20 juni 2016 12:51

Hacker claimt rechtmatig bezit 53 miljoen dollar gestolen cryptogeld

Ethereum, een nieuw soort cryptovaluta, kent nu al een gigantische geldroof. De nieuwe eigenaar dreigt met juridische acties als zijn fortuin hem ontnomen wordt.

Cryptovaluta is voor velen onontgonnen terrein. Terwijl traditionele geldmiddelen een lange geschiedenis kennen, zijn er nog vele elementen waar nieuwe valuta rekening mee moeten hebben. Zo’n gebrek aan ervaring leidt wel vaker tot het verlies van miljoenen aan hackers en hackers die beweren dat ze geen hackers zijn. Ook Ethereum ondervindt nu aan den lijve dat een nieuwe munt opzetten niet gaat zonder slag of stoot.

Geen Bitcoin

Ethereum is een Bitcoin-achtige munt die zich eveneens baseert op een zogenaamde blockchain. Het verschil tussen de twee is dat Bitcoin werkt met centrale software die enkel door ontwikkelaars kan worden geïmplementeerd, nadat het merendeel van de gebruikers democratisch beslist hebben dat ze de verandering willen. Ethereum staat gebruikers toe dat ze zelf aan de slag gaan met de broncode.

Zo kan elke gebruiker zelf nieuwe functies uitvinden voor het geld, zoals bijvoorbeeld contracten die vasthangen aan een rekening. Eén van de organisaties die gebruik maken van zo’n contracten, de Decentralized Autonomous Organization a.k.a DAO, heeft door een fout in de code bovenop de broncode zo 53 miljoen dollar verloren.

Gebrek aan ervaring

De bug komt voor omdat de code niet inherent is aan de broncode, een probleem dat te wijten valt aan een gebrek aan ervaring. De ontwikkelaars moesten destijds hun systeem ontwikkelen terwijl ervaring en ‘best practices’ nog niet bestonden voor cryptogeld. Het gevolg is dat hackers ruim de tijd kregen om gevoeligheden te onderzoeken en ontdekken.

[related_article id=”179515″]De ontwikkelaars van de broncode hebben ondertussen de rekening gevonden waar het geld naartoe werd versluisd, maar kunnen voorlopig nog niets doen. Het geld moet volgens de regels van de Ethereum-kunst ten minste 27 dagen na een transactie op een rekening blijven staan alvorens het kan omgezet worden naar bijvoorbeeld dollars. De ontwikkelaars bekijken daarom hoe ze binnen de komende 26 dagen het geld weer kunnen terugvorderen.

Eén mogelijkheid is om een nieuw stukje code toe te voegen aan het systeem, waardoor het gestolen geld onbruikbaar wordt gemaakt. Daarvoor zijn de ontwikkelaars momenteel de steun van de gemeenschap aan het vergaren.

Goed gedaan!

De persoon die het geld gestolen heeft (althans, de persoon die beweert dat hij dat gedaan heeft, niet iedereen is het erover eens dat deze persoon de waarheid spreekt) laat weten dat hij wel degelijk de rechtmatige nieuwe eigenaar van het geld is. Hij zegt dat de manier waarop hij het contract van DAO wist uit te buiten, niet in strijd is met de regels van het contract. De hacker noemt zichzelf dan ook geen hacker en laat weten verontwaardigd te zijn door zij die hem wel zo noemen.

Emin Gün Sirer, een cryptograaf van Cornell, geeft de man gelijk: “Als de hacker geld was kwijtgeraakt door een fout, zou de DAO het opvorderen, hem waarschijnlijk vertellen dat hij zijn geld kwijt is, en dat dit kan gebeuren in een nieuwe wereld van programmatische geldstromen. Het zou dan ook niet meer dan eerlijk zijn als ze de man nu zouden feliciteren voor een job well done.”

De persoon die claimt verantwoordelijk te zijn voor de geniale hack laat nog weten dat hij DAO dankbaar is voor het geld. Hij waarschuwt ook nog dat hij gerechtelijke stappen zal ondernemen als iemand probeert om zijn nieuw verworven kapitaal af te snoepen.