Du IDAOT! Der Dao Diebstahl

Das Ethereum Projekt Dao, das als größtes Crowdfunding in die Geschichtsbücher einging, ist Geschichte. Ein Angreifer nutzte einen Fehler im Programmiercode aus, um sich so die Ether der Dao zu sichern. Insgesamt erbeutete er 3,6 Millionen Ether, die zu dem Zeitpunkt über 60 Millionen USD wert waren.

Kein Fork, Soft-Fork oder Hard-Fork?

Fest steht: Die Dao wird aufgelöst. Fraglich ist, was mit den gestohlenen Ether geschieht. Hierzu gibt es verschiedene Ansätze und Möglichkeiten.

 

Soft-Fork: Die Ether der Dao werden eingefroren

Zum einen besteht die Möglichkeit, dass die gestohlenen Ether durch einen Soft-Fork eingefroren werden.

Das ist möglich, da man bei der DAO die Token zuerst splitten muss, dann werden die Token in eine Child-Dao „gebracht“ und von dort kann man die Ether erst wieder auszahlen. Die Ether stecken also erstmal fest, bevor diese komplett aus der Dao herausgenommen werden können.

Die Dao Abläufe sind sehr komplex, wichtig zu wissen ist eigentlich nur: Die gestohlenen Ether können durch einen Soft-Fork gesperrt werden. Das verschafft Zeit, um eine Lösung für das Problem zu finden. Die Dao Token sind aber weiterhin handelbar.

Die wohl überwiegende Meinung ist, dass die gestohlenen Ether gesperrt werden sollen und das ist auch meine persönliche Ansicht.

Manche werden behaupten, dass der Programmiercode das doch erlaubt hat, der Angreifer war nur so klug, das auszunutzen. Dieses Argument kann ich zwar nachvollziehen, aufgrund des Zwecks der Dao jedoch abzulehnen.

Die Dao sollte als Einheit über die zusammen eingesetzten Ether abstimmen. Die DAO hat unfreiwillig (!) einen Schaden genommen und die Auszahlung war gegen den Willen (!) der Dao.

Wenn man schon die einmalige Möglichkeit hat, den Angreifer nicht dafür zu belohnen, dass er etwas nimmt, was nicht ihm gehört, dann sollte bzw. muss man das machen!

 

Hard-Fork: Die Ether werden an die Dao Investoren zurückgegeben

Zum anderen besteht die Möglichkeit, dass die gestohlenen Ether durch einen Hard-Fork an die rechtmäßigen Besitzer zurückgegeben werden. Bei dieser Möglichkeit besteht aber ein sehr großes Streitpotential.

Die eine Seite ist gegen diesen Hard-Fork, da das einen Präzedenzfall schaffen würde: Ab jetzt könnte jeder anrennen und sagen, dass er seine Ether, die er bei einem smarten Vertrag verloren hat, zurück will. Das größte Bedenken: Wo sollte man hier die Grenzen ziehen? Ein weiteres Argument ist, dass ein solches Verhalten einer zentralen Institution gleichsteht und Ethereum damit seine Ideologie aufgeben muss.

Die andere Seite will einen Hard-Fork. Aus Imagegründen sei ein Hard-Fork zu bevorzugen. Zwar ist The DAO ein auf Ethereum aufgebautes Projekt und nicht direkt im Ethereum Protokoll, aber das verstehen Laien nicht. Damit wird für die Massen durch falsche Mitteilungen der Eindruck vermittelt, dass die Ethereum Blockchain unsicher ist und man nicht in diese investieren sollte.

Auch hat man die Möglichkeit zwischen den Schlagzeilen:

„Ethereum verliert 200 Millionen US Dollar in Crowdfunding“

oder

„Die Ethereum Community verhindert einen 200 Millionen US Dollar Diebstahl“

Die zweite ist wohl die bessere Schlagzeile.

Ein weiteres Argument für den Hard-Fork ist der geplante Mining-Algorithmus-Wechsel von Proof of Work (GPU Mining) zu Proof of Stake („Anlegen von Ether“). Der Angreifer hätte knapp 4 Prozent der Ether. Auch das wäre eine Zentralisierung! Das wäre eine nicht unbedingt gute Ausgangsposition für den weiteren Ethereum Verlauf.

Außerdem hatte auch Bitcoin einen “ähnlichen” Hard-Fork im Jahre 2010 und hat es überstanden. Jedoch ist zwischen einem Bitcoin und Ethereum Hard-Fork zu unterscheiden.

