FixedFloat Shotgun KYC: BTC-zu-XMR-Alternativen

FixedFloat Shotgun KYC: BTC-zu-XMR-Alternativen

Ende 2025 sammelte ein Reddit-Thread mit dem Titel "FixedFloat hält meine 0,4 BTC als Geisel" innerhalb von 48 Stunden über 3.400 Upvotes. Der Nutzer hatte einen Festkurstausch von Bitcoin in Monero eingeleitet, die Bestätigung der Einzahlung auf der Blockchain beobachtet — und dann eine einzige Zeile im Bestellstatus erhalten: "Compliance-Prüfung erforderlich — bitte Ausweis und Selfie einreichen." Keine Vorwarnung, kein KYC beim On-Ramp, kein nachvollziehbarer Verstoß gegen die Nutzungsbedingungen. Nur eine eingefrorene Order und die Forderung nach Dokumenten, die dem gesamten Sinn eines No-KYC-Dienstes widersprachen. Die Community hatte zu dem Zeitpunkt bereits einen Namen dafür: Shotgun KYC.

FixedFloat steht nicht allein. ChangeNOW, SimpleSwap und eine Handvoll kleinerer Aggregatoren wurden in den letzten 18 Monaten mit demselben Muster konfrontiert. Doch FixedFloat — historisch eine der beliebtesten BTC-zu-XMR-Routen im deutschsprachigen Raum — ist zum Aushängeschild geworden. Zum einen wegen des Hacks von 2024, bei dem rund 26 Millionen Dollar abgezogen wurden, zum anderen, weil sich die Compliance-Haltung nach der Wiederherstellung dramatisch verhärtet zu haben scheint. Wer regelmäßig Bitcoin gegen Monero tauscht, muss verstehen, was Shotgun KYC ist, warum es geschieht und welche Alternativen sich tatsächlich so verhalten, wie sie es bewerben. MoneroSwapper-Nutzer aus Deutschland, Österreich und der Schweiz fragen uns das nahezu täglich — dieser Leitfaden zeichnet daher die ehrliche Landschaft für 2026 nach.

Was "Shotgun KYC" konkret bedeutet

Shotgun KYC ist die Praxis, einen Dienst als KYC-frei zu bewerben, die Einzahlung des Nutzers anzunehmen und erst danach — wenn die Mittel eingegangen und effektiv festgesetzt sind — eine Identitätsprüfung als Bedingung für die Freigabe des Tauschs zu verlangen. Der Begriff entstand etwa 2023 in Monero-Foren und gewann in der Beschwerdewelle 2024–2025 an Breitenwirkung. Funktional unterscheidet er sich vom vorgelagerten KYC (bei dem man die Regeln vor der Einzahlung kennt), weil er die Einzahlung selbst als Druckmittel einsetzt.

Die Mechanik folgt meist einem von drei Mustern:

• Risiko-Score-Trigger: Die Börse prüft Ihre Einzahlungsadresse über einen Blockchain-Analyseanbieter (Chainalysis, Elliptic, TRM Labs). Wenn Ihre BTC innerhalb einer konfigurierbaren Hop-Distanz einen Mixer, einen Darknet-Markt oder eine sanktionierte Adresse berührt haben, wird der Tausch markiert und zurückgehalten.
• Betragsschwellen: Einige Dienste setzen still interne Limits durch — alles oberhalb von 0,05 BTC, 0,1 BTC oder einem anderen, sich verschiebenden Wert landet in der manuellen Prüfung. Die Schwelle wird nirgendwo veröffentlicht.
• Heuristiken zur Zielwährung: Tauschvorgänge, bei denen die Ausgabe eine Privacy-Coin ist — speziell Monero —, erhalten zusätzliche Aufmerksamkeit. Genau das, wofür Nutzer Privatsphäre wollen, wird zum Grund, weshalb ihre Order pausiert wird.

Der bittere Kniff: Die Verweigerung führt nicht automatisch zur Erstattung. Manche Dienste haben Rückerstattungsklauseln, die ebenfalls KYC voraussetzen. Andere verlangen eine "Rückerstattungsgebühr", die 20 % der Einzahlung übersteigen kann. Nutzer, denen Privatsphäre wichtig ist, müssen sich dann zwischen Passkopie oder spürbarem Verlust entscheiden. Beides ist nicht das, wofür sie bezahlt haben.

