279 Beiträge getaggt mit „KI“

Zweiundneunzig Prozent der Sicherheitsexperten sind besorgt über KI-Agenten innerhalb ihrer Organisationen. Siebenunddreißig Prozent derselben Organisationen verfügen über eine formelle KI-Richtlinie. Diese Lücke von 55 Prozentpunkten ist der erste Satz jedes Vorstandsberichts für 2026 – und genau dieses Problem versucht ERC-8220 on-chain zu lösen.

Am 7. April 2026 landete ein Entwurf im Ethereum Magicians-Forum, der den ERC-8220: Standard Interface for On-Chain AI Governance With Immutable Seal Pattern vorschlägt. Es ist der vierte Baustein dessen, was eine kleine Gruppe von Core-Entwicklern als den agentic Ethereum stack bezeichnet: Identität (ERC-8004), Handel (ERC-8183), Ausführung (ERC-8211) und nun Governance. Wenn er vor dem Glamsterdam-Fork den Status „Final“ erreicht, könnte er für autonome Agenten das tun, was ERC-20 für fungible Token getan hat – einen unübersichtlichen Designraum in ein komponierbares Primitiv verwandeln.

Die tragende Idee des Vorschlags ist das „Immutable Seal“ (unveränderliches Siegel). Alles andere in ERC-8220 leitet sich daraus ab. Wenn das Siegel korrekt umgesetzt wird, erhalten die anderen drei Standards plötzlich ein Fundament, auf dem sie stehen können. Wird es falsch gemacht, erbt der gesamte agentenbasierte Stack einen schleichenden Fehlermodus.

Am 9. Januar 2026 veröffentlichten Bots innerhalb von vierundzwanzig Stunden 7,75 Millionen kryptobezogene Nachrichten auf X – ein Anstieg von 1.224 % über dem Basiswert. Sechs Tage später trat Nikita Bier, der Produktleiter von X, vor ein Mikrofon und beendete mit einer einzigen Ankündigung einen gesamten Krypto-Subsektor: Die Plattform würde den API-Zugriff für jede Anwendung dauerhaft widerrufen, die Nutzer finanziell für ihre Posts belohnt. Innerhalb weniger Stunden fielen KAITO und COOKIE – die beiden Flaggschiff-Token der sogenannten Information-Finance-Bewegung – um mehr als 20 %. Der Sektor, den optimistische Analysten zwölf Monate lang als „Kryptos nächste Billionen-Dollar-Kategorie“ bezeichnet hatten, wirkte plötzlich wie ein zugangsbeschränktes Geschäft mit einem einzigen Vermieter.

Drei Monate später wirken die Verfasser von Nachrufen voreilig. Polymarket und Kalshi verarbeiten zusammen ein monatliches Volumen von rund 25 Milliarden US-Dollar. Grass, das Datennetzwerk für Bandbreiten-Sharing, hat die Marke von drei Millionen aktiven Nodes überschritten, die das offene Web für KI-Trainingsdaten durchsuchen. Und Kaito selbst kehrte nach der Einstellung seiner incentivierten „Yapper Leaderboards“ im Januar im Februar mit einer Polymarket-Partnerschaft zurück, die Aufmerksamkeit selbst in ein handelbares Derivat verwandelte. InfoFi ist nicht gestorben. Es hat sich gehäutet – und die Version, die überlebt hat, sieht strukturell anders und strukturell gesünder aus als jene, die Investoren auf dem Höhepunkt des Hypes eingepreist hatten.

Telegram hat etwa eine Milliarde monatliche Nutzer. TON, die Chain, mit der Telegram im Jahr 2023 stillschweigend eine Ehe einging, verfügt über etwa 34 Millionen aktivierte Wallets. Irgendwo in dieser 30-zu-1-Lücke liegt das größte ungelöste Onboarding-Problem im Krypto-Bereich – und DuckChain wettet darauf, dass eine EVM-kompatible Layer-2 die Lösung ist, die diese Lücke endlich schließt.

DuckChain startete als die erste EVM-kompatible L2, die an TON verankert ist und auf Arbitrum Orbit basiert. In den letzten fünfzehn Monaten hat sie sich als „Telegram AI Chain“ neu erfunden. Das Versprechen ist einfach ausgesprochen, aber sehr schwer umzusetzen: Ein Telegram-Nutzer mit einer TON Space-Wallet und etwas USDT soll das gesamte Ethereum-DeFi-Ökosystem nutzen können – Uniswap, Aave und die üblichen Verdächtigen – ohne jemals den Messenger zu verlassen. Kein MetaMask. Kein Speedrun durch die Seed-Phrase. Kein Tutorial zum „Bridging zu Arbitrum“.

Die Frage ist nicht, ob die Technologie funktioniert. Es geht darum, ob das Liquiditätsparadoxon – Nutzer gehen dorthin, wo Liquidität ist; Liquidität geht dorthin, wo Nutzer sind – tatsächlich durch eine dazwischengeschaltete Chain durchbrochen werden kann.

In der Geschichte der Kryptowährungen war „dezentrale Infrastruktur“ meist eine Phrase, mit der Venture-Decks das kaschierten, was in Wahrheit nur subventioniertes Token-Mining mit zusätzlichen Schritten war. Man schloss ungenutzte Hardware an, sammelte inflationäre Belohnungen und hoffte, dass die Nachfrage irgendwann mit dem Angebot gleichziehen würde. Meistens passierte das nicht.

Diese Geschichte hat sich in diesem Quartal geändert. Aethir sicherte sich eine strategische Rechenreserve in Höhe von 344 Millionen $, die von einem an der NASDAQ notierten Digital-Asset-Treasury unterstützt wird – die größte Verpflichtung auf Enterprise-Ebene, die jemals für ein dezentrales GPU-Netzwerk eingegangen wurde. Es ist kein Zuschuss. Es ist kein Token-Swap. Es ist institutionelles Kapital, das Rechenkapazität absichert, die von Unternehmen tatsächlich verbraucht wird. Und es ist vielleicht das bisher deutlichste Signal dafür, dass DePIN den Sprung von einer Krypto-nativen Kuriosität zu einem legitimen Beschaffungskanal geschafft hat, der direkt mit AWS, Azure und GCP konkurriert.

Autonome KI-Agenten sollten das Endziel für die On-Chain-Ausführung sein: unermüdlich, deterministisch, kostengünstiger als ein menschlicher Händler und schneller als jede DAO-Abstimmung. Im ersten Quartal 2026 wurden sie jedoch zu etwas völlig anderem – der vorhersehbarsten Beute, die das MEV-Ökosystem je gesehen hat.

Über Ethereum, Solana, BNB Chain, Arbitrum und Base hinweg transagieren mittlerweile mehr als 123.000 On-Chain-Agenten in großem Umfang. Sie gleichen Portfolios nach Zeitplan an. Sie reagieren auf Oracle-Updates mit deterministischer Logik. Sie führen Multi-Hop-DeFi-Strategien mit identifizierbaren Gas- und Calldata-Fingerabdrücken aus. Und laut einer wachsenden Zahl von On-Chain-Untersuchungen extrahieren MEV-Bots still und leise geschätzte 50 Mio. $ + pro Quartal aus dem von Agenten verwalteten Flow – eine Steuer, die derzeit kein Agent-Framework einpreist und kein Dashboard erfasst.

Die Agenten-Ökonomie hat ein Front-Running-Problem. Und im Gegensatz zu früheren MEV-Wellen ist dieses hier strukturell bedingt.

Das Muster-Problem: Warum gute Agenten schlechte Händler sind​

Die MEV-Extraktion hat schon immer von Vorhersehbarkeit profitiert. Was sich im Jahr 2026 geändert hat, ist die Angebotsseite.

Ein menschlicher Händler variiert Auftragsgröße, Timing, Handelsplatz und Slippage-Toleranz halbwegs zufällig. Ein gut konzipierter KI-Agent tut das Gegenteil. Er optimiert auf Zuverlässigkeit, Wiederholbarkeit und Prüfbarkeit – genau jene Eigenschaften, die einen Trade in ein Signal verwandeln. Agenten-Entwickler werden von ihren Nutzern dafür belohnt, dass sie pünktlich ausführen, Zielallokationen erreichen und saubere P&L-Berichte erstellen. Unvorhersehbare Ausführung ist ein Bug, kein Feature.

Das Ergebnis ist eine strukturelle Spannung im Kern des modernen Agenten-Designs:

• Gutes Agenten-Design = deterministische Zeitpläne, saubere Calldata, reproduzierbare Gas-Schätzungen und vorhersehbare Reaktionen auf öffentliche Statusänderungen.
• Gute MEV-Resistenz = randomisiertes Timing, gebündelte Transaktionen (Batching), private Mempools und verschleierte Absichten.

