system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/ist-fixedfloat-sicher-nach-hack-2024$ cat post.md

Ist FixedFloat nach dem Hack von 2024 sicher?

// by ~anon · 2026-05-30 · mock,auto-generated,de

Ist FixedFloat nach dem Hack von 2024 sicher?

Am 16. Februar 2024 wachte FixedFloat — eine der bekanntesten No-KYC-Sofortbörsen am Markt — mit einer leergeräumten Wallet auf. Bis das Team die Plattform am späten Nachmittag pausierte, hatten die Angreifer rund 1.728 BTC und 409 ETH abgezogen, eine Beute im Gegenwert von etwa 26 Millionen US-Dollar. Für eine Plattform, deren gesamtes Versprechen "schnell tauschen, anonym tauschen, kein Konto nötig" lautete, war der Einbruch ein existenzielles Markenproblem. Zwei Jahre später stellen sich Händlerinnen und Händler weiterhin die offensichtliche Frage, bevor sie auf "Tauschen" klicken: Ist FixedFloat heute tatsächlich sicher in der Nutzung, oder ist die Plattform eine tickende Zeitbombe? Dieser Leitfaden zeigt, was im Februar 2024 wirklich geschah, was FixedFloat danach verändert hat, wie sich das Verwahrmodell mit sichereren Alternativen wie MoneroSwapper vergleichen lässt und auf welche konkreten Signale Sie achten sollten, bevor Sie einer nicht-verwahrenden Tauschbörse Ihr Monero oder Bitcoin anvertrauen.

Was am 16. Februar 2024 tatsächlich geschah

FixedFloat positioniert sich als "automatisierte Kryptobörse", über die Nutzerinnen und Nutzer rund fünfzig Assets ohne Registrierung tauschen können. Das Modell ist einfach: Sie wählen Ein- und Ausgangscoin, senden die Mittel an eine einmalige Einzahlungsadresse, und die Plattform leitet den Tausch über ihre eigene Liquidität, bevor der getauschte Coin an Ihre Auszahlungsadresse zurückgeschickt wird. Damit die Tauschvorgänge sofort funktionieren, hält FixedFloat — wie ChangeNow, SimpleSwap und die meisten Wettbewerber — auf jeder unterstützten Chain Hot Wallets mit vorfinanzierter Liquidität bereit. Genau diese Hot Wallets waren das Ziel der Angreifer.

Die offizielle Stellungnahme von FixedFloat beschrieb den Vorfall als Folge von "Schwachstellen in den Sicherheitsstrukturen", ohne den konkreten Exploit zu benennen. On-Chain-Analystinnen und -Analysten von Arkham, ZachXBT und SlowMist verfolgten die Abflussmuster nach und kamen zu dem Schluss, dass der Angreifer in rascher Folge zwei voneinander getrennte Hot Wallets leerte — ein Hinweis auf einen kompromittierten Signaturschlüssel oder einen Insider-nahen Zugriffspfad statt eines Smart-Contract-Fehlers. Die gestohlenen Mittel wurden über den inzwischen abgeschalteten Mixer eXch und eine Kette von Bitcoin-Zwischenadressen gewaschen, ein Teil des ETH wurde später über THORChain gebrückt.

  • Gesamtverlust: rund 1.728 BTC und 409 ETH, Gegenwert am Tag des Vorfalls etwa 26 Millionen US-Dollar.
  • Ausfallzeit: FixedFloat zeigte mehrere Tage ein Wartungsbanner, bevor der Tauschbetrieb teilweise wieder aufgenommen wurde.
  • Betroffene Nutzergelder: Das Team betont durchgängig, dass keine individuellen Nutzerguthaben verloren gingen, weil die Plattform in dem Sinne nicht verwahrend sei, dass sie Liquidität halte, aber keine Einlagen — eine Nuance, die wir weiter unten aufschlüsseln.
  • Keine öffentliche Zuschreibung: Stand Mitte 2026 wurden weder der Angreifer noch die genaue Schwachstelle öffentlich benannt.