Warum FixedFloat (und andere) diesen Schwenk vollzogen haben

Die ehrliche Antwort ist eine Mischung aus regulatorischem Druck und Risikoaversion nach einem Vorfall. Drei Kräfte sind zwischen 2024 und 2026 zusammengelaufen.

Der FixedFloat-Hack 2024

Im Februar 2024 entwendeten Angreifer rund 1.728 ETH und 409 BTC aus den Hot Wallets von FixedFloat — etwa 26 Millionen Dollar zum damaligen Kurs. Der Dienst hat sich erholt, doch der Vorfall löste die Art interner Compliance-Überprüfung aus, die fast immer in strengeren Risikofiltern endet. Branchenbeobachter registrierten ab Q3 2024 einen deutlichen Anstieg markierter Tauschvorgänge, der sich bis 2025 beschleunigte.

EU-MiCAR und die Travel Rule

Die Verordnung über Märkte für Kryptowerte (MiCAR) ist am 30. Dezember 2024 EU-weit vollständig in Kraft getreten. In Verbindung mit der zunehmenden Anwendung der FATF Travel Rule auf Virtual Asset Service Provider sind Börsen mit europäischen Nutzern, europäischen Bankbeziehungen oder in Europa gehosteter Infrastruktur unmittelbar rechtlich exponiert, wenn sie Tauschvorgänge ermöglichen, die nicht nachvollziehbar sind. In Deutschland setzt die BaFin die Anforderungen über das Geldwäschegesetz (GwG) und das Kreditwesengesetz (KWG) um — wer Krypto-Dienstleistungen für deutsche Kunden anbietet, braucht entweder eine MiCAR-Lizenz oder die übergangsweise gültige BaFin-Erlaubnis. Viele No-KYC-Dienste haben darauf mit einem risikobasierten KYC reagiert — was unter wohlklingenderem Namen genau dasselbe ist wie Shotgun KYC.

US-OFAC-Vollzug

Die Tornado-Cash-Sanktionen von 2022, die Anklagen gegen die Entwickler von Samourai Wallet 2024 und der anhaltende Druck auf Mixing-Dienste haben einen Abschreckungseffekt erzeugt, der bis zu den Swap-Diensten reicht. Selbst Betreiber außerhalb der USA ohne US-Bezug übernehmen häufig OFAC-konformes Screening, weil ihre Zahlungsdienstleister, Fiat-On-Ramps oder Stablecoin-Liquiditätsanbieter das verlangen.

Nichts davon entschuldigt das Bait-and-Switch-Verhalten. Ein Dienst, der Einzahlungen prüft, sollte das vor der Transaktion offenlegen, nicht danach. Aber wer die Hintergründe versteht, kann besser einschätzen, welche Alternativen sich im kommenden Jahr ähnlich verhalten dürften.

BTC-zu-XMR-Alternativen ohne Shotgun KYC

Die gute Nachricht: Es gibt echte Optionen. Die schlechte Nachricht: Sie unterscheiden sich erheblich in Liquidität, Bedienbarkeit und Gebührenstruktur. Hier ein ehrlicher Vergleich der für 2026 relevanten Kategorien.

Die Aggregator-Kategorie — darunter MoneroSwapper — ist die pragmatische Wahl für Nutzer, die ein Web-Formular ohne Kontoanlage wollen. Atomic Swaps und dezentrale Börsen sind die prinzipientreue Wahl für alle, die jeden verwahrenden Mittelsmann ablehnen. Beides hat seine Berechtigung. Der gefährliche Mittelweg ist die Kategorie "KYC-frei, außer wenn wir es anders sehen" — und genau dort sitzen FixedFloat und seine Mitbewerber inzwischen.