Dies sind Gegensätze. Und MEV-Searcher haben das bemerkt.

Was die On-Chain-Daten zeigen​

Das Ausmaß der Agenten-Aktivität im ersten Quartal 2026 ist bereits groß genug, um systemrelevant zu sein:

• BNB Chain verarbeitete allein im ersten Quartal über 120 Mio. agentenbasierte Transaktionen, etwa doppelt so viele wie im Vorquartal.
• Virtuals Protocol sah nach der Integration seines Agent Commerce Protocol mit Arbitrum Ende März und der Ankündigung der Expansion auf die BNB Chain für das zweite Quartal, wie die wöchentlichen Transaktionszahlen der Agenten bei seinen Top-Agenten von etwa 5.000 auf 25.000 anstiegen.
• Ethereum L2s hosten kollektiv die Mehrheit der autonomen Rebalancer, MEV-bewussten Vaults und „Set-and-Forget“-DeFi-Strategien, von denen viele in Cron-ähnlichen Intervallen ausgeführt werden.

Legt man nun die MEV-Zahlen darüber: Ethereum ist auf dem besten Weg, ein jährlich extrahiertes MEV von über 3 Mrd. $zu erreichen, mit etwa 180 Mio.$ an monatlich extrahierbarem Wert. Solana überschritt laut Daten von Jito und Solana Compass im zweiten Quartal 2025 die Marke von 271 Mio. $an MEV-Einnahmen und hat sich bei etwa 45 Mio.$ monatlich an extrahierbarem Wert normalisiert, wobei allein Sandwich-Bots über 16 Monate hinweg 370 Mio. $– 500 Mio.$ aus Retail-orientiertem Flow entnommen haben.

Vergleicht man die beiden Datensätze, zeichnet sich ein spezifisches Muster ab: Der Anstieg des Agenten-nahen MEV in Virtuals-gebundenen Pools (5.000 → 25.000 wöchentliche Agenten-Transaktionen) korreliert mit einem Anstieg der MEV-Extraktion in diesen Pools um mehr als 40 %. Setzt man konservativ Ausführungskosten von 2 – 4 % für den agentengesteuerten Anteil am On-Chain-Flow an, ergibt sich eine Schätzung von über 50 Mio. $ pro Quartal – und das unterschätzt höchstwahrscheinlich die reale Zahl, da die Extraktion von Cross-Chain-Agenten-Arbitrage schwieriger zuzuordnen ist.

Niemand preist dies in die Performance-Benchmarks von Agenten ein. Das ist das eigentliche Problem.

Warum Agenten so leicht zu lesen sind​

Ausführungsmuster von Agenten verraten ihre Absichten auf mindestens fünf verschiedene Arten:

1. Geplante Neugewichtung (Rebalancing). Portfolio-Agenten führen Rebalancings oft in festen Blockintervallen oder zu bekannten Zeiten durch (z. B. UTC Mitternacht, Ende einer Epoche). Ein Searcher muss nur einige hundert Agenten-Adressen indexieren, um zu wissen, wann der Flow eintrifft.
2. Oracle-gesteuerte Reaktionen. Wenn Chainlink, Pyth oder RedStone einen neuen Preis veröffentlichen, wird jeder Agent, der auf dieses Oracle reagiert, in einem engen, beobachtbaren Zeitfenster aktiv. Die „Aufwachzeit“ wird zu einer öffentlichen Information.
3. Deterministische Router-Pfade. Agenten neigen dazu, das DEX-Routing fest zu codieren (Uniswap v4 → spezifischer Hook → 1inch Fallback). Dieser Pfad wird zu einem Fingerabdruck, der in Simulationen sichtbar ist.
4. Feste Slippage-Toleranzen. Auf Zuverlässigkeit optimierte Agenten halten die Slippage in engen, konstanten Bereichen – was die Berechnung der Sandwich-Größe trivial macht.
5. Identifizierbare Calldata und Gas. Agent-Frameworks (Virtuals, Olas, Coinbase's Agentic Wallet, Autonolas-Derivate) erzeugen erkennbare Calldata-Strukturen. Ein Searcher kann einen Agenten anhand der Transaktions-Byte-Signatur in Millisekunden klassifizieren.

Nichts davon sind Exploits. Es sind Merkmale disziplinierter Automatisierung. Genau das macht sie so verheerend – ihre Entfernung verschlechtert den Agenten, nicht den Angreifer.

Das Gefangenendilemma des Agenten-Designs​

Entwickler von Agenten stehen vor einer unangenehmen Wahl:

• Einen zuverlässigen, prüfbaren, deterministischen Agenten veröffentlichen und in jedem Block messbaren Wert an Searcher abgeben.
• Das Verhalten randomisieren, um MEV zu widerstehen, und dabei zusehen, wie sich die nutzerseitigen Metriken – Erfolgsrate der Ausführung, Benchmark-Tracking-Fehler, Uptime-SLAs – verschlechtern.

Erschwerend kommt hinzu, dass der Anreiz asymmetrisch ist. Nutzer können ein verpasstes Rebalancing sehen. Nutzer können nicht sehen, wie 0,40 $ pro Trade in das Bundle eines Searchers fließen. Die unsichtbare Steuer verliert immer den politischen Kampf gegen den sichtbaren Fehler.

Dies ist der Grund, warum MEV-Schutz historisch gesehen das letzte Feature war, das einem Handelssystem hinzugefügt wurde – und genau das passiert nun erneut innerhalb des Agent-Stacks.

Wie die Verteidigung im Jahr 2026 aussieht​

Drei Kategorien von Gegenmaßnahmen zeichnen sich ab, und jede geht einen anderen Kompromiss ein.

1. Private Mempools und Intent-basierte Ausführung​

Flashbots SUAVE und sein Nachfolge-Ökosystem — dezentrale Block-Building-Netzwerke, die Intents anstelle von rohen Transaktionen akzeptieren — kommen einer Plug-and-Play-Lösung am nächsten. SUAVE-Bundles bieten Privatsphäre vor der Bestätigung (Pre-Confirmation Privacy) und setzen No-Revert-Garantien durch, was bedeutet, dass der Intent eines Agents bis zur Aufnahme in den Block vor öffentlichen Mempools verborgen bleibt.

Der Haken: SUAVE erfordert Solver-Netzwerke und spezialisierte RPC-Endpunkte. Die meisten Agent-Frameworks nutzen standardmäßig immer noch öffentliche Mempools, da dies von ihren Standard-Bibliotheken unterstützt wird. Die Akzeptanz ist ein Distributionsproblem, kein technisches.

2. Session-Key-Batching und Aggregation​

ERC-8211 und verwandte Session-Key-Standards ermöglichen es einem Agent, ein Batch von Aktionen unter einem einzigen signierten Kontext zu autorisieren, das dann als einzelnes atomares Bundle ausgeführt werden kann, anstatt als eine Sequenz von identifizierbaren (fingerprinted) Aufrufen. Biconomy, Safe und eine Handvoll Smart-Wallet-Anbieter liefern dies bereits als Standard aus.

Der Effekt ist, dass ein „Agent Rebalance“ nicht mehr von jeder anderen gebündelten Smart-Wallet-Operation zu unterscheiden ist. Die Form der Transaktion verrät die Strategie nicht mehr.

3. Vertrauliche Ausführung​

Starknets Primitiven für vertrauliche Ausführung, Aztecs abgeschirmte (shielded) DEX-Integrationen und aufkommende FHE-basierte MEV-Schilde verbergen nicht nur die Transaktion, sondern den Entscheidungszustand selbst. Dies sind die robustesten Verteidigungen — und die teuersten. Insbesondere der FHE-Overhead ist derzeit 1.000 – 10.000-mal so hoch wie ein normaler EVM-Aufruf, was für ein Rebalancing verkraftbar, für Hochfrequenzstrategien jedoch fatal ist.

Ein realistischer Stack für 2026 sieht hybrid aus: FHE oder vertrauliche Ausführung für die Entscheidungsebene, private Intents im SUAVE-Stil für die Abrechnungsebene (Settlement Layer) und Session-Key-Batching auf der Wallet-Ebene. Keine einzelne Primitive gewinnt allein.

Warum dies für Institutionen wichtig ist​

Die Zahl von 50 Mio. $ pro Quartal ist beim derzeitigen TVL von Agents ein Rundungsfehler. Sie wird zu einem existenziellen Problem bei dem TVL, das Institutionen gerade vorbereiten.

Wenn ein anspruchsvoller Asset Manager eine autonome Strategie im Wert von 500 Mio. $betreibt, die 25 Basispunkte pro Rebalancing an MEV verliert, sind das 1,25 Mio.$ pro Rebalancing-Ereignis — multipliziert mit der Anzahl der täglichen Aktionen der Strategie. In der Größenordnung eines Hedgefonds wird die MEV-Steuer zu einer der größten nicht-diskretionären Kostenpositionen in den Büchern. Kein Treuhänder kann das ohne eine Schutzschicht genehmigen.

