Direkt zum Hauptinhalt

Aaves SOC 2 Type II: Wie das erste Enterprise-Compliance-Audit von DeFi institutionelles Kapital freisetzt

· 12 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Seit einem Jahrzehnt endete jedes DeFi-Pitch-Deck vor einer Bank an der gleichen Wand. Der TVL des Protokolls war gewaltig, die Smart-Contract-Audits stapelten sich fünfmal hoch und die Renditen waren besser als alles, was das Institut am eigenen Desk erwirtschaften konnte. Dann stellte das Beschaffungsteam eine einzige Frage — „Wo ist Ihr SOC 2?“ — und das Geschäft kam zum Erliegen.

Im April 2026 beantwortete Aave Labs diese Frage. Das Team hinter dem größten dezentralen Kreditprotokoll erhielt das SOC 2 Typ II Testat, das Sicherheit, Verfügbarkeit und Vertraulichkeit für Aave Pro, Aave Kit und die Aave App abdeckt. Es ist das erste Mal, dass ein erstklassiges DeFi-Protokoll dieselbe Hürde für operative Kontrollen genommen hat, die von Enterprise-SaaS-Anbietern, Cloud-Plattformen und regulierter Finanzinfrastruktur verlangt wird.

Dies ist keine Pressemitteilung, über die sich Krypto-Enthusiasten instinktiv freuen werden. Es gibt keinen Token-Unlock, keinen TVL-Anstieg, keinen Airdrop. Aber für die Risikoausschüsse der Banken, die Compliance-Beauftragten der Vermögensverwaltung und die Treasury-Abteilungen von Unternehmen, die DeFi zwei Jahre lang umkreist haben, ohne tatsächlich einsteigen zu können, beseitigt die Zertifizierung eines der letzten strukturellen Hindernisse. Und sie verändert das, was unter „trustless“ verstanden werden darf.

Warum ein SaaS-Audit-Standard in DeFi plötzlich wichtig ist

SOC 2 — das vom AICPA verwaltete System and Organization Controls Framework — ist die Zertifizierung, die darüber entscheidet, ob Beschaffungsteams von Unternehmen Ihnen die Tür öffnen. Jeder B2B-SaaS-Anbieter der Größenordnung von Slack steht oder fällt damit. Typ I besagt, dass Sie über Kontrollen verfügen; Typ II besagt, dass diese Kontrollen über einen längeren Beobachtungszeitraum von sechs Monaten oder mehr tatsächlich kontinuierlich funktioniert haben.

Das Aave-Testat untersuchte Berichten zufolge die Entwicklungs-Workflows, Software-Schutzmaßnahmen, Informationsverarbeitungsverfahren und operativen Praktiken, die auf den Release-Lebenszyklus des Protokolls angewendet werden. Das ist die unsexy operative Maschinerie: wie Ingenieure Zugang zur Produktion erhalten, wie Vorfälle erkannt und eskaliert werden, wie Datenflüsse dokumentiert werden und wie das Änderungsmanagement genehmigt wird.

DeFi hat sich in der Vergangenheit mit einem vernünftigen Argument gegen diese Art der Bewertung gewehrt: Das Protokoll ist der Vertrag, und der Vertrag ist das Audit. Trail of Bits, OpenZeppelin und Certora haben ganze Geschäftsbereiche auf der Grundlage von Adversarial Code Reviews von Solidity aufgebaut. Warum benötigt jemand zusätzlich zu einer unveränderlichen Infrastruktur ein Audit für Managed Services?

Die Antwort wurde in den Jahren 2024 und 2025 unvermeidlich. Smart-Contract-Audits betrachten den Code zu einem einzigen Zeitpunkt. Sie können einem regulierten Allokator nicht sagen, wie das Entwicklungsteam um 2 Uhr morgens mit einer Zero-Day-Offenlegung umgeht, wer die Schlüssel zur Front-End-Deployment-Pipeline hat, ob die Unterzeichner der Multisig über Phishing-resistente MFA verfügen oder ob die Anbieterliste des Teams eine bekanntlich kompromittierte npm-Abhängigkeit enthält. Das sind organisatorische Fragen, und SOC 2 Typ II ist die Sprache, die Risiko-Teams in Unternehmen verwenden, um sie zu stellen.

