Direkt zum Hauptinhalt

KI-Agenten haben gerade 550 Mio. $ in Smart Contracts ausgenutzt – und es kostete nur 1,22 $ pro Angriff

· 8 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Für 1,22 wenigeralsderPreiseinerTasseKaffeekanneinKIAgentnuneinenSmartContractscannen,seineSchwachstelleidentifizierenundeinenfunktionierendenExploitgenerieren.DiesistkeintheoretischesSzenarioauseinemSicherheitsWhitepaper.EsistdasgemesseneErgebnisvonSCONEbench,demerstenBenchmark,derdieFa¨higkeitvonKIAgentenbewertet,echteSmartContractszuexploitieren,vero¨ffentlichtvonAnthropicundMATSFellowsForschernEnde2025.Bei405Vertra¨gen,diezwischen2020und2025tatsa¨chlichexploitiertwurden,erstelltenzehnFrontierKIModellekollektivschlu¨sselfertigeExploitsfu¨r207vonihnen,waszu550,1Millionen— weniger als der Preis einer Tasse Kaffee — kann ein KI-Agent nun einen Smart Contract scannen, seine Schwachstelle identifizieren und einen funktionierenden Exploit generieren. Dies ist kein theoretisches Szenario aus einem Sicherheits-Whitepaper. Es ist das gemessene Ergebnis von SCONE-bench, dem ersten Benchmark, der die Fähigkeit von KI-Agenten bewertet, echte Smart Contracts zu exploitieren, veröffentlicht von Anthropic und MATS Fellows-Forschern Ende 2025. Bei 405 Verträgen, die zwischen 2020 und 2025 tatsächlich exploitiert wurden, erstellten zehn Frontier-KI-Modelle kollektiv schlüsselfertige Exploits für 207 von ihnen, was zu 550,1 Millionen an simulierten gestohlenen Geldern führte.

Die Auswirkungen reichen weit über ein Forschungslabor hinaus. DeFi-Protokolle halten kollektiv über 100 Milliarden $ an Total Value Locked (TVL). Wenn sich die Exploit-Fähigkeit weiterhin alle 1,3 Monate verdoppelt — die Trajektorie, die die Daten von Anthropic zeigen — nähern sich die Sicherheitsannahmen, die dem On-Chain-Finanzwesen zugrunde liegen, einem Wendepunkt.

Einblick in SCONE-bench: Der erste auf Dollar lautende Exploit-Benchmark

Traditionelle Sicherheits-Benchmarks für Smart Contracts messen, ob eine KI eine Schwachstellenkategorie erkennen kann — Reentrancy, Oracle-Manipulation, Fehler in der Zugriffskontrolle. SCONE-bench verfolgt einen grundlegend anderen Ansatz.

Basierend auf dem DefiHackLabs-Repository umfasst es 405 Verträge auf Ethereum, der BNB Smart Chain und Base, die zwischen 2020 und 2025 in der Praxis tatsächlich exploitiert wurden. Jeder Test läuft in einem Docker-Container mit einer lokalen Blockchain, die am exakten Block des ursprünglichen Exploits geforkt wurde, um reproduzierbare Bedingungen zu gewährleisten.

Der Benchmark verlangt von den Modellen nicht, einen Fehlertyp zu klassifizieren. Er verlangt von ihnen, Geld zu stehlen.

Agenten interagieren mit der Sandbox-Umgebung über das Model Context Protocol (MCP), das ihnen Zugriff auf Tools zum Lesen von Vertragsquellcode, Abfragen des On-Chain-Status und Einreichen von Transaktionen gibt. Die Bewertungsgrundlage ist einfach: der Gesamtdollarwert der simulierten gestohlenen Gelder. Dieses auf Dollar lautende Bewertungssystem macht die Ergebnisse direkt mit der Ökonomie realer Exploits vergleichbar.

Als Forscher zehn führende KI-Modelle losließen — darunter Claude Opus 4.5, Claude Sonnet 4.5, GPT-5 und andere — waren die Ergebnisse ernüchternd. Die Modelle exploitierten kollektiv 51,11 % der Benchmark-Verträge.

Claude Opus 4.5 allein exploitierte 17 der Verträge, die nach seinem Wissensstichtag im März 2025 verletzt wurden, was 4,5 Millionen ansimuliertemWertentsprach.ZusammenmitClaudeSonnet4.5undGPT5erreichtendieExploitsnachdemStichtag4,6Millionenan simuliertem Wert entsprach. Zusammen mit Claude Sonnet 4.5 und GPT-5 erreichten die Exploits nach dem Stichtag 4,6 Millionen — ein Beweis dafür, dass diese Modelle Schwachstellen entdecken und ausnutzen können, die sie während des Trainings nie gesehen haben.

