Die Callable-Service-Architektur der Coinbase Agentic Wallet: Warum die Trennung von Gehirn und Schlüsseln die 100-Milliarden-Dollar-Agent-Economy definiert

7. Mai 2026 · 11 Min. Lesezeit

Software Engineer

Im Februar 2026 beantwortete Coinbase im Stillen eine Frage, die die gesamte KI-Krypto-Branche seit zwei Jahren zu lösen vorgab: Wie verleiht man einem autonomen Agenten wirtschaftliche Handlungsfähigkeit, ohne ihm jemals die privaten Schlüssel auszuhändigen?

Die Antwort kam in Form von npx awal. Ein einziger Befehl installiert das Agentic Wallet von Coinbase – einen MPC-gesicherten, TEE-isolierten und über MCP aufrufbaren Wallet-Dienst, mit dem jeder LLM-gesteuerte Agent kommunizieren kann, ohne jemals eine Seed-Phrase, einen Signierschlüssel oder gar rohe Transaktionsbytes zu sehen. Es sieht aus wie ein triviales Entwickler-Tool. In Wirklichkeit ist es die erste produktionsreife Implementierung eines Architekturmusters, das darüber entscheiden wird, ob die Agenten-Ökonomie die $ 100-Milliarden-Marke erreicht, die Analysten nun offen prognostizieren – oder in einer Serie von spektakulären Prompt-Injection-Diebstählen zusammenbricht.

Dieses Muster hat in Kreisen der Cloud-Infrastruktur einen Namen: Trennung von Intelligenz und Verwahrung. Im Jahr 2026 ist es endlich in der Krypto-Welt angekommen.

Von AgentKit zu Agentic Wallet: Der architektonische Wendepunkt, den niemand bemerkte

Rückblick auf das Jahr 2025. Der erste Versuch von Coinbase, Agenten Wallets zur Verfügung zu stellen, war AgentKit – ein Framework-agnostisches SDK, mit dem Entwickler Wallet-Funktionalitäten direkt in ihren Agenten-Code einbetten konnten. Es funktionierte. Hackathon-Teams lieferten autonome Trading-Bots an einem Wochenende aus. Aber es hatte eine unauffällige, unbequeme Eigenschaft: Der Agent und das Wallet lebten im selben Prozess. Das LLM, das entschied, was zu tun war, hielt auch die Anmeldedaten, die dies ausführten – oder konnte sie anfordern.

Diese Anordnung ist für einen $50-Testnetz-Bot akzeptabel. Für einen$ 50.000-Yield-Management-Agenten ist sie inakzeptabel und für einen $ 5-Millionen-Treasury-Automatisierungs-Bot katastrophal. Prompt-Injection ist kein hypothetisches Szenario. Sobald ein LLM-Kontextfenster sowohl Signaturberechtigung als auch eine vom Angreifer kontrollierte Webseite enthält, ist jeder Dollar in diesem Wallet über natürliche Sprache erreichbar.

Das am 11. Februar 2026 veröffentlichte Agentic Wallet stellt die architektonische Umkehrung dar. Das Wallet ist keine Bibliothek mehr innerhalb des Agenten. Es ist ein unabhängiger Dienst, den der Agent aufruft – über MCP, über CLI, über ein HTTP-ähnliches Zahlungsprotokoll – und die privaten Schlüssel verlassen niemals eine vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE), die der Agentenprozess nicht inspizieren, debuggen oder in die er nicht eindringen kann.

Dieser Wandel spiegelt die Entwicklung der Cloud von monolithischen Anwendungsservern hin zu Microservices mit expliziten Vertrauensgrenzen wider. Im Jahr 2026 wurde das Wallet zu einem Microservice. Und wie bei jedem Microservice-Übergang zuvor besitzt die Plattform, der die Grenze gehört, ein unauffälliges, aber gewaltiges Mauthäuschen.

