Direkt zum Hauptinhalt

Smart Contracts wurden sicherer, Krypto wurde schlechter: Einblick in die Ära der Infrastrukturangriffe im 1. Quartal 2026

· 11 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Im 1. Quartal 2026 brachen Exploits von DeFi-Smart-Contracts im Vergleich zum Vorjahr um 89 % ein. Dennoch verlor Krypto etwa eine halbe Milliarde Dollar. Wenn das widersprüchlich klingt, ist es das nicht — es ist die wichtigste strukturelle Verschiebung in der Web3-Sicherheit seit The DAO. Die Fehler, die ein Jahrzehnt der Krypto-Schlagzeilen prägten, werden gelöst. Die Angreifer sind lediglich eine Ebene höher gezogen.

Der Web3-Sicherheitsbericht von Sherlock für das 1. Quartal 2026 nennt die Zahlen deutlich: DeFi-spezifische Exploits fielen im Vergleich zum 1. Quartal 2025 um etwa 89 %. Dies ist der bisher klarste Beweis dafür, dass Audits, formale Verifizierung und kampferprobter Code ihre Aufgabe erfüllen. Die parallele Zählung von Hacken beziffert die gesamten Web3-Verluste für dasselbe Quartal auf 482,6 Millionen US-Dollar, wobei allein Phishing und Social Engineering 306 Millionen US-Dollar davon in nur 44 Vorfällen verursachten. Der Schwerpunkt hat sich verschoben, und der Großteil der defensiven Strategien der Branche zielt in die falsche Richtung.

Die Audit-Ebene gewinnt. Die Operations-Ebene verliert.

Zehn Jahre lang drehte sich die Sicherheitsdebatte im Kryptobereich um Solidity. Reentrancy. Integer Overflow. Orakel-Manipulation. Durch Flash-Loans induzierte Zustandsverfälschungen. Eine ganze Branche — CertiK, Hacken, Trail of Bits, Sherlock, Spearbit, Cantina — entstand rund um die Disziplin, Fehler in bereitgestellten Verträgen zu finden, bevor Angreifer es taten. Formale Verifizierungs-Engines prüfen heute mathematisch jeden erreichbaren Zustand. Symbolische Executoren wie Mythril und Fuzzer wie Diligence Harvey simulieren Millionen von Transaktionssequenzen. KI-gestützte Reviewer wie QuillShield vergleichen Ergebnisse mit bekannten Exploit-Korpora.

Es hat funktioniert. Die Verluste auf der Smart-Contract-Ebene im 1. Quartal 2026 — also jene, die daraus resultieren, dass sich der Code selbst fehlerhaft verhält — sind nur noch ein Bruchteil dessen, was sie noch vor zwölf Monaten waren.

Doch hier ist die unbequeme Kehrseite der Medaille: Im Jahr 2025 machten Ausfälle bei der Zugriffskontrolle und Pannen in der operativen Sicherheit etwa 2,12 Milliarden US-Dollar aus, was rund 54 % der gesamten Web3-Verluste des Jahres von 3,95 Milliarden US-Dollar entspricht. Logikfehler in Smart Contracts trugen im Gegensatz dazu etwa 512 Millionen US-Dollar bei. Gemessen an der Anzahl der Vorfälle stellten Infrastrukturangriffe — Kompromittierung privater Schlüssel, Fehler im Cloud-Key-Management, Übernahme von Bridge-Validatoren — bereits 2025 die dominierende Kategorie dar. Das 1. Quartal 2026 ist schlichtweg das Quartal, in dem sich dieses Ungleichgewicht als neue Normalität gefestigt hat.

Drei Vorfälle erzählen die ganze Geschichte.

Fall 1: Der 282-Millionen-Dollar-Anruf bei der Hardware-Wallet

Am 10. Januar 2026 verlor ein einzelner Kryptowährungsinhaber mehr als 282 Millionen US-Dollar in Bitcoin und Litecoin an Angreifer, die sich als Kundensupport-Team von Trezor ausgaben. Die Mechanik war brutal einfach. Die Angreifer kontaktierten das Opfer über scheinbar legitime Trezor-Supportkanäle, führten es durch einen "Sicherheitsüberprüfungs"-Prozess und überzeugten es, seine Recovery Seed Phrase preiszugeben. Von da an leerte sich die Wallet von selbst: 1.459 BTC und etwa 2,05 Millionen LTC in wenigen Minuten.