Mit einem Hard-Fork können 100 Prozent zurückerstattet werden, da noch kein Ether der Dao investiert wurde. Es wird kein “rollback” von Blöcken oder Transaktionen benötigt. (Es werden keine Transaktionen rückgängig gemacht). […] In diesem Fall ist der Hard-Fork viel eleganter und einfacher zu implementieren – Slock.it Blog

Weiterhin ist wirklich viel Geld in die DAO geflossen und jeder hatte sich erhofft, bei dieser Neuerung mitzumischen. Diese Leute mit so einem enormen Kapital werden sich es zweimal überlegen, noch einmal etwas in Ethereum zu investieren, wenn die Community ihnen die kalte Schulter zeigt.

 

Wie wird die Entscheidung ausgehen?

Jeder der zwei Seiten hat ihre Argumente und jeder kann selbst entscheiden, welche Position er oder sie einnehmen will. Entscheiden werden und können aber nur die Miner. Die Mehrheit der Miner muss entscheiden, ob sie den Soft- und Hard-Fork akzeptieren. Wenn die Mehrheit diese Forks implementieren wollen, dann werden diese Forks umgesetzt. Wenn nicht, dann nicht.

 

Wie sollte man abstimmen?

Ich bin pro Hard-Fork, dennoch respektiere ich jede Meinung. Es besteht die (einmalige) Möglichkeit, Gerechtigkeit bei einem Unrecht walten zu lassen. Der Zusammebruch der Dao folgt nicht aufgrund von dummen Entscheidungen, sondern wegen eines hinterlistigen Diebstahls. Das Argument “das steht doch so im Code” überzeugt mich nicht. Ein Bankautomat dient dem Abheben von Geld, deswegen darf ich trotzdem kein fremdes Bankkonto leerräumen. Die Steckdose wird für Strom genutzt, dennoch darf ich beim Nachbarn kein Strom abzapfen und so weiter. Auch stand “im Code”, dass eine völlige Erstattung möglich ist, bevor das erste Investment der Dao gemacht wurde. Ein Investment liegt hier nicht vor.

Zudem kann man der Ethereum Foundation keine Zentralisierung vorwerfen. Sie stellen den Code bereit, den Andere nicht programmieren könnten, aber sie überlassen die Entscheidung der Community, den Minern. Die Miner sind die dezentralen Richter dieser Situation.

In fünf Jahren wird man sich nicht mehr an den Hard-Fork erinnern, sondern daran, dass die Community die Investoren gerettet und geschützt hat. Diese 200 Millionen, die in die Dao gesteckt wurden, werden sicher wieder in das Ethereum Netzwerk investiert. Auch sollte man die Dankbarkeit der Investoren nicht unterschätzen – Mundpropaganda ist eines der effektivsten Marketingmittel! (Welche Möglichkeiten habe ich, wenn ich Token besitze?)

 

Was sagen die Miner / Mining Pools dazu?

Coinwelt hat bei mehreren Mining Pools angefragt, welche Entscheidung sie unterstützen.

 

Coinotron unterstützt die Soft-/Hard-Fork Lösung.

Eine „No-Fork-Lösung“ entspricht der Situation, dass man einen Bankraub beobachtet und nicht die Polizei ruft.

 

Der Miningpool eth.supernova.cc unterstützt auch eine Fork-Lösung.

Viele Kryptowährungen haben solche Lösungen schon durchgesetzt, bei vielen Altcoins wurde der Mining Algorithmus geändert (Feathercoin). Ethereum benötigt außerdem das Entwicklerteam dahinter, denn nur so kann der Code geändert und aktualisiert werden. Auch wenn der Ruf erst einmal wieder ruiniert ist, wird es der Kryptowährung auf lange Sicht helfen. Ich kaufe jetzt erst einmal ein paar Ether 😉

 

Der Miningpool Nanopool:

Wir folgen der Entscheidung der Mehrheit. Wir glauben aber, dass die Entscheidung, ein Soft-Fork für einen Smarten Contract durchzuführen, einen erheblichen Einfluss auf das Ansehen Ethereums haben wird.

 

Der Miningpool Coinmine ist gegen einen Fork.