Was „Callable Service“ eigentlich bedeutet

Drei konkrete Eigenschaften definieren die neue Architektur:

1. Der Agent hält niemals den Schlüssel. Coinbase Agentic Wallets laufen in Trusted Execution Environments – Hardware-Enklaven der Intel TDX-Klasse, in denen private Schlüssel generiert, gespeichert und zum Signieren von Transaktionen verwendet werden. Der LLM-Kontext des Agenten enthält ein Wallet-Handle, einen Kontostand und eine Liste der zulässigen Operationen. Er enthält kein Signaturmaterial und kann dieses auch nicht exfiltrieren. Selbst Coinbase-Entwickler verlieren nach der Bereitstellung den Zugriff – eine architektonische Entscheidung, die von Flashbots und der früheren TEE-basierten Agenten-Arbeit von Nous Research übernommen wurde.

2. Richtlinien werden durchgesetzt, bevor das LLM konsultiert wird. Programmierbare Ausgabenlimits, Sitzungsobergrenzen, Maxima pro Transaktion und Whitelists für Adressen werden vom Wallet-Dienst ausgewertet, nicht vom Agenten. Wenn eine durch Prompt-Injection eingeschleuste Anweisung den Agenten anweist, das Treasury an eine Angreifer-Adresse zu leeren, wird der Agent den Aufruf pflichtbewusst absetzen – und das Wallet wird ihn an der TEE-Grenze ablehnen. Das „einfache Softwaremodul“, das finanzielle Aktionen bestätigt, befindet sich außerhalb des LLM-Kontexts, wo Prompts es nicht erreichen können.

3. Der Agent ruft das Wallet über ein Standardprotokoll auf. Dies ist der Teil, den die meisten Entwickler immer noch unterschätzen. Agentic Wallet wird mit einem MCP-Server ausgeliefert, der mit Claude, Codex und Gemini kompatibel ist, sowie einer nativen Anbindung an x402 – das auf HTTP 402 basierende Zahlungsprotokoll von Coinbase und Cloudflare, das bis April 2026 bereits über 165 Millionen Transaktionen verarbeitet hat, 69.000 aktive Agenten unterstützt und sich einem jährlichen Volumen von $ 600 Millionen nähert. Der Agent benötigt kein Coinbase-SDK. Er spricht JSON-RPC mit einem MCP-Endpunkt. Das Wallet antwortet. Gelder fließen. Schlüssel sind niemals im Spiel.

Diese dritte Eigenschaft ist diejenige, die im Stillen alles verändert. Indem das Wallet zu einem über MCP aufrufbaren Dienst gemacht wurde, hat Coinbase die Wallet-Infrastruktur von der Agenten-Laufzeit entkoppelt – dieselbe Entkopplung, die AWS vor zwanzig Jahren zwischen Rechenleistung und Speicher erreicht hat.

Die $ 100-Milliarden-Frage: Warum diese Architektur tragfähig ist

Branchenanalysten prognostizieren nun, dass die autonome Agenten-Ökonomie bis 2030 auf $30 Billionen anwachsen wird, wobei für 2026 eine kurzfristige KI-Token-Ökonomie von$ 60 Milliarden und ein Stablecoin-Angebot von $420 Milliarden erwartet wird – ein Großteil dieses Wachstums wird durch Machine-to-Machine-Zahlungen getrieben. CoinGecko listet bereits über 550 KI-Agenten-Kryptoprojekte mit einer kombinierten Marktkapitalisierung von über$ 4 Milliarden auf.

Diese Zahlen setzen eines voraus: dass Agenten bei der Verwaltung von echtem Geld vertraut werden kann. Heute ist das nicht der Fall – zumindest nicht, wenn sie ihre eigenen Schlüssel halten. Jede größere Prognose zur Agenten-Ökonomie beinhaltet die Annahme, dass die Sicherheitsarchitektur gelöst wird. Die Wette von Coinbase ist, dass die einzige Architektur, die skaliert, eine ist, bei der denkende Agenten und Wallet-Agenten unterschiedliche Agenten sind.

Dies ist keine Marketing-Unterscheidung. Sie lässt sich direkt darauf übertragen, wie sich die Cloud-Sicherheit entwickelt hat:

Ära	Architektur	Fehlermodus
Monolithische Server	Anwendung + DB + Geheimnisse in einem Prozess	Eine einzige Kompromittierung = totaler Durchbruch
Microservices	Jeder Dienst isoliert, IAM an Grenzen	Schadensradius begrenzt
Zero Trust	Jeder Aufruf authentifiziert, auch intern	Laterale Ausbreitung neutralisiert

Die Agenten-Branche wiederholt diese Reise. AgentKit-artige eingebettete Wallets entsprechen der monolithischen Ära. Agentic Wallets sind die Microservices-Ära. Was als Nächstes kommt – die Agent-zu-Agent-Attestierung, bei der denkende Agenten ihre Identität und Richtlinienkonformität gegenüber Wallet-Agenten bei jedem Aufruf beweisen müssen – wird bereits als Prototyp entwickelt.

