Vor ziemlich genau einem Monat habe ich ausführlich über The DAO aka das größte Crowdfunding-Projekt aller Zeiten™ geschrieben und das Projekt anschließend auch für Deutschlandradio Kultur eingeordnet. Mein Tenor war damals kritisch – zu viele drängende Fragen schienen mir im damaligen Geldrausch-Hype unbeantwortet. Ich hab The DAO daher damals in Anlehnung an die große Spekulationsblase zu Beginn des Jahrtausends als DAO(tcom)-Blase bezeichnet. Dieser Vergleich war treffend. Denn am Freitag ist die DAO-Blase geplatzt.

Und der Schaden könnte bedeutend größer sein, als dass „nur“ alle DAO-Hobby-Investoren ihre Einlagen verloren haben.

Was ist mit The DAO passiert?

Die Faktenlage ist ganz einfach. Irgendjemand hat am Freitag einen Smart Contract mit der DAO gemacht, der es ihm erlaubt sich Geld auszahlen zu lassen.

Warum ist das ein Problem?

Ist es eigentlich nicht, denn genau dafür – Auszahlungen per Smart Contract – wurde die DAO ja ins Leben gerufen. Allerdings ist besagte Person nicht dem dafür offiziell vorgesehenen Prozedere gefolgt, demzufolge die DAO-Investoren über jede Auszahlungen abstimmen, sondern hat die Auszahlungen eigenmächtig eingeleitet. Das konnte er, weil der Code der DAO es ihm erlaubte. Derselbe Code, dem alle Investoren ihr Geld anvertraut haben.

Dennoch fühlen sich nun viele (vor allem die Initiatoren der DAO rund um Slock.it) vor den Kopf gestoßen. Das ist menschlich verständlich, denn während alle anderen höflich anstehen, um die DAO-Community um Geld zu bitten (allen voran Slock.it selbst), drängelt sich hier jemand vor und erhebt nicht nur Anspruch auf den ganzen DAO-Kuchen, sondern beginnt auch gleich damit, ihn zu essen. Und weil ihm der Code der DAO das erlaubt und niemand zentral Kontrolle über diese Dezentrale Autonome Organisation hat, kann niemand etwas dagegen machen. Oder?

https://twitter.com/TECHNSAVE/status/731419507030249473

Und genau hier platzt die DAO-Blase. Nicht, weil ihr ganzes Kapital auf einen Schlag droht abgezogen zu werden. Sondern weil das einigen Menschen nicht gefällt. Sie fühlen sich gehackt, betrogen und bestohlen. Nur wurden Sie das überhaupt? Höchstwahrscheinlich nicht.

In Code we trust

Denn der Code der DAO, der Code, dem sie ihr Geld anvertraut haben, macht das, was er machen soll. Er führt einen Smart Contract aus. Diese Option haben die Entwickler selbst eingebaut. Möglicherweise unbeabsichtigt. Allerdings waren Sie sich ihrer Sache so sicher, dass sie ihren Code quasi zu einer unfehlbaren, selbsterklärenden Instanz erhoben haben.

„Nothing in this explanation of terms or in any other document or communication may modify or add any additional obligations or guarantees beyond those set forth in The DAO’s code.“ (daohub.org)

Zudem muss man ja davon ausgehen, dass tausende Investoren diesen Code geprüft und für solide genug befunden haben, um ihn mit Ether im Wert von ca. 150 Millionen US-Dollar auszustatten.

„By Creating DAO tokens through interaction with The DAO’s smart contract code, you expressly agree to all of the terms and conditions set forth in that code. If you do not understand or do not agree to those terms, you should not Create DAO tokens.“ (daohub.org)

Trotzdem wird dieser eine, ganz spezielle Smart Contract, obwohl er nicht gegen den Code der DAO verstoßen hat, von den Initiatoren nun auf einmal als schlecht stigmatisiert, als „Attacke“ bezeichnet und der, der ihn geschlossen hat, als „Hacker“ und „Dieb“.

https://twitter.com/bendavenport/status/743843436323758080

Demokratie ist toll, solange alle machen, was ich will.

Die DAO-Initiatoren beginnen zudem gegen diesen, aus ihrer Sicht schlechten, Smart Contract mobil zu machen und entwickeln gemeinsam und in Personalunion mit Ethereum-Entwicklern einen Plan, wie dieser eine, ganz spezielle Smart Contract nicht nur gestoppt, sondern komplett rückgängig gemacht werden soll. Die Idee: Mit Hilfe einer Fork will man das gesamt Ethereum-Netzwerk auf einen früheren Status zurücksetzen, updaten und damit verhindern, dass dieser spezielle Smart Contract jemals ausgeführt werden kann.