Dies ist dieselbe Entwicklung, die HFT-Firmen dazu zwang, mehr als 1 Mrd. $ für Co-Location und Glasfaser in traditionellen Märkten auszugeben. Der Unterschied on-chain ist, dass der Schutz keine Investitionsausgaben (Capex) erfordert — er erfordert die Wahl der richtigen Ausführungsschienen (Execution Rails). Dezentraler MEV-Schutz (SUAVE, Batch-Auktionen im CowSwap-Stil, MEV-Share) bietet eine vergleichbare Verteidigung zu einem Bruchteil der Kosten, vorausgesetzt, das Agent-Framework ist darauf ausgelegt, diesen zu nutzen.

Der Einsatz institutioneller Agents im Jahr 2026 wird nicht durch die Qualität der Modelle begrenzt sein. Er wird durch die Infrastruktur der Ausführung (Execution Plumbing) begrenzt sein.

Die Auswirkungen auf die Infrastruktur​

Es gibt einen Effekt zweiter Ordnung, der für jeden wichtig ist, der Infrastruktur unter der Agent-Ökonomie aufbaut. MEV-bewusste Ausführung ist kein exotisches Add-on mehr — sie ist die Grundvoraussetzung (Table Stakes) für jeden, der RPC-, Indexierungs- oder Wallet-Dienste für Agents anbietet.

Das bedeutet, dass Infrastrukturanbieter still und leise zu einer der tragenden Schichten der MEV-Verteidigung werden. Welche Routen ein Anbieter offenlegt, welche privaten Mempools er unterstützt, ob er Simulation-before-Send anbietet und wie schnell sein Pfad für die Inklusionsgarantie ist — diese Entscheidungen lassen sich nun direkt in Rendite für nachgeschaltete Agents übersetzen.

BlockEden.xyz bietet Multi-Chain-RPC- und Indexierungs-Infrastruktur für Ethereum, Solana, Sui, Aptos und mehr — dieselben Schienen, auf die sich autonome Agents verlassen, um Transaktionen zu lesen, zu simulieren und zu senden. Erkunden Sie unseren API-Marktplatz, wenn Sie Agents entwickeln, die Trades abschließen sollen, anstatt sie zu verlieren.

Was man als Nächstes im Auge behalten sollte​

Drei Signale werden uns verraten, ob sich die Agent-MEV-Lücke bis 2026 schließt oder vergrößert:

1. Ob private Ausführung im SUAVE-Stil zum Standard in gängigen Agent-Frameworks (Virtuals ACP, Coinbase Agentic Wallet, Olas, ERC-8004-kompatible Agents) wird oder ein Opt-in-Feature für Power-User bleibt.
2. Ob On-Chain-Dashboards anfangen, MEV gezielt Agent-Adressen zuzuordnen, so wie Jito bereits Sandwich-Verluste Wallets zuordnet. Sichtbarkeit verändert Verhalten.
3. Ob institutionelle Asset Manager — die Fidelities, BlackRocks und rentennahen Allokatoren, die jetzt On-Chain-Strategien pilotieren — MEV-geschützte Ausführung als schriftlich fixierte Leistung fordern. Diese einzige Änderung im Beschaffungswesen würde mehr zur Beschleunigung der Akzeptanz beitragen als jedes Protokoll-Upgrade.

Die am häufigsten zitierte Prognose für die Agent-Ökonomie ist der Transaktionswert von 3,5 Bio. $für das Jahr 2031. Die seltener gestellte Frage ist, wie viel von diesem Wert in den Wallets der Agent-Nutzer landet, anstatt drei Blöcke später im Hot Wallet eines Searchers. Momentan beläuft sich der stille Abfluss auf 50 Mio.$ pro Quartal und wächst im Gleichschritt mit der Agent-Population.

Agents werden die Ausführungsebene gewinnen. Die einzige Frage ist, wie viel sie auf dem Weg dorthin verschenken werden.

Quellen​

• AI-on-AI MEV & Marktmanipulation: Der Dark Forest Reloaded im Jahr 2026 — Cryptollia
• Top 8 MEV-Bots & Schutz-Tools im Jahr 2026 — QuickNode
• Die Zukunft von MEV ist SUAVE — Flashbots Writings
• Intents und Solver: Die nächste UX-Revolution in DeFi für 2026 — Dcentralab
• Virtuals Protocol integriert AI Agent Commerce mit dem Arbitrum Netzwerk — CoinAlertNews
• Scale or Die auf der Accelerate 2025: Der Stand von Solana MEV — Solana Compass
• Eine Analyse der Arbitrage-Märkte über Ethereum und Solana hinweg — Extropy Academy
• Solanas wirtschaftlicher Wert: MEV-Extraktion, Validator-Einnahmen und NFT-Trends — Solana Compass
• Krypto-KI-Agenten im Jahr 2026: Wie autonome Modelle Blockchain, DeFi und On-Chain-Wallets nutzen — Coincub

Zwei Protokolle stehen nun zwischen jedem KI-Agenten und der Blockchain, die er ansprechen möchte. Eines stammt von Anthropic. Eines stammt von Google. Und bis April 2026 ist keines von beiden optional für Web3-Entwickler, die sicherstellen wollen, dass ihre Infrastruktur für die über 250.000 + täglich aktiven On-Chain-Agenten erreichbar ist, die im ersten Quartal online gegangen sind.

Das Model Context Protocol (MCP) sagt einem Agenten, wie er ein Tool verwenden soll. Das Agent2Agent Protocol (A2A) sagt einem Agenten, wie er mit einem anderen Agenten kommunizieren soll. Sie sind weniger Rivalen als vielmehr Schichten – aber die Entscheidung, welches zuerst unterstützt, wofür optimiert und wie krypto-native Primitive durch beide offengelegt werden sollen, ist heute eine grundlegende Architekturentscheidung für jeden, der für das agentische Web baut.

Ein Jahr, das den Agent-Stack neu gemischt hat​

MCP entstand Ende 2024 bei Anthropic als ein enger Standard: Claude und später jedes Modell sollten über eine einzige Client-Server-Schnittstelle anstelle von maßgeschneiderten Integrationen auf externe Tools und Daten zugreifen können. Als Coinbase im Februar 2026 sein Payments MCP veröffentlichte, war MCP bereits der Weg, über den Frontier-Modelle – Claude, Gemini, Codex – Wallets, APIs und Datenfeeds erreichen. deBridge stellte das Cross-Chain-Swap-Routing über einen MCP-Server bereit. Der MCP-Server von Solana gab jedem MCP-fähigen Modell die Möglichkeit, Kontostände zu prüfen, Token zu tauschen und NFTs in einfachem Englisch zu prägen.

A2A schlug einen anderen Weg ein. Google kündigte es im April 2025 mit mehr als 50 Launch-Partnern an – Atlassian, Box, Cohere, Intuit, LangChain, MongoDB, PayPal, Salesforce, SAP, ServiceNow und die großen Beratungsunternehmen. Es wurde im Juni 2025 an die Linux Foundation gespendet. Wo MCP die Agent-zu-Tool-Verbindung standardisierte, standardisierte A2A die Agent-zu-Agent-Verbindung: wie ein Agent einen anderen Agenten entdeckt, dessen „Agent Card“ liest, eine Aufgabe aushandelt und die Arbeit über Organisationsgrenzen hinweg koordiniert.

Dann kam der Dezember 2025. Die Linux Foundation gründete die Agentic AI Foundation (AAIF) mit sechs Mitbegründern – OpenAI, Anthropic, Google, Microsoft, AWS und Block – und stellte sowohl MCP als auch A2A unter denselben Governance-Schirm. Das Narrativ des „Protokollkriegs“ brach fast so schnell zusammen, wie es begonnen hatte. Sie ergänzen sich gegenseitig, und die Branche behandelt sie heute auch so.

Für Web3 ist die Komplementarität wichtiger als der Wettbewerb es je war. Tools leben On-Chain; Agenten leben überall. Man braucht beides.

Was MCP tatsächlich für einen Krypto-Stack leistet​

MCP ist ein Client-Server-Protokoll für Tool-Aufrufe. Ein Modell, das innerhalb einer Anwendung läuft – der MCP-Client –, verbindet sich mit einem MCP-Server, der eine Reihe von Tools, Ressourcen und Prompt-Vorlagen veröffentlicht. Der Server kann alles Mögliche sein: ein lokales Dateisystem, eine SaaS-API oder ein Blockchain-RPC, der mit semantischen Beschreibungen versehen ist.

