Von Sven Hildebrandt

Die besten Geschichten schreibt das Leben, heißt es. Und diese hier hat es wirklich in sich. Sie beinhaltet eine Schrecksekunde, einen Helden oder eine Heldin und ein Happy End. Doch das Schönste an ihr? Sie ist wahr.

Fangen wir chronologisch an. Am 10. August 2021 meldete das auf Blockchain-Interoperabilität spezialisierte Poly Network einen technisch extrem elaborierten Hack seines Ökosystems, der den Abfluss unterschiedlicher Kryptowerte mit einem Gegenwert von rund 600 Mill. Dollar zur Folge hatte. Die Blockchain-Community war entsprechend schockiert – handelte es sich doch um einen, je nach Lesart auch den größten Hack eines Smart Contract basierten Protokolls. Doch was dann passierte, war schier unglaublich. Der Hacker oder die Hackerin fing an, Nachrichten in Transaktionen zu verpacken. Im Gegensatz zu Satoshi Nakamoto, dem/der oder den Erfindern oder Erfinderinnen der Bitcoin-Blockchain, wurde allerdings keine Kritik am Finanzsystem geübt, sondern wurden stattdessen die Beweggründe des Hacks offengelegt. Und anheimgestellt, die „gestohlenen“ Kryptowerte wieder zurückzugeben. Komplett.

Die Entwickler des Poly Networks reagierten umgehend und stellten unterschiedliche Blockchain-Adressen für die Rücküberweisung der Token zur Verfügung. Wenige Stunden danach geschah das, womit wahrscheinlich niemand gerechnet hatte: Token im Gegenwert von rund 332 Mill. Dollar wanderten von den Wallets des Hackers oder der Hackerin in die Wallets von Poly Network. 235 Mill. Dollar landeten auf einer gemeinsam kontrollierten „Multisig-Wallet“. Auszahlungen von dieser Wallet konnten nunmehr ausschließlich dann stattfinden, wenn sowohl das Poly Network als auch der Hacker oder die Hackerin mit einem sogenannten Private Key die Transaktion signieren. Das bedeutet: Auch über diese Assets konnte der Hacker oder die Hackerin nun nicht mehr allein verfügen.  

Warum wurde dieser Weg ge­wählt? Ein Blick in die Nachrichten gab die ersten Hinweise. So stand in einer Nachricht geschrieben: „Provide the final key when everyone is ready“ – „Stelle den kompletten Schlüssel zur Verfügung, wenn alle bereit sind“. Augenscheinlich versuchte der Angreifer oder die Angreiferin jemanden unter Druck zu setzen. Doch wen? Liest man weiter, wird schnell klar, dass es um die 33 Mill. Dollar in „Tether“ geht. Tether ist ein sogenannter „Stablecoin“, dessen chinesische Emittentin be­haup­tet, jeden Tether 1:1 mit einem Gegenwert von 1 Dollar hinterlegt zu haben. Das Besondere: Durch die Gestaltung des ausgebenden Smart Contracts ist die Emittentin dazu in der Lage, die Bewegungen der Kryptowerte nach Belieben einzuschränken – also exakt das Gegenteil dessen zu tun, was sich die dezentralisierte Kryptowelt auf die Fahnen geschrieben hat. Und von genau diesem Mechanismus hat Tether Gebrauch gemacht, sehr zum Missfallen des Hackers oder der Hackerin.

In der letzten Nachricht – in welcher der Teil des Hackerinnen-Keys zu den verbleibenden 235 Milli. Dollar kommuniziert und somit in die alleinige Verfügungsgewalt von Tether übergeben wird – übt er oder sie dann auch deutliche Kritik an zentralisierten Systemen im Generellen, die – frei übersetzt – etwa so lautet: „Während der Verhandlungen war meine einzige Forderung – und auch der einzige Grund, warum ich die Assets nur langsam zurückerstattet habe, Tether freizuschalten. Meiner sehr persönlichen Ansicht nach wird die ganze Geschichte dadurch verdorben, dass Tether nicht dezentral ist. Es wäre doch ein perfektes Beispiel für den Aufbau von Vertrauen zwischen anonymen „Gegnern“ durch die Nutzung der Macht von Smart Contracts gewesen, wenn wir eine Chance gehabt hätten, mit Tether auf eine nicht zentralisierte Weise umzugehen.“   

Wir halten fest: Nicht nur wurde der Gesamtbetrag der „Beute“ wiedererstattet, auch die vom Poly Network gezahlte „Bug-Bounty-Prämie“ (eine gängige Methode, Sicherheitsforscher und -forscherinnen für das Auffinden von Sicherheitslücken zu belohnen) in Höhe von 500000 Dollar wurde komplett wieder zurücküberwiesen – mit dem Hinweis, diese doch bitte an die „Survivors“ des Hacks auszuzahlen.

In meinen Augen ist dieser Mensch auf vielen Ebenen ein Held oder eine Heldin. Aber man muss sich schon ein bisschen mit der Materie beschäftigen, um zu verstehen, warum er oder sie genau das ist – und welche Motivation sie oder er wirklich gehabt hat. Schließen möchte ich daher mit einer Nachricht an den Hacker oder die Hackerin, die hier zu finden ist: 0xaa3161EaF2258Fe4F6727A38CbE2607430793161. I have an idea that you might find interesting.