DAO-Hack (2016) Börsenlexikon Vorheriger Begriff: DAI (ERC-20 Stablecoin) Nächster Begriff: dApps (Decentralized Applications)

Ein Hack im Jahr 2016, bei dem ein Angreifer eine Schwachstelle im Smart Contract einer dezentralen autonomen Organisation auf der Ethereum-Blockchain ausnutzte, führte zu erheblichen Verlusten und einer kontroversen Spaltung der Blockchain in zwei separate Netzwerke.

Der DAO-Hack von 2016 war ein markantes Ereignis in der Geschichte der Blockchain-Technologie und gilt bis heute als einer der einflussreichsten Vorfälle in der Entwicklung von Ethereum. Er hatte nicht nur technische und wirtschaftliche Auswirkungen, sondern löste auch eine grundlegende Debatte über Dezentralisierung, Governance und den Umgang mit Sicherheitslücken in Smart Contracts aus. Die Ereignisse rund um den Hack führten letztlich zur Spaltung der Ethereum-Blockchain in zwei separate Netzwerke: Ethereum (ETH) und Ethereum Classic (ETC).

Hintergrund: Die DAO

The DAO (Decentralized Autonomous Organization) war ein Smart-Contract-basiertes Projekt, das im April 2016 auf der Ethereum-Blockchain gestartet wurde. Ziel war es, eine dezentrale Investment-Plattform zu schaffen, bei der Kapital demokratisch verwaltet und an Projekte verteilt wird – ohne zentrale Instanz oder klassische Geschäftsführung.

Das Konzept basierte auf folgenden Prinzipien:

  1. Token-Verkauf: Investoren konnten durch die Einzahlung von Ether (ETH) sogenannte DAO-Token erhalten.

  2. Stimmrechte: Mit diesen Token konnten sie über Projektvorschläge abstimmen, die zur Finanzierung eingereicht wurden.

  3. Kapitalverwaltung: Die Mittel (über 11 Millionen ETH) wurden von einem Smart Contract verwaltet und nur bei Mehrheitsbeschluss ausgeschüttet.

Der Token-Verkauf war ein enormer Erfolg: Innerhalb weniger Wochen sammelte The DAO etwa 150 Millionen US-Dollar ein – damals rund 14 % aller im Umlauf befindlichen ETH. Es war zu diesem Zeitpunkt die größte Crowdfunding-Kampagne der Geschichte.

Die Sicherheitslücke

Trotz des innovativen Ansatzes wies der Smart Contract von The DAO eine gravierende Sicherheitslücke auf. Diese betraf insbesondere die Funktion zur Auszahlung von Geldern – genauer gesagt die sogenannte „splitDAO“-Funktion, mit der ein Nutzer sich aus dem ursprünglichen DAO-Kontrakt „abspalten“ und seinen ETH-Anteil in einem neuen DAO-Contract verwalten konnte.

Die Schwachstelle bestand in einer fehlerhaften Reihenfolge der Transaktionsausführung innerhalb dieser Funktion:

  1. Zuerst wurden ETH an den Nutzer ausgezahlt.

  2. Danach wurde der interne Kontostand des Nutzers im Smart Contract aktualisiert.

Ein Angreifer konnte durch Reentrancy, also durch wiederholtes Aufrufen derselben Funktion während der Ausführung, den Auszahlungsvorgang mehrfach auslösen, bevor der Kontostand korrekt angepasst wurde. Dadurch konnte er ETH in großer Menge abziehen, ohne tatsächlich Anspruch darauf zu haben.

Der Angriff

Am 17. Juni 2016 begann ein bislang unbekannter Angreifer damit, systematisch ETH aus The DAO abzuziehen. Innerhalb kurzer Zeit wurden rund 3,6 Millionen ETH (entsprach etwa 50 Millionen US-Dollar) in einen sogenannten „Child DAO“ transferiert, der unter Kontrolle des Angreifers stand.

Wichtig ist, dass das Design des DAO-Vertrags vorsah, dass die Mittel aus einem Child DAO erst nach einer 30-tägigen Sperrfrist (Holding Period) endgültig verfügbar werden. Diese Frist sollte ursprünglich zur Abstimmung über Rückzahlungen dienen, wurde nun aber entscheidend für die Reaktionsmöglichkeiten der Ethereum-Community.

