Funktionsweise
Samourai war eine Android-zentrierte Bitcoin-Wallet. Die App war non-custodial: Schlüsselmaterial lag auf dem Gerät, der Seed verließ es nie. Auf dieser Basis stapelte das Team Privacy-Primitive, die die App von jeder gängigen Wallet ihrer Zeit unterschieden. Whirlpool war ein Chaumian-CoinJoin mit fester Stückelung, fünf Teilnehmern pro Pool und sogenannten Surge-Cycles. Ricochet zwang eine ausgehende Zahlung über zusätzliche Hops, bevor sie den Empfänger erreichte. Stonewall und Stonewall x2 erzeugten Transaktionen mit Decoy-Outputs, die CoinJoin-Muster aus einer einzelnen Wallet imitierten. PayNyms waren wiederverwendbare BIP47-Zahlungscodes, die pro Absender eine frische Empfangsadresse erzeugten. Fortgeschrittene Nutzer konnten die App mit einem selbstgehosteten Dojo koppeln, einem persönlichen Vollknoten-Backend, das jegliche Anfrage an Samourais eigene Infrastruktur überflüssig machte.
KYC und Privatsphäre
Es gab keine Anmeldung. Keine E-Mail, keine Telefonnummer, kein Konto. Die Wallet erzeugte den Seed lokal; der Nutzer notierte ihn. Whirlpool hingegen hing von einem Koordinator-Server ab, den das Samourai-Team betrieb, und auf diesen Server stützte sich die Anklage: Die Staatsanwaltschaft warf vor, Whirlpool sei ein nicht lizenzierter Geldtransmitter und seine Betreiber hätten wissentlich die Geldwäsche von Erlösen aus Darknet-Märkten erleichtert. Samourais erklärte Politik war Null-Logging auf Wallet-Ebene und minimales Logging am Koordinator. Die Architektur verhinderte, dass Betreiber Salden oder Seeds sahen, doch sie konnten Mix-Teilnahmemuster aus Koordinator-Metadaten ablesen — eine Unterscheidung, die das DOJ als unerheblich behandelte.
Stärken und Grenzen
Neun Jahre lang war Samourai in puncto Privatsphäre genau das, was es zu sein behauptete: das aggressivste Endkunden-CoinJoin-Produkt auf Bitcoin. Der Code ist quelloffen unter der Unlicense, liegt auf GitHub unter Samourai-Wallet und überlebt dort für jeden, der ihn auditieren oder forken will. An den Grenzen ist das Projekt zerbrochen. Whirlpools Koordinator war ein juristischer Single Point of Failure, und als die in Island gehosteten Server und die Hauptdomain im April 2024 beschlagnahmt wurden, blieben aus laufenden Mixes UTXOs zurück, die nur mit Drittwerkzeugen — einem Ashigaru-Fork, dem CoinJoin-Update von Sparrow — gerettet werden konnten. Die Gründer Keonne Rodriguez und William Lonergan Hill bekannten sich 2025 schuldig; im November jenes Jahres verurteilte ein Gericht in New York Rodriguez zu fünf Jahren und Hill zu vier. Im März 2026 tauchte die beschlagnahmte Domain unter unbekannter Inhaberschaft wieder auf und betreibt einen pixelgenauen Phishing-Klon, der Seed-Phrasen abgreifen soll — ein Risiko, das jeden funktionalen Vorbehalt am Originalprodukt inzwischen übersteigt.
Fazit
Samourai selbst hat nie Nutzergelder verloren und nie Identitäten erhoben; die Architektur funktionierte wie beworben, bis der Staat den Koordinator abschaltete. Übrig bleiben ein offenes Repo, eine Lehrstunde über koordinator-gebundene Privatsphäre und eine Domain, die 2026 aktiv gefährlich ist. Wer samouraiwallet.com heute noch in den Browser tippt, wird gezielt angegriffen. Note: C (6,8/10). Vertrauen: RISKY.
Samourai selbst hat nie Nutzergelder verloren und nie Identitäten erhoben; die Architektur funktionierte wie beworben, bis der Koordinator beschlagnahmt wurde. Übrig bleiben ein offenes Repo, eine Lehrstunde über koordinator-gebundene Privatsphäre und eine Domain, die 2026 aktiv gefährlich ist. Note: C (6,8/10). Vertrauen: RISKY.
