53 Beiträge getaggt mit „Crypto“

Erinnern Sie sich noch daran, als Sie Ihrer Mutter Gas-Gebühren erklären mussten? Diese Ära geht zu Ende. Über 200 Millionen Smart Accounts wurden bereits auf Ethereum und seinen Layer-2-Netzwerken bereitgestellt, und nach dem Pectra-Upgrade von Ethereum im Mai 2025 kann Ihre reguläre MetaMask-Wallet nun vorübergehend zu einem Smart Contract werden. Die Seed-Phrase – dieser aus 12 Wörtern bestehende Angstgenerator, der Verluste in Milliardenhöhe verursacht hat – wird endlich optional.

Die Zahlen sprechen für sich: Allein im Jahr 2024 wurden 40 Millionen Smart Accounts erstellt, eine verzehnfachte Steigerung gegenüber 2023. Über 100 Millionen UserOperations wurden verarbeitet. Und innerhalb einer Woche nach dem Start von Pectra wurden 11.000 EIP-7702-Autorisierungen im Mainnet verzeichnet, wobei Börsen wie OKX und WhiteBIT die Einführung anführten. Wir erleben die bedeutendste UX-Transformation in der Geschichte der Blockchain – eine, die Krypto endlich für normale Menschen nutzbar machen könnte.

Das Ende der Anforderung als „Blockchain-Experte“​

Traditionelle Ethereum-Wallets (genannt Externally Owned Accounts oder EOAs) erfordern von den Nutzern ein Verständnis von Gas-Gebühren, Nonces, Transaktionssignierung und der furchteinflößenden Verantwortung für die Sicherung einer Seed-Phrase. Wenn man diese 12 Wörter verliert, ist das Guthaben für immer weg. Wer Opfer von Phishing wird, verliert es in Sekunden.

Die Account-Abstraktion stellt dieses Modell völlig auf den Kopf. Anstatt von den Nutzern zu verlangen, Blockchain-Experten zu werden, wickeln Smart Accounts die technische Komplexität automatisch ab – und schaffen so Erlebnisse, die traditionellen Webanwendungen oder Mobile-Banking-Apps ähneln.

Die Transformation erfolgt durch zwei sich ergänzende Standards:

ERC-4337: Dieser Standard wurde im März 2023 im Ethereum-Mainnet eingeführt und ermöglicht Smart-Contract-Wallets, ohne das Kernprotokoll von Ethereum zu ändern. Nutzer erstellen „UserOperations“ anstelle von Transaktionen, die von spezialisierten Knoten, den sogenannten „Bundlern“, verarbeitet und on-chain übermittelt werden. Die Magie dahinter? Jemand anderes kann Ihre Gas-Gebühren bezahlen (über „Paymaster“), Sie können mehrere Aktionen in einer Transaktion zusammenfassen und Sie können Ihr Konto über vertrauenswürdige Kontakte anstatt über Seed-Phrasen wiederherstellen.

EIP-7702: Diese Änderung auf Protokollebene, die mit dem Pectra-Upgrade von Ethereum am 7. Mai 2025 aktiviert wurde, ermöglicht es Ihrem bestehenden EOA, vorübergehend Smart-Contract-Code auszuführen. Es ist keine neue Wallet erforderlich – Ihre aktuelle MetaMask, Ledger oder Trust Wallet kann plötzlich Transaktionen bündeln, gesponsertes Gas nutzen und sich über Passkeys oder Biometrie authentifizieren.

Zusammen schaffen diese Standards eine Zukunft, in der Seed-Phrasen eher zu einer Backup-Option als zur einzigen Option werden.

Der Infrastruktur-Stack für über 100 Mio. Operationen​

Hinter jedem reibungslosen Smart-Wallet-Erlebnis steht eine hochentwickelte Infrastrukturschicht, die die meisten Nutzer nie zu Gesicht bekommen:

Bundler: Diese spezialisierten Knoten aggregieren UserOperations aus einem separaten Mempool, zahlen die Gas-Kosten im Voraus und lassen sich diese erstatten. Zu den wichtigsten Anbietern gehören Alchemy, Pimlico, Stackup und Biconomy – das unsichtbare Rückgrat, das die Account-Abstraktion ermöglicht.

Paymaster: Smart Contracts, die Gas-Gebühren im Namen der Nutzer sponsern. Stand Q3 2023 wurden für 99,2 % der UserOperations die Gas-Gebühren über einen Paymaster bezahlt. Im Dezember 2023 überstieg das gesamte Paymaster-Volumen 1 Million US-Dollar, wobei Pimlico 28 %, Stackup 26 %, Alchemy 24 % und Biconomy 8 % verarbeiteten.

EntryPoint-Contract: Der On-Chain-Koordinator, der UserOperations validiert, sie ausführt und die wirtschaftliche Abrechnung zwischen Nutzern, Bundlern und Paymastern übernimmt.

Diese Infrastruktur ist schnell gereift. Was 2023 als experimentelles Tooling begann, hat sich zu einer produktionsreifen Infrastruktur entwickelt, die monatlich Millionen von Operationen verarbeitet. Das Ergebnis ist, dass Entwickler nun „Web2-ähnliche“ Erlebnisse schaffen können, ohne dass Nutzer Browser-Erweiterungen installieren, private Schlüssel verwalten oder die Gas-Mechanik verstehen müssen.

Wo Smart Accounts tatsächlich eingesetzt werden​

Die Akzeptanz ist nicht nur theoretisch – bestimmte Chains und Anwendungsfälle haben sich als Vorreiter der Account-Abstraktion herauskristallisiert:

Base: Die Layer-2-Lösung von Coinbase hat sich zum Top-Bereitsteller von Account-Abstraction-Wallets entwickelt, angetrieben von der Mission von Coinbase, die nächste Milliarde Nutzer an Bord zu holen. Die direkte Integration der Chain mit den 9,3 Millionen monatlich aktiven Nutzern von Coinbase schafft ein natürliches Testfeld für vereinfachte Wallet-Erlebnisse.

Polygon: Stand Q4 2023 hielt Polygon 92 % der monatlich aktiven Smart Accounts – ein dominanter Marktanteil, der durch Gaming- und Social-Anwendungen getrieben wird, die am meisten von gaslosen, gebündelten Transaktionen profitieren.

Gaming: Blockchain-Spiele sind vielleicht der überzeugendste Anwendungsfall. Anstatt das Gameplay für Wallet-Popups und Gas-Genehmigungen zu unterbrechen, ermöglichen Smart Accounts „Session Keys“, mit denen Spiele Transaktionen innerhalb vordefinierter Grenzen ohne Benutzereingriff ausführen können.

Soziale Netzwerke: Dezentrale soziale Plattformen wie Lens und Farcaster nutzen die Account-Abstraktion, um Nutzer ohne die Krypto-Lernkurve an Bord zu holen. Melden Sie sich mit einer E-Mail-Adresse an, und ein Smart Account erledigt den Rest.

DeFi: Komplexe, mehrstufige Transaktionen (Swap → Stake → Einzahlung in den Vault) können mit einem einzigen Klick erfolgen. Paymaster ermöglichen es Protokollen, Nutzertransaktionen zu subventionieren, wodurch die Hürden für DeFi-Einsteiger gesenkt werden.

Das Muster ist klar: Anwendungen, die früher Nutzer beim Schritt „Wallet installieren“ verloren haben, erreichen jetzt Konversionsraten auf Web2-Niveau.

Die EIP-7702-Revolution: Ihr Wallet, aufgerüstet​

Während ERC-4337 die Bereitstellung neuer Smart-Contract-Wallets erfordert, verfolgt EIP-7702 einen anderen Ansatz – es rüstet Ihr bestehendes Wallet direkt vor Ort auf.

Der Mechanismus ist elegant: EIP-7702 führt einen neuen Transaktionstyp ein, mit dem Adressinhaber eine Autorisierung unterzeichnen können, die ihre Adresse so einstellt, dass sie vorübergehend einen gewählten Smart Contract imitiert. Während dieser Transaktion erhält Ihr EOA Smart-Contract-Funktionen. Nach der Ausführung kehrt er zum Normalzustand zurück.

Dies ist aus mehreren Gründen wichtig:

Keine Migration erforderlich: Bestehende Nutzer müssen keine Gelder verschieben oder neue Verträge bereitstellen. Ihre aktuellen Adressen können sofort auf Smart-Account-Funktionen zugreifen.

Wallet-Kompatibilität: MetaMask, Ledger und Trust Wallet haben bereits Unterstützung für EIP-7702 eingeführt. Wie von Ledger angegeben, ist die Funktion nun für Nutzer von Ledger Flex, Ledger Stax, Ledger Nano Gen5, Ledger Nano X und Ledger Nano S Plus verfügbar.

