DAO-Hack Super-GAU für den DAO und Ethereum

Ethereum auf dem Rückzug

Es hatte alles so schön und gut ausgesehen. Wie erwartet zogen die Altcoinmärkte weiter an und Ethereum erreichte heute Morgen noch einen neuen Rekordkurs mit einer Marktkapitalisierung von 1.7 Milliarden Dollar. Nun liegt der Kurs um 34% zurück und der Ethereum-Bullenmarkt ist wohl nicht nur kurzfristig sondern mindestens mittelfristig zerstört. Wie konnte das geschehen? Beim DAO ist der „größte anzunehmende Unfall“ passiert. Ich zitiere von heise.de:

„Es sollte das Vorzeigeprojekt der Kryptowährung Ethereum werden: Investoren zahlten im Crowdfunding rund 11,5 Millionen Einheiten der Kryptowährung für Anteile an der ersten dezentralen autonomen Organisation, kurz DAO – einer neuen Art von Unternehmen, das nur im Form programmierter Verträge (Smart Contracts) in der Blockchain existiert und durch das Kollektiv der stimmberechtigten Anteilsinhaber gelenkt wird. Nun könnte die umgerechnet über 150 Millionen US-Dollar schwere DAO zu dem werden, was die Bitcoin-Börse Mt. Gox für den Bitcoin war.Offenbar gelang es nämlich Angreifern, einen großen Teil des DAO-Kapitals durch einen ausgenutzten Bug in eine Art Tochtergesellschaft abzuzweigen und damit dem Zugriff anderer zu entziehen. Den erst kürzlich auf die Rekordmarke von 21 US-Dollar gekletterten Ethereum-Kurs schickte das gleich mal runter auf 15 US-Dollar, der Wert der ebenfalls gehandelten DAO-Anteile halbierte sich kurzzeitig sogar.

Der Abzug des Geldes war offenbar über eine Lücke im Code der DAO möglich. Die Angreifer konnten eine „recursive call bug“ genannte Schwachstelle ausnutzen, die es erlaubt, durch eine permanent wiederholte Erzeugung von Tochter-DAOs Geld aus der Mutter-Organisation abzuziehen. Während des mehrstündigen Angriffs, der am Freitag morgen bemerkt wurde, kursierte auch ein offenbar erfolgloser Aufruf der DAO-Macher, das Netzwerk des Kryptogelds mit Minitransaktionen zu fluten. Das sollte für ein Stau bei der Transaktionsverarbeitung sorgen und die Angreifer hindern, schnell viel Geld abzuziehen. Das abgezogene Kryptogeld soll sich derzeit noch in einer Tochter-DAO befinden. Laut aktuellen Stand sollen rund 3,6 Millionen Ether gestohlen worden sein, eine Wallet wurde bereits ausgemacht.Mit dem Geld können die Angreifer fürs erste aber nichts weiter anfangen. Ein Sicherungsmechanismus erlaubt den Zugriff aufs Geld bei solchen Tochter-Entitäten erst nach 27 Tagen, wie Ethereum-Vordenker Vitalik Buterin erläuterte.

Nun wird in der Community diskutiert, wie man nach dieser Frist weiter verfahren soll. Buterin schlägt als erste Maßnahme einen Soft Fork der Ethereum-Software vor, mit dem das Netzwerk nach Ablauf der 27 Tage Transaktionen aus der DAO und ihren Töchtern als ungültig ablehnt. Danach könnte ein harter Fork folgen, der den Anteilsinhabern die Wiederinbesitznahme ihres Kryptogelds erlaubt. Wie andere Kryptowährungen ist aber auch Ethereum dezentral organisiert – das heißt, eine Mehrzahl der Miner und Miningpools müsste die Softwareänderung akzeptieren und anwenden.

Bereits vor der eigentlichen Attacke hatte es mehrfach Kritik gegeben, dass das dezentrale Vorzeigeprojekt in Chaos ausgeartet sei. Auch Angriffsszenarien wurden skizziert, die aktuell genutzte Lücke in der DAO sei sogar seit über einer Woche in der Community in Umlauf gewesen geworden, schreibt der Fachdienst Coindesk. Das volle Ausmaß des Exploits wurde wohl unterschätzt, wie das Team der Kern-Entwickler von Ethereum eingesteht.

Wie es mit der DAO nun weitergeht, muss sich in den nächsten Tagen zeigen. Ob der Hack auch über den aktuellen Kurssturz hinaus negative Konsequenzen für das Ethereum-Projekt und den damit eng verbundenen Blockchain-Hype hat, ist ebenfalls noch offen.“

Den DAO hat es nach dieser Nachricht noch stärker erwischt, aktuell liegt er um 45% zurück. Was mich fassungslos macht, ist, dass so ein Angriff überhaupt möglich war. Dass der DAO derart windschief zusammengeschustert worden war. Da ist die Abwehr des VfB Stuttgart geradezu ein Ausbund an Stabilität. Der DAO ist in seiner jetzigen Form fertig. Vermutlich kann die Transaktion durch den 27-Tage-Schutzmechanismus in Kombination mit einem Ethereum-Softfork rückgängig gemacht werden wie Vitalik Buterin hier erläutert. Danach soll es wohl eine Lösung geben, dass die DAO-Investoren ihre Ethereum aus dem DAO abziehen können und dann ist dieser DAO beerdigt und die Investoren erhalten ihre Ethereum wieder zurück – falls das alles klappt und das System nicht voher auseinanderfällt… Allerdings konterkariert dieser faktische „Bailout“ für den DAO natürlich den Anspruch, dass es sich um eine dezentrale autonome Organisation handeln soll. Der DAO hat sich weder als dezentral, noch autonom erwiesen. Zudem zeigt das schnelle Eingreifen Buterins, dass es eben doch eher ein Leader-Projekt ist und keine unabhängige Community die Fäden zieht.

Viel schlimmer als dieser vermeintliche Interessenskonflikt wirkt für mich, dass Ethereum heute unglaublich an Reputation eingebüsst hat. Lupenreine „Bitcoin-Enthusiasten“ argumentieren nun: „Seht her, so stabil wie Bitcoin ist Ethereum noch lange nicht. Das wird nichts mehr mit Ethereum…“ Und das ist das Problem, Kryptowährungen leben vor allem auch von Vertrauen. Wir haben es aktuell mit der schwersten Krise zu tun, welche Ethereum je erschütttert hat. Nun kann nämlich auch die bisher positive Medienberichterstattung kippen. Und der Bitcoin strotzt gerade vor Kraft und mit Lisk & WAVES & IOTA stehen mehrere hervorragende Altcoinprojekte bereit, Ethereum die Kronprinzenrolle streitig zu machen. Mit WINGS steht sogar ein „Ersatz-DAO“ bereit. Ich muss also meine Aussage vom Montag revidieren, aktuell spricht wenig für steigende Ethereum-Kurse, im Gegenteil, die Schockwellen dürften dazu führen, dass die Marktkapitalisierung unter 1 Milliarde abschmelzen dürfte. Ich habe deshalb heute einen Großteil meiner Ethereum verkauft.

Wichtig aber: Der generelle Aufwärtstrend für Altcoins und den Bitcoin ist dadurch nicht in Frage gestellt. Heute war zwar ein tiefroter Tag, aber insgesamt ist der Bullenmarkt stark genug um diesen Event wegzustecken.

Disclaimer – Hinweis auf Interessenskonflikt: Der Autor ist in den oben erwähnten Kryptowährungen selbst investiert

Advertisements