In diese letzte Kategorie klinkt sich Web3 ein. Das Payments MCP von Coinbase stellt Wallet-Erstellung, On-Ramp-Flows und Stablecoin-Transfers als Tools bereit, die jeder MCP-Client aufrufen kann. Der MCP-Server von deBridge ermöglicht Cross-Chain-Quoting und die nicht-verwahrte Ausführung von Swaps. Ein Solana-MCP-Server ermöglicht Kontostandsabfragen, Überweisungen, Swaps und Mints. Für das Modell fühlen sich diese wie der Aufruf eines Taschenrechner-Tools an – die krypto-native Komplexität bleibt hinter JSON-Schemas verborgen.

Der praktische Effekt ist, dass jedes Modell mit MCP-Unterstützung – Claude, Gemini, Codex und die meisten Open-Weight-Agenten-Frameworks – nun ohne individuellen SDK-Aufwand mit On-Chain-Infrastruktur interagieren kann. Seit Anfang 2026 hat das x402-Zahlungsprotokoll (mehr dazu weiter unten) ein Volumen von mehr als 600 Millionen $ verarbeitet und unterstützt fast 500.000 aktive KI-Wallets, von denen die meisten über MCP-exponierte Tools operieren.

Was A2A bietet, was MCP nicht kann​

A2A beantwortet eine andere Frage: Wenn mein Agent einen anderen Agenten beauftragen muss – einen, der eine rechtliche Prüfung, ein Fraud-Scoring, eine Übersetzung oder spezialisierte On-Chain-Analysen durchführen kann –, wie findet er diesen Agenten, verifiziert ihn und arbeitet mit ihm zusammen?

Die Antwort von A2A sind Agent Cards: kleine JSON-Dokumente, die über HTTPS gehostet werden und die Fähigkeiten, Endpunkte, Authentifizierungsanforderungen und Skills eines Agenten beschreiben. Ein Agent entdeckt einen anderen Agenten, liest die Karte und initiiert eine Aufgabe über einen Standardsatz von HTTP + JSON-RPC-Methoden. Das Protokoll ist bewusst schlank gehalten: Es ist ihm egal, auf welchem Framework der andere Agent läuft, solange er A2A spricht.

Für Web3 finden hier die organisationsübergreifenden Workflows statt. Ein Trading-Agent auf einer Plattform beauftragt einen Risikoanalyse-Agenten auf einer anderen. Ein DAO-Treasury-Agent delegiert eine Compliance-Prüfung an einen Drittanbieterdienst. Ein Game-Agent gibt ein On-Chain-Asset bei einem Generative-Art-Agenten in Auftrag. Nichts davon ist ein Tool-Aufruf – es ist eine Verhandlung zwischen Peers, und dafür war MCP nie ausgelegt.

Die Web3-native Schicht: x402 und ERC-8004 passen darunter​

Weder MCP noch A2A kümmern sich um Zahlungen oder Identität. In diese Lücke stoßen nun krypto-native Standards.

x402 ist die Wiederbelebung des lange Zeit brachliegenden HTTP-Statuscodes 402 „Payment Required“ durch Coinbase. Wenn ein Agent einen Endpunkt mit Paywall aufruft, gibt der Server 402 mit Zahlungsanweisungen zurück; der Agent zahlt in Stablecoins – typischerweise USDC – und versucht es erneut. Es ist kontofrei, abonnementfrei und auf Mikrozahlungen im Sub-Cent-Bereich ausgelegt. Bis April 2026 umfasst die x402 Foundation Adyen, AWS, American Express, Base, Circle, Cloudflare, Coinbase, Google, Mastercard, Microsoft, Shopify, Solana Foundation, Stripe und Visa. Google hat x402 in seine eigene Agents Payment Protocol (AP2) Initiative integriert, was es effektiv als den Zahlungskanal unterhalb von A2A-koordinierten Transaktionen legitimiert.

ERC-8004, das am 29. Januar 2026 im Ethereum-Mainnet live ging, ist das Pendant für Identität und Reputation. Mitverfasst von Mitwirkenden von MetaMask, der Ethereum Foundation, Google und Coinbase, führt es drei On-Chain-Register ein – Identität, Reputation und Validierung –, mit denen Agenten beweisen können, wer sie sind, und eine verifizierbare Erfolgsbilanz über Organisationsgrenzen hinweg aufbauen können. Bis April 2026 sind mehr als 20.000 Agenten registriert und über 70 + Projekte bauen darauf auf. Der Standard spiegelt bewusst das Agent-Card-Konzept von A2A wider: Die On-Chain-AgentID lässt sich in eine Off-Chain-AgentCard auflösen, sodass A2A-konforme Agenten die Identität von ERC-8004 ohne ein neues Protokoll übernehmen können.

ERC-8183, von der Ethereum Foundation und dem Virtuals Protocol, schließt den Kreislauf mit einem Hire-Deliver-Settle-Treuhandmuster. Es definiert die Rollen Client, Provider und Evaluator für On-Chain-Agent-Arbeitsmärkte. Die treffende Zusammenfassung, die in diesem Quartal die Runde macht: x402 beantwortet die Frage, wie man bezahlt, ERC-8004 beantwortet, wer die andere Partei ist und ob sie vertrauenswürdig ist, und ERC-8183 beantwortet, wie man sicher transagiert. Alle drei setzen auf der A2A-Koordination und der MCP-Tool-Nutzung auf.

Worauf die Chains setzen​

Verschiedene L1s und L2s gehen unterschiedliche Wetten darauf ein, welche Protokolloberfläche am wichtigsten ist – und diese Wetten bestimmen, worauf ihre Developer-Stacks Priorität legen.

Ethereum hat sich am stärksten auf Identitäts- und Auftragssemantik über ERC-8004 und ERC-8183 konzentriert und richtet sich damit klar an das organisationsübergreifende Modell von A2A aus. Das dAI-Team der Ethereum Foundation bezeichnete ERC-8004 als eine Kernkomponente der Roadmap für 2026.

Solana setzt verstärkt auf die MCP-Tool-Exposition und x402-Zahlungen. Mehr als 9.000 Solana-Netzwerk-Agenten sind bereits im Einsatz, und der Solana-MCP-Server ist der kanonische Einstiegspunkt für jedes MCP-bewusste Modell, das mit der Chain interagieren möchte. Die Wette des Ökosystems lautet: Schnelle, günstige Ausführung plus native MCP-Anbindung gewinnen die Tool-Call-Ebene.

BNB Chain wählte mit BAP-578 einen dritten Weg – den Standard für Non-Fungible Agents (NFA), der im Februar 2026 im Mainnet live ging. BAP-578 macht den Agenten selbst zum primären On-Chain-Asset – jeder NFA besitzt ein Wallet, kann Token halten, Logik ausführen und gekauft oder gemietet werden. Der Standard unterstützt RAG, MCP-Integration, Fine-Tuning und Reinforcement-Learning-Ansätze durch austauschbare Logik-Contracts. Bis Mitte Februar war das Agent-Ökosystem der BNB Chain auf 58 Projekte in 10 Kategorien angewachsen.

Base verankert die x402-Schiene über Coinbase und hat sich zum Standard-Settlement-Layer für Agent-to-Agent-Mikrozahlungen entwickelt. Die in diesem Quartal angekündigte Integration von Stripe mit Base erweitert diese Schiene bis in die Mainstream-Händlerinfrastruktur.

Das Muster: Keine Chain wählt MCP oder A2A – sie wählen alle beides, ergänzt um ein krypto-natives Differenzierungsmerkmal (Identität bei Ethereum, Ausführung bei Solana, Asset-Repräsentation bei BNB, Zahlungen bei Base).

Die entscheidende Frage für Builder: Welche Oberfläche exponieren Sie zuerst?​

Die Konvergenz der Standards beseitigt keine Priorisierungsentscheidungen. Ein Protokoll, ein Wallet, eine Bridge oder ein Datenanbieter muss immer noch entscheiden, was zuerst ausgeliefert wird, und diese Entscheidung hat Konsequenzen.

• Veröffentlichen Sie zuerst einen MCP-Server, wenn Ihr Produkt ein Tool ist – ein Wallet, eine Bridge, ein Daten-Feed oder ein Swap-Router. MCP ist der Ort, an dem der Flow vom individuellen Agenten zum Tool stattfindet, und die meisten autonomen Agenten im Jahr 2026 sind immer noch Single-Agent-Setups, die Tools aufrufen.
• Veröffentlichen Sie als Nächstes eine A2A-Agenten-Karte, wenn Ihr Produkt selbst ein Agent oder ein Dienst ist, den andere Agenten beauftragen werden. Risikobewertung, Compliance-Prüfungen, On-Chain-Analysen, Market-Making – dies sind Agent-to-Agent-Flows.
• Integrieren Sie x402 in beides, wenn Ihr Dienst abrechenbar ist. Jeder MCP-Tool-Aufruf und jeder A2A-Task-Aufruf ist eine potenzielle Mikrozahlung, und x402 ist der Pfad des geringsten Widerstands.
• Registrieren Sie sich bei ERC-8004, wenn Ihr Agent über Organisationsgrenzen hinweg agiert und Reputation eine Rolle spielt. Identität ohne Reputation ist nur ein Namensschild; Identität mit On-Chain-Reputation ist eine Erfolgsbilanz.
• Ziehen Sie ERC-8183 in Betracht, wenn Ihr Dienst diskrete, bewertbare Leistungen verkauft – das Escrow-Muster lässt sich sauber auf Agent-als-Auftragnehmer-Geschäftsmodelle übertragen.