Integration auf Protokollebene: Im Gegensatz zur externen Infrastruktur von ERC-4337 ist EIP-7702 direkt in das Kernprotokoll von Ethereum integriert, was die Einführung einfacher und zuverlässiger macht.

Die unmittelbaren Ergebnisse sprechen für sich: Innerhalb einer Woche nach der Aktivierung von Pectra fanden über 11.000 EIP-7702-Autorisierungen im Mainnet statt. WhiteBIT und OKX führten die Adoption an und demonstrierten, dass Börsen einen klaren Wert darin sehen, Nutzern gebündelte, Gas-gesponserte Transaktionen anzubieten.

Die Sicherheitskompromisse, über die niemand spricht​

Account-Abstraktion ist nicht ohne Risiken. Dieselbe Flexibilität, die eine bessere UX ermöglicht, schafft auch neue Angriffsvektoren.

Phishing-Bedenken: Laut Sicherheitsforschern wurden 65–70 % der frühen EIP-7702-Delegierungen mit Phishing- oder Betrugsaktivitäten in Verbindung gebracht. Böswillige Akteure täuschen Nutzer dazu, Autorisierungen zu unterzeichnen, die ihre Wallets an vom Angreifer kontrollierte Verträge delegieren.

Smart-Contract-Risiken: Smart Accounts sind nur so sicher wie ihr Code. Fehler in Wallet-Implementierungen, Paymastern oder Bundlern können zum Verlust von Geldern führen. Die Komplexität des AA-Stacks schafft mehr potenzielle Fehlerquellen.

Zentralisierung in der Infrastruktur: Eine Handvoll Bundler-Betreiber verarbeitet die meisten UserOperations. Wenn diese ausfallen oder Transaktionen zensieren, bricht das Account-Abstraktions-Erlebnis zusammen. Die Dezentralisierung, die Blockchain wertvoll macht, wird durch diese konzentrierte Infrastruktur teilweise untergraben.

Vertrauensannahmen bei der Wiederherstellung: Social Recovery – die Möglichkeit, Ihr Konto über vertrauenswürdige Kontakte wiederherzustellen – klingt großartig, bis man bedenkt, dass diese Kontakte konspirieren könnten, gehackt werden oder einfach selbst den Zugriff verlieren könnten.

Dies sind keine Gründe, Account-Abstraktion zu vermeiden, aber sie erfordern von Entwicklern und Nutzern das Verständnis, dass sich die Technologie noch entwickelt und Best Practices erst noch etabliert werden müssen.

Der Weg zu 5,2 Milliarden digitalen Wallet-Nutzern​

Die Chance ist gewaltig. Juniper Research prognostiziert, dass die Zahl der globalen Nutzer digitaler Wallets bis 2026 auf über 5,2 Milliarden steigen wird, gegenüber 3,4 Milliarden im Jahr 2022 – ein Wachstum von über 53 %. Der Krypto-Wallet-Markt soll insbesondere von 14,84 Milliarden $im Jahr 2026 auf 98,57 Milliarden$ bis 2034 ansteigen.

Damit Krypto einen bedeutenden Anteil an dieser Expansion gewinnt, muss die Wallet-UX dem entsprechen, was Nutzer von Apple Pay, Venmo oder traditionellen Banking-Apps erwarten. Account-Abstraktion ist die Technologie, die dies ermöglicht.

Wichtige Meilensteine, auf die man achten sollte:

Q1 2026: Der Mainnet-Launch von Aave V4 bringt modulare Smart-Account-Integration in das größte DeFi-Lending-Protokoll. Einheitliche Liquidität über Ketten hinweg wird durch AA-gesteuerte Schnittstellen zugänglich.

2026 und darüber hinaus: Branchenprognosen deuten darauf hin, dass Smart Wallets zum Standard werden und traditionelle EOAs bis zum Ende des Jahrzehnts grundlegend ersetzen werden. Die Entwicklung ist klar – jeder große Wallet-Anbieter investiert in die Unterstützung von Account-Abstraktion.

Cross-Chain AA: Standards für Account-Abstraktion über Ketten hinweg entstehen. Stellen Sie sich einen einzigen Smart Account vor, der auf Ethereum, Base, Arbitrum und Polygon identisch funktioniert – mit Assets und Berechtigungen, die über Netzwerke hinweg portierbar sind.

Was das für Entwickler und Nutzer bedeutet​

Für Entwickler, die auf Ethereum und Layer-2-Netzwerken aufbauen, ist Account-Abstraktion keine optionale Infrastruktur mehr – sie ist der erwartete Standard für neue Anwendungen. Die Tools sind ausgereift, die Nutzererwartungen sind gesetzt, und Wettbewerber, die gaslose, gebündelte und wiederherstellbare Wallet-Erlebnisse anbieten, werden Nutzer von jenen gewinnen, die dies nicht tun.

Für Nutzer ist die Botschaft einfacher: Die Krypto-UX-Probleme, die Sie seit Jahren frustriert haben, werden gelöst. Seed-Phrasen werden durch Social Recovery optional. Gas-Gebühren werden durch Paymaster unsichtbar. Mehrstufige Transaktionen werden durch Batching zu Klicks mit einem einzigen Vorgang.

Die Blockchain, die Ihre Lieblingsanwendungen antreibt, wird unsichtbar – genau so, wie es sein sollte. Sie denken nicht an TCP/IP, wenn Sie im Internet surfen. Bald werden Sie nicht mehr an Gas, Nonces oder Seed-Phrasen denken, wenn Sie Krypto-Anwendungen nutzen.

Account-Abstraktion ist nicht nur ein technisches Upgrade. Sie ist die Brücke zwischen den derzeit 600 Millionen Krypto-Nutzern und den Milliarden, die darauf warten, dass die Technologie tatsächlich für sie funktioniert.

---

Der Aufbau von Anwendungen, die Account-Abstraktion nutzen, erfordert eine zuverlässige Infrastruktur für Bundler, Paymaster und Node-Zugang. BlockEden.xyz bietet Enterprise-Grade-RPC-Endpunkte für Ethereum, Base, Arbitrum und andere führende Netzwerke. Erkunden Sie unseren API-Marktplatz, um Ihre Smart-Wallet-Infrastruktur zu unterstützen.

Der Blockchain-Orakel-Markt hat gerade einen Gesamtwert von über 100 Milliarden US-Dollar an abgesicherten Vermögenswerten überschritten – und der Kampf um die Vorherrschaft ist noch lange nicht vorbei. Während Chainlink fast 70 % Marktanteil hält, schreibt eine neue Generation von Herausforderern die Regeln dafür neu, wie Blockchains mit der realen Welt verbunden werden. Mit Latenzzeiten im Sub-Millisekundenbereich, modularen Architekturen und Daten-Feeds in institutioneller Qualität werden die Orakel-Kriege von 2026 entscheiden, wer die kritische Infrastrukturschicht kontrolliert, die DeFi, die RWA-Tokenisierung und die nächste Welle des On-Chain-Finanzwesens antreibt.

Es steht mehr auf dem Spiel als je zuvor​

Orakel sind die heimlichen Helden der Blockchain-Infrastruktur. Ohne sie sind Smart Contracts isolierte Computer ohne Kenntnis von Vermögenspreisen, Wetterdaten, Sportergebnissen oder anderen externen Informationen. Doch diese kritische Middleware-Schicht ist zu einem Schlachtfeld geworden, auf dem Milliarden von Dollar – und die Zukunft des dezentralen Finanzwesens – auf dem Spiel stehen.

Preis-Orakel-Manipulationsangriffe verursachten zwischen Januar 2023 und Mai 2025 Verluste von über 165,8 Millionen US-Dollar, was 17,3 % aller größeren DeFi-Exploits ausmacht. Der Angriff auf das Venus-Protokoll auf ZKsync im Februar 2025 zeigte, wie eine einzige anfällige Orakel-Integration innerhalb von Minuten 717.000 US-Dollar abziehen konnte. Wenn Orakel versagen, bluten die Protokolle aus.

Dieses existenzielle Risiko erklärt, warum der Orakel-Markt einige der anspruchsvollsten Akteure des Krypto-Sektors angezogen hat – und warum der Wettbewerb an Intensität gewinnt.

Chainlink: Das amtierende Imperium​

Die Dominanz von Chainlink ist in jeder Hinsicht beeindruckend. Das Netzwerk hat über 100 Milliarden US-Dollar an Gesamtwert abgesichert, mehr als 18 Milliarden verifizierte Nachrichten verarbeitet und ein kumuliertes On-Chain-Transaktionsvolumen von etwa 26 Billionen US-Dollar ermöglicht. Allein auf Ethereum sichert Chainlink 83 % des gesamten von Orakeln abhängigen Wertes ab; auf Base nähert sich dieser Wert 100 %.