Die On-Chain-Analyse von ZachXBT verfolgte den Weg der Geldwäsche. Der Angreifer schleuste gestohlene Bitcoins durch die erlaubnisfreie Cross-Chain-Liquidität von Thorchain, um sie in ETH, XRP und zurück in Litecoin umzuwandeln, und übertrug dann große Teile über eine Kette von Instant-Swap-Diensten nach Monero. Ermittler von ZeroShadow konnten einen kleinen Teil — etwa 700.000 US-Dollar — sicherstellen, indem sie die Gelder in Echtzeit markierten, bevor sie in Privacy-Assets transferiert wurden. Die anderen 99,7 % sind weg.

Beachten Sie, was hier nicht ausgenutzt wurde. Es wurde kein Smart Contract angegriffen. Kein Audit eines Protokolls ist gescheitert. Die Hardware von Trezor tat genau das, wofür sie entwickelt wurde. Die Schwachstelle lag in der Lücke zwischen einem verwirrten Menschen und einem überzeugenden Hochstapler, und kein Audit-Unternehmen der Welt ist darauf ausgerichtet, dies zu beheben.

Fall 2: Ein Cloud-Schlüssel, 25 Millionen Dollar in 17 Minuten gedruckt

Wenn der Trezor-Vorfall die menschliche Angriffsfläche offenlegte, so entlarvte der Hack von Resolv Labs am 22. März 2026 die infrastrukturelle. Resolv gibt USR heraus, einen Delta-neutralen synthetischen Stablecoin. Um seine Swap-Mechanik zu unterstützen, bewahrte das Protokoll einen privilegierten Signierschlüssel im AWS Key Management Service auf. Die Smart Contracts vertrauten diesem Schlüssel. Alles, was damit signiert wurde, war per Definition autorisiert.

Der Angreifer kompromittierte die AWS-KMS-Umgebung von Resolv — laut Post-Mortem-Analysen von Chainalysis und Halborn durch die Offenlegung von Cloud-Zugangsdaten und nicht durch eine Schwachstelle im Vertrag — und nutzte den SERVICE_ROLE-Schlüssel, um completeSwap mit überhöhten Ausgabebeträgen aufzurufen. Mit Einzahlungen von insgesamt etwa 100.000 bis 200.000 US-Dollar prägten sie ca. 80 Millionen USR-Token. Netto-Extraktion: etwa 25 Millionen US-Dollar. Netto-Schaden: erheblich mehr.

USR verlor seine Bindung und fiel von 1,00 US-Dollar auf etwa 0,20 US-Dollar, ein Einbruch um 80 %, bevor er sich in den folgenden Stunden auf etwa 0,56 US-Dollar erholte. Und dann setzte der Fehlermodus zweiter Ordnung ein. PeckShield-Analysten prägten den Begriff Shadow Contagion (Schattenansteckung), um zu beschreiben, was als Nächstes geschah: USR war als Sicherheit und als renditebringendes Asset in Morpho Blue, Euler und Fluid integriert. Als der Preis von USR implodierte, wurden dadurch abgesicherte Positionen liquidiert, ausgeliehene USR wurden uneinbringlich, und uneinbringliche Forderungen breiteten sich in drei Protokollen aus, die nach allen formalen Kriterien korrekt entwickelt worden waren.

Die Resolv-Verträge funktionierten exakt wie geschrieben. Die Audit-Berichte waren nicht falsch. Die Kompromittierung geschah eine Ebene unterhalb dessen, was die Audits erfassen konnten.

Fall 3: Eine sechsmonatige Geheimdienstoperation über 286 Millionen US-Dollar

Dann, am 1. April 2026, verlor das Drift Protocol – die größte Perpetual-Futures-DEX auf Solana – in etwa zwölf Minuten rund 286 Millionen US-Dollar, wobei der Großteil der Mittel innerhalb weniger Stunden auf Ethereum überbrückt (bridged) wurde. Elliptic, TRM und Chainalysis kamen bei der Zuordnung zum gleichen Ergebnis: UNC4736, der mit Nordkorea verbundene Cluster, der auch als AppleJeus und Citrine Sleet verfolgt wird.

