"Bittet, so wird Euch gegeben", sagt Jesus in der Bergpredigt. Es kann wirklich so einfach sein, wie das dezentrale Kryptoprojekt PeopleDAO schmerzlich erfahren hat: Ein Schlaumeier hat sich selbst in die Auszahlungstabelle eingetragen – und hat diese Tabellenzeile versteckt. Das geht leicht, weil das eine übliche Funktion in Tabellenbearbeitungsprogrammen ist. Der Trick hat tatsächlich funktioniert.

PeopleDAO macht regelmäßig kleine Auszahlungen an Teilnehmer. Organisiert wird das über eine Tabelle, die mit Google Sheets erstellt wird. Das Team kommuniziert unter anderem über eine Discord-Instanz. Dort hat einer der Verantwortlichen einen Hyperlink zu dem Google Sheet gepostet – allerdings irrtümlich einen Link, der die Bearbeitung der Tabelle ohne Passwort erlaubte. Das hat ein Unbekannter gleich ausgenutzt und eine Zeile hinzugefügt, laut der mehr als 76,5 Ethereum an ein bestimmtes Wallet zu überweisen wären.

Diese Zeile hat er sogleich ausgeblendet, so dass bei einem einfachen visuellen Check Zeile 81 nicht aufschien. Die Daten sind da, werden aber nur angezeigt, wenn der Betrachter das auswählt.

DAO DAO steht übersetzt für dezentrale autonome Organisation – vereinfacht gesagt eine Form der Organisation, die Entscheidungen, Prozesse und ihre finanziellen Mittel über eine Blockchain verwalten will. Das ist schwieriger und riskanter, als Teilnehmer gemeinhin annehmen.

Die Überweisung erfolgt natürlich nicht automatisch. PeopleDAO hat neun Zeichnungsberechtigte, von denen sechs zustimmen müssen. Keinem ist die "fehlende" Zeile oder die viel zu hohe Gesamtsumme aufgefallen, berichtet das Projekt selbst. So gingen die Kryptomünzen im Gesamtwert von zirka 120.000 US-Dollar auf die Reise.

Diese Lehren zieht PeopleDAO

PeopleDAO ist beim FBI, der US-Handelsbehörde FTC sowie jenen beiden Kryptobörsen vorstellig geworden, auf die die erschlichenen Kryptomünzen weitergeleitet wurden. Der Schlaumeier war vielleicht doch nicht so schlau: Sollten die Konten bei den Kryptobörsen korrekt auf seinen Namen registriert worden sein, wie da Vorschrift ist, dürfte er zu finden sein. Wahrscheinlich ist die Person vom Erfolg ihres Scherzes selbst überrascht. Gleichzeitig stellt PeopleDAO dem irreführend als "Hacker" Bezeichneten eine Belohnung von zehn Prozent in Aussicht, sollte er die Überweisung freiwillig zurückschicken.

Und die Verantwortlichen ziehen drei ganz erstaunliche Lehren: Erstens wollen sie den Zugriff auf die für die Kontoführung genutzte Tabelle "strikt absichern" (anstatt vielleicht ein besser geeignetes System zu verwenden). Zweitens sollen die Zeichnungsberechtigten alle Details prüfen, bevor sie zeichnen (schlau!). Drittens wollen sie das User Interface verbessern, damit es den freizugebenden Gesamtbetrag anzeigt (innovativ!).

PeopleDAO wurzelt in Missverständnis

PeopleDAO geht auf die ConstitutionDAO zurück. Dieses Projekt sammelte 2021 in Windesweile meh als 40 Millionen Dollar, um damit einen der 13 erhaltenen Originaldrucke der US-Verfassung zu ersteigern. Damit war öffentlich bekannt, bis zu welchem Betrag ConstitutionDAO mitsteigern würde – die Initiatoren hatten die Mechanismen hinter Versteigerungen offenbar nicht erkundet. Am Ende ersteigerte jemand anderer das Dokument.

ConstitutionDAO wurde mit den eingezahlten Kryptomünzen jener Spender, die keine Rückerstattung beantragten, zu PeopleDAO weiterentwickelt. Weil die Spenden mit Kryptowährung erfolgten, waren die Überweisungsgebühren sehr hoch, so dass sich die Rückerstattung oft nicht rechnete. Jetzt ist die DAO ein Inkubator, der helfen möchte, weitere – hoffentlich erfolgreichere – DAO aufzubauen.