Die Zahlen erzählen eine Geschichte institutioneller Akzeptanz, mit der Wettbewerber nur schwer mithalten können. JPMorgan, UBS und SWIFT haben die Chainlink-Infrastruktur für die Abwicklung tokenisierter Vermögenswerte integriert. Coinbase wählte Chainlink aus, um Transfers von Wrapped Assets zu unterstützen. Als TRON Anfang 2025 beschloss, sein WinkLink-Orakel einzustellen, migrierte es zu Chainlink – ein stillschweigendes Geständnis, dass der Aufbau einer Orakel-Infrastruktur schwieriger ist, als es aussieht.

Die Strategie von Chainlink hat sich von der reinen Datenlieferung zu dem entwickelt, was das Unternehmen als „Full-Stack-Plattform für Institutionen“ bezeichnet. Der Start der nativen Integration mit MegaETH im Jahr 2025 markierte den Einstieg in Echtzeit-Orakeldienste und forderte damit direkt den Geschwindigkeitsvorteil von Pyth heraus. In Kombination mit seinem Cross-Chain Interoperability Protocol (CCIP) und Proof-of-Reserve-Systemen positioniert sich Chainlink als Standard-Infrastruktur für institutionelles DeFi.

Doch Dominanz fördert Selbstgefälligkeit – und die Konkurrenz nutzt die Lücken.

Pyth Network: Der Geschwindigkeitsdämon​

Wenn Chainlink den ersten Orakel-Krieg durch Dezentralisierung und Zuverlässigkeit gewonnen hat, setzt Pyth darauf, dass der nächste Krieg durch Geschwindigkeit gewonnen wird. Das im ersten Quartal 2025 eingeführte Lazer-Produkt des Netzwerks liefert Preisaktualisierungen in einer Millisekunde – 400-mal schneller als herkömmliche Orakel-Lösungen.

Dies ist keine marginale Verbesserung. Es ist ein Paradigmenwechsel.

Die Architektur von Pyth unterscheidet sich grundlegend vom Push-Modell von Chainlink. Anstatt dass Orakel kontinuierlich Daten auf die Chain pushen (was teuer und langsam ist), verwendet Pyth ein Pull-Modell, bei dem Anwendungen Daten nur bei Bedarf abrufen. First-Party-Datenanbieter – darunter Jump Trading, Wintermute und große Börsen – liefern Preise direkt, anstatt über zwischengeschaltete Aggregatoren.

Das Ergebnis ist ein Netzwerk, das mehr als 1.400 Vermögenswerte auf über 50 Blockchains abdeckt, mit Aktualisierungen im Bereich von unter 400 Millisekunden, selbst bei seinem Standarddienst. Die jüngste Expansion von Pyth in traditionelle Finanzdaten – 85 an der Hongkonger Börse notierte Aktien (3,7 Billionen US-Dollar Marktkapitalisierung) und über 100 ETFs von BlackRock, Vanguard und State Street (8 Billionen US-Dollar an Vermögenswerten) – signalisiert Ambitionen, die weit über Krypto hinausgehen.

Die Integration von Pyth Lazer durch Coinbase International im Jahr 2025 bestätigte die These: Sogar zentralisierte Börsen benötigen dezentrale Orakel-Infrastrukturen, wenn es auf Geschwindigkeit ankommt. Der TVS von Pyth erreichte im ersten Quartal 2025 7,15 Milliarden US-Dollar, wobei der Marktanteil von 10,7 % auf 12,8 % stieg.

Dennoch bringt der Geschwindigkeitsvorteil von Pyth Kompromisse mit sich. Nach eigenem Eingeständnis opfert Lazer für die Leistung „einige Elemente der Dezentralisierung“. Für Protokolle, bei denen Vertrauensminimierung wichtiger als Latenz ist, könnte dieser Kompromiss inakzeptabel sein.

RedStone: Der modulare Herausforderer​

Während Chainlink und Pyth um Marktanteile kämpfen, hat sich RedStone still und heimlich zum am schnellsten wachsenden Orakel der Branche entwickelt. Das Projekt skalierte von seiner ersten DeFi-Integration Anfang 2023 auf 9 Milliarden US-Dollar an abgesichertem Gesamtwert bis September 2025 – eine Steigerung von 1.400 % im Vergleich zum Vorjahr.

RedStones Geheimwaffe ist die Modularität. Im Gegensatz zur monolithischen Architektur von Chainlink (die eine Replikation der gesamten Pipeline auf jeder neuen Chain erfordert), entkoppelt das Design von RedStone die Datenerfassung von der Auslieferung. Dies ermöglicht die Bereitstellung auf neuen Chains innerhalb von ein bis zwei Wochen, verglichen mit drei bis vier Monaten bei herkömmlichen Lösungen.

Die Zahlen sind beeindruckend: RedStone unterstützt mittlerweile über 110 Chains, mehr als jeder andere Wettbewerber. Dies schließt Nicht-EVM-Netzwerke wie Solana und Sui ein, sowie das Canton Network – die institutionelle Blockchain, die von großen Finanzinstituten unterstützt wird und bei der RedStone zum ersten primären Orakel-Anbieter wurde.

Die Meilensteine von RedStone im Jahr 2025 lesen sich wie ein strategischer Angriff auf institutionelles Territorium. Die Partnerschaft mit Securitize brachte die RedStone-Infrastruktur zu den tokenisierten Fonds BUIDL von BlackRock und ACRED von Apollo. Die Übernahme von Credora verschmolz DeFi-Kreditratings mit Orakel-Infrastruktur. Die Kalshi-Integration lieferte regulierte US-Prognosemarktdaten über alle unterstützten Chains hinweg.

RedStone Bolt – das Ultra-Low-Latency-Angebot des Projekts – konkurriert bei geschwindigkeitskritischen Anwendungen direkt mit Pyth Lazer. Aber der modulare Ansatz von RedStone ermöglicht es, sowohl Push- als auch Pull-Modelle anzubieten und sich so an die Anforderungen der Protokolle anzupassen, anstatt architektonische Kompromisse zu erzwingen.

Für 2026 hat RedStone Pläne angekündigt, auf 1.000 Chains zu skalieren und KI-gestützte ML-Modelle für dynamische Daten-Feeds und Volatilitätsprognosen zu integrieren. Es ist eine aggressive Roadmap, die RedStone als das Orakel für eine Omnichain-Zukunft positioniert.

API3: Der First-Party-Purist​

API3 verfolgt einen philosophisch anderen Ansatz zum Orakel-Problem. Anstatt ein eigenes Knotennetzwerk zu betreiben oder Daten von Drittanbietern zu aggregieren, ermöglicht API3 es traditionellen API-Anbietern, ihre eigenen Orakel-Knoten zu betreiben und Daten direkt on-chain bereitzustellen.

Dieses „First-Party“-Modell eliminiert Intermediäre vollständig. Wenn ein Wetterdienst Daten über API3 bereitstellt, gibt es keine Aggregationsschicht, keine Drittbetreiber von Knoten und keine Möglichkeit zur Manipulation entlang der Lieferkette. Der API-Anbieter ist direkt für die Datengenauigkeit verantwortlich.

Für Unternehmensanwendungen, die regulatorische Compliance und eine klare Datenherkunft erfordern, ist der Ansatz von API3 überzeugend. Finanzinstitute, die Audit-Anforderungen unterliegen, müssen genau wissen, woher ihre Daten stammen – etwas, das traditionelle Orakel-Netzwerke nicht immer garantieren können.

Die verwalteten dAPIs (dezentrale APIs) von API3 verwenden ein Push-Modell ähnlich wie Chainlink, was die Migration für bestehende Protokolle einfach macht. Das Projekt hat eine Nische in IoT-Integrationen und Unternehmensanwendungen besetzt, bei denen die Authentizität der Daten wichtiger ist als die Aktualisierungsfrequenz.

Der Sicherheitsimperativ​

Orakel-Sicherheit ist nicht theoretisch – sie ist existenziell. Der wUSDM-Exploit im Februar 2025 zeigte, wie ERC-4626 Vault-Standards in Kombination mit anfälligen Orakel-Integrationen Angriffsvektoren schaffen, die versierte Angreifer bereitwillig ausnutzen.

Das Angriffsmuster ist mittlerweile gut dokumentiert: Flash Loans nutzen, um die Preise in Liquiditätspools vorübergehend zu manipulieren, Orakel ausnutzen, die diese Pools ohne ausreichende Schutzmaßnahmen auslesen, und Werte extrahieren, bevor die Transaktion abgeschlossen ist. Der BonqDAO-Hack – 88 Millionen $ Verlust durch Preismanipulation – bleibt der größte einzelne Orakel-Exploit in der Geschichte.

Die Schadensbegrenzung erfordert eine Tiefenverteidigung (Defense in Depth): Aggregation mehrerer unabhängiger Datenquellen, Implementierung von zeitgewichteten Durchschnittspreisen (TWAP) zur Glättung der Volatilität, Einrichtung von Schutzschaltern (Circuit Breaker) für anomale Preisbewegungen und kontinuierliche Überwachung auf Manipulationsversuche. Protokolle, die die Orakel-Integration als bloßes Häkchen anstatt als sicherheitskritische Designentscheidung behandeln, spielen russisches Roulette mit den Geldern der Nutzer.

