Der Hack, der Ethereum spaltete: DAO-Angreifer angeblich enttarnt

Inhaltsverzeichnis

Der bisher unbekannte Angreifer, der mit einem Hack gegen den Kryptofonds "The DAO" im Sommer 2016 Ether im Wert von mehreren Millionen erbeutet hat und für schwere Erschütterungen der Ethereum-Plattform sorgte, ist angeblich enttarnt. Eine US-Journalistin behauptet, dass der österreichische Entwickler und Gründer Toby H. wahrscheinlich für den Hack verantwortlich sei. Der Beschuldigte hat das ihr gegenüber abgestritten und erklärt, die Behauptungen und Schlussfolgerungen des Berichts seien unzutreffend.

Der Bericht der Blockchain-Podcasterin Laura Shin stützt sich in erster Linie auf nachverfolgte Transaktionen, die auf Toby H. deuten sollen, sowie auf Auffälligkeiten in seiner damaligen Kommunikation. Der Österreicher war bislang vor allem in der Kryptoszene als Mitgründer und Chef des Startups TenX bekannt, das eine Kryptogeld-Kreditkarte etablieren wollte. Trotz eines Initial Coin Offerings im Jahr 2017, das 80 Millionen US-Dollar einbrachte, scheiterte TenX. Auf eine Bitte um Stellungnahme seitens heise online reagierte H. bislang nicht.

Vom DAO-Hack zum Hard Fork

Die DAO war 2016 der erste Versuch, eine sogenannte dezentrale, autonome Organisation zu gründen, die sich größtenteils über Blockchaintechnik organisieren sollte. Über eine Schwarmfinanzierung konnten die Macher rund 11,5 Millionen Ether im damaligen Wert von fast 140 Millionen US-Dollar als Startkapital einsammeln. Mitte Juni des Jahres kam es dann aber zum Supergau: Ein Angreifer konnte rund 3,6 Millionen Ether des Kapitalstocks stehlen. Möglich war das, weil sich eine unsicher umgesetzte Abhebungs-Funktion ohne Prüfung eines Kontostands wieder und wieder aufrufen ließ.

Das gestohlene Kapital war zunächst über einen Sicherheitsmechanismus der Abhebungsfunktion gebunden und hätte nach Ablauf einer Frist weiter transferiert werden können. Bevor es dazu kommen konnte, entschied sich die Ethereum-Community dazu, den Hack auf der Blockchain rückgängig zu machen. Nach einem Hard Fork wurde eine neue Version der Blockchain als verbindlich erklärt, in der das gestohlene Geld auf einer Adresse außerhalb des Zugriffs des Diebs lag. Aber nicht jeder in der Community wollte diesen Schritt mitmachen: Bei dem Hardfork spaltete sich die Kryptowährung Ethereum classic ab – und in dieser Chain behielt der Dieb seine Beute.

Gemixte Transaktionen entmixt

Die Spur auf der "Classic"-Chain führt laut Shin zu Toby H. Laut ihrer Analyse der Transaktionen seien die Ether classic zunächst in eine neue Wallet transferiert worden, wo sie dann bis Oktober 2016 verblieben. Danach habe der Angreifer einen Teil des Geldes über die Plattform Shapeshift in Bitcoin getauscht – Shapeshift war zu diesem Zeitpunkt noch ohne Nutzerregistrierung verwendbar. Insgesamt wurden so 282 Bitcoin ertauscht.

50 Bitcoin davon seien dann mit einer Wasabi-Wallet transferiert worden – eine Software, die mit einer Technik namens Coinjoin für die Vermischung von Transaktionen sorgt und sie damit nicht mehr nachvollziehbar machen will. In diesem Fall sei es aber durch eine bislang noch nicht öffentlich gemachte Analysetechnik der Firma Chainalysis gelungen, die Transaktionen nachzuvollziehen, schreibt Shin. Einzelheiten dazu wollte Chainalysis auf Anfrage nicht erläutern.

Verräterische IP-Adresse?

Die 50 Bitcoin seien gesplittet zu vier verschiedenen Kryptobörsen geflossen. Das Geld sei in den Privacy-Coin Grin gewechselt und zum Grin-Node grin.toby.ai transferiert worden, behauptet Shin unter Berufung auf eine anonyme Quelle, die das von einem Insider erfahren haben will. Demnach habe die bei einer der Börsen verwendete Mail-Adresse auf die Domain @toby.ai geendet. Unter der IP-Adresse des Grin-Nodes wiederum seien auch mehrere Nodes des Bitcoin-Lightning-Networks wie ln.toby.ai und auch einer auf den Namen TenX gehostet worden.

Für Shin deutet das auf H., der "@tobyai" in verschiedenen Schreibweisen in nahezu all seinen Accounts auf sozialen Netzwerken und sonstigen Plattformen genutzt habe. Ebenfalls gehe die IP-Adresse wohl auf Amazon Web Service (AWS) in Singapur zurück. Toby H. habe zu dem Zeitpunkt in Singapur gelebt. Auch die Zeitpunkte der verdächtigen Transaktionen deuteten auf jemanden, der sich in dieser Zeitzone aufhalte.

Postings und Mailwechsel zur DAO-Sicherheit

Weitere Indizien meint Shin in öffentlichen Postings, Chats und Mailwechseln gefunden zu haben. H. habe sich im Vorfeld des Hacks sehr für das DAO-Projekt interessiert: Er habe mehrere Blogeinträge auf der Plattform Medium zu möglichen Schwachstellen veröffentlicht, sich im Slack-Channel des Projekts ausführlich über Sicherheitsprobleme geäußert und auch mit den Machern der DAO per Mail korrespondiert. Im Mai 2016 habe er dem damals für TenX tätigen Krypto-Influencer Julian Hosp den Tipp gegeben, nach dem Ende des DAO-Crowdfundings auf Kursstürze bei Ethereum zu wetten. Ebenfalls habe er sich laut Hosp sehr für die Kryptowährung Grin interessiert. Hosp äußert sich auch in einem langen Twitterthread über seine Sicht auf damalige Ereignisse.

Insgesamt wirkt die Indiziendecke, mit der Shin die Schuld von H. belegen will, doch etwas dünn. Dennoch scheint sich Shin ihrer Sache sicher zu sein. Allerdings gab es auch schon Fälle, wo solche Krypto-Enthüllungen daneben gingen: So blamierte sich etwa das Magazin Newsweek im Jahr 2014, als es den zurückgezogen lebenden Rentner Dorian Nakamoto als vermeintlichen Bitcoin-Erfinder in die Öffentlichkeit zerrte.

(axk)