Reaktion der Ethereum-Community

Der Angriff löste eine sofortige und intensive Diskussion innerhalb der Ethereum-Entwickler- und Nutzer-Community aus. Dabei standen zwei Hauptoptionen zur Debatte:

  1. Keine Intervention: Die Blockchain bleibt unverändert. Der Smart Contract verhält sich – technisch gesehen – wie programmiert, auch wenn das Ergebnis ungewünscht ist. Diese Option entsprach der Maxime „Code is Law“.

  2. Intervention durch Fork: Durch eine Änderung im Protokoll (Hard Fork) kann der Zugriff auf die abgezogenen ETH verhindert und das gestohlene Vermögen an die ursprünglichen Investoren zurückgegeben werden.

Nach kontroversen Diskussionen entschied sich die Mehrheit der Community für Option 2. Am 20. Juli 2016 wurde ein Hard Fork auf Block 1.920.000 durchgeführt. Dieser implementierte einen speziellen Smart Contract, der die gestohlenen ETH an die ursprünglichen DAO-Teilnehmer zurücktransferierte.

Ethereum vs. Ethereum Classic

Der Hard Fork war technisch erfolgreich – jedoch nicht unumstritten. Eine Gruppe von Nutzern und Minern war der Ansicht, dass eine nachträgliche Änderung der Blockchain-Prinzipien der Idee von Unveränderlichkeit und Dezentralität widerspricht. Diese Gruppe verweigerte den Umstieg auf die neue Ethereum-Version und setzte die ursprüngliche Kette ohne Fork fort. Daraus entstand die Ethereum Classic (ETC) Blockchain, während die neue Chain den Namen Ethereum (ETH) behielt.

Seitdem existieren zwei Ethereum-Blockchains mit gemeinsamen Ursprung, aber unterschiedlichen Philosophien:

Merkmal Ethereum (ETH) Ethereum Classic (ETC)
Reaktion auf DAO-Hack Rückabwicklung durch Hard Fork Keine Änderung, gestohlene ETH bleiben
Philosophie Praktische Lösung mit Community-Konsens Strikte Prinzipientreue: „Code is Law“
Entwicklerunterstützung Starkes Ökosystem, Ethereum Foundation Kleinere Community, weniger Aktivität

Technische und rechtliche Konsequenzen

Der DAO-Hack hat mehrere weitreichende Folgen gehabt:

  1. Sicherheitsbewusstsein: Der Vorfall zeigte, dass selbst gut geprüfte Smart Contracts erhebliche Risiken bergen. Seitdem ist die Bedeutung von Smart-Contract-Audits, formaler Verifikation und Sicherheitsstandards deutlich gestiegen.

  2. Governance-Debatte: Die Frage, ob und wann dezentrale Systeme modifiziert werden dürfen, ist seither ein zentrales Diskussionsthema im Blockchain-Sektor.

  3. Rechtliche Unsicherheit: Die SEC (U.S. Securities and Exchange Commission) stufte The DAO in einem späteren Bericht als ein Angebot von Wertpapieren ein, das unter das US-Wertpapierrecht fällt – auch wenn keine Sanktionen folgten. Dies war ein Signal für die regulatorische Überwachung von Token-Angeboten.

Fazit

Der DAO-Hack von 2016 war ein Wendepunkt in der Geschichte der Blockchain-Technologie. Er machte nicht nur technische Schwächen sichtbar, sondern warf fundamentale Fragen über Dezentralität, Unveränderlichkeit und Community-Governance auf. Die Entscheidung zum Hard Fork führte zur Spaltung von Ethereum in zwei konkurrierende Blockchains und wirkt bis heute in technischen, wirtschaftlichen und philosophischen Fragen nach. Der Vorfall unterstreicht die Komplexität von dezentralen Systemen und bleibt ein Lehrbeispiel für Risiken, Entscheidungsprozesse und die Bedeutung sicherer Smart-Contract-Entwicklung.