Warum "nicht verwahrend" bei FixedFloat nicht "sicher" bedeutet

FixedFloat bewirbt sich als nicht verwahrend, und technisch ist die Beschreibung korrekt: Wenn Sie einen Tausch starten, verlangt die Plattform weder eine Voreinzahlung noch das Hinterlegen eines Guthabens unter Ihrem Namen. Sie senden Coins für genau einen Tausch, und die getauschten Coins gehen direkt an Ihre Auszahlungsadresse. Es gibt kein Nutzerkonto, kein wiederherstellbares Guthaben und — theoretisch — keinen Honeypot, den Angreifer auf Nutzerebene leerräumen könnten.

Diese Beschreibung verbirgt jedoch, wo das Risiko tatsächlich sitzt. FixedFloat ist aus Sicht langfristiger Guthaben nicht verwahrend, während des Tauschs selbst aber vollständig verwahrend. In dem Moment, in dem Ihr Bitcoin an der von der Plattform generierten Einzahlungsadresse ankommt, kontrolliert FixedFloat es, bis die entsprechende Auszahlung versandt wurde. Werden die Hot Wallets der Plattform leergeräumt — genau das geschah 2024 —, droht jedem laufenden Tausch, dass er dauerhaft hängen bleibt, mit Verzögerung erstattet oder im schlimmsten Fall verloren wird.

Das Zeitfenster der Hot-Wallet-Exposition

Jede Sofort-Tauschbörse hat ein Hot-Wallet-Expositionsfenster, das sich in Minuten messen lässt. Bei FixedFloat reicht dieses Fenster vom Zeitpunkt der Einzahlungsbestätigung bis zum Moment, in dem die Auszahlungstransaktion ins Netzwerk gesendet wird. In dieser Spanne liegen sowohl die von Ihnen gesendete Einzahlung als auch die von der Plattform bereitgestellte Auszahlungsliquidität in Adressen, die der internen Signaturinfrastruktur von FixedFloat unterstehen. Ein Einbruch in genau diesem Fenster — wie der vom Februar 2024 — trifft laufende Tauschvorgänge direkt.

Der strukturelle Unterschied zu einem echten Atomic Swap

Ein echter Atomic Swap nutzt im Gegensatz dazu Hash-Time-Locked Contracts, sodass die beiden Schenkel des Tauschs entweder beide ausgeführt oder beide rückerstattet werden — es gibt keinen Zwischenmoment, in dem eine zentralisierte Partei beide Seiten kontrolliert. Werkzeuge wie COMIT, BasicSwap und Haveno wenden dieses Prinzip auf Bitcoin-Monero-Tauschvorgänge an. FixedFloat ist kein Atomic Swap. Es ist ein zentralisierter Vermittlungsdienst im Gewand einer nicht verwahrenden Marke — was unproblematisch ist, solange nichts schiefläuft, und katastrophal, sobald der Betreiber kompromittiert wird.

FixedFloat im Vergleich zu Alternativen: ein 2026-Schnappschuss

Die Frage "Ist FixedFloat sicher?" ergibt nur Sinn im Vergleich zu den anderen Optionen, die auf dem Tisch liegen. Die folgende Übersicht zeigt, wie sich FixedFloat 2026 gegen die häufigsten Alternativen schlägt, mit besonderem Fokus auf Monero-freundliche Abläufe.

Dienst Verwahrmodell während des Tauschs KYC-Auslöser Bekannte Einbrüche Qualität der Monero-Paare
FixedFloat Verwahrend während des Tauschs; zwischen den Tauschen nicht verwahrend Risikobasiert, KYC bei auffälligen Transaktionen möglich Februar 2024, rund 26 Mio. USD Gute Liquidität, feste und variable Kurse
MoneroSwapper Aggregiertes Routing über mehrere Anbieter; keine zentrale Hot Wallet unter einem Schlüssel Kein verpflichtendes KYC; Routing meidet Anbieter, die es verlangen Keine bekannt Speziell für XMR-Paare optimiert
SimpleSwap Verwahrend während des Tauschs Risikobasierte AML-Prüfungen Kein größerer öffentlicher Vorfall Gut, mehrere Eingabewege
Haveno (P2P-DEX) Echte 2-von-2-Multisig; keine Betreiberverwahrung Keine — vollständig Peer-to-Peer über Tor Nicht zutreffend Hervorragende Privatsphäre, geringere Liquidität
Zentralisierte KYC-Börse Vollständige Verwahrung bis zur Auszahlung Verpflichtender Ausweisupload Viele im vergangenen Jahrzehnt Variabel; viele Börsen haben XMR nach 2024 delistet

