/Business

Der DAO-Hack: Ein Blockchain-Krimi aus Sachsen

Max Biederbeck 21.11.2016

The DAO soll die Finanzwelt revolutionieren. Dann wird der Blockchain-Fonds gehackt. Was folgt, sind irre Tage und Wochen, die als die „Dao Wars“ in die Geschichte eingehen.

Die Sauerei auf dem Teppich hat gerade noch gefehlt. „Die muss zu schnell zum Licht gewachsen sein. Ist einfach vom Schreibtisch gekippt“, schnauft Simon Jentzsch. Mit den Händen schaufelt sein Bruder Christoph gerade die Reste einer Pflanze auf den Balkon. Der Teppichboden im alten Büro ihres Vaters gilbt schon seit Jahren vor sich hin, jetzt nässt ein Fleck in der Mitte. „Macht nichts, sowieso steinalt“, seufzt Christoph. Erst einmal den Dreck von den Händen waschen. Dann weiterackern.

Es ist August, und eigentlich wollten die Jentzschs und ihr Geschäftspartner Stephan Tual längst von Büroräumen in Berlin aus arbeiten. Stattdessen hocken die Brüder im Obergeschoss ihres Elternhauses im sächsischen Mittweida, den Berg hoch neben der Schrebergartensiedlung. Genau wie die Pflanze ist auch ihre Millionen-Idee zu schnell zum Licht gewachsen. Statt eines Flecken Erde hinterlässt sie nun einen Totalschaden an der Vision einiger Idealisten.

Sie scheiterten am Störfaktor Mensch

Die Geschichte der Jentzschs ist ein Hightech-Wirtschaftskrimi um Millionen von Dollar: Sie wollten die Finanzwelt mit einem Prinzip umkrempeln, das dem Einzelnen die Macht nimmt, das System für eigene Zwecke zu missbrauchen. Doch sie scheiterten am Störfaktor Mensch.

Alles beginnt im Mai 2016. Das junge Trio hat erst eine ganz andere Idee: Es will mit seinem Unternehmen Slock.it das Internet der Dinge mit der Blockchain verbinden. Wer eine Wohnung oder ein Auto nutzen will, muss nur sein Handy an ein smartes Schloss halten, Überweisung und Vertrags­abschluss laufen automatisch. Weder muss ein Kunde sich anmelden, noch braucht er einen physischen Schlüssel. Damit würde Slock.it die Ubers und Airbnbs dieser Welt angreifen. Das Ergebnis wäre nicht nur die Automatisierung des Bezahlens, sondern eine Revolution für die Sharing-Ökonomie.

Die Blockchain selbst hat als Projekt von Programmierern und Postkapitalisten begonnen, elektrisiert heute aber auch die Player der Finanzwelt. PWC, Deutsche Bank, JP Morgan – sie alle erforschen das Potenzial der Blockchain. Tual und Christoph Jentzsch wiederum haben lange für eine der führenden Blockchain-Initiativen gearbeitet, die Ethereum Foundation. Als Entwickler halfen sie deren Gründer Vitalik Buterin, die Ethereum-Blockchain zu erschaffen: ein gigantisches Kontobuch, dezentral installiert auf den Rechnern all seiner User. Wie bei Bitcoin lassen sich Geldbeträge – hier in der Währung Ether – für jeden nachvollziehbar verschieben. In Ethereum lassen sich zudem smart contracts anlegen: Verträge, die sich gewissermaßen von selbst erfüllen.

Für ihre Erschaffer steckt in der Ethe­reum-Blockchain eine Utopie fürs 21. Jahrhundert: ein entmenschlichter Kapitalismus im positiven Sinne, in dem Dienstleis­tungen, Waren und Geld für alle transparent getauscht werden. Auch die Slock.it-Gründer glauben an diese Vision. Sie wollen ihr Startup unabhängig von klassischen Investoren und Krediten aufziehen. Dennoch brauchen sie Geld für ihr Vorhaben. Sie bauen einen Investmentfonds auf der Basis von Ethereum: die Decentralized Autonomous Organization (DAO). Diese soll eigentlich nur ihr Projekt Slock.it finanzieren, wird aber selbst zur revolutionären Idee.