 

Viele Miningpools lassen die Miner derzeit über einen Soft-Fork abstimmen. Die Mehrheit der teilnehmenden Stimmen spricht sich für einen Soft-Fork aus. Zudem werden die Stimmen für einen sauberen Hard-Fork und eine schnelle Lösung immer lauter. Die untere Liste zeigt an, wie viel Prozent der Miner (der teilnehmenden Stimmen) sich für einen Soft-Fork aussprechen:

Die Links führen euch zu dem derzeitigen Abstimmungsergebnis. Dort findet Ihr aktuelle Zahlen. (Stand: 23.06.2016)

Wie wirkt sich dieser Vorfall auf Ethereum und Bitcoin aus?

Ethereum hat jetzt schon einen Image- und “Preisschaden” erlitten. Die smarten Verträge sind doch nicht so smart. Die weiteren Auswirkungen bestimmen sich je nach Ausgang der Situation.

Wenn der Hard-Fork nicht durchgeht und die 3,6 Millionen Ether gesperrt werden, kommt es zu einer künstlichen Verknappung. Wenn kein Soft-Fork erfolgt, erhält der Angreifer diese Ether und wird sie verscherbeln. Bekommt die Dao die Ether zurück, gibt es wieder mehr Ether auf dem Markt. Jedoch spielt hier die Psychologie eine große Rolle. Möglicherweise investieren die Dao-Investoren durch das verstärkte Vertrauen in das Ethereum Ökosystem oder in die Währung Ether.

Verwunderlich ist, dass Bitcoin keinen wirklichen Preisanstieg daraus ziehen konnte. Vor allem weil Ether und Bitcoin immer Gegenspieler waren.

 

Wer war der Angreifer und gehören die Ether ihm?

Es ist ein Brief aufgetaucht, in dem behauptet wird, dass der Angreifer sich zu Wort meldet. Grob zusammengefasst sagt der Brief aus: Ich habe nur den Code ausgeführt und somit im Rahmen des Vertrages gehandelt. Die 3,6 Millionen Ether gehören mir.

Der generelle Tenor bezüglich dieses offenen Briefs ist: Na dann viel Spaß, das vor Gericht zu beweisen.

Bis jetzt konnte nicht bestätigt werden, dass der Brief von dem Angreifer stammt. Wahrscheinlich ist, dass das ein Angriff ist, um die Ethereum Community zu spalten.

Zudem ist es sehr unwahrscheinlich, dass der Angreifer das Risiko eingeht, entdeckt zu werden. Wenn er an die Öffentlichkeit tritt, wird es vermutlich Strafanzeigen hageln (wenn es zu einem Schaden kommt).

Außerdem hat er sicherlich vorausschauend gehandelt, d.h. er hat darauf gesetzt, dass die Dao Token und Ether im Preis fallen und konnte somit ordentliche Profite einfahren.

View post on imgur.com

 

Fazit: Der Fehler war bekannt; Die Zukunft von Ethereum

Du IDAOT! Derjenige, der den Programmiercode ausgenutzt hat ist kein rechtmäßiger Inhaber der Coins. Er (Sie/Es) hat eigensinnig eine Schwachstelle missbraucht, statt die Schwachstelle aufzuzeigen. Der Angreifer hätte die Ether auch splitten und sich im Nachhinein an die Ether Community wenden können, dass er den Bug gefunden hat und die Ether Coins zurückgibt. Die Dao hätte auf die Weise weiter bestehen können und die Investoren der Dao hätten ihm mit Sicherheit eine Belohnung für die Aufdeckung gezahlt.

Problematisch ist, dass diese Schwachstelle bekannt war und nicht behoben wurde. Es wurde vor diesem Bug gewarnt, die Reichweite der Schwachstelle wurde aber falsch eingeschätzt. Nur wenige Tage vor dem Angriff wurde ein Blog-Artikel von slock.it veröffentlicht, der anscheinend genau diesen Fehler als harmlos einstuft. Beziehungsweise, dass das Dao Vermögen nicht gefährdet sei.

Die Arbeitsmoral ab Beginn des Dao Armageddons muss aber anerkannt und gelobt werden. Dieser Fehler war nicht beabsichtigt und schadet dem Unternehmen slock.it. Menschen machen Fehler, das sollte bedacht werden, bevor hier jemand große Hassreden schwingt. Konstruktive Kritik ist in dieser Phase notwendig. Dennoch muss Ethereum und die Dao mit der Schadenfreude von Nicht-Investoren und anderen Kryptowährungen zurecht kommen. Wer den Schaden hat, braucht für den Spott nicht zu sorgen.