Zwei Muster fallen auf. Erstens sind die einzigen Optionen ohne jegliche Betreiberverwahrung Peer-to-Peer-Atomic-Swap-Werkzeuge — und die bringen einen Kompromiss bei Liquidität und Komplexität mit sich. Zweitens reduziert Aggregator-Routing — das Modell von MoneroSwapper — die Abhängigkeit von einer einzelnen Plattform, indem Tauschvorgänge auf mehrere Anbieter verteilt werden. Eine kompromittierte Hot Wallet bei einem einzelnen Backend betrifft so nicht automatisch alle Routen.

Wenn zwischen Ihrem Bitcoin und einem Angreifer nur der Signaturschlüssel einer einzigen Hot Wallet steht, vertrauen Sie diesem Unternehmen exakt so weit wie einer verwahrenden Börse — unabhängig davon, was die Marketing-Seite verspricht.

Worauf Sie bei jedem Sofortbörsentausch vor dem Versand achten sollten

Der FixedFloat-Einbruch 2024 taugt deshalb als Fallstudie, weil die Warnsignale nicht FixedFloat-spezifisch waren — sie gelten für jede Sofort-Tauschbörse, die gepoolte Hot Wallets betreibt. Die folgende Checkliste ist dieselbe, die professionelle Tradern und Moderatorinnen in der Monero-Community nutzen, wenn sie einen Dienst zum ersten Mal prüfen.

  1. Lesen Sie die tatsächliche Post-Mortem-Analyse. Wenn eine Plattform kompromittiert wurde, suchen Sie nach einem öffentlichen technischen Bericht. Vage Formulierungen ("Schwachstellen in den Sicherheitsstrukturen") sind ein Warnsignal; eine konkrete Benennung der Schwachstelle, des Patches und eines nachgelagerten Drittaudits ist ein gutes Zeichen.
  2. Prüfen Sie On-Chain-Reserven, wo möglich. Manche Plattformen veröffentlichen Proof-of-Reserves oder legen Hot-Wallet-Adressen offen; wurde eine Wallet seit einem Einbruch nicht wieder aufgefüllt, ist das ein bedeutsames Signal.
  3. Schlagen Sie die Plattform bei ZachXBT, SlowMist und PeckShield nach. Wiederkehrende Erwähnungen wegen verzögerter Auszahlungen oder festgefahrener Transaktionen sind Warnlampen, selbst wenn es keinen Einbruch gab.
  4. Testen Sie zuerst mit einem kleinen Betrag. Ein Tausch über 30 Euro zeigt UX-Probleme, Erstattungsabläufe und die Reaktionszeit des Supports, bevor Sie etwas Substantielles einsetzen.
  5. Bevorzugen Sie Aggregatoren oder Peer-to-Peer-Routen bei größeren Beträgen. Wer einen Tausch über einen Aggregator wie MoneroSwapper auf mehrere Anbieter verteilt oder den hochwertigen Schenkel über einen echten Atomic Swap abwickelt, reduziert die Exposition gegenüber Single-Points-of-Failure.
  6. Prüfen Sie die Erstattungsbedingungen schriftlich. Was passiert, wenn die Auszahlungstransaktion nicht innerhalb der zugesagten Frist eintrifft? Gibt es eine vorab anzugebende Rückzahlungsadresse? Plattformen, die das in Support-Tickets statt in den AGB verstecken, haben in der Regel schwächere Prozesse.