Dies geschah nicht zufällig. Laut der eigenen Offenlegung von Drift nach dem Vorfall hatten die Angreifer etwa sechs Monate damit verbracht, sich als Quantitative-Trading-Firma auszugeben. Sie trafen Drift-Mitarbeiter auf Branchenkonferenzen. Sie zahlten mehr als 1 Million US-Dollar an seriös wirkendem Handelskapital ein. Sie schlugen einen Ecosystem Vault vor und integrierten diesen. Sie bauten Vertrauen so auf, wie es eine langfristige Betrugsoperation tut – geduldig, kostspielig und mit dem ausdrücklichen Ziel, nah genug an die Multisig-Unterzeichner heranzukommen, um deren Geräte zu kompromittieren.

Die technische Ausnutzung nutzte schließlich eine bösartige TestFlight-Beta-Anwendung und eine Schwachstellenkette mit VSCode / Cursor-Erweiterungen, um vorab signierte Multisig-Autorisierungen zu erhalten. Eine Migration des Security Councils ohne Zeitverzögerung (Zero-Timelock) – ein Governance-Mechanismus, der niemals ohne Verzögerung hätte existieren dürfen – eliminierte den letzten defensiven Kontrollpunkt des Protokolls. Als jemand den Vorfall bemerkte, hatte die Multisig bereits den Transaktionsbaum des Angreifers genehmigt.

Keine Menge an Solidity-Prüfungen (Audits) verhindert dies. Die Drift-Smart-Contracts laufen heute noch. Der Einbruch war eine sechsmonatige Human-Intelligence-Operation, die in einer einzigen signierten Transaktion endete.

Warum die Karte der Verteidiger falsch ist

Treten wir einen Schritt zurück. Im ersten Quartal 2026 sah die Verteilung der Krypto-Verluste in Dollar etwa so aus: Phishing und Social Engineering – 306 Mio. USD; Kompromittierung von privaten Schlüsseln (Private Keys) und Cloud-Schlüsseln – der größte Teil des Rests; reine Smart-Contract-Exploits – eine kleine Minderheit. Die Verteilung der Vorfallshäufigkeit neigt sich sogar noch stärker in Richtung Infrastruktur: 76 % der klassifizierten Vorfälle im 1. Quartal 2026 betrafen die Kompromittierung privater Schlüssel, Fehler beim Cloud-Key-Management oder die Übernahme von Bridge-Validatoren.

Die Verteidigungsausgaben der Branche entsprechen nicht dieser Verteilung. Ein typisches mittelgroßes DeFi-Protokoll gibt pro Audit-Zyklus vielleicht 200.000 bis 1 Million US-Dollar für die Überprüfung von Smart Contracts aus, und praktisch null für:

  • Cloud Security Posture Management für die AWS / GCP-Umgebungen, in denen seine Signierschlüssel gehostet werden.
  • Endpoint Detection and Response (EDR) auf den Laptops der Multisig-Unterzeichner.
  • Social-Engineering-Red-Team-Übungen gegen Support-Teams und Partnerbeziehungen.
  • Härtung der Lieferkette (Supply-Chain Hardening) für Build-Pipelines und IDE-Erweiterungen (die Drift-Angriffskette verlief über Cursor).
  • Incident-Response-Retainer, die in Minuten statt Stunden agieren können.

Vergleichen Sie das mit dem traditionellen Finanzwesen, das schätzungsweise 30 Milliarden US-Dollar jährlich für Banken-Compliance und Infrastruktursicherheit ausgibt. Die Audit-Branche im Krypto-Sektor ist beeindruckend gereift. Der Rest des Sicherheits-Stacks – der Teil, der tatsächlich dort ansetzt, wo Angreifer heute agieren – befindet sich in etwa auf dem Stand des Bankwesens der späten 1990er Jahre.