The DAO ist ein Unternehmen ohne Management und ohne Firmensitz, entstanden durch ein Crowdfunding. Investoren kaufen sich ein und erhalten Anteile in Form von Tokens, die ihnen Stimmrechte verschaffen. In digitalen Wahlen entscheiden sie basisdemokratisch, in welche Firmen und Projekte die DAO investieren soll. Sie ist Geldmaschine und Entscheidungsgremium in einem. Es gibt keine Chefs. Nur den Code.

Die DAO begeistert Tausende. In wenigen Wochen verkauft sie Anteile im Wert von 150 Millionen Dollar. Das zuvor erfolgreichste Projekt bei Kickstarter war nur auf 20 Millionen gekommen. Über Nacht werden die Jentzschs zu Stars der Tech-Welt. Nun wollen sie sich selbst mit Slock.it bei der DAO um ein Investment bewerben – der Firma, die sie geschaffen haben, aber nicht besitzen. Genial. Doch etwas kommt dazwischen.

Entmenschlichter Kapitalismus im positiven Sinne

Ein Tag im Juni. Die Jentzschs und Tual sind wegen Meetings nach Berlin gekommen. Weil sie noch nach Geschäftsräumen suchen, hat ein Bekannter ihnen vor­läufig seine Villa in Charlottenburg zur Verfügung gestellt. „Marlene Dietrich hat hier gewohnt“, prahlt der, während zwei Terrier herumtollen. Christoph Jentzsch hört kaum zu, seine Augen kleben auf dem Bildschirm eines Notebooks. Er sieht dort Millionen verschwinden.

Ein unbekannter Hacker hat eine Sicherheitslücke in der DAO entdeckt. „Wir hatten extra eine Security-Firma in Seattle beauftragt, selbst die hat nichts gemerkt“, sagt Simon Jentzsch. „Das ist eine Attacke auf unsere Idee“, wütet Tual. Er ist sich sicher: Es muss ein Insider sein, der die Programmiersprache der Ethereum-Blockchain sehr gut kennt. Der Angreifer missbraucht eine Funktion, die Anleger eigentlich schützen soll.

Wer eine Investition der DAO ablehnt, weil ihm nicht gefällt, wie die Mehrheit entschieden hat, kann seine Anteile abziehen; sie wandern dann in ein Unterkonto, eine Child DAO. Der Hacker führt diesen Vorgang nun wieder und wieder durch, ohne dass das System bemerkt, dass er seine Anteile längst geparkt hat. Auf diese Weise häuft der Hacker DAO-Tokens im Wert von 53 Millionen US-Dollar an. Eine Katastrophe, die die Community in Panik versetzt. Aber noch ist nichts verloren. Es gibt eine weitere Schutzfunktion.

Das System friert eine Child DAO für 28 Tage ein, bevor jemand seine Anteile endgültig abziehen und liquidieren kann. „Stichtag ist der 16. Juli“, sagt Christoph Jentzsch im Juni. So lange bleibt jetzt Zeit, um den Hacker aufzuhalten. Nur: Wer diesen Job übernehmen soll, ist vollkommen unklar. Die Jentzschs als Entwickler der DAO, die Ethereum Foundation als Organisator der dahinterstehenden Blockchain oder die Investoren-Crowd der DAO selbst? Vitalik Buterin jedenfalls will nicht helfen. Auf Twitter schreibt er: „Die Ethereum Foundation hat nichts mit der DAO zu tun.“

Die Technologie soll neutral bleiben, der Code mischt sich nicht in die Probleme seiner Nutzer ein. Doch derart auf sich gestellt, überschlägt sich die Community. Die nächsten Wochen werden als DAO Wars in die Geschichte eingehen.