Der Vergleich zwischen der langsamen Einführung von ERC-4337 und der sofortigen Akzeptanz von ERC-20 ist aufschlussreich. ERC-20 gewann, weil jeder Token das Gleiche benötigte. ERC-4337 kam nur mühsam voran, da sich Account-Abstraktion erst lohnt, wenn der Nutzen offensichtlich ist. MCP ähnelt eher ERC-20 – fast jeder Agent benötigt Tools – während A2A eher wie ERC-4337 wirkt, mit einer Adoption, die sich dort konzentriert, wo echte Multi-Agent-Workflows existieren. Das könnte sich ändern, wenn die Agentenpopulationen wachsen und die Spezialisierung zunimmt, aber bis 2026 erscheint die MCP-First-Priorisierung für die meisten Web3-Builder als der richtige Weg.

Warum dies für Infrastrukturanbieter wichtig ist​

Für einen RPC- und Indexer-Anbieter, der das agentenbasierte Web bedient, ist die Implikation eindeutig: Jede von Ihnen unterstützte Blockchain muss über beide Protokolle erreichbar sein, mit x402-Abrechnung dort, wo es sinnvoll ist.

BlockEden.xyz betreibt produktive RPC- und Indexierungs-Infrastruktur für über 27+ Blockchains – darunter Sui, Aptos, Solana, Ethereum, BNB Chain und Base – auf die autonome Agenten zunehmend über MCP-Server und A2A-Workflows zugreifen. Erkunden Sie unseren API-Marktplatz, wenn Sie agentenintegrierte Infrastruktur aufbauen, die vom ersten Tag an beide Protokolle sprechen muss.

Quellen​

• Announcing the Agent2Agent Protocol (A2A) — Google Developers Blog
• Google's Agent-to-Agent (A2A) and Anthropic's Model Context Protocol (MCP) — Gravitee
• A2A and MCP: Start of the AI Agent Protocol Wars? — Koyeb
• MCP vs A2A: The Complete Guide to AI Agent Protocols in 2026
• Coinbase Payments MCP launch
• Coinbase Debuts Crypto Wallet Infrastructure for AI Agents — PYMNTS
• x402 — Payment Required, Internet-Native Payments Standard
• Stripe taps Base for AI agent x402 payment protocol — crypto.news
• ERC-8004: Trustless Agents — Ethereum Improvement Proposals
• Ethereum's ERC-8004 aims to put identity and trust behind AI agents — CoinDesk
• Ethereum Foundation and Virtuals Protocol Launch ERC-8183 — KuCoin
• BNB Chain BAP-578: When AI Agents Become Tradable Assets — BlockEden.xyz
• BAP-578 specification — BNB Chain BEPs
• Solana, BSC, and Base Accelerate AI Agent Infrastructure — KuCoin

Seit zwei Jahren versprach das Krypto-KI-Narrativ einen einzigen, gottgleichen Agenten: ein Modell, das Ihre Keys hält, den Mempool liest, Ihre Strategie ausführt und Ihr Gedächtnis verwaltet. Dieser Agent ist bereits veraltet. Im Februar 2026 begrub Coinbase ihn still und leise — und der Großteil der Branche hat es noch nicht bemerkt.

Als Coinbase am 11. Februar 2026 Agentic Wallets einführte, konzentrierten sich die Schlagzeilen auf das Offensichtliche: eine Wallet-Infrastruktur, die speziell für autonome KI entwickelt wurde. Das tiefere Signal war architektonischer Natur. Coinbase hat keinen intelligenteren Agenten auf den Markt gebracht. Es lieferte ein Wallet, das Agenten als externen Dienst aufrufen — und formalisierte damit den Übergang von monolithischer KI zu spezialisierten Agentennetzwerken als das kritische Infrastrukturproblem von Web3 für das nächste Jahrzehnt.

Der monolithische Agent war schon immer eine Fantasie​

Die erste Welle von Krypto-Agenten — Virtuals, ai16z-Forks, die frühen Eliza-Klone — bündelte alles in einer einzigen Runtime. Reasoning, Gedächtnis, Key-Management, Ausführung und Risikobewertung lebten in einem einzigen Prozess, oft in einem einzigen LLM-Aufruf. Es war eine beeindruckende Demo und ein schreckliches Produktionssystem.

Die Misserfolge waren vorhersehbar. Ein monolithischer Agent, der Keys hält, ist nur eine Sicherheitslücke vom Totalverlust entfernt. Ein monolithischer Agent, der mehrere Aufgaben bedient, driftet zwischen Domänen ab, halluziniert über Kontexte hinweg und kann nicht unabhängig auditiert werden. Und die Skalierungsrechnung ist brutal: Anthropics eigene Forschung ergab, dass ein einzelner Agent bei gleichwertigen Werkzeugen bei 64 % der Benchmark-Aufgaben mit Multi-Agenten-Konfigurationen gleichzog oder diese übertraf — aber die 36 %, in denen Multi-Agenten gewinnen, sind genau die hochwertigen, hochkomplexen Workloads, die für Web3 entscheidend sind, wo die parallele Sub-Agenten-Architektur von Anthropic den Einzelagenten-Opus um 90,2 % übertraf.

Übersetzung: Wenn Ihr Agent irgendetwas Interessantes tut, kann ein einzelner Prozess das Gewicht nicht tragen. Und wenn Ihr Agent irgendetwas Wertvolles tut, kann einem einzelnen Prozess nicht damit vertraut werden.

Der architektonische Pivot von Coinbase: Wallet als aufrufbarer Dienst​

Das Agentic Wallet von Coinbase definiert das Wallet als einen diskreten Dienst neu, den Agenten aufrufen, anstatt ihn zu enthalten. Die Komponenten erzählen die Geschichte:

• Agent Skills — vordefinierte Primitive für Authenticate, Fund, Send, Trade und Earn, die als aufrufbare Schnittstellen statt als eingebettete Logik bereitgestellt werden
• x402 Payment Rails — der HTTP-402-Statuscode, der als Machine-to-Machine-Zahlungsprotokoll wiederbelebt wurde, mit über 75 Millionen verarbeiteten Transaktionen, 94.000 einzigartigen Käufern und 22.000 Verkäufern im gesamten Netzwerk
• TEE-gesicherte CDP Wallets — Non-custodial Keys, die in Trusted Execution Environments (TEEs) gehalten und niemals dem Reasoning-Agenten ausgesetzt werden
• Programmierbare Guardrails — Compliance-Prüfung, Ausgabenlimits und Nutzungsüberwachung, die außerhalb des Kontextfensters des Agenten erzwungen werden
• EVM- und Solana-Unterstützung vom ersten Tag an, mit gaslosen Transaktionen auf Base

Die entscheidende Erkenntnis: Der Reasoning-Agent sieht niemals den Private Key. Er fordert eine Aktion an; der Wallet-Dienst setzt die Richtlinien durch und führt sie aus. Dies ist dieselbe Entkopplung, die es der Cloud-Industrie ermöglichte, von Monolithen zu Microservices zu skalieren — unabhängige Skalierung, isolierte Fehlerdomänen und Sicherheitskompartimentierung.

Die entstehende Taxonomie spezialisierter Agenten​

Sobald man akzeptiert, dass Wallets ein Dienst sind, zerfällt der Rest des Stacks auf natürliche Weise. Ein ausgereifter agentischer Workflow im Jahr 2026 sieht weniger wie ein einzelnes Modell aus, sondern eher wie ein Orchester:

• Koordinator-Agenten zerlegen Aufgaben, verifizieren Ergebnisse und wickeln Zahlungen zwischen Sub-Agenten ab
• Ausführungs-Agenten spezialisieren sich auf die Ausführung von DeFi-Strategien, Cross-Chain-Routing und MEV-bewusste Transaktionserstellung
• Daten-Agenten übernehmen Orakel-Abfragen, On-Chain-Analysen und Sentiment-Signale
• Compliance-Agenten wenden KYC-, Travel-Rule- und Jurisdiktionsprüfungen an, bevor Signaturen angefordert werden
• Interface-Agenten übersetzen Absichten in natürlicher Sprache in strukturierte Tool-Aufrufe

Das Warden Protocol hat genau dieses Substrat aufgebaut. Sein Agent Hub — effektiv ein „App Store für Agenten“ — hat bis Februar 2026 über 60 Millionen agentische Aufgaben verarbeitet und bedient rund 20 Millionen Nutzer, nach einer strategischen Runde über 4 Millionen US-Dollar bei einer Bewertung von 200 Millionen US-Dollar durch 0G, Messari und Venice.AI. Wardens Statistical Proof of Execution (SPEx) liefert den kryptografischen Beweis, dass das Ergebnis einer Aufgabe vom angegebenen Modell stammt — das Vertrauensprimitiv, das ein Koordinator benötigt, wenn er Arbeit an nicht vertrauenswürdige Spezialisten delegiert.