Die Fork liegt in der Büchse der Pandora

Diese Fork ist allerdings höchst umstritten. Zwar könnte man so den „beklauten“ DAO-Investoren all ihre Einlagen wieder zurückgeben. Allerdings ist die dafür nötige Fork ein äußerst schwerwiegender Eingriff, die ultima ratio, die nicht nur den Code verändert, sondern die Integrität des gesamten Ethereum-Projekts aufs Spiel setzt. Denn Ethereum lebt davon, dass es eben nicht mal einfach so verandert werden kann, nur weil sich ein paar Investoren verspekuliert haben und nun ihr Geld zurück wollen. Schließlich wurden alle Investoren im Vorfeld ausdrücklich gewarnt, dass die DAO ein Experiment ist, das scheitern und in einem Totalverlust enden kann.

„1. Risk of Security Weaknesses in The DAO’s Software

The DAO concept is both experimental in nature and unproven. There is a risk that, as an open source project, any contributor to The DAO’s software could introduce weaknesses or bugs into the DAO software, causing the loss of DAO tokens or ETH in one or more or even all of the DAO Token Holder’s accounts.“ (daohub.org)

Im Grunde könnte die Geschichte hier enden. Eigentlich sollte Sie es auch. Denn ganz nüchtern betrachtet ist das DAO-Experiment zu einem Ergebnis gekommen. Einem Ergebnis, das im Vorfeld nicht nur als möglich, sondern sogar als wahrscheinlich galt. Immerhin wurden noch in der Crowdfunding-Phase weitere ernstzunehmende Angriffs-Szenarien auf die DAO bekannt.

Aber dieses Ergebnis gefällt einigen Leuten eben nicht. Deshalb rufen sie nach Hilfe und wollen im Nachhinein die Rahmenbedingungen des Experiments so verändern, dass sie von Anfang an nicht verlieren hätten können. Ein durchaus rationales, wenngleich wundersames Verhalten, das an Ironie kaum zu überbieten ist.

Denn statt ihr eigenes Scheitern einzugestehen, setzen sie aus persönlichen Interessen lieber alles aufs Spiel. Der Wert von Ethereum halbierte sich jedenfalls durch die DAO-Krise zwischenzeitlich beinahe.

Gretchenfrage für Ethereum

Dennoch besteht Hoffnung für Ethereum. Denn auch wenn der Eindruck entstehen könnte – weder die DAO-Initiatoren, noch Ethereum-Gründer Vitalik Butrin können eigenmächtig eine Fork durchsetzen und damit bestimmen, dass das gesamte Netzwerk zurückgesetzt werden soll. Diese Entscheidung obliegt den Minern.

Das wiederum könnte sich als Rettung für Ethereum erweisen. Denn warum sollten die Miner die Integrität ihres Netzwerks und damit ihre eigene Investition in Hardware etc. für die Naivität anderer Investoren riskieren? Schließlich würde solch ein willkürlicher Fork-Präzedenzfall die ambitionierte Zukunft von Ethereum als zensur- und manipulationsresistentem „Welt-Computer“ aufs Spiel setzen. Und welche Bank würde schon einem Netzwerk vertrauen, dass mal eben alles auf Null setzt, nur weil sich ein paar Leute ungerecht behandelt fühlen?

Kein Code steht außerhalb des Rechtsstaates

Darüber hinaus gibt es noch einen ganz anderen Grund, anstelle einer Fork aus gekränktem Stolz lieber das beachtliche Lehrgeld zu zahlen und das DAO-Experiment offiziell für gescheitert zu erklären: den rechtlichen. Denn unter den gegebenen Umständen ist zweifelhaft, dass der vermeintliche „Hacker“ mit seinem speziellen Smart Contract überhaupt unrechtmäßig gehandelt hat. Eine Fork wiederum könnte ihn nun um seinen rechtmäßig erworbenen Besitz bringen.

Sollte diese Fork also tatsächlich kommen (wovon ich persönlich nicht ausgehe), sind die Folgen – nicht nur für die DAO und Ethereum – in keiner Weise absehbar. Es könnte auch für alle Beteiligten sehr, sehr hässlich werden. Denn noch ist nicht einmal klar, ob die Motive des vermeintlichen Angreifers nur monetär sind. Dieses, bislang nicht zweifelsfrei verifizierte Bekennerschreiben „To the DAO and the Ethereum community : Fuck you.“ jedenfalls deutet darauf hin, dass es um mehr gehen könnte als nur Geld.

Und das ist nur der Anfang. Denn längst schon laufen weitere Attacken auf die DAO.

Auch lesenswert:

• Ethereum: Hackerangriff auf den 150-Millionen-Fonds – Handelszeitung
• Thoughts on The DAO Hack – Hacking, Distributed
• Blockchain Company’s Smart Contracts Were Dumb – Bloomberg
• A Hacking of More Than $50 Million Dashes Hopes in the World of Virtual Currency – New York Times

 Bild: Evandro Felippe (CC BY 2.0)