Wer erinnert sich noch an den Exploit der Krypto-Brücke Wormhole im vergangenen Jahr? Es ist erstaunlich, wie schnell die 320 Millionen US-Dollar Sicherheitslücke in Vergessenheit geriet. Es bleibt eines der Kunststücke des Sektors: Schulterzucken und weitermachen. Eine weitere Krypto-Devise lautet: “What goes around, comes around”. So schloss sich scheinbar auch dieser Kreis vergangene Woche.

Im Fokus stand dabei Oasis.app, eine Anwendung, die in direkter Verbindung mit dem beliebten DeFi-Protokoll MakerDAO steht. Wie sich herausstellte, war die Krypto-Trading-Firma Jump-Crypto in Kooperation mit Oasis.app in der Lage, rund 202 Millionen US-Dollar in einem Konterangriff gegen den damaligen Eindringling zu sichern. Was zunächst nach gelungener Krypto-Vollstreckung aussieht, trägt aber einen sauren Beigeschmack.

Better Call DeFi

Weder Oasis.app noch Jump machten einen allzu großen Aufriss bezüglich der Aktion. Schnell zeigte sich, wieso. Es folgte ein verhaltenes Statement von Oasis: Man habe am 21. Februar eine Anordnung vom obersten Gerichtshof Englands erhalten. Darin enthalten war die ungewöhnliche Aufforderung, “alle nötigen Maßnahmen zu ergreifen”, um die gestohlenen Gelder des letztjährigen Hacks zu sichern. Denn der Angreifer hatte sein Diebesgut im Anschluss auch durch die an Maker geknüpfte Anwendung verschoben.

Dies gelang jedoch nur, weil Oasis.app angeblich selbst eine “Sicherheitslücke” besaß, auf die White Hat Hacker schon am 16. Februar hinwiesen. Demnach war es möglich, die Admin-Schlüssel des Protokolls zu nutzen, um Gelder bestimmter Wallets zu beschlagnahmen – was auch prompt geschah. Die gesicherten Kryptowährungen wanderten jedoch direkt an die “autorisierte Partei”, Jump-Crypto. Die DeFi- und breitere Krypto-Community aber ist von diesem “unverhofften Glücksfall” weniger überzeugt.

DeFi-Ideale Adieu?

Als “totalen Witz” beschimpfte Krypto-Idealist Chris Blec die Aktion sogar auf Twitter. Und hinterfragte im selben Moment die Souveränität des gesamten DeFi-Sektors.

Auch Krypto-Investor und Kommentator Adam Cochran war nicht begeistert. So sehr ihn der Konter gegen den Hacker auch amüsierte – die Hintertür in “MakerDAOs Oasis Automation, die es ermöglichte, Vermögenswerte von Nutzer zu beschlagnahmen”, sei kein Grund zur Freude.

Die besagte Hintertür im Protokoll sei demnach keineswegs das Ergebnis eines Zufalls, so der Vorwurf der Skeptiker. In Zukunft wäre es nach diesem Präzedenzfall absehbar, dass mehr solcher “Gerichtsbeschlüsse” folgen. Vielleicht auch von Gerichten der USA, die der vermeintlichen “Dezentralität” vieler DeFi-Protokolle auf diesem Wege recht einfach einen Riegel vorschieben könnten. Lautet die neue Devise des DeFi-Sektors fortan etwa: “Kooperation um jeden Preis”?

“Wir betonen, dass dieser Zugang nur existierte, um die Vermögenswerte der Nutzer im Falle eines möglichen Angriffs zu schützen”, versicherte Oasis.app aber in ihrem Statement. “Zu keinem Zeitpunkt bestand die Gefahr, dass eine unautorisierte Partei Zugang zu den Vermögenswerten hatte”, hieß es weiter.

Gefahr der Zensur

MakerDAO sah sich von den Ereignissen gezwungen, sich von der verknüpften App öffentlich zu distanzieren. Man habe demnach “keine Kontrolle über die Frontend-Provider des Protokolls”. Stattdessen entwickle man lediglich das Protokoll um den Stablecoin DAI. Anwendungen wie Oasis.app aber stehe es frei, diesen für seine Anwendung zu nutzen. Zwar stimmt dies in der Theorie, jedoch ist Oasis.app ganz klar auf MakerDAO verlinkt. Unweigerlich verbinden Nutzer also die beiden Plattformen, weshalb die besagte “Unabhängigkeit” sicher nicht ganz offensichtlich ist.

Das viel größere Problem für den Sektor stellen aber die Administrator-Schlüssel zu den zahlreichen Smart Contracts des DeFi-Space dar. Inzwischen ist es hier nämlich gang und gäbe, den Code des Protokolls zu starten und einigen wenigen Entwicklern die administrative Verfügungsgewalt zu verleihen. Zwar bedarf es dann oft der Zustimmung aller Entwickler, um Änderungen am Smart Contract durchzuführen. Jedoch stellt auch diese kleine Gruppe von Individuen ein leichtes Ziel für Behörden dar. Um wahrhaftig dezentral zu sein und einer Zensur von außerhalb widerstehen zu können, ist stattdessen ein Modell ohne diese Schlüssel eine Überlegung wert. So wie es die Natur der Blockchain auch eigentlich vorsieht: wo kein Schlüssel, da auch keine Macht, die korrumpierbar ist.