Was FixedFloat nach dem Einbruch geändert hat

Seit Februar 2024 hat FixedFloat öffentlich erklärt, die Signaturinfrastruktur neu aufgebaut, alle Hot-Wallet-Schlüssel rotiert und die Liquidität auf stärker segmentierte Wallets verteilt zu haben, um den Schadensradius bei künftigen Vorfällen zu begrenzen. Ergänzend wurde eine ratenbasierte Überwachung eingeführt, die ungewöhnliche Abflüsse markieren und Auszahlungen automatisch pausieren soll. Das sind sinnvolle Maßnahmen, und die meisten Nutzerinnen und Nutzer, die FixedFloat zwischen 2024 und 2026 weiterhin verwendet haben, berichten von keinen wiederkehrenden Problemen.

Allerdings hat die Plattform weder ein vollständiges Drittaudit der Architektur nach dem Vorfall veröffentlicht noch die ursprüngliche Schwachstelle benannt, noch das verwahrende Modell während des Tauschs — jenes Modell, das den Einbruch so schadensträchtig machte — substantiell verändert. Strukturell besteht die Angriffsfläche von 2024 weiterhin; geändert hat sich die operative Härtung darum herum. Wer mit diesem Kompromiss leben kann, für den ist FixedFloat 2026 vermutlich nicht riskanter als vor dem Einbruch. Wer stärkere Garantien sucht, findet im strukturellen Verzicht auf Betreiberverwahrung — bereitgestellt durch Aggregatoren, die über mehrere Backends routen, oder durch Atomic-Swap-DEXs — eine belastbarere Antwort als jedes Versprechen einer einzelnen Plattform, es nächstes Mal besser zu machen.

Rechtlicher Hinweis für Nutzer in Deutschland und der EU

Wer aus Deutschland oder dem EU-Raum heraus über FixedFloat oder andere Sofortbörsen tauscht, sollte zwei regulatorische Aspekte im Blick behalten. Erstens werden Krypto-zu-Krypto-Tausche vom Bundesministerium der Finanzen (BMF) im Rundschreiben vom 10. Mai 2022 weiterhin als steuerlich relevante Veräußerungsgeschäfte gewertet; die einjährige Haltefrist nach § 23 EStG gilt entsprechend, und ein Wechsel von BTC auf XMR ist ein steuerpflichtiges Ereignis, auch wenn keine Euro fließen. Zweitens fällt die Plattform durch die ab 2024/2025 in Kraft tretende MiCA-Verordnung in eine Grauzone: Ohne EU-Lizenz darf sie deutsche Kundinnen und Kunden formal nicht aktiv bewerben, was aber nicht bedeutet, dass die Nutzung rechtswidrig wäre. Für eine sauber dokumentierte Steuererklärung lohnt sich der Einsatz eines Tools wie CoinTracking oder Blockpit, die XMR-Bewegungen aus Wallet-Exports verarbeiten können. Bei größeren Beträgen ist eine Abstimmung mit einer auf Kryptowerte spezialisierten Steuerkanzlei sinnvoll, da die BaFin bei Sofortbörsen ohne BaFin-Lizenz keine Einlagensicherung gewährleistet.

FAQ

Haben FixedFloat-Nutzer beim Hack 2024 Geld verloren?

FixedFloat erklärte öffentlich, dass nutzerseitige Guthaben nicht betroffen waren, weil die Plattform keine langfristigen Guthaben für einzelne Konten hält. Die rund 26 Millionen US-Dollar wurden aus der operativen Liquidität der Plattform abgezogen. Allerdings berichteten einige Nutzerinnen und Nutzer mit zum Zeitpunkt des Einbruchs laufenden Tauschvorgängen von verzögerten Erstattungen, und mehrere Community-Threads beschreiben Transaktionen, die letztlich nur durch manuelles Eingreifen des Supports gelöst werden konnten. Die Plattform kündigte kein Entschädigungsprogramm an, weil auf dem Papier keine konkreten Nutzergelder fehlten.

Wurde FixedFloat seit Februar 2024 erneut gehackt?