Die Beschaffungswand, kurz erklärt

Wenn Sie noch nie Software an ein reguliertes Finanzinstitut verkauft haben, finden Sie hier den Workflow, an dem Geschäfte scheitern: Ein Business-Sponsor bei der Bank möchte ein DeFi-Protokoll nutzen. Er erstellt einen Use Case. Der Use Case geht an ein Vendor-Risk-Team, das einen Sicherheitsfragebogen mit 200 Fragen zurückschickt. Frage 14 lautet: „Legen Sie Ihren SOC 2 Typ II Bericht der letzten 12 Monate vor.“ Bis 2026 konnte kein DeFi-Protokoll dieses Kästchen ankreuzen.

Die Ersatzantworten — „wir sind dezentralisiert, die Verträge sind unveränderlich, hier sind sieben Trail-of-Bits-Berichte“ — waren intellektuell korrekt und prozedural nutzlos. Vendor-Risk-Frameworks basieren auf anerkannten Kontrolltestaten, nicht auf philosophischen Verteidigungen von Vertrauenslosigkeit. Es gibt kein ISO 27001-Äquivalent für „wir haben keinen CEO“.

Der SOC 2 von Aave beseitigt nicht die Unbeholfenheit, einem Kreditausschuss die DAO-Governance zu erklären, aber er erfüllt den verfahrenstechnischen Schritt, der Pilotprojekte bisher zunichte gemacht hat, bevor sie einen Vertrag erreichten. Das ist der Unterschied zwischen möglich und ausführbar im Enterprise-Vertrieb.

Aufholen zum Custody-Layer

Aave führt SOC 2 nicht erst in Krypto ein. Die Custody- und Exchange-Layer haben dies bereits vor Jahren erreicht.

  • Fireblocks hält SOC 2 Typ II neben ISO 27001, SOC 1 Typ II, ISO 27017/27018 und CCSS Level 3.
  • Coinbase Custody wird von Deloitte & Touche nach SOC 1 Typ II und SOC 2 Typ II geprüft.
  • BitGo verfügt über die von einem qualifizierten Verwahrer erwarteten SOC-Zertifizierungen sowie über einen Versicherungsschutz von etwa 250–320 Millionen US-Dollar durch Lloyd's of London.

Verwahrer (Custodians) haben die Hürde genommen, weil sie mussten: Ihr gesamtes Produkt besteht aus „wir verwahren Ihre Vermögenswerte und sind vertrauenswürdig“. Börsen folgten aus Gründen des institutionellen Brokerage. Was bisher fehlte — bis jetzt — war der Protocol-Layer. Eine Bank konnte Vermögenswerte bei Coinbase verwahren, Trades über Fireblocks leiten und hatte dennoch keine Möglichkeit, Kapital tatsächlich On-Chain einzusetzen, weil das Kreditprotokoll am anderen Ende keine vergleichbare Zertifizierung besaß.

Der SOC 2 von Aave schließt diese Lücke auf der Aktivseite. Der vertikale institutionelle Stack liest sich nun wie folgt: qualifizierter Verwahrer (SOC-geprüft) → Handels- und Abwicklungsplattform (SOC-geprüft) → Kreditprotokoll (SOC-geprüft). Jedes Glied ist nun für ein Vendor-Risk-Team unter Verwendung derselben Checkliste lesbar.

Horizon, der $ 550 Mio. Keil

Die Zertifizierung findet nicht in einem Vakuum statt. Sie baut auf Aave Horizon auf — dem Permissioned Market, den Aave speziell ins Leben gerufen hat, um qualifizierten Institutionen das Leihen von Stablecoins gegen tokenisierte Real-World Assets (RWA) wie US-Staatsanleihen zu ermöglichen.