Die führenden Orakel haben mit zunehmend anspruchsvollen Sicherheitsmaßnahmen reagiert. Die dezentrale Aggregation von Chainlink, die Verantwortlichkeit der First-Party-Publisher von Pyth und die kryptografischen Beweise von RedStone adressieren alle unterschiedliche Aspekte des Vertrauensproblems. Aber keine Lösung ist perfekt, und das Katz-und-Maus-Spiel zwischen Orakel-Designern und Angreifern geht weiter.

Das institutionelle Neuland​

Der wahre Preis in den Orakel-Kriegen ist nicht der DeFi-Marktanteil – es ist die institutionelle Akzeptanz. Da die RWA-Tokenisierung eine Marktkapitalisierung von 62,7 Milliarden $ erreicht (ein Plus von 144 % im Jahr 2026), sind Orakel zu einer kritischen Infrastruktur für die Blockchain-Migration des traditionellen Finanzwesens geworden.

Tokenisierte Vermögenswerte erfordern zuverlässige Off-Chain-Daten: Preisinformationen, Zinssätze, Kapitalmaßnahmen, Proof of Reserves. Diese Daten müssen institutionellen Standards für Genauigkeit, Prüfbarkeit und regulatorische Compliance entsprechen. Das Orakel, das das Vertrauen der Institutionen gewinnt, gewinnt das nächste Jahrzehnt der Finanzinfrastruktur.

Der Vorsprung von Chainlink bei JPMorgan, UBS und SWIFT schafft starke Netzwerkeffekte. Doch die Partnerschaft von RedStone mit Securitize und der Einsatz im Canton Network beweisen, dass die Türen der Institutionen für Herausforderer offen stehen. Die Expansion von Pyth in traditionelle Aktien- und ETF-Daten positioniert das Projekt für die Konvergenz von Krypto- und TradFi-Märkten.

Die MiCA-Verordnung der EU und das „Project Crypto“ der US-Börsenaufsicht SEC beschleunigen diese institutionelle Migration durch regulatorische Klarheit. Orakel, die ihre Compliance-Bereitschaft nachweisen können – klare Datenherkunft, Audit-Trails und Zuverlässigkeit auf institutionellem Niveau –, werden überproportionale Marktanteile gewinnen, wenn das traditionelle Finanzwesen on-chain zieht.

Was als Nächstes kommt​

Der Orakel-Markt im Jahr 2026 fragmentiert sich entlang klarer Linien:

Chainlink bleibt die Standardwahl für Protokolle, die praxiserprobte Zuverlässigkeit und institutionelle Glaubwürdigkeit priorisieren. Sein Full-Stack-Ansatz – Daten-Feeds, Cross-Chain-Messaging, Proof of Reserves – schafft Wechselkosten, die den Marktanteil schützen.

Pyth erobert geschwindigkeitskritische Anwendungen, bei denen Millisekunden zählen: Perpetual Futures, Hochfrequenzhandel und Derivate-Protokolle. Sein First-Party-Publisher-Modell und die Erweiterung auf traditionelle Finanzdaten positionieren es für die CeFi-DeFi-Konvergenz.

RedStone spricht die Omnichain-Zukunft an und bietet eine modulare Architektur, die sich an unterschiedliche Protokollanforderungen über mehr als 110 Chains hinweg anpasst. Seine institutionellen Partnerschaften signalisieren Glaubwürdigkeit jenseits der DeFi-Spekulation.

API3 bedient Unternehmensanwendungen, die regulatorische Compliance und direkte Datenherkunft erfordern – eine kleinere, aber vertretbare Nische.

Kein einzelnes Orakel wird alles gewinnen. Der Markt ist groß genug, um mehrere spezialisierte Anbieter zu unterstützen, die jeweils für unterschiedliche Anwendungsfälle optimiert sind. Aber der Wettbewerb wird Innovationen vorantreiben, Kosten senken und letztendlich die Blockchain-Infrastruktur robuster machen.

Für Entwickler ist die Botschaft klar: Die Auswahl des Orakels ist eine architektonische Entscheidung erster Ordnung mit langfristigen Auswirkungen. Wählen Sie basierend auf Ihren spezifischen Anforderungen – Latenz, Dezentralisierung, Chain-Abdeckung, institutionelle Compliance – und nicht nur nach dem Marktanteil.

Für Investoren stellen Orakel-Token gehebelte Wetten auf die Blockchain-Adoption dar. Da immer mehr Wert on-chain fließt, erfasst die Orakel-Infrastruktur einen Teil jeder Transaktion. Die Gewinner werden ihr Wachstum über Jahre hinweg steigern; die Verlierer werden in der Bedeutungslosigkeit verschwinden.

Die Orakel-Kriege von 2026 fangen gerade erst an. Die heute aufgebaute Infrastruktur wird das Finanzsystem von morgen antreiben.

---

Erstellen Sie DeFi-Anwendungen, die eine zuverlässige Orakel-Infrastruktur erfordern? BlockEden.xyz bietet Blockchain-RPC-Dienste der Enterprise-Klasse mit hoher Verfügbarkeit über mehrere Netzwerke hinweg. Erkunden Sie unseren API-Marktplatz, um Ihre Anwendungen mit praxiserprobter Infrastruktur zu verbinden.

Was wäre, wenn jeder Dollar in Ihrem DeFi-Portfolio gleichzeitig zwei Aufgaben erfüllen könnte – seinen Wert halten und gleichzeitig Rendite erzielen? Das ist kein hypothetisches Szenario mehr. Im Jahr 2026 hat sich das Angebot an zinstragenden Stablecoins auf über $ 20 Milliarden verdoppelt. Sie sind zum Rückgrat für Sicherheiten im Bereich der dezentralen Finanzen geworden und zwingen traditionelle Banken dazu, sich einer unangenehmen Frage zu stellen: Warum sollte jemand Geld auf einem Girokonto mit 0,01 % effektivem Jahreszins (APY) lassen, wenn sUSDe 10 % + bietet?

Der Stablecoin-Markt steuert bis zum Jahresende auf $ 1 Billion zu, aber die eigentliche Geschichte ist nicht das reine Wachstum – es ist ein fundamentaler architektonischer Wandel. Statische, renditefreie Stablecoins wie USDT und USDC verlieren an Boden gegenüber programmierbaren Alternativen, die Erträge aus tokenisierten Staatsanleihen, delta-neutralen Strategien und DeFi-Lending generieren. Diese Transformation schreibt die Regeln für Sicherheiten neu, fordert regulatorische Rahmenbedingungen heraus und schafft sowohl beispiellose Chancen als auch systemische Risiken.

Die Zahlen hinter der Revolution​

Zinstragende Stablecoins sind von $ 9,5 Milliarden Anfang 2025 auf heute mehr als $ 20 Milliarden angewachsen. Instrumente wie Ethenas sUSDe, BlackRocks BUIDL und Skys sUSDS verzeichneten die meisten Zuflüsse, während mittlerweile über fünfzig weitere Assets die breitere Kategorie füllen.

Die Entwicklung deutet darauf hin, dass dies erst der Anfang ist. Laut Alisia Painter, Mitbegründerin und COO von Botanix Labs, werden „im Jahr 2026 mehr als 20 % aller aktiven Stablecoins integrierte Rendite- oder Programmierbarkeitsfunktionen bieten“. Die konservativsten Prognosen sehen den gesamten Stablecoin-Markt bis zum Jahresende bei fast $ 1 Billion, wobei Upside-Szenarien bis 2028 $ 2 Billionen erreichen könnten.

Was treibt diese Migration an? Einfache Wirtschaftlichkeit. Traditionelle Stablecoins bieten Stabilität, aber null Rendite – sie sind digitales Bargeld, das ungenutzt bleibt. Zinstragende Alternativen schütten Erträge aus den zugrunde liegenden Vermögenswerten direkt an die Inhaber aus: tokenisierte US-Staatsanleihen, DeFi-Lending-Protokolle oder delta-neutrale Handelsstrategien. Das Ergebnis ist ein stabiler Vermögenswert, der sich eher wie ein verzinstes Konto als wie totes digitales Bargeld verhält.

Der Infrastruktur-Stack: Wie Rendite durch DeFi fließt​

Um das Ökosystem der zinstragenden Stablecoins zu verstehen, müssen wir seine Schlüsselkomponenten und deren Vernetzung untersuchen.