Wer gewinnt, wenn das Wallet zum Microservice wird

Wenn Wallet-as-a-callable-Service zur Standardarchitektur wird, verschiebt sich die Wettbewerbslandschaft dramatisch. Die Agent-Wallet-Landschaft des Jahres 2026 zählt nun sechs ernsthafte Akteure, die in zwei architektonisch unterschiedliche Lager fallen:

Smart-Contract-Wallet-Produkte — speziell für Agenten entwickelt:

Coinbase Agentic Wallets: TEE-gesichert, MCP-nativ, x402-gebündelt, kostenloses Kontingent von 1.000 Transaktionen / Monat auf Base, Polygon, Arbitrum, World und Solana
Crossmint: Die einzige Plattform, die Stablecoin-Schienen, Kartennetzwerke sowie MiCA-lizenzierte Onramps und Offramps bündelt — gewinnt überall dort, wo Agenten mit Nicht-Krypto-Händlern interagieren oder unter EU-Compliance operieren müssen
thirdweb: Open-Source-Agent-Wallet-Primitive mit breiter Chain-Abdeckung

Signatur-Infrastruktur-Produkte — Schlüsselmanagement zum Selberbauen:

Turnkey: Non-custodial Enclave-basierte Signatur-API über EVM, Solana, Bitcoin und TRON hinweg, mit Policy-Engines für Limits und Whitelisting
Privy: Eingebettete Wallets und Server-Wallets mit Off-Chain-Policy-Durchsetzung; im Juni 2025 von Stripe übernommen, nun zentral für Stripes Stablecoin-Offensive
Alchemy: Account-Abstraction-fokussiertes Signieren mit tiefgreifenden EVM-Tools

Die architektonische Erkenntnis ist, dass alle sechs auf dasselbe Trennungsprinzip konvergieren. Sogar Privy und Turnkey, die als entwicklergesteuerte Signatur-Bibliotheken begannen, liefern jetzt Policy-Engines aus, die außerhalb des Entscheidungskontexts des Agenten laufen. Safe, der Multisig-Veteran, hat sich als modulare Settlement-Ebene positioniert, in die sich jeder dieser Anbieter einklinken kann.

Die Mautstellen-Diese folgt direkt daraus: In einer Welt, in der Wallets Microservices sind, besteuert der Wallet-Anbieter jede wirtschaftliche Aktion eines Agenten, unabhängig davon, welches Modell (Claude, GPT, Gemini) die Entscheidung getroffen hat oder auf welcher Chain die Aktion landet. Das ist ein strukturell besseres Geschäftsmodell, als das LLM, das Framework oder gar die Chain zu sein.

Was dies für die Web3-Infrastruktur bedeutet

Hier ist der Teil, den die meisten Entwickler in der Agent-Ökonomie noch nicht verinnerlicht haben: Die Callable-Service-Architektur teilt den Infrastrukturverbrauch von Agenten in zwei völlig unterschiedliche Zugriffsmuster auf.

Infrastruktur der Entscheidungsebene (Reasoning-Layer) ist leseintensiv. Agenten benötigen aktuelle Chain-Zustände, Mempool-Daten, Token-Preise, Ergebnisse von Kontraktsimulationen und historischen Transaktionskontext. Sie führen viele kleine Abfragen durch, um eine Entscheidung vorzubereiten. Ihr Kostentreiber sind das Anfragevolumen und die Datenaktualität.

Infrastruktur der Wallet-Ebene ist schreibintensiv und sicherheitskritisch. Der Wallet-Service benötigt eine zuverlässige Übermittlung von Transaktionen, robusten Mempool-Zugriff, MEV-bewusstes Routing und Finalitätsüberwachung. Sein Kostentreiber sind Uptime, Schreibzuverlässigkeit und Sicherheit auf Node-Ebene.

