Wenn Smart Contracts entgleisen: Der Blockchain-Sündenfall bei The DAO

Mal ehrlich, wer von Ihnen kennt The DAO und wer weiß, was Decentralized Anonymous Organizations sind? Oder Ethereum? Jeder, der der Meinung ist, dass die Zukunft den Smart Contracts gehört und die Blockchain dabei eine Schlüsselrolle spielen wird, sollte sich sehr genau ansehen, was hier gerade passiert.

Eigentlich sollte es in diesem Beitrag um die Chancen der Blockchain-Technologie auf den Finanzmärkten gehen. Nun ist aber unversehens ein ganz anderes Thema in den Mittelpunkt gerückt: Vor zwei Wochen, genauer gesagt am 17. Juni, ereignete sich ein Angriff auf The Decentralized Anonymous Organization (The DAO).

Dahinter verbirgt sich ein im April dieses Jahres gegründeter Fonds, der über Crowdfunding virtuelles Geld einsammeln will und diese Gelder dann über sich selbst erfüllende Verträge (Smart Contracts) Investoren zur Verfügung stellt.

Ein regelkonformer Angriff

Die Basis von The DAO ist das Kryptogeld Ether des Ethereum-Projekts. Nach Bitcoin handelt es sich dabei um das zweitgrößte Projekt dieser Art. Das Marktvolumen von Ethereum entspricht mehr als einer Milliarde US-Dollar. Davon war etwa ein Siebtel, umgerechnet ca. 150 Millionen US-Dollar, der Crowdfunding-Plattform The DAO übertragen. Am 17. Juni gelang es einer bislang anonymen Person oder Gruppe durch Ausführung eines nach den Implementierungsregeln von The DAO regelgerechten Smart Contracts, nach und nach 3.641.694 Ether, umgerechnet etwa 50 Millionen US-Dollar, aus der Kontrolle des Fonds abzuziehen. Angriffspunkt war ein Fehler in der Implementierung des Smart Contracts – er konnte rekursiv (also immer wieder sich selbst erneut aufrufend) ausgeführt werden. Die entwendeten Mittel liegen derzeit in einem separierten Netzwerk, das vom Angreifer kontrolliert wird. Aufgrund technischer Besonderheiten können sie insgesamt 27 Tage lang nicht ausgegeben werden. Das verschafft den Initiatoren noch bis zum 14. Juli Zeit zum Handeln.

Um es noch einmal klar zu formulieren: Es handelt sich hierbei nicht um einen klassischen Cyber-Angriff. Niemand ist von außen in das System eingedrungen und hat dort virtuelles Geld gestohlen. Vielmehr hat hier jemand eine konzeptionelle Schwäche in einem System entdeckt, das mit Smart Contracts arbeitet, und diese ausgenutzt. Der den Geldabfluss auslösende Smart Contract ist formal korrekt und damit legal. Allerdings bewirkt er etwas fundamental anderes, als die Gründer von The DAO beabsichtigt haben und ist damit ohne Zweifel illegitim.

Die Geister, die man rief

Doch was folgt daraus? Zunächst einmal muss man festhalten, dass der Abfluss des Kryptogeldes schnell entdeckt wurde. Allerdings konnte der Vorgang trotz dieser Erkenntnis nicht gestoppt werden. Der Smart Contract war ja korrekt und Smart Contracts setzen sich selbst durch. Was von den Befürwortern dieser Idee als Vorteil gepriesen wird, entpuppte sich als entscheidender Nachteil. Es hat etwas von Goethes Zauberlehrling: Die Geister, die man rief, die wird man nun nicht mehr los. Im vorliegenden Fall ist es sogar so, dass möglicherweise der Angreifer selbst den Angriff beendet hat. Zumindest sind sonst kein Mechanismus und keine Aktion erkennbar, die dies bewirkt haben könnten.

Wie es mit The DAO und Ethereum weitergeht, wird sich in den nächsten Tagen zeigen. Aktuell werden mehrere Möglichkeiten diskutiert, darunter auch die, nichts zu unternehmen. Das Ergebnis wäre zwar unbefriedigend, die Prinzipien der dezentralen, autonomen Community würden damit aber gewahrt werden. In allen anderen Szenarien kommt es zu einer Verletzung des Grundprinzips von Autonomie und Dezentralität. Es müsste sich eine Mehrheit der Community zusammentun und die Blockchain in einer abgestimmten Aktion zurücksetzen. Dies ist im The DAO zugrundeliegenden Statement aber eigentlich explizit ausgeschlossen worden. Die Mitglieder verstoßen in diesem Fall gegen die selbst auferlegten Regeln. So oder so: Der Vorfall wird Spuren hinterlassen und das Vertrauen in The DAO und Ethereum erschüttern.

Smart Contracts: nur smart ist zu wenig

Womit wir – um noch einmal auf Goethe zurückzugreifen – bei des Pudels Kern wären: Smart Contracts können noch so smart sein, wenn irgendein Detail fehlerhaft ist, benötigt man eine juristische Basis und entsprechende Institutionen, um korrigierend einzugreifen. Niemand sollte so borniert sein und behaupten, man könne ein solches System fehlerfrei gestalten. Smart Contracts bestehen aus Software und fehlerfreie Software gibt es nicht. Allenfalls gibt es Software, die eine bestimmte Konzeption fehlerfrei umsetzt. Wenn aber, wie im aktuellen Fall, der Fehler schon im Konzept liegt, hilft das wenig.

Dies alles ist kein Plädoyer für den Verzicht auf diese neuen Technologien. Sie werden eine wichtige Rolle in unserer zukünftigen Finanzwelt spielen. Es ist vielmehr eine Warnung an alle Technologie-Utopisten, dass die Zukunft, so smart sie auch erscheinen mag, ohne einige tragende Säulen aus der Vergangenheit und Gegenwart nicht stabil sein wird. Ohne Netz und doppelten Boden aus funktionierenden Rechtsstaaten und zentralen Institutionen, die die Einhaltung von Recht und Gesetz nicht nur nach den Buchstaben der Verträge, sondern auch nach ihrem Geist durchsetzen können, wird es nicht gehen. Auch die schöne neue Welt der dezentralen, sich selbst steuernden Systeme braucht die eine oder andere „old fashioned“ Institution.

 

Bildquelle: Shutterstock

Schreibe einen Kommentar

Ähnliche Artikel