Horizon verzeichnet derzeit Nettoeinlagen von rund 550Millionen,unddieRoadmapvonAavefu¨r2026strebtbiszumJahresende550 Millionen, und die Roadmap von Aave für 2026 strebt bis zum Jahresende 1 Milliarde an, unterstützt durch erweiterte Partnerschaften mit Circle, Ripple, Franklin Templeton und VanEck. Dies sind keine opportunistischen, krypto-neugierigen Gegenparteien. Es sind Emittenten jener tokenisierten Vermögenswerte, die in tatsächlichen institutionellen Portfolios auftauchen, und es sind genau die Namen, die Risikoausschüsse von Anbietern wiedererkennen.

Horizon ist das Nachfragesignal. SOC 2 ist der Enabler für die Beschaffung (Procurement). Es war von Anfang an geplant, dass beide zusammen eingeführt werden; eines ohne das andere wäre unvollständig. Ein Permissioned RWA-Markt ohne Compliance-Zertifizierung ist ein Beta-Produkt. Eine SOC 2-Zertifizierung ohne einen institutionellen Handelsplatz, auf dem sie eingesetzt werden kann, ist ein Nachweis, nach dem niemand gefragt hat. Zusammen bilden sie eine These: Dass die nächste Wachstumsphase von DeFi am Dollarvolumen des Kapitals gemessen wird, das zuvor nicht eintreten konnte und es nun kann.

Die Ära „Vertraue dem Code UND der Organisation“

Die tiefgreifendere Verschiebung liegt darin, was DeFi bereit ist, über sich selbst zu behaupten.

Das Versprechen der Ära um 2020 lautete „Vertraue dem Code“. Smart Contracts sind deterministisch, Audits sind öffentlich, die Governance findet On-Chain statt — daher kann das Protokoll vollständig anhand seiner Software bewertet werden. Diese Erzählung funktionierte für krypto-native Nutzer, für die Etherscan die Quelle der Wahrheit und ein Discord-Kanal der Support-Desk war.

Für die institutionelle Ebene hat dies nie funktioniert, da echte Kapitalallokatoren das Gegenparteirisiko bewerten und nicht nur das Coderisiko. Sie wollen wissen, wer Zugriff auf das Front-End-Repo hat, was passiert, wenn der Domain-Registrar des Teams Opfer von Social Engineering wird, ob der Bereitschaftstechniker über den notwendigen Zugang verfügt, um auf einen Live-Exploit zu reagieren, und ob die Reaktion auf Vorfälle (Incident Response) geübt wurde. Nichts davon steht im Smart Contract. Alles davon fällt in den Bereich von SOC 2.

Das neue Versprechen lautet „Vertraue dem Code UND der Organisation, die ihn betreibt“. Das ist ein weniger eleganter Slogan, aber er entspricht der Art und Weise, wie jede andere regulierte Finanzinfrastruktur tatsächlich bewertet wird. AWS wird nicht vertraut, weil S3 Open Source ist; es wird vertraut, weil die Kontrollen von Amazon geprüft werden. Visa wird nicht vertraut, weil Kartennetzwerke mathematisch sicher sind; es wird vertraut, weil VisaNet über Jahrzehnte nachgewiesene Betriebspraxis verfügt. DeFi beginnt nun, dieses Spiel mitzuspielen.

Dies hat seinen Preis. Die Protokollebene von Krypto sollte eigentlich der Ort sein, an dem organisatorisches Vertrauen keine Rolle spielt. SOC 2 führt das Konzept eines zentralisierten Teams — Aave Labs, die Avara-Entität, die Engineering-Organisation — wieder in das Vertrauensmodell ein, und zwar auf eine Weise, die unangenehm an ein normales Unternehmen erinnert. Der Einwand von Dezentralisierungs-Maximalisten ist hierbei real. Der Gegeneinwand lautet, dass die einzigen DeFi-Protokolle, die im Jahr 2026 institutionelle Zuflüsse erhalten werden, diejenigen sind, die bereit sind, wie normale Unternehmen geprüft zu werden — und die Kluft zwischen diesen beiden Gruppen wird sich schnell vergrößern.