Der erste Ansatz: Bis eine Lösung gefunden ist, sollen alle Konten eingefroren werden. Der Sicherheitsforscher Emin Gün Sirer von der Cornell University aber warnt: Das System würde anfällig für DoS-Attacken. Der Versuch scheitert deshalb. Blockchain-Foren, Slack-Kanäle und Reddit-Debatten kochen über mit Schuldzuweisungen. Es taucht ein anonymes Bekennerschreiben auf: „Ich habe nur die Technologie geschickt ausgenutzt.“ Der Verfasser sieht sich nicht als Hacker – und viele geben ihm recht. Dann verschwinden weitere Millionen. Das ist ein zweiter Hack, der Gegenangriff einer selbst ernannten Robin Hood Group. „Keine Panik“, schreibt Alex Van de Sande, Chefdesigner bei Ethereum.

„Wir räumen die DAO auf sichere Weise leer.“ Jetzt wird klar, dass auch Kräfte bei Ethereum um die DAO fürchten. Sie macht 17 Prozent der Blockchain aus: Sie ist too big to fail.

Kurz bevor die 28 Tage um sind, lenkt Buterin ein. Er und seine Entwickler entscheiden sich für einen sogenannten Hard Fork. Sie verändern den Grundcode der Ethereum-Blockchain und programmieren eine Abzweigung in die Kette. Diese ermöglicht es allen DAO-Inves­toren, ihre Tokens zu einem fixen Preis zurückzutauschen, wie bei einer Währungsreform. Dazu müssen sie nur ihre Software updaten. Die alte DAO existiert auf der alten Ethe­reum-Blockchain weiter, soll ohne Anleger aber aussterben. Die Anteile des Hackers und der Robin Hood Group verfallen.

Doch Hardliner verweigern das Update. Sie sehen in dem Manöver eine Verletzung der Ideale von Ethereum. Aus Protest bleiben sie in der alten Blockchain und taufen sie Ethereum Classic – eine Art Staatsstreich. Dazu kaufen sich Spekulanten und Konkurrenten aus der Bitcoin-Szene in die Blockchain ein. Anstatt an Wert zu verlieren, gewinnt die DAO wieder.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++

Als bösen Zwilling gibt es jetzt eine Parallelwährung. Die Tauschbörsen beginnen mit ihr zu handeln. Bald hält der Hacker 8,5 Millionen US-Dollar. Auch die Robin Hood Group macht ein Vermögen in Höhe von 17 Millionen Dollar. Das Geld des Hackers liegt auf dessen Konto. Es ist nun also August, und Chris­toph Jentzsch fragt sich, wie der Hacker an sein Konto herankommen will, ohne aufzufliegen.

Die Investoren der DAO kriegen ihren Einsatz zurück. Doch niemand weiß, wem die 25,5 Millionen Dollar des Hackers und der Robin Hood Group eigentlich zustehen. Das Geld ist aus einem Fehler entstanden. So, als hätte jemand einen übersehenen Knopf gefunden, der die Gelddruckmaschine einer Zentralbank anschmeißt.

Sicher ist im Moment nur: Das Image von Ethereum hat massiv gelitten. Die Idee eines Wirtschaftens, das immun ist gegen Alleingänge, hat ihren Sündenfall erlebt. „Es ist einfach alles zu schnell gewachsen“, sagt Simon Jentzsch. Dann klingelt es, die Mutter hat Mittagessen gekocht. Stephan Tual tourt derweil durch London: Er sucht für Slock.it einen Investor.

Dieser Artikel stammt aus der Herbstausgabe 2016 des WIRED-Magazins. Weitere Themen: der Web.de-Gründer und seine Suche nach dem ewigen Leben, Künstliche Intelligenz, die Zukunft des Fliegens, Udacity-Gründer Sebastian Thrun – und ein Punk, der uns vor der NSA schützen will.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden