Skip to main content

Ex-TenX CEO im Verdacht des größten ETH-Hacks aller Zeiten

Am von

Laura Shin eine Journalistin und beliebte Moderatorin des „Unchained“ Podcasts veröffentlichte heute ihr neues Buch und gab im Zuge dessen bekannt, dass sie und ihr Team, während der Recherche dazu herausgefunden haben, wer der Schuldige hinter dem sogenannten DAO-Hack aus dem Jahr 2016 ist. Damals wurden von einem Unbekannten etwas mehr als 3,64 Millionen ETH gestohlen, was etwa 5% der damaligen Umlaufmenge ausmachte.

Shin glaubt nun in Tobias Hoenisch, dem ehemaligen Geschäftspartner von Krypto-Influenzer Julian Hosp, den Angreifer ausgemacht zu haben. Ihre Erkenntnisse fasste sie für Forbes in einem ausführlichen Artikel zusammen und veröffentlichte diesen ebenfalls heute.

„Wer hat The DAO gehackt? Meine exklusive Untersuchung, die auf der Berichterstattung für mein neues Buch „The Cryptopians: Idealism, Greed, Lies, and the Making of the First Big Cryptocurrency Craze (Idealismus, Gier, Lügen und die Entstehung des ersten großen Kryptowährungswahns), scheint auf Toby Hoenisch hinzuweisen, einen 36-jährigen Programmierer, der in Österreich aufgewachsen ist und zum Zeitpunkt des Hacks in Singapur lebte. Bislang war er vor allem für seine Rolle als Mitbegründer und CEO von TenX bekannt, das 2017 bei einem Initial Coin Offering 80 Millionen Dollar für die Entwicklung einer Krypto-Debitkarte einnahm – ein Versuch, der scheiterte.“

– Laura Shin

Der DAO-Hack

Da nur der geringste Anteil der Menschen, die sich heute für Kryptowährungen interessieren, bereits im Jahr 2016 im Markt aktiv war, möchten wir an dieser Stelle die damaligen Geschehnisse kurz und knapp zusammenfassen.

Etwa ein Jahr nach der Gründung des Ethereum Netzwerks war die DAO, eine dezentrale, autonome Organisation (daher auch der Name) mehr oder minder die einzige Smart Contract-Anwendung des Protokolls, die von Relevanz war. Gestartet als frühzeitlicher ICO respektive Tokensale wurde das Projekt im April 2016 zu einem der größten und erfolgreichsten Crowdfunding-Kampagnen in der Geschichte. Mehr als 15% aller damals verfügbaren ETH, mit einem damaligen Zwischenwert von etwa 250 Millionen US-Dollar, waren im Besitz der DAO.

Die DAO hatte sich ursprünglich zum Ziel gesetzt, ein neues dezentrales Geschäftsmodell für die Organisation kommerzieller und gemeinnütziger Unternehmen zu schaffen und wurde auf Open-Source Basis betrieben. Tatsächlich fand das Projekt nach besagtem Hack jedoch ein jähes Ende und war wohl für die zweitbekannteste Aufspaltung („Hard Fork“) in der Geschichte der Kryptowährungen verantwortlich.

Denn als es im Juni 2016 einem Angreifer, mutmaßlich Hoenisch, gelang, einen Programmierfehler im Smart Contract der DAO auszunutzen und etwa ein Drittel, der DAO-Gelder auf ein anderes Konto zu überweisen. Daraufhin kam es ungeachtet des Kurseinbruchs von mehr als 30% innerhalb der Ethereum-Community zu Meinungsverschiedenheiten darüber, wie mit dem Hack umgegangen werden sollte. Während einige Verfechter von „Code is law“ („der Programmcode gibt die Regeln vor“) den Angriff einfach als „shit happens“ hinnehmen wollten und weitermachen wollten wie bisher, war ein anderer Teil dafür, die Ethereum-Blockchain zurückzurollen und den Hack rückgängig zu machen. Die Streitigkeiten führten schlussendlich zu einer Aufspaltung des Netzwerks in Ethereum (ETH – die „manipulierte“ Version) und Ethereum Classic (ETC – die Version bei welcher der Hack noch Bestand hatte). Ausgehend vom heutigen ETC-Kurswert von ungefähr 27 US-Dollar, bedeutet dies, dass der Angreifer noch immer auf gestohlenen Coins im Wert von rund 90 Millionen US-Dollar sitzt.

Im September 2016 wurde schließlich der DAO-Token von allen namhaften entfernt und das Projekt war faktisch nicht mehr existent. Bis dato ist oder war die Identität des DAO-Hackers eines der größten Mysterien in der Geschichte des Krypto-Marktes.

Shins Erkenntnisse

Bitcoin-Podcasterin Laura Shin.
Quelle: Everipedia

Laura Shin und ihr Team behaupten nun, dieses alte Geheimnis gelüftet zu haben und beschreibt in ihrem Forbes-Artikel, wie sie zu der Behauptung gelangten, dass Tobias Hoenisch der mutmaßliche Hacker sein könnte.

Ausgangspunkt war ein Versuch des Hackers, die gestohlenen ETH beziehungsweise nun ETC über die Tauschbörse Shapeshift, welche damals noch ohne KYC und Verifizierungsverfahren funktionierte, in Bitcoin (BTC) umzuwandeln. Tatsächlich gelang es dem mysteriösen Angreifer auch ca. 200.000 ETC in 282 BTC zu tauschen, ehe Shapeshift die Handelsaufträge blockierte.