Die 1,22 $-Angriffsökonomie, die jedes Protokoll alarmieren sollte

Die Ökonomie der KI-gestützten Exploitation hat eine kritische Schwelle überschritten. Das Testen von GPT-5 gegen 2.849 kürzlich bereitgestellte BNB-Smart-Chain-Verträge kostete insgesamt 3.476 einDurchschnittvon1,22— ein Durchschnitt von 1,22 pro Vertrag. Bei diesem Preispunkt könnte ein Angreifer jeden neuen Vertrag, der auf einer großen Chain bereitgestellt wird, für Taschengeld scannen.

Die Effizienzgewinne beschleunigen sich. Bei der Analyse von vier Generationen von Claude-Modellen stellte Anthropic fest, dass die mittlere Anzahl der für einen erfolgreichen Exploit erforderlichen Token um 70,2 % zurückging. Praktisch ausgedrückt erhält ein Angreifer heute 3,4-mal mehr erfolgreiche Exploits für dasselbe Rechenbudget wie vor sechs Monaten.

Vielleicht am alarmierendsten: Als Forscher GPT-5 und Claude Sonnet 4.5 auf diese 2.849 kürzlich bereitgestellten Verträge ansetzten — von denen keiner bekannte Schwachstellen aufwies — entdeckten beide Agenten unabhängig voneinander zwei zuvor unbekannte Zero-Day-Bugs und generierten entsprechende Angriffsstrategien.

Der potenzielle Exploit-Wert aus diesen Zero-Days betrug 3.694 $. Klein nach DeFi-Standards, aber das Prinzip ist enorm wichtig: KI-Agenten spielen nicht nur bekannte Angriffe nach. Sie finden neue.

Im vergangenen Jahr verdoppelten sich die potenziellen Exploit-Einnahmen in der 2025er Teilmenge der Benchmark-Probleme etwa alle 1,3 Monate. Wenn diese Trajektorie anhält, schrumpft das Fenster zwischen der Bereitstellung eines Vertrags und der Fähigkeit einer KI, ihn zu knacken, rapide.

Vom Benchmark zur Realität: Der Moonwell-Vorfall

Die Brücke von Forschungs-Benchmarks zu realen Konsequenzen materialisierte sich am 17. Februar 2026, als das DeFi-Lending-Protokoll Moonwell eine Sicherheitsverletzung bekannt gab, die zu Verlusten von etwa 1,78 Millionen $ führte. Die Schwachstelle wurde auf eine Oracle-Fehlkonfiguration in KI-generiertem Code zurückgeführt — konkret Code, der von Claude Opus 4.6 mitverfasst wurde.

Der technische Fehler war täuschend einfach. Anstatt den cbETH/ETH-Wechselkurs mit dem ETH/USD-Preisfeed zu multiplizieren, verwendete der KI-generierte Code das rohe Wechselkursverhältnis, als ob es bereits in Dollar denominiert wäre. Das Ergebnis: cbETH wurde mit etwa 1,12 bewertetanstattseinestatsa¨chlichenWertesnahe2.200bewertet anstatt seines tatsächlichen Wertes nahe 2.200, was eine Kaskade schneller Liquidationen auslöste.

Der Moonwell-Vorfall wird weithin als der erste große DeFi-Exploit diskutiert, der direkt mit "Vibe Coding" in Verbindung steht — einem Entwicklungsansatz, der stark auf KI-generiertem Code mit minimaler menschlicher Aufsicht basiert. Er verdeutlicht eine doppelte Bedrohung: KI-Modelle werden gleichzeitig besser darin, Schwachstellen in bestehenden Verträgen zu finden und führen neue ein, wenn sie unvorsichtig für die Entwicklung eingesetzt werden.

Das defensive Wettrüsten: KI als Schutzschild, nicht nur als Schwert

Die Sicherheits-Community war nicht untätig. Im Februar 2026 veröffentlichte die Smart-Contract-Sicherheitsfirma Cecuro einen Benchmark, der zeigte, dass ein zweckgebundener KI-Sicherheitsagent Schwachstellen in 92 % von 90 ausgenutzten DeFi-Verträgen erkannte, was einem Exploit-Wert von 96,8 Millionen US-Dollar entspricht. Im Vergleich dazu erkannte ein Standard-GPT-5.1-Coding-Agent, der auf demselben zugrunde liegenden Modell lief, nur 34 % der Schwachstellen im Wert von 7,5 Millionen US-Dollar. Die Lücke resultierte nicht aus der reinen KI-Leistung, sondern aus der darüber liegenden domänenspezifischen Sicherheitsmethodik.

OpenAI und Paradigm starteten gemeinsam EVMbench, ein Test-Framework, das auf 120 kuratierten Schwachstellen aus 40 professionellen Audits basiert. EVMbench wurde entwickelt, um zu messen, wie gut KI Smart Contracts verstehen und sichern kann. Es greift auf offene Audit-Wettbewerbe und Paradigms eigenen Tempo-Audit-Prozess zurück und bietet eine standardisierte Methode zur Bewertung defensiver KI-Fähigkeiten.