Bis Mitte 2026 wurden keine weiteren öffentlich bestätigten Einbrüche bei FixedFloat seit dem ursprünglichen Vorfall im Februar 2024 gemeldet. Das Team hat Schlüssel rotiert, die Hot-Wallet-Topologie umstrukturiert und Monitoring ergänzt. Das Ausbleiben neuer öffentlicher Vorfälle ist ermutigend, beweist aber nicht, dass die Architektur sicher ist — es zeigt lediglich, dass kein erfolgreicher Angriff offengelegt wurde.

Ist FixedFloat ohne KYC für den Tausch in Monero nutzbar?

FixedFloat verlangt für Standardtausche weder eine Kontoeröffnung noch eine vorgelagerte KYC-Prüfung. Allerdings behält sich die Plattform das Recht vor, eine Identifizierung bei Transaktionen anzufordern, die ihr AML-System als hochriskant einstuft — das kann etwa bei größeren XMR-Volumina oder bei einer auf der Chain "verbrannten" Einzahlungsadresse ausgelöst werden. Wer einen strukturell KYC-freien Pfad sucht, greift typischerweise zu einem Aggregator, der Anbieter mit harten KYC-Auslösern herausfiltert, oder zu einem Peer-to-Peer-DEX wie Haveno, bei dem überhaupt kein Betreiber eine Identifizierung verlangen kann.

Was ist eine sicherere Alternative für Bitcoin-zu-Monero-Tausche?

Die zwei strukturell sichereren Kategorien sind Aggregator-Router und Atomic-Swap-DEXs. Aggregatoren wie MoneroSwapper verteilen Tauschvorgänge auf mehrere Backend-Anbieter, sodass ein Einbruch bei einem einzelnen Backend nicht jede Route betrifft. Atomic-Swap-DEXs nutzen Hash-Time-Locked Contracts, sodass kein Betreiber jemals beide Seiten des Tauschs kontrolliert. Für die meisten Nutzerinnen und Nutzer ist ein Aggregator die praktischere Wahl; für sehr hohe Beträge oder Anwendungsfälle mit maximalem Privatsphärenanspruch lohnt sich die zusätzliche Komplexität eines Atomic-Swap-Pfads.

Sollte ich nach dem FixedFloat-Vorfall alle Sofort-Tauschbörsen meiden?

Nein — Sofort-Tauschbörsen bleiben der bequemste Weg, zwischen Coins zu wechseln, und die Alternative einer verwahrenden KYC-Börse setzt einen in der Regel einem höheren langfristigen Risiko aus, nicht einem geringeren. Die Lehre aus FixedFloat lautet nicht "nie wieder Sofortbörsen", sondern "Risiko nicht auf eine einzige Plattform konzentrieren, Tauschvorgänge kurz halten und die Vorfallhistorie des Betreibers prüfen, bevor Sie Mittel senden".

Fazit

FixedFloat ist 2026 operativ besser gehärtet als jene Version, die im Februar 2024 kompromittiert wurde — die strukturelle Exposition, die den Einbruch ermöglichte (Betreiber-kontrollierte Hot Wallets, die jeden Tausch überbrücken), wurde jedoch nicht beseitigt. Das ist die ehrliche Zweisatzantwort auf die Frage "Ist FixedFloat sicher?". Die Plattform ist für kleine, zeitlich begrenzte Tauschvorgänge vermutlich in Ordnung, wenn Sie der Härtung nach dem Vorfall vertrauen; sie ist strukturell aber nicht sicherer als vor dem Hack, lediglich sorgfältiger betrieben. Für alles, was über eine schnelle Umwandlung hinausgeht, ist es der bessere Weg, das Routing-Risiko auf mehrere Backends zu verteilen oder einen Atomic-Swap-DEX ganz ohne Betreiberverwahrung zu nutzen. Wenn Sie einen Monero-fokussierten Einstiegspunkt suchen, der die Routing-Entscheidung für Sie trifft, vergleichen Sie Angebote über MoneroSwapper oder lesen Sie unsere Analyse, wie man Monero anonym kauft, bevor Sie Ihren nächsten Tausch absenden.

← back to blog