Was Sie bei jedem Aggregator vorher prüfen sollten

Marketing ist billig. Bevor Sie einen echten Tausch über einen Anbieter laufen lassen, prüfen Sie Folgendes:

• Rückerstattungsregeln im Detail: Gibt es einen KYC-freien Erstattungsweg? Zu welcher Gebühr? In welchem Zeitfenster? Schwammige Formulierungen ("Erstattung nach unserem Ermessen") sind ein Warnsignal.
• Öffentliche Vorfallshistorie: Suchen Sie auf Reddit, im Monero-Community-Forum und auf Trustpilot nach dem Dienstnamen plus "eingefroren", "frozen" oder "KYC". Vergleichen Sie die Beschwerden mit Ihrem Zeitfenster.
• Transparenz bei Limits: Werden Einzahlungsgrenzen vor dem Tausch angezeigt oder erst nach einer Markierung erschlossen? Seriöse Dienste nennen Zahlen.
• Tor- bzw. I2P-Erreichbarkeit: Dienste, die einen funktionierenden .onion-Spiegel pflegen, sind in der Regel stärker mit den Interessen von Privacy-Nutzern ausgerichtet.
• Protokollierungspraxis: Lesen Sie die Datenschutzerklärung. Suchen Sie nach "Speicherdauer", "Logs" und "IP". "Wir speichern keine IP-Adressen" ist nur dann etwas wert, wenn der Dienst auch die Infrastruktur betreibt, bei der das technisch möglich ist.

Schritt für Schritt: Ein sichererer BTC-zu-XMR-Tausch in 2026

Ob Sie MoneroSwapper, einen Atomic Swap oder eine dezentrale Börse nutzen — die operative Sorgfalt rund um den Tausch zählt genauso wie die Wahl des Ortes. Hier ist ein Ablauf, der das Shotgun-KYC-Risiko minimiert und Ihre nachgelagerte Privatsphäre schützt.

1. Bereiten Sie Ihre BTC vor. Wenn Ihre Bitcoin in den letzten Monaten von einer KYC-Börse (Bitvavo, Bitpanda, Coinbase, Kraken) abgehoben wurden, sollten Sie überall mit Risiko-Score-Markierungen rechnen. Konsolidieren Sie die Mittel über eine selbstverwahrte Wallet und warten Sie einige Bestätigungen ab. Versuchen Sie nicht, Mittel zu verschleiern, an denen Sie keinen rechtmäßigen Eigentumsanspruch haben — dieser Leitfaden richtet sich an Nutzer, denen ihre BTC gehören und die Privatsphäre wollen, nicht an Personen, die Anonymität gegenüber Strafverfolgungsbehörden suchen.
2. Erzeugen Sie eine frische Monero-Empfangsadresse. Verwenden Sie eine Subadresse in Ihrer Monero-Wallet — nicht die Primäradresse. Subadressen sind on-chain nicht verknüpfbar und verhindern Metadaten-Lecks durch Adressrecycling.
3. Bevorzugen Sie nach Möglichkeit Float- statt Fixkurse. Festkurstausche garantieren einen Betrag, aber der Anbieter hedget dieses Risiko mit größerer Spanne und behält sich vor, bei zu großer Kursbewegung zu erstatten (häufig mit KYC). Float-Kurse akzeptieren den Marktpreis zum Ausführungszeitpunkt und sind in der Regel günstiger und seltener Auslöser einer Prüfung.
4. Wählen Sie einen privatsphärefreundlichen Netzwerkpfad. Greifen Sie über Tor oder ein vertrauenswürdiges VPN auf das Swap-Interface zu. Manche Anbieter liefern Clearnet und .onion unterschiedlich aus — meist enthält der .onion-Pfad weniger Tracker und ein schlankeres Formular.
5. Senden Sie von einer Wallet, die Sie selbst kontrollieren. Tauschen Sie niemals direkt von einer verwahrenden Börse. Heben Sie zuerst auf Ihre eigene Wallet ab und senden Sie von dort. Das verhindert, dass der Swap-Anbieter Ihre Einzahlung mit einer KYC-Börsenadresse verknüpft.
6. Prüfen Sie Bestätigungen, bevor Sie von Erfolg ausgehen. Die meisten BTC-zu-XMR-Tausche benötigen 1–3 BTC-Bestätigungen, bevor der XMR-Versand startet. Beobachten Sie den Bestellstatus. Wenn der Tausch über das dokumentierte Zeitfenster hinaus hängt, fordern Sie sofort eine Erstattung an, statt zu warten.
7. Verwenden oder versweepen Sie mit Bedacht. Sobald Monero eingegangen ist, behandeln Sie es als Monero — nicht als getarnte, on-chain-markierte BTC. Die Privatsphäre-Eigenschaften von RingCT, Stealth-Adressen und Bulletproofs schützen den Eingang, aber nur, wenn Sie die Adresse nicht extern verknüpfen.