Ethenas USDe: Der delta-neutrale Pionier​

Ethena hat das Modell des „krypto-nativen synthetischen Dollars“ populär gemacht. Nutzer prägen USDe gegen Krypto-Sicherheiten, während das Protokoll das Risiko durch eine Kombination aus Spot-Beständen und Short-Perpetual-Positionen absichert. Diese delta-neutrale Strategie generiert Rendite aus Funding-Raten ohne direktes Marktrisiko. Der gestakte Wrapper, sUSDe, gibt die Rendite an die Inhaber weiter.

In der Spitze erreichte USDe einen TVL (Total Value Locked) von $ 14,8 Milliarden, bevor er bis Dezember 2025 auf $ 7,6 Milliarden sank, als die Funding-Raten zurückgingen. Diese Volatilität verdeutlicht sowohl die Chancen als auch die Risiken synthetischer Renditestrategien – die Erträge hängen von Marktbedingungen ab, die sich schnell ändern können.

BlackRock BUIDL: TradFi trifft auf On-Chain-Strukturen​

Der BUIDL-Fonds von BlackRock stellt den institutionellen Einstiegspunkt in die tokenisierte Rendite dar. Mit einem Spitzenwert von $ 2,9 Milliarden an Vermögenswerten und einem Anteil von über 40 % am Markt für tokenisierte Staatsanleihen zeigt BUIDL, dass die Giganten der traditionellen Finanzwelt die Zeichen der Zeit erkannt haben.

Die strategische Bedeutung von BUIDL geht über das direkte verwaltete Vermögen (AUM) hinaus. Der Fonds dient mittlerweile als Kernreserve-Asset für mehrere DeFi-Produkte – Ethenas USDtb und Ondos OUSG nutzen BUIDL beide als Basis-Sicherheit. Dadurch entsteht ein faszinierender Hybrid: institutionelles Engagement in Staatsanleihen, auf das über permissionless On-Chain-Strukturen zugegriffen wird, mit täglichen Zinszahlungen direkt in Krypto-Wallets.

Der Fonds wurde von Ethereum auf Solana, Polygon, Optimism, Arbitrum, Avalanche und Aptos über die Cross-Chain-Infrastruktur von Wormhole ausgeweitet, um die Liquidität dort zu nutzen, wo sie sich befindet.

Ondo Finance: Die RWA-Brücke​

Ondo Finance hat sich mit einem TVL von $ 1,8 Milliarden als führende RWA-Tokenisierungsplattform (Real World Assets) etabliert. Sein OUSG-Fonds, der durch BlackRocks BUIDL besichert ist, und der tokenisierte Geldmarktfonds OMMF repräsentieren das On-Chain-Äquivalent zu Renditeprodukten institutioneller Qualität.

Entscheidend ist, dass das Flux Finance-Protokoll von Ondo es den Nutzern ermöglicht, diese tokenisierten RWAs als Sicherheit für DeFi-Kredite zu hinterlegen – womit der Kreislauf zwischen traditioneller Rendite und On-Chain-Kapitaleffizienz geschlossen wird.

Aave V4: Die Revolution der vereinheitlichten Liquidität​

Die Entwicklung der Infrastruktur geht über Stablecoins hinaus. Der für das erste Quartal 2026 geplante Start des Aave V4 Mainnets führt eine Hub-and-Spoke-Architektur ein, die die DeFi-Liquidität grundlegend neu gestalten könnte.

In V4 ist die Liquidität nicht mehr nach Märkten isoliert. Alle Assets werden in einem einheitlichen Liquidity Hub pro Netzwerk gespeichert. Spokes – die benutzerorientierten Schnittstellen – können aus diesem gemeinsamen Pool schöpfen, während sie separate Risikoparameter beibehalten. Das bedeutet, dass ein auf Stablecoins optimierter Spoke und ein Spoke für risikoreiche Meme-Token nebeneinander existieren können, wobei beide von einer tieferen gemeinsamen Liquidität profitieren, ohne dass sich die Risikoprofile gegenseitig belasten.

Der technische Wandel ist ebenso bedeutend. V4 verabschiedet sich von der Rebasing-Mechanik der aTokens zugunsten einer Anteilsabrechnung im ERC-4626-Stil – dies ermöglicht sauberere Integrationen, eine einfachere steuerliche Behandlung und eine bessere Kompatibilität mit der nachgelagerten DeFi-Infrastruktur.

Vielleicht am wichtigsten ist, dass V4 Risikoprämien basierend auf der Qualität der Sicherheiten einführt. Hochwertige Sicherheiten wie ETH erhalten günstigere Kreditzinsen. Risikoreichere Assets zahlen einen Aufpreis. Diese Anreizstruktur lenkt das Protokoll natürlich in Richtung sichererer Sicherheitenprofile, während der permissionless Zugang erhalten bleibt.

In Kombination mit zinstragenden Stablecoins entstehen so leistungsstarke neue Composability-Optionen. Stellen Sie sich vor, Sie zahlen sUSDe in einen Aave V4 Spoke ein, verdienen Stablecoin-Rendite und nutzen diese gleichzeitig als Sicherheit für gehebelte Positionen. Die Kapitaleffizienz nähert sich ihrem theoretischen Maximum.

Der institutionelle Ansturm​

Die Entwicklung von Lido Finance verdeutlicht das institutionelle Interesse an renditegenerierenden DeFi-Produkten. Das Protokoll kontrolliert nun einen TVL von $ 27,5 Milliarden, wobei laut der Führungsebene von Lido etwa 25 % auf institutionelles Kapital entfallen.

Der kürzlich angekündigte GOOSE-3-Plan sieht $ 60 Millionen vor, um Lido von einer Ein-Produkt-Staking-Infrastruktur in eine Multi-Produkt-DeFi-Plattform zu verwandeln. Zu den neuen Funktionen gehören überbesicherte Vaults, Compliance-fähige institutionelle Angebote und die Unterstützung von Assets wie stTIA.

Diese institutionelle Migration erzeugt einen positiven Kreislauf. Mehr institutionelles Kapital bedeutet tiefere Liquidität, was größere Positionsgrößen ermöglicht, was wiederum mehr institutionelles Kapital anzieht. Der Liquid-Staking-Sektor allein erreichte Ende 2025 einen Rekord-TVL von $ 86 Milliarden, was zeigt, dass die traditionelle Finanzwelt nicht mehr nur mit DeFi experimentiert – sie setzt Kapital in großem Stil ein.

Es wird prognostiziert, dass der gesamte DeFi-TVL bis Anfang 2026 die Marke von $200 Milliarden überschreiten wird, ausgehend von etwa$ 150 - 176 Milliarden Ende 2025. Der Wachstumsmotor ist die institutionelle Beteiligung an Kreditvergabe, Kreditaufnahme und Stablecoin-Abwicklung.

Die regulatorischen Gewitterwolken​

Nicht jeder feiert. Während der Telefonkonferenz zu den Ergebnissen des vierten Quartals von JPMorgan Chase warnte CFO Jeremy Barnum, dass renditegenerierende Stablecoins eine „gefährliche, unregulierte Alternative zum traditionellen Bankensystem“ darstellen könnten.

Seine Sorge konzentriert sich auf einlagenähnliche Produkte, die Zinsen ohne Kapitalanforderungen, Verbraucherschutz oder regulatorische Sicherheitsvorkehrungen zahlen. Aus Sicht des traditionellen Finanzwesens sehen renditegenerierende Stablecoins verdächtig nach Schattenbankwesen aus – und das Schattenbankwesen verursachte die Finanzkrise von 2008.

Der geänderte Digital Asset Market Clarity Act des US-Senats-Bankenausschusses reagiert direkt auf diese Bedenken. Die aktualisierte Gesetzgebung würde es Dienstleistern für digitale Assets untersagen, direkte Zinsen allein für das Halten von Stablecoins zu zahlen – ein Versuch zu verhindern, dass diese Token als unregulierte Sparkonten fungieren, die mit Banken konkurrieren.

Unterdessen schaffen der GENIUS Act und MiCA den ersten koordinierten globalen Rahmen für die Regulierung von Stablecoins. Die Umsetzung erfordert eine detailliertere Berichterstattung für renditegenerierende Produkte: Laufzeit der Vermögenswerte, Gegenparteiexposition und Nachweis der Trennung von Vermögenswerten.

Die regulatorische Landschaft schafft sowohl Bedrohungen als auch Chancen. Konforme renditegenerierende Produkte, die ein ordnungsgemäßes Risikomanagement nachweisen können, könnten institutionellen Zugang erhalten. Nicht-konforme Alternativen könnten vor existenziellen rechtlichen Herausforderungen stehen – oder sich in Offshore-Gerichtsbarkeiten zurückziehen.

Die Risiken, über die niemand sprechen möchte​

Die Landschaft der renditegenerierenden Stablecoins im Jahr 2026 birgt systemische Risiken, die über die regulatorische Unsicherheit hinausgehen.

