Kryptowährung Ethereum: Crowdfunding-Projekt DAO um Millionen beraubt

Ein millionenschweres Kryptogeld-Projekt, das die Möglichkeiten der Währung Ethereum zeigen sollte, ist bei einem Hack beraubt worden. 3,6 Millionen Einheiten des Kryptogelds konnten die Angreifer entwenden, sitzen nun aber damit fest.

In Pocket speichern vorlesen Druckansicht 81 Kommentare lesen
Kryptowährung Ethereum: Attacken auf millionschweres Crowdfunding-Projekt DAO

(Bild: Daohub.org)

Lesezeit: 3 Min.

Es sollte das Vorzeigeprojekt der Kryptowährung Ethereum werden: Investoren zahlten im Crowdfunding rund 11,5 Millionen Einheiten der Kryptowährung für Anteile an der ersten dezentralen autonomen Organisation, kurz DAO – einer neuen Art von Unternehmen, das nur im Form programmierter Verträge (Smart Contracts) in der Blockchain existiert und durch das Kollektiv der stimmberechtigten Anteilsinhaber gelenkt wird. Nun könnte die umgerechnet über 150 Millionen US-Dollar schwere DAO zu dem werden, was die Bitcoin-Börse Mt. Gox für den Bitcoin war.

Offenbar gelang es nämlich Angreifern, einen großen Teil des DAO-Kapitals durch einen ausgenutzten Bug in eine Art Tochtergesellschaft abzuzweigen und damit dem Zugriff anderer zu entziehen. Den erst kürzlich auf die Rekordmarke von 21 US-Dollar gekletterten Ethereum-Kurs schickte das gleich mal runter auf 15 US-Dollar, der Wert der ebenfalls gehandelten DAO-Anteile halbierte sich kurzzeitig sogar. Zur Stunde scheinen die Kurse aber wieder zu steigen.

Der Abzug des Geldes war offenbar über eine Lücke im Code der DAO möglich. Die Angreifer konnten eine "recursive call bug" genannte Schwachstelle ausnutzen, die es erlaubt, durch eine permanent wiederholte Erzeugung von Tochter-DAOs Geld aus der Mutter-Organisation abzuziehen. Während des mehrstündigen Angriffs, der am Freitag morgen bemerkt wurde, kursierte auch ein offenbar erfolgloser Aufruf der DAO-Macher, das Netzwerk des Kryptogelds mit Minitransaktionen zu fluten. Das sollte für Stau bei der Transaktionsverarbeitung sorgen und die Angreifer hindern, schnell viel Geld abzuziehen.

Das abgezogene Kryptogeld soll sich derzeit noch in einer Tochter-DAO befinden. Laut aktuellem Stand sollen rund 3,6 Millionen Ether gestohlen worden sein, eine Wallet wurde bereits ausgemacht.Mit dem Geld können die Angreifer fürs erste aber nichts weiter anfangen. Ein Sicherungsmechanismus erlaubt den Zugriff aufs Geld bei solchen Tochter-Entitäten erst nach 27 Tagen, wie Ethereum-Vordenker Vitalik Buterin erläuterte.

Nun wird in der Community diskutiert, wie man nach dieser Frist weiter verfahren soll. Buterin schlägt als erste Maßnahme einen Soft Fork der Ethereum-Software vor, mit dem das Netzwerk nach Ablauf der 27 Tage Transaktionen aus der DAO und ihren Töchtern als ungültig ablehnt. Danach könnte ein harter Fork folgen, der den Anteilsinhabern die Wiederinbesitznahme ihres Kryptogelds erlaubt. Wie andere Kryptowährungen ist aber auch Ethereum dezentral organisiert – das heißt, eine Mehrzahl der Miner und Miningpools müsste die Softwareänderung akzeptieren und anwenden.

Bereits vor der eigentlichen Attacke hatte es mehrfach Kritik gegeben, dass das dezentrale Vorzeigeprojekt in Chaos ausgeartet sei. Auch Angriffsszenarien wurden skizziert, die aktuell genutzte Lücke in der DAO sei sogar seit über einer Woche in der Community in Umlauf gewesen geworden, schreibt der Fachdienst Coindesk. Das volle Ausmaß des Exploits wurde wohl unterschätzt, wie das Team der Kern-Entwickler von Ethereum eingesteht.

Wie es mit der DAO nun weitergeht, muss sich in den nächsten Tagen zeigen. Ob der Hack auch über den aktuellen Kurssturz hinaus negative Konsequenzen für das Ethereum-Projekt und den damit eng verbundenen Blockchain-Hype hat, ist ebenfalls noch offen. (axk)