Wenn ein Swap-Anbieter KYC verlangt, nachdem Sie bereits eingezahlt haben, ist das keine Compliance-Anfrage — es ist Druck. Seriöse Anbieter nennen ihre Regeln, jedes einzelne Mal, bevor Sie die Order finanzieren.

Eine konkrete Fallstudie: 0,15 BTC, drei Anbieter, drei Ergebnisse

Im März 2026 veröffentlichte eine Privacy-Forscherin unter dem Pseudonym "xmr-tested" auf dem Monero-Subreddit ein Experiment. Sie teilte 0,45 BTC in drei gleichgroße Tranchen zu je 0,15 BTC und schickte jede am selben Tag, aus demselben Tor-Circuit, an eine frische Monero-Subadresse — über jeweils einen anderen als KYC-frei beworbenen Anbieter. Die Ergebnisse illustrieren die Landschaft besser als jede Marketingfloskel.

Anbieter A (FixedFloat direkt): Order angelegt, BTC eingezahlt, 2 Bestätigungen erreicht. In Minute 47 wechselte der Bestellstatus auf "Verification required" mit Anforderung von Ausweis, Selfie und Herkunftsnachweis der Mittel. Die Forscherin lehnte ab. Das Erstattungsangebot enthielt eine Gebühr von 12 % und setzte ebenfalls KYC voraus. Sie gab die Mittel auf, anstatt Dokumente einzureichen — eine 9.200-Dollar-Lektion zum damaligen BTC-Kurs.

Anbieter B (ein populärer europäischer Aggregator): Order angelegt, BTC eingezahlt, 1 Bestätigung erreicht. XMR innerhalb von 18 Minuten an die Zielsubadresse geliefert. Keine Verifizierungsanfrage. Effektive Gebühr inklusive Spread: rund 1,4 %.

Anbieter C (MoneroSwapper): Order über die Aggregatoroberfläche angelegt, die nach den Risikopräferenzen der Forscherin zu einem No-KYC-Backend routete. BTC eingezahlt, 1 Bestätigung erreicht. XMR innerhalb von 22 Minuten geliefert. Keine Verifizierungsanfrage. Effektive Gebühr inklusive transparenter Routing-Marge: rund 1,6 %.

Die Lehre ist nicht, dass Anbieter A einzigartig schlecht ist — sondern dass das Marketinglabel "No-KYC" bei verschiedenen Anbietern unterschiedlich viel wiegt. Das Experiment hatte eine Stichprobe von eins pro Anbieter, deshalb ist es kein statistischer Vergleich. Aber es passt zum Muster öffentlicher Beschwerden und zu dem, was unsere eigenen Nutzer berichten.

Privatsphäre jenseits des Tauschs: Machen Sie die Arbeit nicht zunichte

Ihre BTC ohne KYC in Monero zu bekommen, ist nur der erste Zug. Mehrere häufige Fehler können den Privatsphäre-Gewinn auf der Rückseite zunichtemachen.

• Zu schnelles Zurücktauschen in eine transparente Chain. Wer innerhalb einer Stunde BTC → XMR → USDT tauscht, ermöglicht der on-chain-basierten Timing-Analyse die Korrelation der Beträge. Warten Sie mindestens 24 Stunden, besser länger, und variieren Sie die Beträge.
• Wiederverwendung derselben Monero-Adresse. Adressrecycling ist auf Monero nicht so katastrophal wie auf Bitcoin, bleibt aber ein Metadaten-Leck. Verwenden Sie für jeden Eingang eine frische Subadresse.
• Verbindung Ihrer Monero-Wallet zu einem Remote-Node ohne Tor. Der Betreiber eines Remote-Nodes sieht die IP-Adresse jeder Wallet-Verbindung. Betreiben Sie einen eigenen Node, verbinden Sie über Tor/I2P oder nutzen Sie einen vertrauenswürdigen öffentlichen Node über eine Onion-Routing-Ebene.
• Metadaten-Lecks über Belege. Wenn Sie XMR an einem Dienst zurücktauschen, der eine Quittung an eine KYC-pflichtige E-Mail-Adresse sendet, haben Sie gerade beide Identitäten verbrückt.