Die unterstützenden Standards fügen sich zusammen. ERC-8004, das am 29. Januar 2026 im Ethereum-Mainnet live ging und sechs Tage später die BNB Chain erreichte, verleiht Agenten eine verifizierbare On-Chain-Identität und Reputation. x402 übernimmt die Micropayment-Ebene, damit Agenten einander ohne API-Keys bezahlen können. Session Keys, die auf der Account Abstraction von ERC-4337 basieren, ermöglichen es Besitzern, die Autonomie zu begrenzen — „dieser Agent kann 50 $/Tag ausgeben, alles darüber hinaus erfordert eine menschliche Signatur“ — ohne Master-Keys preiszugeben.

Identität, Bezahlung, Ausführungsnachweise und Key-Grenzen: Die vier fehlenden Primitive, die monolithische Agenten intern vorzutäuschen versuchten, sind jetzt externe, komponierbare Dienste.

Microservices-Déjà-vu — einschließlich der Schmerzen​

Jeder Architekt, der die Microservices-Migration von 2015-2020 miterlebt hat, beobachtet dies mit einem vertrauten Unbehagen. Die Vorteile sind real. Die Kosten ebenso.

Multi-Agenten-Systeme sind resilienter, besser prüfbar und anpassungsfähiger als monolithische Äquivalente. Sie isolieren Fehler, ermöglichen es spezialisierten Teams, unabhängig zu releasen, und erlauben den Austausch eines Reasoning-Modells, ohne die Wallet-Ebene neu aufbauen zu müssen. Aber 40 % der Multi-Agenten-Piloten scheitern innerhalb von sechs Monaten nach dem Produktionsstart, meist weil Teams das falsche Orchestrierungsmuster wählen oder nicht verstehen, wie es an Leistung verliert. Latenz summiert sich über mehrere Hops hinweg. Schnittstellen verfestigen sich. Das Debugging eines verteilten Traces von Modellaufrufen ist schwieriger als das Debugging eines Monolithen — und der Monolith hat zumindest ein einziges Log zum Auslesen.

Web3 erbt all dies, plus eine einzigartige Wendung: Die Ausführungsebene ist adversarisch.

Das Agenten-MEV-Problem​

Hier ist die unangenehme Wahrheit, die die meisten Evangelisten spezialisierter Netzwerke vermeiden. Deterministische, zusammensetzbare Ausführungsagenten sind anfälliger für MEV als ihre monolithischen Vorgänger, nicht weniger.

Die EVM ist per Design deterministisch: Derselbe Status plus dieselbe Transaktionssequenz ergibt auf jedem Node identische Ergebnisse. Diese Garantie ist das Fundament des Blockchain-Konsensus und gleichzeitig der Traum eines Front-Running-Bots. Wenn ein spezialisierter Ausführungsagent einem vorhersehbaren Muster folgt — „Rebalance um 14:00 Uhr UTC, Routing über Uniswap V4, Slippage-Toleranz 0,3 %“ — wird er trivial beobachtbar. Sandwich-Bots scannen den Mempool nach genau diesen Signaturen. Je spezialisierter und deterministischer der Ausführungsagent ist, desto schärfer ist die Angriffsfläche.

Ein monolithischer Agent mit unordentlichem, variierendem Verhalten war paradoxerweise teilweise durch sein eigenes Chaos geschützt. Ein diszipliniertes spezialisiertes Netzwerk ist das nicht. Was bedeutet, dass der MEV-Schutz-Stack — Solver-Netzwerke wie CoW Protocol, Private Order Flow, intent-basiertes Batching und verschlüsselte Mempools — keine optionale DeFi-Annehmlichkeit mehr ist. Für spezialisierte Netzwerke in der Produktion ist er die Grundvoraussetzung.

Was dies für die Web3-Infrastruktur bedeutet​

Die Verschiebung hat eine direkte Konsequenz für jeden, der die Infrastruktur betreibt. Ein einzelner monolithischer Agent erzeugt eine RPC-Session, einen Wallet-Signatur-Flow, einen kohärenten Transaktionsstrom. Ein spezialisiertes Netzwerk, das auf derselben Benutzerabsicht basiert, erzeugt um Größenordnungen mehr Traffic: Datenagenten, die Oracles abfragen, Koordinationsagenten, die Reputationsregister ansteuern, Ausführungsagenten, die kettenübergreifende Vorab-Simulationen durchführen, Compliance-Agenten, die Sanktionslisten abfragen, und alle rechnen Mikrozahlungen untereinander via x402 ab.

Jeder dieser Hops benötigt zuverlässigen Multi-Chain-Datenzugriff. Das Profil des API-Konsumenten ändert sich von „dApp ruft eth_call ein paar Mal pro Benutzersitzung auf“ zu „ein Schwarm von Agenten, der innerhalb eines einzigen Workflows Tausende von Low-Latency-Anfragen über Ethereum, Base, Solana, Sui und Aptos stellt.“ Rate-Limits, die für Menschen entwickelt wurden, versagen sofort. Single-Chain-RPC-Provider werden zu Engpässen. Latenzvarianzen, die einem menschlichen Benutzer nie auffallen würden, kaskadieren über Agenten-Hops hinweg zu kumulierten Fehlern.

BlockEden.xyz betreibt RPC- und Indexing-Infrastruktur der Enterprise-Klasse für über 25 Chains, die speziell für diese Art von hochdurchsatzfähigem Multi-Chain-Agent-Workload entwickelt wurde. Wenn Sie Koordinations- oder Ausführungsagenten bauen, die Ökosysteme überspannen, erkunden Sie unseren API-Marktplatz für Infrastruktur, die darauf ausgelegt ist, mit Traffic auf Agenten-Ebene Schritt zu halten.

Die nächsten achtzehn Monate​

Die Steine liegen nun auf dem Brett: Die Wallet-as-a-Service-Architektur von Coinbase, die Koordinationsschicht von Warden, ERC-8004-Identität, x402-Zahlungen, ERC-4337-Session-Keys und eine wachsende Bibliothek spezialisierter Agenten-Frameworks. Was als Nächstes kommt, ist der schwierige Teil — nicht das Erfinden neuer Primitiven, sondern das Zusammensetzen der bestehenden zu zuverlässigen, prüfbaren und MEV-resistenten Produktionssystemen.

Erwarten Sie eine Konsolidierung um einige dominante Orchestrierungsmuster, ein brutales Aussortieren unter den 40 % der Multi-Agenten-Projekte, die das falsche gewählt haben, und einen stillen Werttransfer von „Agent-Apps“ hin zu den Infrastrukturanbietern, die spezialisierte Netzwerke im großen Stil tatsächlich funktionsfähig machen. Der monolithische Agent war eine gute Demo. Das spezialisierte Netzwerk ist die Architektur, die in Serie geht.

Die einzige verbleibende Frage ist, ob die Teams, die auf Web3 bauen, den Wandel rechtzeitig erkennen — oder ein weiteres Jahr damit verbringen, gottgleiche Agenten zu releasen, die den Kontakt mit einem Mempool nicht überleben.

---

Quellen:

• Coinbase — Einführung von Agentic Wallets
• PYMNTS — Coinbase stellt Krypto-Wallet-Infrastruktur für KI-Agenten vor
• Genfinity — Coinbase Agentic Wallets: Erste Wallet-Infrastruktur für KI-Agenten gebaut
• Aisera — Multi-Agenten-Orchestrierung: Das Ende der monolithischen KI
• Beam.ai — 6 Multi-Agenten-Orchestrierungsmuster für die Produktion (2026)
• ChainUp — x402 & ERC-8004: Wie KI-Agenten im Agentic Web bezahlen
• Ethereum Improvement Proposals — ERC-8004: Vertrauenslose Agenten
• Bitget Academy — Warden Protocol (WARD): Das globale Agenten-Netzwerk erklärt
• CoW Protocol — Wie KI-Agenten in DeFi eingesetzt werden können
• Coincub — Krypto-KI-Agenten im Jahr 2026

Im Januar 2026 gab es etwa 337 KI-Agenten, die auf öffentlichen Blockchains bereitgestellt wurden. Bis März war diese Zahl auf über 123.000 gestiegen. Allein die BNB Chain beherbergt mittlerweile mehr als 122.000 ERC-8004-Agenten – ein Anstieg von 36.000 % in weniger als neunzig Tagen, der alles in den Schatten stellt, was der DeFi Summer 2020 jemals hervorgebracht hat.