 

View post on imgur.com

 

Die Zukunft von Ethereum hängt von den Ethereum Laien ab, den Menschenmassen. Wenn das Geld den rechtmäßigen Besitzern nach einem Diebstahl nicht zurückgegeben wird, dann brennt sich das in die Köpfe der Menschen ein. Die Laien interessiert der Aspekt der dezentralen Ideologie nicht unbedingt, sie verstehen aber, was Eigentum und Diebstahl bedeuten. Jede erste unbeeinflusste Aussage eines Laien wird sein: Das ist Diebstahl. Und so muss diese Aktion auch bewertet werden, um Ethereum für die Zukunft zu rüsten.

Lasst uns die Dao so schnell wie möglich hinter uns bringen, aber natürlich nur mit einem fehlerlosen Code und Ablauf. Stimmt für die Soft- und Hard-Fork-Lösung. Zufriedene Investoren sind auf lange Sicht wichtiger als strikter Idealismus. Eine perfekte Lösung gibt es derzeit nicht. (Der Soft- und Hard-Fork-Code wird zurzeit entwickelt, steht also noch nicht bereit)

 

Jetzt investieren oder nicht?

Das ist immer eine persönliche Entscheidung! Besteht das Vertrauen in Ethereum weiterhin und besteht dies auch unabhängig von dem weiteren Verlauf?

The time to buy is when there’s blood in the streets. – Baron Rothschild

 

Zusammenfassung und der Vorgang einfach erklärt (ELI5)

Das ist dir alles zu komplex oder zu lange? Hier eine kurze und simple Zusammenfassung:

Zuerst wurde ein Investment Fonds namens Dao in Ethereum gegründet. Dieser Fonds hat einiges an Geld erhalten, mit dem der Fonds in verschiedene Projekte investieren wollte. Ein Angreifer wollte das Geld mit einer Trick stehlen. Das haben die anderen Investoren mitbekommen und jetzt wird nach der besten Lösung gesucht, damit jeder zufrieden ist (außer der Angreifer).

 

Um das noch einfacher zu gestalten, ein ELI5 (Erkläre mir das, als wäre ich fünf Jahre alt):

Stell Dir vor, du hättest eine riesige Keksdose mit einem Schloss (Dao) und in diese Keksdose steckt jeder seine Kekse (Ether) rein. Für das Einlagern in die Keksdose erhält jeder eine Quittung (Dao Token).

Abgemacht war von Anfang an, dass alle, die einen Keks reingesteckt haben, darüber abstimmen, was mit den Keksen passiert. Man könnte sie zum Beispiel verschenken oder Pfandfinder engagieren, damit sie die Kekse verkaufen.

Jetzt findet aber einer der Kekseinzahler (der Angreifer) heraus, dass wenn man ganz fest gegen die Keksdose tritt, ein Keks herausfliegt. Die Keksdose wird also geöffnet, obwohl das so nicht abgemacht war. Das Schloss wird überlistet.

Der Keksdosenangreifer denkt sich aber: “Mir egal, es ist möglich, also mach ich das. Ich hab jedes Recht dazu.” und das macht er so lange, bis er von dem Keksdosenaufseher (Ethereum Community und Vitalik Buterin) gestoppt wird.

Bis zu diesem Zeitpunkt hat er ~⅓ der Kekse in eine Glasbox gebracht, das aber durch einen Regelung verschlossen ist. Die Kekseinzahler wollen die ~⅓ zurück, wissen aber nicht, auf welche Weise: Einschlagen, Schloss knacken, den Angreifer bitten, die Glasbox für immer verriegeln.

 

Image via pixabay, CC0

Check Also

Upgrade: Bitcoin auf Erfolgskurs

Nachdem Bitcoin während des letzten Wochenendes auf bis zu 1836 US-Dollar gefallen war, ist die …

2 comments

  1. Jürgen Waffner

    Ganz so einfach wie mit den beschriebenen Keksen ist das nicht. Die moralischen Aspekte sind relativ klar nachvollziehbar. Das Ausnutzen von Lücken zum eigenen Vorteil ist ebenfalls ein bekanntes Phänomen. Die Frage ist nun: gibt es eine System bejahende Legitimation einer Mehrheit getriebenen Fork?

    • Für die Erklärung der Dao und des Diebstahls finde ich es für Laien passend. Die Frage, ob der „Angreifer“ das darf oder nicht, würde meiner Ansicht nach für einen Laien, der das Konzept und die Vorgänge verstehen möchte, zu weit gehen.

      Ich bin mir nicht sicher, ob ich deine Frage richtig verstehe und ob diese an mich gerichtet ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.