Een hacker heeft tientallen miljoenen euro’s van het eerste zelfsturende bedrijf The DAO gestolen. Of dit geld is terug te halen, is nog onduidelijk. Mogelijk valt de ‘hack’ zelfs binnen de wet. De zaak laat de kwetsbaarheid van slimme contracten zien.
Dit bericht verscheen in De Ingenieur van juli. Het wordt geupdate zodra er meer bekend is over de hack van The Dao.
De cryptowereld is in rep en roer. Een hacker heeft 3,6 miljoen ether (een cryptovaluta vergelijkbaar met het bekendere bitcoin) gestolen uit de pot van het online crowdfundingplatform The DAO. Hier hadden mensen eind mei 11,5 miljoen ether (destijds zo’n 120 miljoen euro, de koers fluctueert) bij elkaar gebracht.
Op The DAO kunnen particulieren, net als bij een crowdfundingplatform, geld inleggen, waarna het verder als een zelfsturend bedrijf functioneert. Derden doen bij The DAO voorstellen voor nieuwe producten of diensten, waarna de investeerders stemmen of The DAO wel of niet hierin investeert. Vervolgens worden onderaannemers ingehuurd die het product gaan maken.
Het bijzondere van The DAO is vooral dat de bedrijfsvoering draait op slimme contracten. Alles is in algoritmes geprogrammeerd: de inschrijving, de investeringen, maar ook op welk moment winst wordt uitgekeerd en wie dan hoeveel geld krijgt. Dat verloopt allemaal automatisch. In deze algoritmes heeft de hacker een zwakheid ontdekt. Als een deelnemer zich wil terugtrekken uit The DAO, wordt in de software een functie aangeroepen die ‘splitDAO()’ heet. Die zorgt ervoor dat de geïnvesteerde munten worden overgeboekt naar de rekening van de gebruiker. Wat de hacker ontdekte, is dat deze functie recursief is te gebruiken: hij kan zichzelf aanroepen en dus keer op keer door dezelfde deelnemer worden gebruikt.
Op die manier kon de hacker een groot bedrag aan ethers uit de pot van The DAO halen. Het goede nieuws is dat deze cryptovaluta pas na 27 dagen is te incasseren in de vorm van echt geld. De programmeurs van The DAO hebben dus nog even om een oplossing te bedenken.
Bug
Dat wordt allerminst eenvoudig, want het is nog maar de vraag of de ‘hacker’ juridisch iets verkeerd heeft gedaan. Hoewel de meeste mensen deze actie zullen zien als diefstal, heeft hij of zij gehandeld binnen de grenzen van het contract.
Deze persoon heeft alleen een bug (een foutje) ontdekt in de code en daar gretig gebruik van gemaakt. ‘Omdat er in code altijd fouten zitten – en zeker in een vroeg stadium als bij The DAO – hadden de makers meer realistische verwachtingen moeten wekken. Helaas hebben ze ervoor gekozen om hun amper geteste code al los te laten in het wild, met alle gevolgen van dien’, zegt Tim Pastoor, bitcoinspecialist en oprichter van het bedrijf 2WAY.IO, dat zich richt op cryptografische identiteiten.
Deze opmerkelijke zaak heeft twee mogelijke uitkomsten, denkt ICT-jurist mr.ir. Arnoud Engelfriet. In het eerste scenario laten de programmeurs achter The DAO het zoals het is en zijn de investeerders dus hun geld kwijt. ‘Dan zouden de gedupeerde deelnemers The DAO hierop kunnen aanspreken. Maar ze hebben geen sterke zaak, want je zou kunnen zeggen dat ze het contract – in dit geval dus de regels code – waaraan ze zich hebben verbonden, beter hadden moeten lezen. Dan hadden ze de bug kunnen ontdekken.’
Update
Het tweede scenario is dat The DAO de transacties terugdraait door middel van een software-update. In dat geval zou de hacker The DAO kunnen aanklagen voor contractbreuk. ‘En mogelijk zelfs voor diefstal, want dan zou geld worden teruggehaald dat binnen het contract is verkregen. Juridisch is dit knap ingewikkeld, want er zijn geenzaken die erop lijken.’ De zaak houdt de gemoederen in ICT-kringen zeer bezig.
Volgens Engelfriet zit er een groter probleem achter. ‘We proberen steeds vaker menselijke processen te vatten in algoritmes. En ingenieurs denken rechtlijnig, terwijl bij het toepassen van de wet een redelijke afweging nodig is. Wanneer je contracten gaat vatten in algoritmes, ontbreekt meestal de redelijkheidstoets die de wet gebruikt. De uitdaging is: hoe gaan we dit oplossen?’
Nieuwsbrief
Vond je dit een interessant artikel, abonneer je dan gratis op onze wekelijkse nieuwsbrief.