Ein funktionierender Smart-Contract-Exploit kostet heute etwa 1,22 anAPI−GuthabeninderErstellung.DieseeinzelneZahl,dieEnde2025vomRedTeamvonAnthropicermitteltunddurcheinenakademischenExploit−Generatoruntermauertwurde,derbiszu8,59Millionen pro Angriff extrahierte, bildet den Hintergrund für die Warnung, die der Ledger-CTO Charles Guillemet am 5. April 2026 aussprach: Künstliche Intelligenz bricht nicht die Kryptografie. Sie bricht die Ökonomie der Krypto-Sicherheit, und die traditionellen Verteidigungsmaßnahmen der Branche waren nie auf dieses Regime ausgelegt.
Wenn 2024 das Jahr war, in dem KI die Art und Weise umschrieb, wie Entwickler Code veröffentlichen, dann ist 2026 das Jahr, in dem sie umschrieb, wie Angreifer Exploits veröffentlichen. Die Asymmetrie hat sich so schnell umgekehrt, dass selbst die Unternehmen, die ein Jahrzehnt mit dem Bau von Hardware-Wallets verbracht haben, sich nun fragen, ob das gesamte Vertrauensmodell neu geschrieben werden muss.
Was Guillemet tatsächlich gesagt hat
In einem öffentlichen Statement Anfang April legte Guillemet – der Chief Technology Officer bei Ledger und langjährige Hardware-Sicherheitsforscher – eine unangenehme These dar. Die Kurve der Angriffskosten für Krypto bricht zusammen, weil Large Language Models (LLMs) kompetent genug sind, die schwierigsten Teile der Arbeit eines Angreifers zu erledigen: unbekannten Solidity-Code lesen, über Zustandsmaschinen nachdenken, plausible Exploit-Transaktionen generieren und gegen On-Chain-Forks iterieren, bis etwas funktioniert.
Seine Einordnung war bewusst ökonomisch. Kryptografie ist heute nicht schwächer als im Jahr 2024. Hash-Funktionen hashen immer noch. Elliptische Kurven sind immer noch elliptisch. Was sich geändert hat, ist, dass der Arbeitseinsatz hinter einem erfolgreichen Angriff – das Auge eines Senior-Auditors, die Monate geduldigen Reverse Engineerings – auf eine Budgetzeile komprimiert wurde, die in eine einzige Rechnung von Anthropic oder OpenAI passt. „Wir werden eine Menge Code produzieren, der durch sein Design unsicher sein wird“, warnte Guillemet und wies auf den Zweitrundeneffekt hin, dass Entwickler KI-generiertes Solidity schneller veröffentlichen, als Prüfer es lesen können.
Ledgers Zahl für die Verluste des letzten Jahres liegt bei etwa 1,4 Milliarden andirektzurechenbarenHacksundExploits,wobeidieGesamtsummenfu¨rBetrugundTa¨uschungweitho¨herliegen,jenachdem,welcheBuchhaltungmanakzeptiert.ChainalysisbeziffertedieGesamtsummedergestohlenenGelderfu¨r2025auf3,4Milliarden. Der Rückblick von CoinDesk im Januar 2026 schätzte das breitere Universum von Betrug und Identitätsdiebstahl auf bis zu 17 Milliarden $. Welcher Zahl man auch vertraut, der Trend weist in die falsche Richtung, und Guillemets Argument ist, dass die Flugbahn nun KI-geformt ist.
Die Anthropic-Zahl, die die Diskussion veränderte
Im Dezember 2025 veröffentlichte das Red Team von Anthropic Ergebnisse von SCONE-bench – einem Benchmark von 405 Smart Contracts, die tatsächlich zwischen 2020 und 2025 ausgenutzt wurden. Die Schlagzeilen-Statistik war unverblümt. Über alle 405 Probleme hinweg produzierten moderne Frontier-Modelle schlüsselfertige Exploits für 207 von ihnen, was einer Trefferquote von 51,11 % entspricht und einen simulierten gestohlenen Wert von insgesamt 550,1 Millionen $ ergibt.