Worüber andere Protokolle nun entscheiden müssen

Aave hat gerade einen neuen Mindeststandard gesetzt. Jedes andere erstklassige DeFi-Protokoll steht nun vor einer strategischen Frage, für die die Uhr auf 12 Monate tickt: Streben sie eine SOC 2-Zertifizierung an oder akzeptieren sie, dass sie nur um krypto-natives Kapital konkurrieren, während Aave einen strukturellen Vorteil bei regulierten Kapitalströmen ausbaut?

Die Kandidaten mit der offensichtlichsten Motivation:

  • Uniswap Labs — steht auf der Handelsseite vor der gleichen Beschaffungsfrage. Eine SOC 2-Zertifizierung für das Front-End und die Uniswap X-Infrastruktur würde institutionelle Swap-Ströme freisetzen, die derzeit über OTC-Desks geleitet werden.
  • Maple Finance — bedient bereits institutionelle Kredite; sein TVL wuchs von 500Mio.aufu¨ber500 Mio. auf über 4 Mrd. durch die Bedienung krypto-nativer Institutionen. SOC 2 ist die natürliche Weiterentwicklung hin zu Gegenparteien auf Bankenniveau.
  • Morpho — baut eine aggressiv institutionelle Positionierung mit kuratierten Vaults auf; seine Wettbewerbsposition gegenüber Aave Horizon hängt davon ab, mit entsprechenden Compliance-Nachweisen gleichzuziehen.
  • Compound, Spark, Pendle — jedes steht vor derselben Frage, mit unterschiedlicher Dringlichkeit, je nachdem, wie direkt sie auf institutionelle Renditen abzielen.

Die Protokolle, die zuerst handeln, werden den gleichen Vorteil haben, den Stripe gegenüber früheren Zahlungsabwicklern hatte: nicht unbedingt ein besseres Produkt, sondern eine Beschaffungsargumentation (Procurement Story), die den Käufer schneller Ja sagen lässt. Protokolle, die diesen Schritt nicht gehen, riskieren, strukturell von den nächsten $ 100 Mrd.+ an DeFi-Zuflüssen ausgeschlossen zu werden, selbst wenn ihre On-Chain-Metriken hervorragend aussehen.

Das andere Audit, das immer noch zählt

Nichts davon ersetzt das Smart-Contract-Audit. Die beiden Bewertungen decken sich nicht überschneidende Risikooberflächen ab. SOC 2 wird keinen Reentrancy-Bug in einer neuen Asset-Listung finden. Eine Überprüfung durch Trail of Bits wird Ihnen nicht sagen, ob der Bereitschaftstechniker am Sonntag um 3 Uhr morgens tatsächlich erreicht werden kann. Zukunftsweisende institutionelle Risikorahmen für DeFi laufen auf ein Schichtenmodell hinaus, bei dem beide Zertifizierungen erforderlich sind, ergänzt durch steigende Anforderungen an Runtime-Monitoring, formale Verifikation kritischer Pfade und Bug-Bounty-Programme mit signifikanten Auszahlungsstufen.

Aave hat hier das leichtere Spiel, da seine Codebasis zu den am stärksten geprüften in der Geschichte von DeFi gehört und sein Bug-Bounty-Programm seit Jahren in großem Umfang in Betrieb ist. Für Protokolle, die mit einer dünneren Audit-Historie beginnen, wird der SOC 2-Prozess angrenzende Lücken aufdecken — Change Management, Inventarisierung von Drittanbietern, Zugriffsprüfungen —, die behoben werden müssen, bevor die betrieblichen Kontrollen überhaupt bewertet werden können. Der Zeitplan für eine Zertifizierung beträgt in der Regel 9 bis 18 Monate vom Kick-off bis zum ersten Typ-II-Bericht, was auch in etwa dem Zeitfenster entspricht, in dem über die institutionelle DeFi-Adoption entschieden wird.