Und doch, wenn man nach den Agenten filtert, die in den letzten sieben Tagen tatsächlich eine Transaktion durchgeführt haben, liegt die Zahl der Überlebenden im niedrigen Tausenderbereich.

Diese Lücke – zwischen Bereitstellung und wirtschaftlicher Aktivität – ist die entscheidende Spannung im KI-Krypto-Sektor zu Beginn des zweiten Quartals 2026. Der Markt ist nun endlich alt genug, um ein Glaubwürdigkeitsproblem zu haben. Mit einer kombinierten Marktkapitalisierung von rund 22,6 Mrd. $ über 919 KI-bezogene Token hinweg wird der Sektor nun auf seinen ersten echten „Nützlich oder nur Hype?“-Moment zugesteuert, und die Kennzahl, die diesen Druck ausübt, hat einen Namen: Verifiable On-Chain Revenue (verifizierbarer On-Chain-Umsatz) oder VOC.

Am 7. April 2026 riefen Finanzminister Scott Bessent und der Vorsitzende der Federal Reserve, Jerome Powell, die CEOs von Citigroup, Morgan Stanley, Bank of America, Wells Fargo und Goldman Sachs zu einer Krisensitzung im Hauptquartier des Finanzministeriums zusammen. Das Thema war keine Bankenpleite, keine Zinsentscheidung und kein Sanktionsregime. Es war ein einziges KI-Modell, das von einem Forschungslabor in San Francisco entwickelt wurde – Anthropics Claude Mythos Preview –, das im Stillen Tausende von hochgradigen Schwachstellen in jedem großen Betriebssystem und jedem gängigen Webbrowser gefunden hatte, von denen über 99 % noch nicht behoben waren.

Drei Tage zuvor hatte Anthropic das Projekt Glasswing angekündigt: eine Zusage von bis zu 100 Mio. $ an Mythos-Nutzungsguthaben für eine geschlossene Koalition aus zwölf Technologie-, Sicherheits- und Finanzgiganten – AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, die Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks – sowie über 40 wichtige Open-Source-Maintainer. Alle anderen, einschließlich Coinbase und Binance, mussten von außerhalb verhandeln.

Für den Kryptosektor gehen die Auswirkungen tiefer als bei einer typischen Einführung eines Sicherheitstools. Glasswing ist das erste Mal, dass ein privates KI-Labor effektiv eine Zwei-Klassen-Ökonomie für die Entdeckung von Schwachstellen definiert hat, und die Kryptoindustrie – die allein im ersten Halbjahr 2025 über 3 Mrd. $ durch Exploits verlor – muss entscheiden, ob sie innerhalb oder außerhalb dieses Perimeters steht.

Was Mythos tatsächlich tut​

Anthropics eigene Darstellung ist ungewöhnlich drastisch. In internen Tests identifizierte Mythos einen 27 Jahre alten Fehler in OpenBSD, den noch kein menschlicher Auditor entdeckt hatte, und verkettete aufeinanderfolgende Schwachstellen, um aus modernen Browser-Sandboxes auszubrechen. Traditionelle Smart-Contract-Audits dauern Wochen. Mythos generiert effektive Angriffspfade in Sekunden.

Diese Asymmetrie ist der Kernpunkt. Das Modell markiert nicht nur potenzielle Fehler; es generiert automatisch funktionierenden Exploit-Code und orchestriert mehrstufige Angriffsketten. Anthropic stufte die Fähigkeit als „extrem gefährlich“ für eine unkontrollierte öffentliche Freigabe ein, weshalb Mythos Preview nicht über den normalen API-Zugang verfügbar ist. Stattdessen befindet es sich hinter der Glasswing-Schranke.

Die Koalition ist keine Forschungskooperation im akademischen Sinne. Die Teilnehmer erhalten Live-Zugriff auf Mythos, um Schwachstellen in ihren eigenen Systemen zu jagen – TLS-Implementierungen, AES-GCM-Primitive, SSH-Daemons, Kernel-Code und im Fall von JPMorgan die internen Zahlungs- und Handelsstacks, über die täglich Billionen von Dollar abgewickelt werden. Anthropic hat sich verpflichtet, Anfang Juli 2026 einen 90-tägigen öffentlichen Bericht zu veröffentlichen, der zusammenfasst, was Glasswing behoben hat.

Warum Coinbase und Binance jetzt von außerhalb verhandeln​

Der Chief Security Officer von Coinbase, Philip Martin, hat öffentlich bestätigt, dass das Unternehmen in „engem Austausch“ mit Anthropic steht. Ziel sei der Aufbau eines „KI-Immunsystems“ – die defensive Nutzung von Mythos, um eigene Systeme zu scannen, bevor jemand mit vergleichbaren Fähigkeiten sie offensiv nutzt. Der CSO von Binance beschrieb eine parallele Evaluierung und nannte sowohl das defensive Potenzial als auch die Angriffsfläche.

Das Asymmetrieproblem für Kryptobörsen ist brutal. Eine zentralisierte Börse verfügt über Hot-Wallet-Keys, Nutzerguthaben und einen Custody-Stack, für deren Untersuchung jeder moderat motivierte offensive Akteur siebenstellige Beträge zahlen würde. Wenn Mythos – oder ein Modell mit gleichwertigen Fähigkeiten, das von einem Mitarbeiter, einem staatlich gesponserten Akteur oder einem künftigen Open-Weight-Wettbewerber geleakt wird – in die Hände von Angreifern gelangt, bevor die Börsen ihre Systeme gehärtet haben, wird das Zeitfenster für Exploits in Stunden gemessen, nicht in Quartalen.

Das ist der Kern des Glasswing-Dilemmas. Börsen, die nicht Teil der Koalition sind, können Mythos nicht für Vorab-Audits ihres eigenen Codes nutzen. Sie können Tools der zweiten Ebene verwenden, aber die Kapazitätslücke ist entscheidend. Ein Fehler, den Mythos in 30 Sekunden findet, könnte einen menschlichen Auditor drei Wochen kosten und von einem Gegner mit vergleichbarem KI-Zugang in Minuten entdeckt werden.

Der 3-Mrd.-$-Kontext: Warum Geschwindigkeitsasymmetrie eine existenzielle Bedrohung für DeFi ist​

Im ersten Halbjahr 2025 verzeichneten Web3-Plattformen Verluste von über 3 Mrd. $. Allein Exploits bei der Zugriffskontrolle machten 1,63 Mrd.$ aus – die führende Kategorie in den OWASP Smart Contract Top 10 dieses Zeitraums. Der Bericht von FailSafe für 2025 bezifferte die Verluste auf 2,6 Mrd. $bei 192 Vorfällen. Immunefi hat über 115 Mio.$ an Bug-Bounties für mehr als 400 Protokolle ausgezahlt und behauptet, potenzielle Verluste von mehr als 25 Mrd. $ verhindert zu haben.

Überträgt man nun die Fähigkeiten der Mythos-Klasse auf dieses Bedrohungsmodell: Ein Protokoll mit 500 Mio. $ TVL, das sich auf ein vierteljährliches Audit einer erstklassigen Firma verlässt, verlor bereits das Rennen gegen gut ausgestattete Angreifer. Wenn eine Seite des Tisches automatisch Angriffsketten in Sekunden generieren kann, funktioniert der Audit-Rhythmus, der die DeFi-Sicherheit von 2020 bis 2025 definierte, nicht mehr.

Das defensive Äquivalent existiert, hinkt aber hinterher. Der KI-Auditor von CertiK, der nach sechs Monaten interner Tests als Open-Source veröffentlicht wurde, erreicht eine kumulative Trefferquote von 88,6 % bei 35 echten Web3-Sicherheitsvorfällen im Jahr 2026. Er lässt spezialisierte Scanner parallel durch einen mehrstufigen Validator laufen, um Duplikate und nicht ausnutzbare Befunde zu filtern. CertiK hat in seiner achtjährigen Geschichte über 180.000 Schwachstellen identifiziert und mehr als 600 Mrd. $ an digitalen Vermögenswerten abgesichert.

Doch 88,6 % sind nicht 100 %, und ein Open-Source-Auditor, der in Minuten läuft, ist nicht dasselbe wie ein Frontier-Modell, das in Sekunden über neuartige Schwachstellenklassen urteilt. Die Lücke zwischen dem, was Glasswing-Partner erhalten, und dem, was öffentliche Tools liefern, ist strukturell.

