Bag om det mystiske DAO-hack på 50 millioner dollars: »Det første hack, hvor alle tjente penge«

Der er få begivenheder, som til fulde beskriver, hvor meget anderledes blockchain og virtuelle valuta er fra deres modparter i den fysiske verden. Men hacket af crowdfunding-platformen kaldet TheDAO er en af dem.

I sommer blev det blockchain-baserede TheDAO hacket og en sum på 50 millioner dollars blev hevet ud af systemet.

Griff Green, der er en af de få mennesker i verden, der har taget en kandidatgrad i virtuelle valutaer, var en del af startup-virksomheden Slock.it, der byggede TheDAO.

På it-konferencen Driving IT 2016, arrangeret af Ingeniørforeningen, fortalte han historien bag det spektakulære hack, der har gjort både hacker og investorerne rigere i sidste ende.

TheDAO var egentlig bare det første trin i Slock.it's egentlige mål: at lave en platform, der lader mennesker dele ejendele, for, som Griff Green siger:

»Har vi virkelig brug for, at alle ejer en plæneklipper?«

Men det første trin viste sig at være en regulær rutsjetur for iværksætterne.

»Det gik spektakulært galt,« forklarer Griff Green ved konferencen i Ingeniørernes Hus.

TheDAO

DAO står for Decentralized Automative Organisation. TheDAO er bare en type DAO. Den først kendte DAO er Bitcoin.

DAO bygger på blockchain-understøttede smart contracts. En simpel måde at implementere systemet på er at give en token for hver krone, der smides ind i systemet. Herefter kan netværket bruge tokens på at stemme på, hvad pengene skal gå til - sandsynligvis inden for aftalte rammer som f.eks. nødhjælp, startup-funding eller open source-udvikling.

Ethereum Classic

Denne gren af Ethereum-blockchainen opstod som følge af en såkaldt hard fork, der skulle redde 50 millioner dollars fra at blive stjålet af hackere. Holdet bag Ethereum Classic fastholder, at transaktioner på blockchainen ikke kan gøres om.

Ethereum kursudvikling

(https://www.worldcoinindex.com/coin/ethereum)]

Rekordstort crowfunding projekt

Men før det gik galt, gik det alt for godt.

TheDAO skulle i udgangspunkt være en crowdfunding-platform for Slock.it's projekt, men interessen for platformen var så stor, at holdet valgte at bygge den, så alle kunne bidrage med penge, indsende projektbeskrivelser og stemme om, hvem der skulle modtage penge fra fonden.

Resultatet blev utilsigtet verdens størte crowdfunding-projekt på rekordtid, fortæller Griff Green, der sammen med resten af Slock.it brugte lidt over et halvt år på at bygge platformen.

»Vi rejste 150 millioner dollars på en måned. Og det var vi overhovedet ikke klar til. Vi var fem mennesker, som i forvejen arbejdede konstant.«

Pengene kom i form af den virtuelle valuta Ether, der bruges på Ethereums blockchain, der har specialiseret sig som platform for smart contracts.

Summen svarede til 14 procent af den samlede mængde Ether i systemet, og derfor var der også mange øjne rettet mod systemet, fortæller Griff Green.

Omkring to uger efter indsamlingen bliver en kritisk sikkerhedsfejl afsløret. Fejlen gjorde det muligt at bede en smartcontract udbetale en pengebeholdning flere gange - før beholdning blev sat på nul.

Holdet bag TheDao vidste, at en side-kontrakt til hovedsystemet indeholdt fejlen. Men det ville tage to uger at rette. Og kort tid efter begyndte penge at blive trukket ud af TheDAO.

»Der forsvandt omkring ti millioner dollars i timen til at starte med. Pengene blev sendt til en anden smart contract, der ikke kunne åbnes i 41 dage,« forklarer Griff Green.

Hackeren kunne altså ikke trække Etheren helt ud af systemet. Og det gav netværket omkring Ethereum-blockcahinen tid til at blive enige om at foretage en såkaldt Hard Fork, hvor blockchainen splittes i to så at sige parallelle versioner: én, hvor hackeren har 50 millioner, og en, hvor pengene er flyttet tilbage til investorerne.

Samtig gik netværket sammen om at sænke hastigheden, hvormed hackeren sugede Etheren til sig, ved at overdænge systemet med transaktioner.

»Vi DDoS'ede vores eget netværk,« forklarer Griff Green.

En betændt beslutning

Det kunne have været enden på det hele, men en hard fork er ikke nogen triviel sag for en blockchain.

»Det var en betændt beslutning. Vi brød med en del af det filosofiske grundlag omkring en blockchain - at det ikke kan ændres eller omstødes,« forklarer Griff Green.

»Mange mente, at hackeren skulle beholde pengene - han havde stjålet det fair and square,« fortsætter han.

Andre så ifølge Griff Green det stjålne beløb som en bug bounty - en belønning for at afsløre et sikkerhedshul.

Uenigheden gjorde at den gren af blockchainen - hvor hackeren har penge - ikke som ventet blev droppet af Ethereum-netværket.

I stedet for at ende i en blidgyde blev begge paralelle virkeligheder videreført og dermed blev der effektivt skabt en ny blockchain - med en ny møntfod.

Alle blev rigere

Blockchainen - der har fået navnet Ethereum Classic - har altså effektivt fastholdt penge i hackerens hænder. Men samtidig fik holdet bag TheDAO tilkæmpet sig den øvrige mængde Ether på den nye kæde, og de summer blev fordelt mellem investorerne i den originale fond.

Fordi Etherens værdi afspejler efterspørgslen er de 150 millioner dollars i den rebelske blockchain-gren blevet til nærmere 13 millioner. Men det efterlader stadig en fortjeneste på 3 millioner dollars til hackeren - og en gevinst til alle investorer på 10 %.

Så sent som i sidste uge lykkedes det hackeren at hvidvaske 100.000 dollars af de indestående. Men måske ikke på en måde, der fuldkommen slører hans identitet, fortæller Griff Green.

Og selvom hackeren er meldt til politiet, er Green dog ikke sikker på, om hackeren virkelig gjorde noget forkert.

»Alle blev rigere, og ingen kom til skade. Jeg er ikke sikker på, at han skal straffes. «