Komponierbarkeits-Kaskaden​

Der Zusammenbruch des Stream-Protokolls hat gezeigt, was passiert, wenn renditegenerierende Stablecoins rekursiv ineinander eingebettet werden. Der xUSD von Stream war teilweise durch ein Engagement in deUSD von Elixir gedeckt, das seinerseits xUSD-Sicherheiten hielt. Als der xUSD nach einem Handelsverlust von $ 93 Millionen depeggte, verstärkte die zirkuläre Besicherungsschleife den Schaden über mehrere Protokolle hinweg.

Dies ist keine theoretische Sorge – es ist ein Vorgeschmack auf systemische Risiken in einer Welt, in der renditegenerierende Stablecoins als fundamentale Sicherheit für andere renditegenerierende Produkte dienen.

Abhängigkeit vom Zinsumfeld​

Viele renditegenerierende Strategien hängen von einem günstigen Zinsumfeld ab. Ein anhaltender Rückgang der US-Zinsen würde die Reserveeinnahmen für Treasury-besicherte Produkte schmälern und gleichzeitig die Renditen aus Finanzierungsraten für Delta-neutrale Strategien verringern. Emittenten müssten über Effizienz und Skalierung konkurrieren anstatt über die Rendite – ein Spiel, das etablierte Akteure gegenüber innovativen Neulingen bevorzugt.

Fragilität durch Deleveraging​

Das Wachstum und die Integrationen von 2025 haben bewiesen, dass DeFi institutionelles Kapital anziehen kann. Die Herausforderung für 2026 besteht darin, zu beweisen, dass es dieses Kapital auch in Phasen des systemischen Deleveragings halten kann. Expansionsphasen treiben 60 - 80 % der Krypto-Bullenmärkte an, aber Kontraktionsphasen erzwingen ein Deleveraging, unabhängig von fundamentalen Adoptionsmetriken.

Wenn der nächste Kryptowinter kommt, stehen renditegenerierende Stablecoins vor einem entscheidenden Test: Können sie die Peg-Stabilität und eine angemessene Rendite aufrechterhalten, während institutionelles Kapital abfließt? Die Antwort wird darüber entscheiden, ob diese Revolution eine nachhaltige Innovation oder nur ein Exzess eines weiteren Krypto-Zyklus ist.

Was dies für Entwickler und Nutzer bedeutet​

Für DeFi-Entwickler stellen renditegenerierende Stablecoins sowohl eine Chance als auch eine Verantwortung dar. Das Potenzial der Komponierbarkeit ist enorm – Produkte, die renditegenerierende Sicherheiten intelligent schichten, können eine Kapitaleffizienz erreichen, die im traditionellen Finanzwesen unmöglich ist. Aber der Zusammenbruch von Stream zeigt, dass Komponierbarkeit in beide Richtungen wirkt.

Für die Nutzer verschiebt sich die Kalkulation. Das Halten von nicht-verzinslichen Stablecoins sieht zunehmend so aus, als würde man Geld verschenken. Aber Rendite geht mit Risikoprofilen einher, die je nach Produkt stark variieren. Eine Treasury-besicherte Rendite von BUIDL birgt andere Risiken als die Delta-neutrale Finanzierungsratenrendite von sUSDe.

Die Gewinner im Jahr 2026 werden diejenigen sein, die diese Nuancen verstehen – die Risikotoleranz auf die Renditequelle abstimmen, die Portfolio-Diversität über renditegenerierende Produkte hinweg wahren und den regulatorischen Entwicklungen voraus sind, die die Landschaft über Nacht neu gestalten könnten.

Das Fazit​

Renditeerzeugende Stablecoins haben sich von experimentellen Produkten zu einer Kerninfrastruktur des DeFi-Sektors entwickelt. Mit einem Umlaufvolumen von über 20 Mrd. $ und steigender Tendenz werden sie zur Standard-Besicherungsebene für ein zunehmend institutionell geprägtes DeFi-Ökosystem.

Diese Transformation schafft echten Mehrwert: Kapitaleffizienz, die im traditionellen Finanzwesen unmöglich war, Renditegenerierung, die Bankeinlagen um Größenordnungen übertrifft, und Komponierbarkeit, die völlig neue Finanzprodukte ermöglicht.

Sie birgt jedoch auch echte Risiken: regulatorische Unsicherheit, Kaskadeneffekte bei der Komponierbarkeit und eine systemische Fragilität, die noch nicht durch einen schweren Krypto-Abschwung stressgetestet wurde.

Das Regelwerk des traditionellen Finanzwesens – Einlagensicherung, Kapitalanforderungen und Regulierungsaufsicht – hat sich über Jahrhunderte hinweg genau als Reaktion auf solche Risiken entwickelt. Die Herausforderung für DeFi besteht darin, gleichwertige Schutzmechanismen aufzubauen, ohne die erlaubnisfreie Innovation zu opfern, die renditeerzeugende Stablecoins überhaupt erst möglich macht.

Ob diese Revolution erfolgreich sein wird, hängt davon ab, ob DeFi schnell genug reifen kann, um die systemischen Risiken zu bewältigen, die es selbst schafft. Die nächsten 12 Monate werden die Antwort liefern.

---

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Finanzberatung dar. Führen Sie immer Ihre eigenen Recherchen durch, bevor Sie Investitionsentscheidungen treffen.

Innerhalb von zwei Wochen kündigten zwei der größten Banken Europas an, Millionen von Privatkunden den Handel mit Bitcoin anzubieten. Die belgische KBC Group, der zweitgrößte Kreditgeber des Landes mit einem verwalteten Vermögen von 300 Milliarden US-Dollar, wird im Februar 2026 den Krypto-Handel einführen. Die deutsche DZ Bank, die über 660 Milliarden Euro verwaltet, sicherte sich im Januar die MiCA-Zulassung, um den Handel mit Bitcoin, Ethereum, Cardano und Litecoin über ihr Netzwerk von Genossenschaftsbanken auszurollen. Dies sind keine Fintech-Startups oder krypto-native Börsen – es sind jahrhundertealte Institutionen, die digitale Vermögenswerte einst als spekulatives Rauschen abgetan haben.

Der gemeinsame Nenner? MiCA. Die Verordnung über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation) der Europäischen Union ist zum regulatorischen Katalysator geworden, der den Banken endlich die rechtliche Klarheit verschaffte, um in einen Markt einzusteigen, den sie ein Jahrzehnt lang von der Seitenlinie aus beobachtet hatten. Da mittlerweile über 60 europäische Banken irgendeine Form von Krypto-Dienstleistungen anbieten und mehr als 50 % bis 2026 MiCA-Partnerschaften planen, stellt sich nicht mehr die Frage, ob das traditionelle Finanzwesen Krypto akzeptieren wird – sondern wie schnell der Übergang erfolgen wird.

Am Heiligabend 2025, während der Großteil der Krypto-Welt im Urlaub war, schleusten Angreifer ein bösartiges Update in die Chrome-Erweiterung von Trust Wallet ein. Innerhalb von 48 Stunden verschwanden 8,5 Millionen $ aus 2.520 Wallets. Die Seed-Phrasen von Tausenden von Nutzern waren unbemerkt abgeschöpft worden, getarnt als routinemäßige Telemetriedaten. Doch dies war kein isolierter Vorfall – es war der Höhepunkt eines Supply-Chain-Angriffs, der sich bereits seit Wochen durch das Krypto-Entwicklungs-Ökosystem verbreitet hatte.

Die Shai-Hulud-Kampagne, benannt nach den Sandwürmern aus Dune, stellt den aggressivsten npm-Supply-Chain-Angriff des Jahres 2025 dar. Sie kompromittierte über 700 npm-Pakete, infizierte 27.000 GitHub-Repositories und legte etwa 14.000 Entwickler-Secrets in 487 Organisationen offen. Der Gesamtschaden: über 58 Millionen $ an gestohlener Kryptowährung, was ihn zu einem der kostspieligsten Angriffe auf Entwickler in der Geschichte der Krypto-Branche macht.

Die Anatomie eines Supply-Chain-Wurms​

Im Gegensatz zu typischer Malware, bei der Nutzer bösartige Software herunterladen müssen, vergiften Supply-Chain-Angriffe die Tools, denen Entwickler bereits vertrauen. Die Shai-Hulud-Kampagne instrumentalisierte npm, den Paketmanager, der den Großteil der JavaScript-Entwicklung antreibt – einschließlich fast jeder Krypto-Wallet, jedes DeFi-Frontends und jeder Web3-Anwendung.

Der Angriff begann im September 2025 mit der ersten Welle, die zum Diebstahl von Kryptowährungen im Wert von etwa 50 Millionen $ führte. Doch erst "Das zweite Kommen" im November demonstrierte die wahre Raffinesse der Operation. Zwischen dem 21. und 23. November kompromittierten Angreifer die Entwicklungsinfrastruktur großer Projekte wie Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase und Postman.