Was dies für Infrastrukturanbieter bedeutet

Die SOC 2-Kaskade macht vor dem Protokoll nicht halt. Die Infrastruktur, auf die Protokolle und ihre institutionellen Gegenparteien angewiesen sind – RPC-Endpunkte, Indexer, Datenanbieter, Signaturdienste –, wird in denselben Compliance-Rahmen einbezogen. Das Vendor-Risk-Team einer Bank, das gerade Aave genehmigt hat, wird jedem Partner, der mit ihren Transaktionen in Berührung kommt, dieselbe SOC 2-Frage stellen.

Das wird für Teile des Web3-Infrastruktur-Stacks, die nach einem „Best Effort“-Zuverlässigkeitsmodell gearbeitet haben, unangenehm werden. RPC-Nodes, die ohne SLA ausfallen, Indexer mit informellem Änderungsmanagement, Key-Management-Dienste ohne dokumentierte Zugriffskontrollen – keiner von ihnen übersteht eine echte institutionelle Anbieterprüfung. Die Infrastrukturebene steht kurz davor, dasselbe Beschaffungsgespräch zu führen, das die Protokollebene gerade hinter sich hat.

Anbieter, die die Hürde frühzeitig nehmen, werden zum institutionellen Standard. Diejenigen, die dies nicht tun, werden verdrängt, sobald ein Konkurrent mit einem sauberen SOC 2-Testat den Raum betritt.

BlockEden.xyz betreibt Web3-Infrastruktur auf Produktionsniveau für Sui, Aptos, Ethereum und über zwanzig weitere Chains – mit der Art von betrieblicher Disziplin, die institutionelle Käufer nun von jeder Ebene des DeFi-Stacks fordern. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die für das institutionelle Zeitalter konzipiert wurde.

Der stille Wendepunkt

Man kann die Wirkung eines einzelnen Testats auch überbewerten. Aaves SOC 2 wird allein im nächsten Quartal keine Welle von Bankkapital auf Horizon bringen. Beschaffungszyklen sind langsam, und Fragen zur rechtlichen Durchsetzbarkeit sowie zur Buchhaltung im Zusammenhang mit der DeFi-Teilnahme sind noch teilweise ungeklärt. Der erste Staatsfonds, der über einen zugangsbeschränkten Aave-Markt Kredite vergibt, ist frühestens eine Geschichte für das Jahr 2027.

Aber dies ist die Art von Moment, auf den man später zurückblickt, wenn sich die Kurve bereits gebogen hat. Die Zyklen von 2020 und 2021 bauten die On-Chain-Maschinerie auf. Die Zyklen von 2024 und 2025 bauten die regulatorischen Schienen und die für tokenisierte Assets auf. Der Zyklus von 2026 baut die Ebene des betrieblichen Vertrauens auf, die es Institutionen, die bisher von außen zugesehen haben, ermöglicht, alles andere tatsächlich zu nutzen.

Aaves SOC 2 Typ II ist der erste Baustein der Protokollebene in dieser Mauer. Die Protokolle, die erkennen, dass es eine Mauer ist – und jetzt anfangen, darauf hinzuarbeiten –, werden das nächste Jahrzehnt von DeFi definieren. Diejenigen, die warten, bis der Regulator oder der Prüfer zu ihnen kommt, werden dieses Jahrzehnt damit verbringen, zu erklären, warum ihr On-Chain-TVL nie in die institutionellen Zuflüsse umgewandelt wurde, die alle ständig vorhersagen.

Die Infrastruktur des Vertrauens wird mit jedem Testat neu aufgebaut. Aave hat gerade den ersten Stein gesetzt.

Share on Twitter