Noch beunruhigender war, dass sowohl Claude Sonnet 4.5 als auch GPT-5 zwei echte Zero-Days aufdeckten und funktionierende Exploits im Wert von 3.694 produzierten,alsdieselbenAgentenauf2.849frischbereitgestellteVertra¨geohnebekannteSchwachstellenangesetztwurden–beiAPI−Kostenvonetwa3.476. Dieses Verhältnis ist auf dem Papier kaum rentabel, aber es demontiert die Annahme, dass die Entdeckung von Zero-Days ein menschliches Team erfordert.
Unabhängige akademische Arbeit erzählt die gleiche Geschichte von der anderen Seite. Das „A1“-System, das 2025 auf arxiv veröffentlicht und bis Anfang 2026 aktualisiert wurde, bündelt jedes LLM mit sechs domänenspezifischen Tools – Bytecode-Disassembler, Fork-Executors, Balance-Tracker, Gas-Profiler, Oracle-Spoofer und State-Mutatoren – und richtet es auf einen Zielvertrag. A1 erreichte eine Erfolgsquote von 62,96 % auf dem VERITE-Exploit-Datensatz und schlug damit die bisherige Fuzzing-Baseline (ItyFuzz, 37,03 %) mit großem Vorsprung. Die Kosten pro Versuch beliefen sich auf 0,01 bis3,59. Der größte einzelne modellierte Gewinn lag bei 8,59 Millionen $.
Dies sind keine theoretischen Zahlen. Es sind die Inputkosten eines Exploits. Und sobald diese Inputkosten den Preis einer Fast-Food-Mahlzeit erreichen, stellt sich nicht mehr die Frage, „ob Angreifer sich das leisten können“, sondern „ob Verteidiger es sich leisten können, etwas zu übersehen“.
Das 1000 : 1-Durchsatz-Missverhältnis
Hier ist der Teil des Bildes, den Audit-Firmen immer noch nur schwer artikulieren können. Auditoren rechnen pro Auftrag ab. Sie prüfen jeweils eine Codebasis, oft über Wochen hinweg, und ihr KI-Tooling ist – wenn sie es nutzen – an einen Arbeitsablauf gekoppelt, in dem Menschen involviert sind und Rechnungen verschickt werden müssen. Angreifer hingegen können dieselben Modelle mieten, sie parallel auf Tausende von Verträgen ansetzen und nur bezahlen, wenn etwas funktioniert.
Ein Paper in „Frontiers in Blockchain“ von Anfang 2026 hielt die Asymmetrie in einer einzigen Zeile fest: Ein Angreifer macht ab etwa 6.000 anextrahierbaremWertGewinn,wa¨hrenddieGewinnschwelleeinesVerteidigerseherbei60.000 liegt. Die 10-fache Lücke besteht nicht deshalb, weil Verteidigung technisch schwieriger ist – sondern weil Verteidigung vollständig sein muss, während der Angriff nur einmal richtig liegen muss.
Stellt man dies dem Volumen-Missverhältnis gegenüber – nennen wir es 1000 : 1 zwischen Verträgen, die ein Angreifer scannen kann, und Verträgen, die eine Audit-Firma prüfen kann – gelangt man fast mechanisch zu Guillemets Schlussfolgerung. Kein Audit-Budget kann diese Lücke schließen. Die Ökonomie funktioniert einfach nicht.
Was uns die großen Hits von 2026 bereits verraten
Die Hackerangriffe, die im Jahr 2026 tatsächlich stattgefunden haben, lesen sich oberflächlich betrachtet nicht alle wie „KI-Exploit“-Geschichten. Die beiden größten Verluste des bisherigen Jahres sind ernüchternde Erinnerungen daran, dass LLM-gestützte Angriffs-Tools auf älteren, langweiligeren Techniken aufbauen.
