Laura Shin gibt sich zuversichtlich, nachweisen zu können, wer für den Angriff auf „The DAO“ verantwortlich ist, bei dem es zum Diebstahl von 3,6 Millionen Ether gekommen war. Der Bestand wäre selbst nach dem aktuell recht bescheidenen Kurs von rund 2.580 US-Dollar satte 9,3 Milliarden Dollar wert. Damals lag der Ether allerdings bei rund zwölf Dollar, sodass der reale Verlust seinerzeit bei rund 43,2 Millionen Dollar gelegen hatte.

„The DAO“ war eine der ersten dezentralen autonomen Organisationen auf Ethereum und war als von Investoren gesteuerter Risikokapitalfonds angelegt. Der im April 2016 gestartete Token-Verkauf entwickelte sich rasch zu einer der größten Crowdfunding-Kampagnen der Geschichte. Schon einen Monat später hatte „The DAO“ knapp vierzehn Prozent aller damals im Umlauf befindlichen Ether-Coins auf sich vereinigt.

Wiederum nur einen Monat später ereignete sich dann die Katastrophe, die „The DAO“ letztlich zerstören und auch Ethereum selbst an den Rand der Katastrophe führen sollte. Bis dato unbekannte Angreifer schafften es, die Smart Contracts der Organisation zu kompromittieren und so ein Drittel der eingelegten Ether abzuziehen.

In einem bisher einmaligen Vorgehen entschloss sich die Ethereum-Foundation mit Unterstützung der Mehrheit der Ethereum-Community dazu, die Blockchain auf den Stand vor dem Hack zu resetten und so praktisch alle gestohlenen Ether wiederherzustellen. Damit waren viele nicht einverstanden, was dazu führte, dass das Ethereum-Netzwerk per Hard Fork in zwei Teile gespalten wurde. Die Gegner der DAO-Entscheidung führten die ursprüngliche Blockchain unter dem Namen Ethereum Classic fort. Der Vorgang bleibt als entscheidender Moment in der Geschichte Ethereums im Gedächtnis.

Nun soll nach Angaben der Krypto-Journalistin Laura Shin klar sein, wer den Angriff seinerzeit ausführte. Laut Shin soll es Toby Hoenisch, ein 36-jähriger österreichischer Programmierer und Mitbegründer und CEO von TenX gewesen sein, der auf Social Media den Handle @tobyai bevorzugt. Dabei soll Hoenisch den Coinjoin-Mischdienst von Wasabi Wallet genutzt haben, um die Herkunft der Coins zu verschleiern. Das Analyse-Unternehmen Chainalysis hat bestätigt, dass es in der Lage war, die Coins zu „entmischen“ und sie zu vier Börsen zurückzuverfolgen. Das berichtet Forbes am Dienstag.

Shin hat Hoenisch, dessen inzwischen gescheitertes Krypto-Debitkartenunternehmen TenX 2017 bei einem Initial-Coin-Offering (ICO) rund 80 Millionen Dollar eingenommen hatte, mit den Beweisen konfrontiert. Der hat die Vorwürfe zurückgewiesen und in einer E-Mail an Forbes geschrieben: „Ihre Behauptung und Schlussfolgerung ist sachlich nicht korrekt“. Angeblich soll Hoenisch versprochen haben, Gegenbeweise für die Behauptungen zu liefern. Dieses Versprechen ist laut Forbes nicht eingelöst worden. Stattdessen soll Hoenisch nach der Konfrontation nahezu seinen gesamten Tweet-Verlauf gelöscht haben.

Shin hingegen kann auf solide Indizien verweisen, die teils durch Chainalysis grundsätzlich bestätigt werden konnten. So hatte Shin unter anderem über On-Chain-Daten nachvollzogen, dass der Angreifer 50 Bitcoin auf eine Wasabi-Wallet transferierte, um sie dann unter Verwendung der nativen Coinjoin-Mischfunktion zu mischen. Das soll geschehen sein, um Spuren zu verwischen.

Mithilfe eines bisher nicht bekannten forensischen Tools soll das Blockchain-Analyseunternehmen Chainalysis dann in der Lage gewesen sein, die Wasabi-Transaktionen zu „entmischen“ und die gemischten Ausgaben zu vier Börsen zurückzuverfolgen. Ein Angestellter einer der Börsen soll dann bestätigt haben, dass die verschleierten Assets gegen den Privacy-Coin Grin getauscht und auf einen Grin-Knoten mit dem Namen „grin.toby.ai“ abgehoben wurden. Die IP-Adresse dieses Knotens soll auch die Bitcoin-Lightning-Knoten „ln.toby.ai“ und „lnd.ln.toby.ai“, sowie einen weiteren Knoten namens „TenX“ beherbergt haben. Die verwendete E-Mail-Adresse soll auf @toby.ai geendet haben.

Krypto-Mixer oder Tumbler sind Dienste, die verwendet werden, um die Nachvollziehbarkeit von Blockchain-Transaktionen zu verhindern. Das geschieht in der Regel mittels einer Art digitaler Fleißarbeit, bei der die Transaktionen in viele kleine Teile zerlegt und mit anderen vermischt werden. So wird es nahezu unmöglich, sie zu ihren ursprünglichen Eigentümern zurückzuverfolgen. Gerade bei öffentlichen, transparenten Blockchain-Systemen stellen Mixer-Dienste wie Coinjoin von Wasabi die einzige Möglichkeit dar, die Privatsphäre auf der Chain zu wahren.

Chainalysis sagt nicht exakt, wie es gelungen ist, die Assets trotz ihrer Behandlung per Mixer zurückzuverfolgen, bestätigt den Vorgang aber grundsätzlich: „Dies ist ein weiteres Beispiel für Beweise, die auf der Blockchain für immer erhalten bleiben. Wir bestätigen, dass wir geholfen haben, Gelder zurückzuverfolgen, obwohl der Angreifer versucht hat, seine Spuren mit Mixern zu verwischen.“

Das interessierte verständlicherweise den pseudonymen Erfinder des Wasabi-Mixers, der im Grunde wissen wollte, wie Chainaylsis dieser Coup gelingen konnte. Er schrieb: „Wie ist die exakte technische Vorgehensweise und wie können wir sie überprüfen?“

Chainalysis hat sich dazu nicht geäußert und wird das voraussichtlich auch künftig nicht tun. Umgekehrt hat sich Wasabi nicht offiziell zu einer möglichen Kompromittierung des Coinjoin-Mixers erklärt.