Drei Muster, die die nächsten 12 Monate prägen werden

Schatten-Ansteckung (Shadow Contagion) ist das neue systemische Risiko. Die Resolv-Kaskade durch Morpho Blue, Euler und Fluid ist kein Zufall – sie ist strukturell bedingt. Da Stablecoins, LSTs und Yield-Wrapper immer tiefer ineinandergreifen, wird ein Exploit in einem einzelnen zugrunde liegenden Asset zu einem Multi-Protokoll-Problem. Die Komponierbarkeit (Composability), die wir als Feature gefeiert haben, ist aus Sicherheitsperspektive eine ungesicherte Korrelation. Erwarten Sie, dass Protokolle beginnen, explizite „Kompositionsrisikoprämien“ in Kreditmärkten zu verlangen, und dass Index-Style-Aggregatoren damit beginnen, Echtzeit-Metriken für den „Exploit-Radius“ (Exploit Blast Radius) zu veröffentlichen.

Staatlich gesponserte Attribution ist kein Extremrisiko (Tail Risk) mehr – sie ist der Regelfall. Nordkoreanische Cluster erbeuteten allein im Jahr 2025 etwa 2,04 Milliarden US-Dollar aus dem Krypto-Sektor, etwas mehr als die Hälfte aller Verluste. Die Drift-Operation zeigt ihre Bereitschaft, sechsmonatige Zeitpläne für neunstellige Auszahlungen zu investieren. Die Annahme, dass DPRK-Bedrohungsmodelle etwas sind, gegen das nur große Börsen planen müssen, ist veraltet. Jedes DeFi-Projekt mit einer Multisig, einer Treasury von über 50 Millionen US-Dollar oder einem Ecosystem-Vault-Programm ist ein potenzielles Ziel.

Full-Stack-Sicherheitszertifizierungen werden zu einer Beschaffungsanforderung. Heute reicht ein „geprüft durch [renommierte Firma]“ aus, um auf den meisten Frontends und Aggregatoren gelistet zu werden. Innerhalb der nächsten zwölf bis achtzehn Monate ist zu erwarten, dass institutionelle Kapitalgeber, ETF-Emittenten und große Frontend-Aggregatoren Nachweise verlangen, die Cloud-Konfiguration, Schlüsselverwaltung, Endpunktsicherheit, Lieferkette und Resilienz gegen Social Engineering abdecken – nicht nur Solidity. Die ersten Protokolle, die diese Art von Full-Stack-Attestierung veröffentlichen, werden einen echten Vertriebsvorteil erlangen.

Die unangenehme Wahrheit über die 89 %-Zahl

Schlagzeilen wie „Smart-Contract-Exploits um 89 % gesunken“ klingen triumphierend. Das sind sie auch. Die Audit-Branche hat diesen Sieg verdient. Aber derselbe Datensatz erzählt eine parallele Geschichte, mit der sich die Verteidiger auseinandersetzen sollten: Angreifer handeln wirtschaftlich rational und werden immer das leichteste Ziel finden. Das Schließen der Contract-Ebene hat die Angriffsfläche lediglich auf private Schlüssel, Cloud-Infrastruktur, Support-Mitarbeiter und IDE-Erweiterungen verlagert.

Die gute Nachricht ist, dass fast jeder Angriffsvektor, der heute die Verluststatistiken dominiert, mit Techniken lösbar ist, die der breiteren Cybersicherheitsbranche seit Jahren bekannt sind – hardwareisolierte Signierung, obligatorische Transaktionssimulation, Verhaltensanalyse der Schlüsselnutzung, formale Bedrohungsmodellierung von Governance-Abläufen und kulturelle Praktiken rund um Social Engineering. Nichts davon ist experimentelle Forschung. Es ist alles Implementierungsarbeit, und fast nichts davon wird umgesetzt, weil Protokollteams ihre Budgets immer noch gegen das Bedrohungsmodell von 2022 planen.

Die Protokolle, die die nächsten zwei Jahre überleben, sind diejenigen, die einen einzigen Satz verinnerlichen: Das Audit war der einfache Teil.

BlockEden.xyz betreibt Produktions-Blockchain-Infrastruktur für Entwickler auf Sui, Aptos, Ethereum, Solana und über 25 weiteren Netzwerken. Wir behandeln Schlüsselverwaltung, Endpunkthärtung und Zugriffskontrolle mit der gleichen Sorgfalt wie unsere Node-Software. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die darauf ausgelegt ist, eine ganze Klasse von betrieblichen Risiken aus Ihrem Stack zu eliminieren.

Quellen

Share on Twitter