Hacker statt Juristen?
Mit "The DAO" wollte ein deutsches Start-up eine digitale Organisation schaffen, in der statt Managern nur die Beteiligten und Programmcode das Sagen haben. Doch ein erfolgreicher Angriff weckt grundlegende Zweifel an dem Konzept.
- Sascha Mattke
Die Zeit läuft: Wenn bis zum 14. Juli nichts Entscheidendes passiert, kann sich eine bislang anonyme Person über einen gelungenen Schachzug freuen, der ihr Kryptogeld im derzeitigen Wert von rund 50 Millionen Dollar zur freien Verfügung eingebracht macht. Gesetze musste sie dafür nicht brechen, ganz im Gegenteil: Getreu dem in weiten Kreisen der Digitalgeld-Community verbreiteten Grundsatz "Code is Law" hat sie sich nur den Programmcode für ein virtuelles Geldanlageprojekt genau angeschaut, Lücken darin gefunden und geschickt für sich genutzt.
Digitales Geld wird heute meist mit dem Bitcoin-System gleichgesetzt, doch in dessen Windschatten ist eine ganze Reihe von alternativen Konzepten entstanden, die Schwächen des Originals beheben und neue Möglichkeiten schaffen sollen. Eines der prominentesten davon ist Ethereum mit der Währungseinheit Ether, federführend entwickelt von dem russischen Programmierer Vitalik Buterin. Ethereum sollte insofern besser sein als Bitcoin, als es nicht als reines Bezahl-System ausgelegt ist, sondern als Plattform mit freier Programmierbarkeit, so dass sich darüber alle Arten von Geschäften abwickeln lassen. Ein Beispiel für solche "smart contracts" wäre eine Versicherung, die automatisch zahlt, wenn Sensoren in einem bestimmten Zeitraum an einem bestimmten Ort eine bestimmte Windstärke messen und melden.
"The DAO" sollte neue Art von digitaler Organisation werden
Genau diese Stärke droht Ethereum jetzt zum Verhängnis zu werden. Verantwortlich dafür ist ein Projekt des deutschen Start-ups Slock.it, dessen Team intensiv an der frühen Ethereum-Entwicklung beteiligt war: Mit "The DAO" wollten die drei Gründer eine neue Art von digitaler Organisation schaffen, an der mittels Kryptogeld jeder Interessierte Anteile kaufen und mitbestimmen kann – wie bei einem klassischen Unternehmen, aber statt einer Management-Hierarchie sollte die Gemeinschaft der Beteiligten darüber entscheiden, welche Projekte The DAO angeht. Im Manifest dazu mangelt es nicht an Schlagworten wie "revolutionär", "Transparenz", "Dezentralisierung" und "Autonomie".
Anfangs übertraf das DAO-Projekt die Erwartungen spektakulär – statt der erhofften mindestens 500.000 Dollar wurde der Gegenwert von rund 160 Millionen Dollar auf die DAO-Adresse bei Ethereum übertragen. Wie es auf der offiziellen Website heißt, ist der Programmcode von The DAO die einzig relevante Regelung für den Umgang damit – von normalen Menschen lesbare Erklärungen seien ausschließlich als Verständnishilfe gedacht. Genau das sollte ja das Besondere am DAO als einem Gebilde auf der Grundlage von "unveränderlichem, unaufhaltsamem und unwiderlegbarem Code" sein.
DAO-Projekt: Code als einzige vertragliche Grundlage
Das klingt tatsächlich revolutionär, und nach der überaus erfolgreichen Finanzierungsphase bekam das DAO-Projekt viel wohlwollende Aufmerksamkeit (während Warnungen überhört wurden). Seit Mitte Juni aber brennt bei slock.it und anderen Beteiligten die Hütte: Eine bislang unbekannte IT-kundige Person oder Gruppe entdeckte eine Lücke im DAO-Programmcode und nutzte sie, um etwa ein Drittel der 160 Millionen Dollar auf eine Tochter-DAO zu übertragen. Noch bis zum 14. Juli stecken die abgezweigten Ether aufgrund einer Sperrfrist im Code dort fest, anschließend könnte ihr Besitzer sie nach Belieben verwenden.
Bald nach dem Hack meldete sich ein Anonymus zu Wort, der sich als Verantwortlicher dafür bezeichnete. Von Diebstahl könne keine Rede sein, schrieb er, und drohte mit rechtlichen Schritten, falls versucht werde, die programmierten Regeln für The DAO nachträglich zu verändern. Auch andere Web-Kommentatoren argumentierten in diese Richtung: Das System sei eben schlampig programmiert gewesen, und wer den Code als die einzige vertragliche Grundlage nicht richtig gelesen habe, müsse jetzt eben mit dem Verlust seines Einsatzes leben.
Software-Update für Ethereum sollte Zeit für eine Lösung bringen
Das allerdings nur, wenn die Community ihn lässt, und die scheint dazu wenig geneigt. Führende Ethereum-Entwickler einschließlich des Teams von slock.it scheinen von unveränderlichem Code nicht mehr viel wissen zu wollen und setzen alles daran, das Geschehen rückgängig zu machen (eine Interview-Anfrage bei slock.it blieb unbeantwortet).
Zunächst wurde ein so genannter Soft Fork für Ethereum vorgeschlagen – ein Software-Update, das dafür sorgen sollte, dass das Geld in der Tochter-DAO gesperrt bleibt, bis eine endgültige Lösung gefunden ist. Dafür schien sich eine Mehrheit zu finden, doch dann erkannte ein Sicherheitsforscher, dass das Update neue Angriffsmöglichkeiten für das gesamte Ethereum-System entstehen lassen würde, so dass es zurückgezogen wurde.
Hilfe durch Hard Fork?
Damit bliebe ein Hard Fork: Das Ethereum-System würde in diesem Fall so verändert, dass alle Ether auf der Adresse des Hackers in eine neue DAO und von dort aus zurück an die DAO-Anleger übertragen werden. Dies wäre ein schwerer Eingriff in die ursprünglichen Regeln nicht nur für The DAO, sondern für das gesamte Ethereum-System. Damit er funktioniert, müsste eine Mehrheit der Miner mitziehen, wonach es aber derzeit aussieht.
Allerdings ist schwer vorstellbar, dass Ethereum den Zwischenfall unbeschadet übersteht. Vielleicht kommt der eine oder andere Beteiligte also noch einmal ins Grübeln darüber, ob smarte Verträge wirklich eine so schlaue Idee sind.
(sma)