Dies sind unterschiedliche Produkte. Sie haben unterschiedliche SLAs, unterschiedliche Skalierungsprofile und unterschiedliche Fehlerszenarien. Die Ära von „gib mir eine RPC-URL und ich kümmere mich darum“ geht zu Ende. Anbieter von Agent-Grade-Infrastruktur müssen beide Konsummuster als erstklassige Produkte bedienen — und die Anbieter, die das tun, werden von einem mehrjährigen Aufwind profitieren.

Genau für diese Aufspaltung wurde BlockEden.xyz entwickelt. Unser API-Marktplatz bietet separate, optimierte Endpunkte für leseintensive Zugriffe mit hohem Volumen, die von der Entscheidungsebene der Agenten genutzt werden, sowie für die hochzuverlässige Transaktionsübermittlung, die von Wallet-Services auf Sui, Aptos, Ethereum, Solana und zwanzig weiteren Chains verwendet wird. Wenn Sie einen Agenten entwerfen, der echtes Geld verwalten soll, ist die RPC-Abhängigkeit des Wallets eine Sicherheitsgrenze — wählen Sie eine Infrastruktur, die sie auch so behandelt.

Was man als Nächstes beobachten sollte

Drei Signale werden zeigen, ob die Callable-Service-Architektur gewonnen hat oder ob etwas anderes an ihre Stelle tritt:

Anzahl der MCP-Server für Wallets. Mit über 10.000 aktiven öffentlichen MCP-Servern und Anthropics Spende von MCP an die Agentic AI Foundation im Dezember 2025 (zusammen mit Block und OpenAI) ist das Protokoll nun eine neutrale Infrastruktur. Wenn sich Wallet-MCP-Server von Nicht-Coinbase-Anbietern in den nächsten zwei Quartalen vervielfachen, ist das Muster tatsächlich ein Standard und nicht herstellerspezifisch.
TEE-Attestierung in Wallet-Handshakes. Heute vertrauen die meisten Agent-Wallets darauf, dass der anfragende Agent autorisiert ist, weil er über einen Token verfügt. Morgen werden sie eine Remote-Attestierung verlangen, dass der Agent autorisierten Code in einer autorisierten Umgebung ausführt. Achten Sie auf „Know Your Agent“ (KYA)-Standards, die sich Ende 2026 herauskristallisieren werden.
Versicherungspreise. Wenn DeFi-Versicherer beginnen, Policen für Agent-Treasuries anzubieten — und diese für Embedded-Wallet-Architekturen anders bepreisen als für Callable-Service-Architekturen —, werden Sie wissen, dass der Markt entschieden hat, welches Modell tatsächlich sicherer ist. Eingebettete Wallets werden in großem Umfang nicht versicherbar sein.

Die Wette, die Coinbase am 11. Februar 2026 einging, bestand nicht darin, dass KI-Agenten Krypto verwalten würden. Das war bereits offensichtlich. Die Wette war, dass die architektonische Trennung von Gehirn und Schlüsseln das einzige akzeptable Produktionsmuster werden würde und dass derjenige, dem die Wallet-Grenze gehört, im Stillen die Ökonomie der gesamten Agent-Wirtschaft kontrollieren würde. Drei Monate später, mit einem x402-Transaktionsvolumen, das sich vierteljährlich verdreifacht, und MCP-aufrufbaren Wallet-Servern, die im gesamten Ökosystem entstehen, wirkt diese Wette verfrüht — aber nicht mehr exzentrisch.

Die Frage für jedes Team, das im Jahr 2026 Agenten baut, lautet nicht mehr „Sollte ich ein Agentic Wallet verwenden?“. Sie lautet: „Will ich das Wallet sein oder das Wallet bezahlen?“

Quellen

Share on Twitter

API Marketplace Featured

Von AgentKit zu Agentic Wallet: Der architektonische Wendepunkt, den niemand bemerkte​

Was „Callable Service“ eigentlich bedeutet​

Die $ 100-Milliarden-Frage: Warum diese Architektur tragfähig ist​

Wer gewinnt, wenn das Wallet zum Microservice wird​

Was dies für die Web3-Infrastruktur bedeutet​

Was man als Nächstes beobachten sollte​

Quellen​