Am 1. April 2026 verlor das Drift Protocol auf Solana 285 Millionen US-Dollar — mehr als die Hälfte seines TVL — bei einem Angriff, den sowohl TRM Labs als auch Elliptic der nordkoreanischen Lazarus Group zuschrieben. Der Mechanismus war Social Engineering, kein Solidity-Bug. Die Angreifer verbrachten Monate damit, Beziehungen zum Drift-Team aufzubauen, und missbrauchten dann das „Durable Nonce“-Feature von Solana, um Mitglieder des Sicherheitsrats dazu zu bringen, Transaktionen vorab zu unterzeichnen, deren Auswirkungen sie nicht verstanden. Sobald die Admin-Kontrolle übernommen war, setzten die Angreifer einen wertlosen Token (CVT) als Sicherheit auf die Whitelist und nutzten ihn, um echte USDC, SOL und ETH abzuziehen.
Achtzehn Tage später erlitt Kelp DAO einen Verlust von 292 Millionen US-Dollar durch seine LayerZero-betriebene Bridge — der bisher größte DeFi-Exploit des Jahres 2026. Der Angreifer überzeugte die Cross-Chain-Messaging-Ebene von LayerZero davon, dass eine gültige Anweisung von einem anderen Netzwerk eingetroffen sei, und die Bridge von Kelp gab pflichtbewusst 116.500 rsETH an eine vom Angreifer kontrollierte Adresse frei. Den meisten Zuschreibungen zufolge war dies erneut Lazarus.
Was hat das mit KI zu tun? Zwei Dinge. Erstens: Die Aufklärung (Reconnaissance), die Long-Tail-Social-Engineering möglich macht — das Mapping von Profilen, das Abgleichen von Nachrichtentönen, das Abpassen des richtigen Moments im Kalender eines Ziels — ist genau das, worin LLMs gut sind. Die Prognose von CertiK für 2026 nennt bereits Phishing, Deepfakes und die Kompromittierung der Lieferkette als die dominierenden Angriffsvektoren für das Jahr und verzeichnete allein von Dezember 2025 bis Januar 2026 einen Sprung der Phishing-Verluste um 207 %. Zweitens senkt KI die Hürde für parallele Operationen: Wo ein Team vom Kaliber Lazarus im Jahr 2024 nur wenige Kampagnen gleichzeitig durchführen konnte, ermöglichen KI-Tools einer viel kleineren Crew nun Dutzende.
Eine Erinnerung daran, wie granular dies werden kann, gab es im April 2026, als Zerion, eine beliebte Wallet-App, offenlegte, dass Angreifer KI-gesteuertes Social Engineering nutzten, um etwa 100.000 US-Dollar aus ihren Hot Wallets zu entwenden. Die Zahl ist nach den Maßstäben von 2026 klein. Die Technik — KI generiert das Identitätsdiebstahl-Skript, KI generiert die gefälschte Support-Seite, KI generiert die Phishing-E-Mail — ist genau das, wovor Guillemet warnt.
Warum „Einfach härter prüfen“ keine Antwort ist
Die instinktive Reaktion der Branche besteht darin, mehr Audits zu finanzieren. Diese Reaktion verkennt jedoch die Form des Problems.
Audits skalieren linear mit den Arbeitsstunden der Prüfer. Angriffe skalieren heute mit API-Guthaben. Selbst wenn jede Tier-1-Audit-Firma morgen ihre Mitarbeiterzahl verdoppeln würde, würde die Angriffsfläche des Angreifers immer noch 10-mal schneller wachsen, da jeder mit einem API-Key und einem grundlegenden Verständnis von Solidity nun kontinuierliche offensive Scans über das gesamte Universum der bereitgestellten Verträge durchführen kann.