Drei konkurrierende Sicherheitsarchitekturen​

Die Krypto-Industrie muss sich nun zwischen drei inkompatiblen Modellen für die Sicherheit im KI-Zeitalter entscheiden :

Öffentliche Bug-Bounties ( Immunefi ) . Dezentralisiert , ökonomisch ausgerichtet , skalierbar bewährt – 115 Mio. $ausgezahlt , 25 Mrd.$ gerettet . Aber die Anreizstruktur setzt voraus , dass Angreifer und Verteidiger mit etwa gleicher Geschwindigkeit agieren . Mythos bricht diese Annahme . Ein White-Hat-Forscher , der ein Kopfgeld von 50.000 $jagt , kann einen staatlich unterstützten Akteur nicht überbieten , der 5 Mio.$ für einen Zero-Day in einem 10-Mrd.-$-Protokoll zahlt .

Open-Source-KI-Auditing ( CertiK , Sherlock , Cyfrin ) . Demokratischer Zugang zu KI-Fähigkeiten der mittleren Ebene , 88,6 % Trefferquote , integriert in Entwickler-Workflows . Bewahrt den krypto-nativen Ethos , dass Sicherheits-Tools öffentlich sein sollten . Aber die Leistungsobergrenze liegt unter dem , was Glasswing-Partner erhalten , und die Lücke vergrößert sich , je besser die Frontier-Modelle werden .

Frontier-KI mit beschränktem Zugang ( Glasswing ) . Erstklassige Schwachstellenerkennung , aber nur für Mitglieder einer privaten Koalition , der derzeit kein krypto-natives Unternehmen angehört . Schafft klare Stufen der Cyber-Verteidigung , in denen das Innere der Mauer sicherer ist als das Äußere .

Die drei Modelle schließen sich nicht gegenseitig aus – eine Börse könnte den Auditor von CertiK bei jedem Contract-Deployment einsetzen , ein Immunefi-Bounty unterhalten und sich um eine Glasswing-Partnerschaft bemühen – aber sie implizieren sehr unterschiedliche Branchenstrukturen . Wenn Glasswing zur Standardebene für „ systemrelevante “ Infrastruktur wird , geraten die größten Krypto-Custodians unter Druck , beizutreten , und die Protokolle , die keinen Zugang erhalten , sehen sich einem Preisaufschlag auf ihre Risikoprämie gegenüber .

Das systemische Framing ändert alles​

Was das Bessent-Powell-Treffen vom 7. April so bemerkenswert machte , ist nicht die Tatsache , dass Regulierungsbehörden mit Bank-CEOs über Cyber-Risiken sprachen . Das passiert routinemäßig . Die bemerkenswerte Tatsache ist das Framing : Cyber-Fähigkeiten der KI-Klasse werden nun als potenzieller Katalysator für systemische Finanzereignisse behandelt , gleichbedeutend mit einer Staatsschuldenkrise oder dem Ausfall einer großen Clearingstelle .

Dieses Framing hat Zweitrundeneffekte für Krypto . Stablecoin-Emittenten , die Reserven in zweistelliger Milliardenhöhe halten , Custodians , die institutionelles BTC und ETH verwahren , und die Matching-Engines von Börsen , die monatlich Volumina von Hunderten von Milliarden verarbeiten , fallen alle unter die Definition von „ systemrelevant “ , die Regulierungsbehörden nun auf KI-Cyber-Risiken anwenden . Wenn das nächste Treffen im Stil von Powell-Bessent stattfindet und die Krypto-Führung nicht mit am Tisch sitzt , ist das sowohl ein Signal als auch ein Problem .

Das regulatorische Signal ist wichtig , da der öffentliche 90-Tage-Bericht von Glasswing im Juli 2026 sowohl das veröffentlichen wird , was die Partner behoben haben , als auch das , was die breitere Branche lernen sollte . Wenn dieser Bericht Klassen von Schwachstellen dokumentiert , die Mythos in kritischer Infrastruktur gefunden hat , und Krypto-Protokolle keine gleichwertige Arbeit geleistet haben , wird die Lücke für Regulierungsbehörden , Versicherer und institutionelle Allokatoren bei der Preisgestaltung von Gegenparteirisiken sichtbar sein .

Was das für Infrastruktur-Provider bedeutet​

Offensive KI in Maschinengeschwindigkeit verändert die Audit-Frequenz , die zur Verteidigung von Produktionssystemen erforderlich ist . Ein Protokoll- oder Infrastruktur-Provider , der sich auf jährliche Audits , vierteljährliche Penetrationstests und reaktive Vorfallreaktion verlassen hat , muss zu kontinuierlichem KI-gestütztem Red-Teaming übergehen . Das ist teuer , und die Kosten verteilen sich ungleichmäßig über den Stack .

Für RPC-Provider , API-Infrastruktur und Node-Services , die zwischen Agenten und Chains stehen , besteht der Druck darin , die Oberfläche zu härten , an der maschinell initiierter Traffic endet . Agenten-gesteuertes Transaktionsvolumen erzeugt bereits ein anderes Bedrohungsprofil als menschlich gesteuerte DApps : burst-intensiv , mit vorhersehbaren Zeitplänen und deterministischen Call-Graphen , die ein Angreifer präziser modellieren kann als eine verstreute menschliche Nutzerbasis .

• BlockEden.xyz betreibt Enterprise-Grade RPC- und API-Infrastruktur für Sui , Aptos , Ethereum , Solana und andere wichtige Chains , wobei Sicherheit und Zuverlässigkeit sowohl für menschliche Entwickler als auch für Workloads autonomer Agenten ausgelegt sind . Entdecken Sie unsere Services , um auf einer Infrastruktur aufzubauen , die für eine KI-beschleunigte Bedrohungsumgebung entwickelt wurde . *

Die offene Frage vor dem Juli 2026​

Der 90-Tage-Bericht von Glasswing ist der Wendepunkt . Wenn er einen großen Rückstau an schwerwiegenden Schwachstellen dokumentiert , die in den Systemen von AWS , Google , Microsoft , Apple und JPMorgan behoben wurden , wird das Argument für eine Erweiterung der Koalition stärker , und der Druck auf Anthropic steigt , krypto-native Mitglieder aufzunehmen oder Mythos-äquivalenten Zugang über eine formelle Anbieterbeziehung zu lizenzieren . Wenn der Bericht die Erwartungen nicht erfüllt – CVE-Befunde zu hoch ansetzt , hauptsächlich Fehler mit geringem Schweregrad dokumentiert oder Probleme aufzeigt , die bestehende Scanner bereits erkannt haben – verliert das Glasswing-Modell einen Teil seiner regulatorischen Mystik , und die Open-Source-Alternative der Krypto-Industrie erscheint relativ stärker .

So oder so ist der Status quo von 2020 – 2025 Geschichte . Die Kombination aus einem Dringlichkeitstreffen zwischen Bessent und Powell , einer 100-Mio.-$-Zusage von Anthropic , einer über 99$ bedeutet , dass Sicherheit im KI-Zeitalter keine Forschungsfrage mehr ist . Es ist eine Frage der Marktstruktur , und die Antwort von Krypto wird definieren , ob die nächsten 100 Mrd. $ an On-Chain-Werten innerhalb oder außerhalb eines verteidigungsfähigen Perimeters liegen .

Quellen​

• Einführung von Claude Opus 4.7 — Anthropic
• Anthropic führt Claude Opus 4.7 ein — CNBC
• Projekt Glasswing: Sicherung kritischer Software für das KI-Zeitalter — Anthropic
• Claude Mythos Vorschau — red.anthropic.com
• Anthropic präsentiert Vorschau des leistungsstarken neuen KI-Modells Mythos — TechCrunch
• Anthropic gewährt einigen Unternehmen frühzeitigen Zugang zu Claude Mythos — Fortune
• Coinbase, Binance streben Zugang zu Anthropic Mythos an — Crypto Briefing
• „Zu gefährlich“: Anthropic Mythos schürt Ängste vor Krypto-Hacks — CoinGape
• Anthropics Mythos bedroht Bitcoin nicht — CNBC
• Bessent, Powell laden Bank-CEOs zu dringendem Treffen vor — Bloomberg
• Powell, Bessent erörterten die KI-Cyberbedrohung durch Anthropic Mythos — CNBC
• Fed und Finanzministerium warnen Banken — CryptoSlate
• Smart Contract Bug-Bounty-Statistiken 2026 — CoinLaw
• Immunefi Bug-Bounty-Programme
• CertiK führt KI-Auditor mit 88,6 % Trefferquote ein — CCN
• CertiK erweitert KI-native Sicherheit — CertiK
• Über Anthropics Mythos Vorschau und Projekt Glasswing — Schneier on Security