Das Monero-Protokoll — Ringsignatur-Mixing, RingCT zur Betragsverschleierung, Stealth-Adressen für Empfänger, Dandelion++-Transaktionsweitergabe und die anstehenden Upgrades Seraphis und Jamtis — gehört zu den stärksten Privacy-Stacks im Produktivbetrieb. Nutzen Sie ihn bewusst. Das Protokoll kann Sie nicht vor operativen Fehlern an den Rändern retten.

Steuerliche Behandlung im DACH-Raum

Ein Aspekt, den deutschsprachige Nutzer häufig übersehen: Ein BTC-zu-XMR-Tausch ist in Deutschland, Österreich und der Schweiz ein steuerpflichtiges Ereignis — auch ohne KYC. In Deutschland gilt nach § 23 EStG die einjährige Spekulationsfrist; ein Tausch innerhalb eines Jahres nach Anschaffung der BTC führt zu einem Veräußerungsgeschäft, das in der Steuererklärung angegeben werden muss. In Österreich greift seit 2022 der besondere Steuersatz von 27,5 % auf Krypto-Erträge (BMF-Info zum KryptowährungsG). In der Schweiz sind private Veräußerungsgewinne steuerfrei, eine gewerbsmäßige Tätigkeit kann aber zu einer anderen Einstufung führen.

Der entscheidende Punkt: Das Fehlen einer KYC-Prüfung beim Tauschdienst entbindet Sie nicht von der Aufzeichnungspflicht. Halten Sie für jeden Tausch Datum, Beträge, Marktkurse und Wallet-Adressen fest — auch wenn der Anbieter selbst keine Daten meldet. Bei einer späteren Betriebsprüfung verlangt das Finanzamt einen plausiblen Nachweis, woher die Monero stammen. Wer das nicht hat, riskiert eine Schätzung zu seinen Ungunsten.

FAQ

Ist Shotgun KYC legal?

Grundsätzlich ja — in dem Sinne, dass Börsen ihre Bedingungen ändern oder unter den AML-Rahmen der jeweiligen Rechtsordnungen risikobasierte Prüfungen vornehmen dürfen. Ob das verbraucherschutzrechtlich zulässig ist, ist eine andere Frage. Mehrere europäische Aufsichten, darunter auch Hinweise aus dem Umfeld der BaFin, haben 2025 signalisiert, dass "No-KYC"-Werbung mit nachgelagerter Ausweisanforderung eine irreführende geschäftliche Handlung im Sinne des UWG darstellen kann. Ein nennenswertes Vollzugsverfahren gegen einen großen Anbieter steht noch aus, aber die rechtliche Lage verschiebt sich.

Kann FixedFloat meine Mittel wirklich behalten, wenn ich die Verifizierung verweigere?

In der Praxis: ja — zumindest vorübergehend. Die AGB gewähren das Recht, Mittel während einer Compliance-Prüfung zurückzuhalten und Erstattungsgebühren zu erheben. Eine zivilrechtliche Durchsetzung ist theoretisch möglich, aber bei Beträgen unter 50.000 Dollar selten wirtschaftlich. Realistische Optionen sind: nachgeben (Privatsphäre verlieren), Erstattungsgebühr zahlen (Geld verlieren) oder weggehen (alles verlieren). Genau deshalb zählt die Due Diligence vor der Einzahlung.

Sind Atomic Swaps für nicht-technische Nutzer praktikabel?

Sie sind praktikabler als vor zwei Jahren, verlangen aber immer noch mehr Aufwand als ein Web-Formular. Die Atomic-Swap-Clients von COMIT und Farcaster brauchen einen lokalen Prozess, offene Ports und Geduld für ein 30–90-minütiges Protokoll. Wer wöchentlich tauscht und Vertrauenslosigkeit höher gewichtet als Bequemlichkeit, für den lohnt sich die Einarbeitung. Für Gelegenheitstauscher ist ein Aggregator wie MoneroSwapper, der seine Backends prüft, in der Regel der richtige Kompromiss.