Dies sollte jedoch, sofern es sich tatsächlich um Hoenisch handelt, ein gwealtiger Fehler und der Anfang vom Ende gewesen sein. Den Blockchain-Analyse-Firmen Coinfirm und Chainalysis gelang es 50 dieser BTC ausfindig zu machen und nachzuverfolgen. Die Experten konnten feststellen, dass die Gelder durch sogenannte Coin-Mixing-Services getauscht und in den Privacy Coin „Grin“ umgewandelt wurden. Die Grin wurden daraufhin auf eine Node mit dem Namen grin.toby.ai abgehoben.

Über die IP-Adresse der Grin-Node konnte festgestellt werden, dass auf dieser auch eine Bitcoin- Lightinng Node mit dem Namen ln.toby.ai läuft und auf einem Server von Amazon Singapur gehostet wurde. Über den Lightning-Explorer 1ML wurde wiederum eine weitere Node zu dieser IP angezeigt. Eine Node mit dem Namen: TenX!

Die Person Toby Hoenisch

Dies bringt uns nun zur Person Tobias Hoenisch, denn bei fast jedem, der sich bereits im Jahr 2017 mit Kryptowährungen beschäftigte, dürfte bei den Schlagworten „Singapur“, „TenX“ und „Toby.ai“ ein Glöckchen klingeln.

Aber auch für alle anderen: Wer ist „Toby“ Hoenisch?

Der in Deutschland geborene und in Österreich aufgewachsene Computerspezialist dürfte den meisten Krypto-Anlegern noch als Geschäftspartner von Julian Hosp und Mitbegründer sowie CEO des Projekts „TenX“ bekannt sein. Damals sammelten Hosp und Hoenisch mehr als 80 Millionen US-Dollar aus der Crypto-Community ein, das Projekt wurde jedoch kurze Zeit später eingestampft und das Geld der Anleger, welches nicht für Gehälter und Co. ausgegeben wurde, ist ebenfalls bis heute verschollen.

Toby Hoenisch. Quelle: Twitter

Interessant ist, dass Hoenisch, wie Hosp, in Singapur lebt und auf gängigen Plattformen wie Twitter, Reddit, Github und LinkedIn das Handle @tobyai benutzt. Die Hinweise, dass es sich bei der gesuchten Person um Toby Hoenisch handeln könnte, verdichten sich.

Weitere Indizien

Im weiteren Verlauf ihrer Recherchen fand Shin heraus, dass sich Hoenisch bereits im Mai 2016, also noch vor dem DAO-Hack auf der Plattform Slack zu möglichen Schwachstellen und Angriffsszenarien äußerte. Nachdem er sich diesbezüglich mit einigen verantwortlichen Entwicklern ausgetauscht hatte und diese seine Bedenken herunterspielten, formulierte er insgesamt vier Medium-Beiträge, die das Thema „Schwachstellen der DAO“ aufgriffen.

In seinem Beitrag „TheDAO-a $150m lesson in decentralized governance“, heißt es, er habe sich dagegen entschieden ein eigenes Projekt auf der DAO zu starten, nachdem „große Sicherheitslücken“ aufgedeckt wurden und „die Schwere der Angriffsvektoren heruntergespielt“ wurde.

Er schrieb: „TheDAO ist live … und wir warten immer noch darauf, dass eine Warnung herausgegeben wird, dass es KEINE SICHERE MÖGLICHKEIT FÜR ABHEBUNGEN gibt!“

Fühlte sich Hoenisch also womöglich in seiner Ehre angekratzt, da seine Warnungen nicht ernst genommen wurde? Führte er selbst den Angriff durch, um zu beweisen, dass er recht hatte? Die Vermutung liegt zumindest nahe.

Dass Hoenisch sich außerdem öffentlich gegen eine Aufspaltung von ETH und ETC aussprach (logisch, so wurde die Beute seines virtuellen Raubzugs schließlich deutlich weniger wert) und bekennender Grin-Enthusiast war, runden das Gesamtbild aller Indizien ab.

Laura Shin hat mit ihren Enthüllungen nun mit Sicherheit weitere Untersuchungen losgetreten. In den kommenden Tagen, Wochen und Monaten, wird es sicherlich weitere Informationen zu den Geschehnissen geben. Schließlich ist Hoenischs Schuld noch nicht belegt und es handelt sich bisher nur um Vermutungen.

Hoenisch selbst antwortete auf Shins Anfragen bisher nicht.

Update 23.2.22

In einer ersten Version des Beitrags hatten wir Hoenischs ehemaligen Geschäftspartner Julian Hosp im Titel(-bild) mit aufgeführt. Da dies zu Missverständnissen führte, haben wir uns dazu entschieden, die Titelzeile sowie das Thumbnail entsprechend zu aktualisieren.


Empfohlen für Bitcoin

BitBox02

  • Sehr einfache Handhabung
  • USB „Typ C“ Unterstützung
  • Zusätzliche Sicherheit durch „Bitcoin only“ Version
  • Kann mit eigener Fullnode betrieben werden
  • Komplett Open Source
  • Bietet die Option die Mnemonic Phrase selbst zu erstellen (würfeln)
  • Aufgrund der Richtlinien von Apple leider nicht mit iPhones kompatibel (mit MacOS aber schon)
  • Unterstützt (bewusst) nur wenige verschiedene Kryptowährungen
  • Die Mnemonic Phrase (24 Wörter) kann optional und sicher auf einer SD Karte gespeichert werden