Schlimmer noch: Audits überprüfen Code zu einem bestimmten Zeitpunkt. KI-generierter Code wird kontinuierlich ausgeliefert, und Guillemets Warnung „Insecure by Design“ deutet darauf hin, dass die Rate der Fehlereinführungen steigt, nicht sinkt. Eine Studie aus dem Jahr 2026, die in der Blockchain-Security-Community zitiert wurde, ergab, dass LLM-gestützte Solidity-Autorenschaft mit subtilen Reentrancy- und Zugriffskontrollfehlern korreliert, die menschliche Prüfer, ermüdet vom Lesen maschinell formatierter Codes, häufiger übersehen als dieselben Fehler in von Menschen verfasstem Code.
Ehrlich betrachtet bleiben Audits zwar notwendig, aber nicht ausreichend. Die tatsächliche Antwort, die Guillemet vorantreibt — und die das eigene Red Team von Anthropic bestätigt — ist struktureller Natur.
Der defensive Stack, der dies tatsächlich überlebt
Drei Kategorien der Verteidigung können plausibel gegen KI-beschleunigte Angriffe skalieren, und alle drei sind unbequem für den Teil der Branche, der auf Liefergeschwindigkeit optimiert hat.
Formale Verifizierung. Tools wie Certora, Halmos und zunehmend die Verifizierungs-Stacks, die mit Move (Sui, Aptos) und Cairo (Starknet) gebündelt sind, behandeln Korrektheit eher als mathematisches Problem denn als Prüfungsproblem. Wenn eine Eigenschaft bewiesen ist, kann kein noch so starkes KI-Fuzzing sie brechen. Der Kompromiss liegt im technischen Aufwand: Das Schreiben sinnvoller Invarianten ist schwierig, langsam und verzeiht keine Fehler. Aber es ist eine der wenigen Verteidigungen, deren Kosten nicht mit der Rechenleistung des Angreifers skalieren.
Hardware-basierte Vertrauensanker (Hardware Roots of Trust). Die Produktlinie von Ledger ist das offensichtliche Beispiel, aber die breitere Kategorie umfasst sichere Enklaven, MPC-Custody und aufkommende Zero-Knowledge-Attestierungs-Primitive. Das Prinzip ist dasselbe: Die folgenreichste Aktion — das Signieren einer Transaktion — wird durch ein Substrat erzwungen, das eine LLM-gesteuerte Phishing-Kampagne nicht erreichen kann. Guillemets Ansatz „Annehmen, dass Systeme versagen können und werden“ ist im Grunde ein Argument dafür, die Signierberechtigung von Allzweckcomputern wegzubewegen.
KI-gegen-KI-Verteidigung. Ein Paper von Anthropic vom Dezember 2025 argumentiert, dass dieselben Agenten, die in der Lage sind, Exploits zu generieren, auch zur Erstellung von Patches eingesetzt werden sollten. In der Praxis bedeutet dies eine kontinuierliche KI-gesteuerte Überwachung von Mempools, bereitgestellten Verträgen und dem Verhalten von Admin-Keys — wobei Anomalien so markiert werden, wie es Betrugserkennungssysteme beim traditionellen Banking tun. Die Wirtschaftlichkeit ist unvollkommen (die Kosten für Verteidiger sind immer noch höher als die für Angreifer), aber sie bringen zumindest beide Seiten auf dieselbe Rechenleistungskurve.
Das Muster bei allen drei Ansätzen ist das gleiche: Man muss aufhören, sich bei den schnellen Teilen der Sicherheit auf Menschen im Prozess (Humans-in-the-Loop) zu verlassen, und das menschliche Urteilsvermögen für die langsamen, teuren und strukturellen Teile reservieren.
Was dies für Entwickler im Moment bedeutet
Für Teams, die im Jahr 2026 Produkte veröffentlichen, lässt sich die Warnung von Guillemet in einige konkrete Veränderungen übersetzen:
- Behandeln Sie KI-generierten Code standardmäßig als nicht vertrauenswürdig. Unterziehen Sie ihn einer formalen Verifizierung oder eigenschaftsbasierten Tests (Property-Based Testing), bevor er das Mainnet erreicht, unabhängig davon, wie sauber er aussieht.