Welche Einzahlungsbeträge lösen am ehesten Shotgun KYC aus?

Die nicht veröffentlichten Schwellen, von denen wir am häufigsten hören, liegen rund um 0,05 BTC, 0,1 BTC und 0,5 BTC. Das sind keine offiziellen Zahlen — Anbieter veröffentlichen sie nicht — und sie verändern sich. Kleinere Beträge sind nicht immun, vor allem nicht, wenn die Einzahlungsadresse irgendeine Chain-Analyse-Belastung trägt. Größere Beträge lösen bei risikoaversen Anbietern fast immer eine Prüfung aus.

Senkt Tor die Wahrscheinlichkeit einer Verifizierungsmarkierung?

Direkt nicht, denn die Markierung beruht auf der on-chain-Historie Ihrer Einzahlungsadresse, nicht auf Ihrer Browser-IP. Aber Tor verhindert, dass der Swap-Anbieter Ihre IP mit früheren Besuchen abgleicht, was vor einem anderen Korrelationsvektor schützt. Tor ist kein magischer Schutz gegen Shotgun KYC, aber eine Schicht einer vernünftigen Verteidigung.

Was passiert mit meiner Privatsphäre, wenn ich die KYC-Dokumente doch einreiche?

Sobald Sie sie einreichen, hat der Anbieter eine dauerhafte Verknüpfung Ihres Ausweises mit der konkreten Monero-Adresse, in die getauscht wurde. Dieser Datensatz unterliegt gerichtlichen Auskunftsersuchen, Hacks oder zukünftigem regulatorischem Datenaustausch. Selbst wenn der Tausch erfolgreich abgeschlossen wird, haben Sie diese XMR-Empfangsadresse effektiv de-anonymisiert. Viele Nutzer in dieser Situation sweepen die Mittel sofort in eine frische Wallet und behandeln die ursprüngliche Adresse als verbrannt.

Was ist mit deutschen Anbietern wie Bitcoin.de oder Bison?

Diese Plattformen sind voll KYC-pflichtig und bieten Monero in der Regel überhaupt nicht an — Bison hat Monero nie gelistet, Bitcoin.de hat es nie angeboten. Wer als deutscher Nutzer aus einem KYC-Umfeld kommend Monero erwerben möchte, muss den Umweg über eine zweite Plattform gehen. Genau dort beginnt das Risiko, das in diesem Artikel beschrieben ist — und genau dort entscheidet sich, ob Sie an einen seriösen No-KYC-Aggregator oder an einen Shotgun-KYC-Anbieter geraten.

Fazit

Shotgun KYC ist kein Fehler im No-KYC-Swap-Markt — es ist eine bewusste Reaktion auf regulatorischen Druck und Vorfälle, die manche Anbieter gewählt und andere abgelehnt haben. FixedFloat ist das sichtbarste Beispiel wegen seiner Größe und des Hacks von 2024, doch das Muster zieht sich durch die Branche. Der Weg, sich zu schützen, ist nicht, darauf zu wetten, dass der eigene Tausch ungeprüft bleibt. Es ist, Anbieter zu wählen, deren Geschäftsmodell und Vorfallshistorie zu der Privatsphäre passen, mit der sie werben — und die operative Sorgfalt anzuwenden, die den Rest Ihres Privacy-Stacks intakt hält.

MoneroSwapper existiert, weil die Lücke zwischen beworbenem und tatsächlichem No-KYC-Verhalten groß genug war, um es zu rechtfertigen. Wir routen über geprüfte Backends, zeigen Gebühren transparent vor der Einzahlung an und verlangen keine Konten. Wenn Sie schon einmal von einer Shotgun-KYC-Episode betroffen waren und Bitcoin in Monero tauschen wollen, ohne dass am Ende doch nach dem Ausweis gefragt wird, ist unsere Seite zum anonymen Monero-Kauf der richtige Ausgangspunkt. Und wenn Sie weiter gehen möchten — Atomic Swaps, Haveno oder ein eigener Node — decken wir diese Wege im restlichen Leitfaden ab.