Der Ausbreitungsmechanismus war elegant und erschreckend zugleich. Wenn Shai-Hulud ein legitimes npm-Paket infiziert, injiziert es zwei bösartige Dateien – setup_bun.js und bun_environment.js –, die durch ein Preinstall-Skript ausgelöst werden. Im Gegensatz zu herkömmlicher Malware, die erst nach der Installation aktiviert wird, wird diese Payload ausgeführt, bevor die Installation abgeschlossen ist, und sogar dann, wenn die Installation fehlschlägt. Bis Entwickler bemerken, dass etwas nicht stimmt, sind ihre Zugangsdaten bereits gestohlen.

Der Wurm identifiziert weitere Pakete, die von kompromittierten Entwicklern verwaltet werden, injiziert automatisch bösartigen Code und veröffentlicht neue kompromittierte Versionen in der npm-Registry. Diese automatisierte Verbreitung ermöglichte es der Malware, sich exponentiell ohne direktes Eingreifen der Angreifer auszubreiten.

Von Entwickler-Secrets zu Nutzer-Wallets​

Die Verbindung zwischen kompromittierten npm-Paketen und dem Trust-Wallet-Hack zeigt, wie Supply-Chain-Angriffe von Entwicklern auf Endnutzer kaskadieren.

Die Untersuchung von Trust Wallet ergab, dass deren GitHub-Secrets für Entwickler während des Shai-Hulud-Ausbruchs im November offengelegt wurden. Diese Exponierung gab den Angreifern Zugriff auf den Quellcode der Browser-Erweiterung und, was noch kritischer war, auf den API-Key für den Chrome Web Store. Mit diesen Zugangsdaten bewaffnet, umgingen die Angreifer den internen Release-Prozess von Trust Wallet vollständig.

Am 24. Dezember 2025 erschien die Version 2.68 der Trust Wallet Chrome-Erweiterung im Chrome Web Store – veröffentlicht von den Angreifern, nicht von den Trust Wallet-Entwicklern. Der bösartige Code war darauf ausgelegt, alle in der Erweiterung gespeicherten Wallets zu durchlaufen und für jede Wallet eine Abfrage der Mnemonic-Phrase auszulösen. Unabhängig davon, ob sich die Nutzer mit einem Passwort oder biometrischen Daten authentifizierten, wurden ihre Seed-Phrasen unbemerkt an von den Angreifern kontrollierte Server exfiltriert, getarnt als legitime Analysedaten.

Die gestohlenen Gelder teilten sich wie folgt auf: etwa 3 Millionen $in Bitcoin, über 3 Millionen$ in Ethereum sowie kleinere Beträge in Solana und anderen Token. Innerhalb weniger Tage begannen die Angreifer, Gelder über zentrale Börsen zu waschen – 3,3 Millionen $an ChangeNOW, 340.000$ an FixedFloat und 447.000 $ an KuCoin.

Der Dead Man's Switch​

Besonders beunruhigend ist der "Dead Man's Switch"-Mechanismus der Shai-Hulud-Malware. Wenn sich der Wurm nicht bei GitHub oder npm authentifizieren kann – falls seine Verbreitungs- und Exfiltrationskanäle gekappt werden –, löscht er alle Dateien im Home-Verzeichnis des Nutzers.

Diese destruktive Funktion dient mehreren Zwecken. Sie bestraft Erkennungsversuche, erzeugt Chaos, das die Spuren der Angreifer verwischt, und bietet ein Druckmittel, falls Verteidiger versuchen, die Command-and-Control-Infrastruktur abzuschneiden. Für Entwickler, die keine ordnungsgemäßen Backups erstellt haben, könnte ein fehlgeschlagener Bereinigungsversuch zusätzlich zum Diebstahl der Zugangsdaten zu einem katastrophalen Datenverlust führen.

Die Angreifer bewiesen auch psychologisches Geschick. Als Trust Wallet den Sicherheitsverstoß bekannt gab, starteten dieselben Angreifer eine Phishing-Kampagne, die die aufkommende Panik ausnutzte. Sie erstellten gefälschte Websites im Trust Wallet-Design, auf denen Nutzer aufgefordert wurden, ihre Recovery-Seed-Phrasen zur "Wallet-Verifizierung" einzugeben. Einige Opfer wurden so zweimal geschädigt.

Die Insider-Frage​

Binance-Mitbegründer Changpeng Zhao (CZ) deutete an, dass der Trust-Wallet-Exploit "höchstwahrscheinlich" von einem Insider oder jemandem mit vorherigem Zugriff auf Deployment-Berechtigungen durchgeführt wurde. Die eigene Analyse von Trust Wallet deutet darauf hin, dass Angreifer möglicherweise die Kontrolle über Entwicklergeräte erlangt oder Deployment-Berechtigungen vor dem 8. Dezember 2025 erhalten haben.

Sicherheitsforscher haben Muster festgestellt, die auf eine mögliche Beteiligung von Nationalstaaten hindeuten. Der Zeitpunkt – Heiligabend – folgt einem gängigen Playbook für Advanced Persistent Threats (APT): Angriffe während der Feiertage, wenn Sicherheitsteams unterbesetzt sind. Die technische Raffinesse und das Ausmaß der Shai-Hulud-Kampagne, kombiniert mit der schnellen Geldwäsche, lassen auf Ressourcen schließen, die über typische kriminelle Operationen hinausgehen.

Warum Browser-Erweiterungen besonders anfällig sind​

Der Vorfall bei Trust Wallet verdeutlicht eine grundlegende Schwachstelle im Krypto-Sicherheitsmodell. Browser-Erweiterungen operieren mit außergewöhnlichen Privilegien – sie können Webseiten lesen und modifizieren, auf lokalen Speicher zugreifen und im Falle von Krypto-Wallets die Schlüssel zu Vermögenswerten in Millionenhöhe halten.

Die Angriffsfläche ist gewaltig:

• Update-Mechanismen: Erweiterungen aktualisieren sich automatisch, und eine einzige kompromittierte Aktualisierung erreicht alle Benutzer.
• API-Schlüssel-Sicherheit: Wenn API-Schlüssel für den Chrome Web Store durchsickern, kann jeder Updates veröffentlichen.
• Vertrauensannahmen: Benutzer gehen davon aus, dass Updates aus offiziellen Stores sicher sind.
• Feiertags-Timing: Reduzierte Sicherheitsüberwachung während der Feiertage ermöglicht eine längere Verweildauer der Angreifer im System.

Dies ist nicht der erste Angriff über Browser-Erweiterungen auf Krypto-Nutzer. Frühere Vorfälle umfassen die GlassWorm-Kampagne gegen VS-Code-Erweiterungen und den Betrug mit der FoxyWallet-Firefox-Erweiterung. Der Trust-Wallet-Einbruch war jedoch der größte in finanzieller Hinsicht und demonstrierte, wie Supply-Chain-Kompromittierungen die Auswirkungen von Angriffen auf Erweiterungen verstärken.

Die Reaktion von Binance und der SAFU-Präzedenzfall​

Binance bestätigte, dass betroffene Trust-Wallet-Nutzer über seinen Secure Asset Fund for Users (SAFU) vollständig entschädigt würden. Dieser Fonds, der nach einem Börsen-Hack im Jahr 2018 eingerichtet wurde, hält einen Teil der Handelsgebühren in Reserve, um speziell Nutzerverluste aus Sicherheitsvorfällen abzudecken.

Die Entscheidung zur Rückerstattung setzt einen wichtigen Präzedenzfall – und wirft eine interessante Frage zur Verantwortungsverteilung auf. Trust Wallet wurde ohne direktes Verschulden der Nutzer kompromittiert, die lediglich ihre Wallets während des betroffenen Zeitfensters öffneten. Die Grundursache war jedoch ein Supply-Chain-Angriff, der die Infrastruktur der Entwickler kompromittierte, was wiederum durch umfassendere Schwachstellen im npm-Ökosystem ermöglicht wurde.

Die sofortige Reaktion von Trust Wallet umfasste das Deaktivieren aller Release-APIs, um neue Versionsveröffentlichungen für zwei Wochen zu blockieren, die Meldung der bösartigen Exfiltrations-Domain an den Registrar (was zu einer sofortigen Sperrung führte) und die Veröffentlichung einer sauberen Version 2.69. Den Nutzern wurde geraten, ihr Guthaben sofort auf neue Wallets zu übertragen, falls sie die Erweiterung zwischen dem 24. und 26. Dezember entsperrt hatten.

Lehren für das Krypto-Ökosystem​

Die Shai-Hulud-Kampagne deckt systemische Schwachstellen auf, die weit über Trust Wallet hinausgehen:

Für Entwickler​

Abhängigkeiten explizit festschreiben (Pinning). Die Ausnutzung von Preinstall-Skripten funktioniert, weil npm-Installationen beliebigen Code ausführen können. Das Festschreiben auf bekannte, saubere Versionen verhindert, dass automatische Updates kompromittierte Pakete einführen.

