Bag om det mystiske DAO-hack på 50 millioner dollars: »Det første hack, hvor alle tjente penge«

Illustration: leowolfert/Bigstock
Et hackerangreb mod blockchain-systemet TheDao gjorde både hacker og investorer rigere - men krævede brud med blockchain-filosofien.

Der er få begivenheder, som til fulde beskriver, hvor meget anderledes blockchain og virtuelle valuta er fra deres modparter i den fysiske verden. Men hacket af crowdfunding-platformen kaldet TheDAO er en af dem.

I sommer blev det blockchain-baserede TheDAO hacket og en sum på 50 millioner dollars blev hevet ud af systemet.

Griff Green, der er en af de få mennesker i verden, der har taget en kandidatgrad i virtuelle valutaer, var en del af startup-virksomheden Slock.it, der byggede TheDAO.

På it-konferencen Driving IT 2016, arrangeret af Ingeniørforeningen, fortalte han historien bag det spektakulære hack, der har gjort både hacker og investorerne rigere i sidste ende.

Læs også: Smuthul i blockchain-kontrakt kan have kostet investorer millioner i tab

TheDAO var egentlig bare det første trin i Slock.it's egentlige mål: at lave en platform, der lader mennesker dele ejendele, for, som Griff Green siger:

»Har vi virkelig brug for, at alle ejer en plæneklipper?«

Men det første trin viste sig at være en regulær rutsjetur for iværksætterne.

»Det gik spektakulært galt,« forklarer Griff Green ved konferencen i Ingeniørernes Hus.

Rekordstort crowfunding projekt

Men før det gik galt, gik det alt for godt.

TheDAO skulle i udgangspunkt være en crowdfunding-platform for Slock.it's projekt, men interessen for platformen var så stor, at holdet valgte at bygge den, så alle kunne bidrage med penge, indsende projektbeskrivelser og stemme om, hvem der skulle modtage penge fra fonden.

Resultatet blev utilsigtet verdens størte crowdfunding-projekt på rekordtid, fortæller Griff Green, der sammen med resten af Slock.it brugte lidt over et halvt år på at bygge platformen.

»Vi rejste 150 millioner dollars på en måned. Og det var vi overhovedet ikke klar til. Vi var fem mennesker, som i forvejen arbejdede konstant.«

Læs også: Blockchain: Penge, guldbeviser og skøder vil skifte hænder uden om banker og bureaukrati

Pengene kom i form af den virtuelle valuta Ether, der bruges på Ethereums blockchain, der har specialiseret sig som platform for smart contracts.

Summen svarede til 14 procent af den samlede mængde Ether i systemet, og derfor var der også mange øjne rettet mod systemet, fortæller Griff Green.

Omkring to uger efter indsamlingen bliver en kritisk sikkerhedsfejl afsløret. Fejlen gjorde det muligt at bede en smartcontract udbetale en pengebeholdning flere gange - før beholdning blev sat på nul.

Holdet bag TheDao vidste, at en side-kontrakt til hovedsystemet indeholdt fejlen. Men det ville tage to uger at rette. Og kort tid efter begyndte penge at blive trukket ud af TheDAO.

Læs også: Banker vil gøre fintech-trussel til redningsplanke

»Der forsvandt omkring ti millioner dollars i timen til at starte med. Pengene blev sendt til en anden smart contract, der ikke kunne åbnes i 41 dage,« forklarer Griff Green.

Hackeren kunne altså ikke trække Etheren helt ud af systemet. Og det gav netværket omkring Ethereum-blockcahinen tid til at blive enige om at foretage en såkaldt Hard Fork, hvor blockchainen splittes i to så at sige parallelle versioner: én, hvor hackeren har 50 millioner, og en, hvor pengene er flyttet tilbage til investorerne.

Samtig gik netværket sammen om at sænke hastigheden, hvormed hackeren sugede Etheren til sig, ved at overdænge systemet med transaktioner.

»Vi DDoS'ede vores eget netværk,« forklarer Griff Green.

En betændt beslutning

Det kunne have været enden på det hele, men en hard fork er ikke nogen triviel sag for en blockchain.

»Det var en betændt beslutning. Vi brød med en del af det filosofiske grundlag omkring en blockchain - at det ikke kan ændres eller omstødes,« forklarer Griff Green.

»Mange mente, at hackeren skulle beholde pengene - han havde stjålet det fair and square,« fortsætter han.

Læs også: Blockchain-revolution: Sådan fungerer tidens mest hypede teknologi

Andre så ifølge Griff Green det stjålne beløb som en bug bounty - en belønning for at afsløre et sikkerhedshul.

Uenigheden gjorde at den gren af blockchainen - hvor hackeren har penge - ikke som ventet blev droppet af Ethereum-netværket.

I stedet for at ende i en blidgyde blev begge paralelle virkeligheder videreført og dermed blev der effektivt skabt en ny blockchain - med en ny møntfod.

Alle blev rigere

Blockchainen - der har fået navnet Ethereum Classic - har altså effektivt fastholdt penge i hackerens hænder. Men samtidig fik holdet bag TheDAO tilkæmpet sig den øvrige mængde Ether på den nye kæde, og de summer blev fordelt mellem investorerne i den originale fond.

Fordi Etherens værdi afspejler efterspørgslen er de 150 millioner dollars i den rebelske blockchain-gren blevet til nærmere 13 millioner. Men det efterlader stadig en fortjeneste på 3 millioner dollars til hackeren - og en gevinst til alle investorer på 10 %.

Læs også: ITU laver blockchain-sommerskole: »Som at ramme et moving target«

Så sent som i sidste uge lykkedes det hackeren at hvidvaske 100.000 dollars af de indestående. Men måske ikke på en måde, der fuldkommen slører hans identitet, fortæller Griff Green.

Og selvom hackeren er meldt til politiet, er Green dog ikke sikker på, om hackeren virkelig gjorde noget forkert.

»Alle blev rigere, og ingen kom til skade. Jeg er ikke sikker på, at han skal straffes. «

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Czepluch

Det staves ethereum*

Derudover er jeg ikke enig i at alle blev rigere. Kursen på ether inden hacket lå på omkring €19 og den ligger nu på omkring €10, så selvom alle har fået 10% af den værdi i ETC, er det stadig ikke tæt på at være ligeså meget værd som det var før theDAO hack!

  • 1
  • 0
Magnus Boye Editor

Hej Jacob
Tak for kommentaren og rettelsen.
Ang. kursen på ether, så mener jeg ikke at peak-værdien på 19 euro er et helt retvisende sammenligningsgrundlag i denne sammenhæng. Tilføjer gerne en kursgraf til artiklen, så den kontekst er med.
Mvh.

  • 0
  • 0
Jacob Czepluch

Da der ikke er nogen tvivl om at grunden til at den faldt så meget, var the DAO hack, så synes jeg det er fair nok at bruge værdien på €19 som sammenligningsgrundlag. Ingen ved om den var fortsat til €100 eller om den var faldet endnu mere, hvis theDAO havde været en success, men det må være fair at antage, at når I siger at "alle blev rigere" på grund af hacket, så er det i forhold til tingene som de var inden hacket. Inden hacket var kursen i €19.

  • 1
  • 0
Log ind eller Opret konto for at kommentere