- Verschieben Sie Admin-Keys hinter Hardware. Multi-Sig mit Hot-Signern ist für Smart Contracts auf Treasury-Niveau keine akzeptable Sicherheitslage mehr; der Drift-Vorfall hat bewiesen, dass selbst „vertrauenswürdige“ Teammitglieder durch Social Engineering dazu gebracht werden können, zerstörerische Transaktionen im Voraus zu signieren.
- Gehen Sie davon aus, dass Ihre Phishing-Angriffsfläche größer ist als Ihre Code-Angriffsfläche. Der Zerion-Abfluss (100.000 $) und der allgemeine Anstieg des Phishings um 207 % deuten darauf hin, dass der günstigste Dollar für Angreifer immer noch auf Menschen und nicht auf Solidity abzielt.
- Planen Sie ein Budget für kontinuierliches, automatisiertes Monitoring ein. Ein wöchentlicher Audit-Rhythmus ist keine Verteidigung gegen einen Angreifer, der rund um die Uhr Tools auf SCONE-bench-Niveau einsetzt.
Keines dieser Konzepte ist neu. Was sich geändert hat, ist die Dringlichkeitskurve. In der Ära vor LLMs konnte eine Organisation Versäumnisse in einem dieser Bereiche überstehen, wenn die anderen stark waren. Im Jahr 2026 ist die Kostenasymmetrie zu groß für eine solche Nachlässigkeit.
Eine ehrliche Einschätzung
Es ist verlockend, die Warnung von Guillemet so zu interpretieren, dass Ledger Eigenwerbung betreibt – ein Hardware-Wallet-Anbieter plädiert naturgemäß für Hardware. Diese Interpretation wäre ein Fehler. Das gleiche Argument wird unabhängig davon vom Red Team von Anthropic, von akademischen Gruppen hinter A1 und SCONE-bench, von CertiKs Prognose für 2026 und von On-Chain-Analysefirmen vorgebracht, die die monatlichen Hack-Summen beobachten. Der Branchenkonsens läuft auf einen einzigen Punkt hinaus: Die Kosten für einen kompetenten Exploit sind um ein bis zwei Größenordnungen gesunken, und der defensive Stack muss entsprechend angepasst werden.
Was wirklich neu ist, ist, dass dies die erste große asymmetrische Verschiebung in der Krypto-Sicherheit seit der Welle der Audit-Nachfrage im DeFi-Sommer Anfang der 2020er Jahre ist. Diese Welle brachte eine Generation von Audit-Firmen, Bug-Bounty-Plattformen und Startups für formale Verifizierung hervor. Die Welle von 2026 wird etwas anderes hervorbringen: kontinuierliche KI-überwachte Infrastruktur, hardwarebasierte Signierung als Standard und eine viel stärkere Skepsis gegenüber jedem Smart Contract, dessen Sicherheitsmodell noch darauf basiert, dass „wir es im Review finden werden“.
Guillemets Zahl von 1,22 $ – selbst wenn diese exakte Zahl von Anthropic und nicht von Ledger stammte – ist die Art von Statistik, die eine Ära beendet. Die Ära, die sie beendet, ist diejenige, in der die Arbeitskraft der Angreifer der Engpass war. Die Ära, die sie einläutet, ist diejenige, in der der Engpass alles ist, was der Verteidiger noch nicht automatisiert hat.
BlockEden.xyz betreibt Blockchain-RPC- und Indizierungsinfrastruktur für Sui, Aptos, Ethereum, Solana und über 20 weitere Netzwerke, mit KI-gestütztem Anomalie-Monitoring direkt im Request-Pfad. Wenn Sie Ihre Sicherheitslage für die Bedrohungslandschaft nach dem Aufkommen von LLMs neu aufbauen, erkunden Sie unsere Infrastrukturdienste oder kontaktieren Sie uns, um ein kontinuierliches Monitoring für Ihr Protokoll zu besprechen.
Quellen