Geheimnisse als kompromittiert betrachten. Jedes Projekt, das zwischen dem 21. November und Dezember 2025 npm-Pakete heruntergeladen hat, sollte von einer Offenlegung der Zugangsdaten ausgehen. Dies bedeutet das Widerrufen und Neugenerieren von npm-Token, GitHub PATs, SSH-Schlüsseln und Cloud-Provider-Zugangsdaten.

Implementieren Sie ein ordnungsgemäßes Geheimnis-Management. API-Schlüssel für kritische Infrastrukturen wie die Veröffentlichung in App-Stores sollten niemals in der Versionskontrolle gespeichert werden, auch nicht in privaten Repositories. Nutzen Sie Hardware-Sicherheitsmodule oder dedizierte Geheimnis-Management-Dienste.

Einführung von Phishing-resistenter MFA. Die Standard-Zwei-Faktor-Authentifizierung kann von hochentwickelten Angreifern umgangen werden. Hardware-Keys wie YubiKeys bieten einen stärkeren Schutz für Entwickler- und CI/CD-Konten.

Für Nutzer​

Wallet-Infrastruktur diversifizieren. Bewahren Sie nicht alle Guthaben in Browser-Erweiterungen auf. Hardware-Wallets bieten eine Isolierung von Software-Schwachstellen – sie können Transaktionen signieren, ohne die Seed-Phrasen jemals potenziell kompromittierten Browsern auszusetzen.

Gehen Sie davon aus, dass Updates bösartig sein können. Das Auto-Update-Modell, das Software bequem macht, macht sie auch anfällig. Erwägen Sie, automatische Updates für sicherheitskritische Erweiterungen zu deaktivieren und neue Versionen manuell zu überprüfen.

Wallet-Aktivitäten überwachen. Dienste, die bei ungewöhnlichen Transaktionen alarmieren, können eine Frühwarnung bei Kompromittierungen bieten und potenziell Verluste begrenzen, bevor Angreifer ganze Wallets leeren.

Für die Branche​

Stärkung des npm-Ökosystems. Das npm-Register ist eine kritische Infrastruktur für die Web3-Entwicklung, dennoch fehlen ihm viele Sicherheitsfunktionen, die eine wurmartige Ausbreitung verhindern würden. Obligatorische Code-Signierung, reproduzierbare Builds und Anomalieerkennung für Paket-Updates könnten die Hürde für Angreifer erheblich erhöhen.

Überdenken der Sicherheit von Browser-Erweiterungen. Das aktuelle Modell – in dem Erweiterungen automatisch aktualisiert werden und umfassende Berechtigungen haben – ist grundlegend unvereinbar mit den Sicherheitsanforderungen für die Verwahrung erheblicher Vermögenswerte. Sandboxed-Ausführungsumgebungen, verzögerte Updates mit Benutzerprüfung und reduzierte Berechtigungen könnten helfen.

Koordinierung der Reaktion auf Vorfälle. Die Shai-Hulud-Kampagne betraf Hunderte von Projekten im gesamten Krypto-Ökosystem. Ein besserer Informationsaustausch und eine koordinierte Reaktion hätten den Schaden begrenzen können, sobald kompromittierte Pakete identifiziert wurden.

Die Zukunft der Supply-Chain-Sicherheit im Kryptobereich​

Die Kryptowährungsbranche hat ihre Sicherheitsbemühungen historisch auf Smart-Contract-Audits, Cold Storage von Börsen und Phishing-Schutz für Nutzer konzentriert. Die Shai-Hulud-Kampagne zeigt, dass die gefährlichsten Angriffe von kompromittierten Entwickler-Tools ausgehen können – einer Infrastruktur, mit der Krypto-Nutzer nie direkt interagieren, die aber jeder Anwendung zugrunde liegt, die sie nutzen.

Da Web3-Anwendungen immer komplexer werden, vergrößern sich ihre Abhängigkeitsgraphen. Jedes npm-Paket, jede GitHub-Action, jede CI/CD-Integration stellt einen potenziellen Angriffsvektor dar. Die Reaktion der Branche auf Shai-Hulud wird darüber entscheiden, ob dies ein einmaliger Weckruf bleibt oder der Beginn einer Ära von Supply-Chain-Angriffen auf die Krypto-Infrastruktur ist.

Bisher bleiben die Angreifer unbekannt. Ungefähr 2,8 Millionen US-Dollar an gestohlenen Trust-Wallet-Geldern befinden sich noch in den Wallets der Angreifer, während der Rest über zentralisierte Börsen und Cross-Chain-Bridges gewaschen wurde. Die früheren Diebstähle der breiteren Shai-Hulud-Kampagne in Höhe von über 50 Millionen US-Dollar sind größtenteils in den pseudonymen Tiefen der Blockchain verschwunden.

Der Sandwurm hat sich tief in die Fundamente von Krypto eingegraben. Ihn auszumerzen wird ein Umdenken bei Sicherheitsannahmen erfordern, die die Branche seit ihren Anfängen als selbstverständlich erachtet hat.

---

Der Aufbau sicherer Web3-Anwendungen erfordert eine robuste Infrastruktur. BlockEden.xyz bietet RPC-Nodes und APIs auf Enterprise-Niveau mit integrierter Überwachung und Anomalieerkennung, die Entwicklern helfen, ungewöhnliche Aktivitäten zu identifizieren, bevor sie die Nutzer beeinträchtigen. Erkunden Sie unseren API-Marktplatz, um auf sicherheitsorientierten Fundamenten aufzubauen.

Wenn 78 % der Fortune-500-Unternehmen Kryptozahlungen für internationale B2B-Überweisungen entweder erforschen oder in Pilotprojekten testen, stellt sich nicht die Frage, ob Krypto-Zahlungsinfrastruktur wichtig ist – sondern wer die Schienen bauen wird, auf denen die nächsten Billionen Dollar bewegt werden. Zwei Plattformen haben sich als Spitzenreiter in diesem Rennen herauskristallisiert: Alchemy Pay, das in Singapur ansässige Gateway, das 173 Länder bedient und das Ziel verfolgt, ein „globaler Finanzknotenpunkt“ zu werden, und CoinsPaid, der in Estland lizenzierte Prozessor, der 0,8 % aller weltweiten Bitcoin-Aktivitäten abwickelt. Ihr Kampf um die B2B-Dominanz offenbart die Zukunft der Art und Weise, wie Unternehmen Geld über Grenzen hinweg bewegen werden.

Die Kompromittierung individueller Wallets stieg im Jahr 2025 sprunghaft auf 158.000 Vorfälle an, von denen 80.000 einzelne Opfer betroffen waren. Dies führte zu einem Diebstahl von 713 Millionen $ allein aus persönlichen Wallets. Dabei handelt es sich nicht um einen Börsen-Hack oder einen Protokoll-Exploit – das sind alltägliche Krypto-Nutzer, die ihre Ersparnisse an Angreifer verlieren, die sich weit über einfache Phishing-E-Mails hinaus entwickelt haben. Die Kompromittierung persönlicher Wallets macht mittlerweile 37 % des gesamten gestohlenen Krypto-Werts aus, gegenüber nur 7,3 % im Jahr 2022. Die Botschaft ist klar: Wenn Sie Krypto-Werte halten, sind Sie ein Ziel, und die Schutzstrategien von gestern reichen nicht mehr aus.

Allein im ersten Halbjahr 2025 entwendeten Angreifer über 2,3 Milliarden $aus Krypto-Protokollen – mehr als im gesamten Jahr 2024 zusammen. Schwachstellen in der Zugriffskontrolle machten allein 1,6 Milliarden$ dieses Schadens aus. Der Bybit-Hack im Februar 2025, ein Supply-Chain-Angriff in Höhe von 1,4 Milliarden $, zeigte, dass selbst die größten Börsen anfällig bleiben. Zu Beginn des Jahres 2026 steht die Smart-Contract-Audit-Branche vor ihrem kritischsten Moment: sich weiterentwickeln oder zusehen, wie weitere Milliarden in den Wallets der Angreifer verschwinden.

Die gesamte Krypto-Marktkapitalisierung überschritt im Jahr 2025 zum ersten Mal die Marke von 4 Billionen $. Bitcoin-ETFs verzeichneten Nettozuflüsse von 57,7 Milliarden$. Das monatliche Transaktionsvolumen von Stablecoins erreichte 3,4 Billionen $ – und übertraf damit Visa. Die Tokenisierung von Real-World Assets (RWA) explodierte im Jahresvergleich um 240 %. Und doch war inmitten dieser rekordverdächtigen Zahlen die wichtigste Geschichte des Jahres 2025 nicht der Preis – es war die fundamentale Transformation von Web3 von einem spekulativen Spielplatz in eine Finanzinfrastruktur auf institutionellem Niveau.