Anthropic selbst hat SCONE-bench als Open Source veröffentlicht, mit der Begründung, dass Angreifer bereits starke finanzielle Anreize haben, proprietäre Exploit-Tools zu entwickeln. Das Zurückhalten defensiver Benchmarks würde legitime Sicherheitsforscher nur behindern. Durch die Veröffentlichung des Exploitation-Benchmarks möchte das Unternehmen das gesamte Sicherheits-Ökosystem in die Lage versetzen, Tests durchzuführen, zu iterieren und stärkere Abwehrmechanismen aufzubauen.

Das sich abzeichnende Muster ist klar: Allzweck-KI-Modelle sind gefährlich, wenn sie auf Smart Contracts angesetzt werden, aber spezialisierte Sicherheitsagenten – trainiert mit Fachwissen, Kenntnissen in formaler Verifizierung und sicherheitsspezifischen Tools – übertreffen sie defensiv deutlich. Der Wettlauf findet statt zwischen offensiven Fähigkeiten, die sich mit jeder neuen Modellgeneration automatisch verbessern, und defensiven Fähigkeiten, die bewusstes, expertenbasiertes Engineering erfordern.

Was Protokoll-Teams jetzt tun müssen

Die SCONE-bench-Ergebnisse und der Moonwell-Vorfall zeichnen zusammen ein klares Bild davon, wohin sich die Smart-Contract-Sicherheit entwickelt. Mehrere defensive Strategien werden unumgänglich:

  • Kontinuierliches KI-gestütztes Auditing: Statische, einmalige Audits reichen nicht aus gegen Bedrohungen, die sich mit jedem Modell-Release weiterentwickeln. Protokolle benötigen eine fortlaufende KI-Sicherheitsüberwachung, die mit dem Tempo der Verbesserungen offensiver Fähigkeiten Schritt hält.
  • Mehrschichtige Verifizierung für KI-generierten Code: Der Moonwell-Exploit zeigt, dass von KI verfasster Solidity-Code dieselbe – oder eine noch größere – Sorgfalt erfordert wie von Menschen geschriebener Code. Automatisierte Oracle-Validierung, formale Verifizierung und Adversarial Testing sollten Standard für jeden Codepfad sein, der die Preisgestaltung von Assets berührt.
  • Ökonomische Modellierung von Angriffskosten: Mit 1,22 US-Dollar pro Contract-Scan liegen die Kosten für einen Exploit nun weit unter der Mindestschwelle, die die meisten Bug-Bounty-Programme abdecken. Protokolle müssen ihre Sicherheitsökonomie neu bewerten und sicherstellen, dass Bounty-Werte und Versicherungsschutz die neue Kostenstruktur widerspiegeln.
  • Adversarial Benchmarking: Teams sollten ihre Verträge vor dem Deployment durch SCONE-bench und ähnliche Frameworks laufen lassen und KI-gestützte Exploit-Tests als Teil der Standard-Deployment-Pipeline betrachten.
  • Defense-in-Depth mit spezialisierten Agenten: Allzweck-KI kann zweckgebundene Sicherheitsagenten nicht ersetzen. Die Erkennungsrate von 92 % des spezialisierten Systems von Cecuro gegenüber 34 % beim Standard-GPT-5.1 unterstreicht die Bedeutung domänenspezifischer Sicherheitstools.

Der Wendepunkt für On-Chain-Sicherheit

Die Daten sind eindeutig. Die KI-Exploit-Fähigkeit gegen Smart Contracts wächst exponentiell – das Umsatzpotenzial verdoppelt sich alle 1,3 Monate, während die Kosten pro Angriff mit jeder Modellgeneration sinken. Die heute in Simulationen ausgenutzten 550 Millionen US-Dollar geben einen Vorgeschmack darauf, was morgen im Mainnet passieren könnte, wenn die Verteidigungsmaßnahmen nicht Schritt halten.

Doch dieselben KI-Fähigkeiten, die Exploits ermöglichen, treiben auch die stärksten Verteidigungstools an, die die Branche je hatte. Die Frage ist nicht, ob KI die Smart-Contract-Sicherheit umgestalten wird. Das hat sie bereits getan. Die Frage ist, ob die Entwickler, Auditoren und Protokolle, die über 100 Milliarden US-Dollar an On-Chain-Assets verwalten, die KI-gestützte Verteidigung mit derselben Dringlichkeit annehmen werden, mit der Angreifer die KI-gestützte Offensive nutzen.

Die Verdoppelungsrate von 1,3 Monaten lässt wenig Raum für Selbstgefälligkeit.

BlockEden.xyz bietet Blockchain-API-Infrastruktur auf Enterprise-Niveau für über 20 Netzwerke und hilft Entwicklern, auf sicheren Fundamenten mit zuverlässigem Node-Zugriff aufzubauen. Erkunden Sie unseren API-Marktplatz, um Ihre dApps mit einer auf Langlebigkeit ausgelegten Infrastruktur zu betreiben.

Share on Twitter