSwapper sind genau für diesen Monero-Final-Workflow gebaut, und ein paralleler Test dort gibt dir einen Vergleichskurs, mit dem du sicherstellen kannst, dass FixedFloat keinen unfairen Spread verlangt.

Das ist 2026 keine Paranoia mehr. Das ist Standard-Hygiene für jeden, der Monero als langfristigen privaten Wertaufbewahrer ernst nimmt.

FAQ

Hat beim FixedFloat-Hack 2024 jemand seinen Swap verloren?

Öffentlich: nein. Der Einbruch hat die hauseigene Hot-Wallet-Treasury von FixedFloat geleert — also die Mittel, mit denen die Börse Swaps auszahlt. Nutzer mit laufenden Trades während des Ausfalls wurden entweder nach Wiederaufnahme des Betriebs ausgezahlt oder an die angegebenen Refund-Adressen zurückerstattet. Den finanziellen Schaden hat das Unternehmen geschluckt. „Keine berichteten Nutzerverluste" ist allerdings nicht dasselbe wie „null Einzelverluste", und ohne unabhängigen Audit nimmt man den Betreiber beim Wort.

Ist FixedFloat 2026 noch KYC-frei?

Für kleine bis mittlere Swaps bleibt der Standardablauf kontofrei. Bei größeren Swaps und bestimmten risikoauffälligen Korridoren wird eine Identitätsprüfung ausgelöst — oder die Coins werden an den Absender zurückgesendet. Die Börse operiert in einem zunehmend strengen EU- und UK-Regulierungsumfeld, in dem in Deutschland insbesondere BaFin und Travel Rule den Ton angeben; eine pauschale „Niemals-KYC"-Zusage ist für jeden Betreiber mit fester Jurisdiktion damit kaum noch zu halten.

Wie schneidet FixedFloat im Vergleich zu MoneroSwapper bei XMR-Swaps ab?

FixedFloat bietet eine breitere Paar-Liste — darunter viele Nicht-XMR-Paare — und eine etwas tiefere Liquidität bei Nicht-Monero-Korridoren. MoneroSwapper konzentriert sich speziell auf Monero-rein- und Monero-raus-Flows, mit bewusst kleiner Angriffsfläche, schlankerer UI und einem Workflow, der gut mit Tor zusammenspielt. Für Nutzer, deren Endziel XMR ist — also die Zielgruppe, die wir bedienen — ist MoneroSwapper das fokussiertere Werkzeug. Für Multi-Asset-Rebalancing über Nicht-Monero-Paare hinweg hat FixedFloat das größere Menü.

Was passiert, wenn meine Einzahlung als AML-Treffer geflaggt wird?

Jeder seriöse Instant Swapper prüft Einzahlungen gegen Sanktionslisten und Risk-Scoring-Heuristiken. Wird deine Einzahlung geflaggt, wirst du typischerweise nach einer Mittelherkunftserklärung gefragt. Lehnst du ab oder kannst die Anfrage nicht erfüllen, gehen die Coins an die Refund-Adresse zurück, die du beim Quote angegeben hast. Genau deshalb ist das Weglassen der Refund-Adresse gefährlich — ohne sie bleiben geflaggte Coins im Limbo hängen. Das gilt für FixedFloat, SimpleSwap, StealthEx, ChangeNOW und jeden vergleichbaren Dienst 2026.

Kann ich FixedFloat über Tor nutzen?

Ja. Die Seite ist Anfang 2026 in den meisten Circuits über Tor ohne CAPTCHA-Hölle erreichbar. Die Performance schwankt. Für maximale Privatsphäre kombinierst du Tor für das Anstoßen des Swaps, eine separate Hot Wallet für die Einzahlung und eine frische Monero-Subadresse für die Auszahlung. Diese Kombination minimiert die verknüpfbare Angriffsfläche zwischen deiner Identität und dem Swap-Ereignis.

Was ist der realistische Worst Case, wenn ich FixedFloat heute nutze?

Zwei Szenarien. Erstens: eine Wiederholung des Hot-Wallet-Hacks von 2024 während deines Swap-Fensters, die (auf Basis des Präzedenzfalls) vom Betreiber abgefangen würde, aber deine Auszahlung um Stunden oder Tage verzögern könnte. Zweitens: ein AML-Hold auf deiner Einzahlung, die am Ende an die hinterlegte Refund-Adresse zurückgesendet wird. Der realistische Worst Case bei einem Swap mit der oben beschriebenen Sicherheitsprozedur ist Verzögerung — nicht Verlust. Der vorstellbar schlimmste Fall — der Betreiber haut mit Nutzergeldern ab — ist bei FixedFloat nicht eingetreten und wäre per On-Chain-Analyse schnell sichtbar, sodass die meisten Nutzer mit normalen Swap-Dauern noch eine Fluchtmarge hätten.

Fazit

Ist FixedFloat 2026 sicher? Sicherer als im Februar 2024 — ja. Die Härtungsmaßnahmen nach dem Hack scheinen zu halten, und der Dienst bleibt einer der wenigen breit aufgestellten Instant Swapper, die nach der Delisting-Welle 2024–2025 bei großen CEXs noch Monero unterstützen. Das macht ihn aber nicht zum richtigen Werkzeug für jeden Zweck. Für Monero-Final-Swaps, bei denen die Output-Privatsphäre der ganze Punkt ist, reduziert ein auf Monero spezialisierter Dienst wie MoneroSwapper deine Angriffsfläche und bringt die Anreize des Betreibers in Einklang mit deinen. Für breitere Paar-Abdeckung und einmalige Konvertierungen außerhalb der XMR-Pipeline ist FixedFloat eine vertretbare Wahl — vorausgesetzt, du arbeitest mit kleinen Test-Swaps, Refund-Adressen, Tor und der prozeduralen Hygiene, die 2026 jeder Swap verdient. Wähl das richtige Werkzeug, mach einen Testlauf — und lass nie mehr Coins von einer Börse verwahren, als du in fünfzehn Minuten verschmerzen kannst.

← back to blog