58 Beiträge getaggt mit „Sicherheit“

Im Dezember 2025 richteten Forscher von Anthropic einen KI-Agenten auf 405 real existierende, ausgenutzte Smart Contracts. Der Agent erstellte funktionierende Exploits für 207 davon – 51 % – und entzog dabei 550 Millionen $an simulierten Geldern. Die Kosten pro erfolgreichem Exploit? Gerade einmal 1,22$.

Dieser einzelne Datenpunkt verdeutlicht die existenzielle Krise, vor der das dezentrale Finanzwesen (DeFi) im Jahr 2026 steht. Die 3,4 Milliarden $, die 2025 durch Krypto-Hacks verloren gingen, waren kein Mangel an Bemühungen – die meisten angegriffenen Protokolle waren auditiert worden, einige sogar mehrfach. Es war ein Versagen des Paradigmas. Und nun schlägt a16z Crypto einen radikalen Ersatz vor: Verabschieden Sie sich von „Code ist Gesetz“ (Code is Law) und begrüßen Sie „Spezifikation ist Gesetz“ (Spec is Law), wobei mathematisch bewiesene Sicherheitseigenschaften und Echtzeit-Laufzeit-Schutzmechanismen (Runtime Guardrails) die meisten Exploits strukturell unmöglich machen.

Ein gemeinsames Whitepaper von ARK Invest und Unchained hat etwas geschafft, was bisher niemandem in diesem Ausmaß gelungen ist: Es beziffert präzise, wie viel Bitcoin Angriffen durch Quantencomputer ausgesetzt ist. Die Antwort – 34,6 % des Gesamtangebots, was bei aktuellen Preisen etwa 240 Milliarden US-Dollar entspricht – ist gleichzeitig alarmierend und beruhigend. Alarmierend, weil es quantifiziert, was zuvor als ferne Hypothese abgetan wurde. Beruhigend, weil der Bericht auch aufzeigt, dass die verbleibenden 65,4 % der BTC sicher hinter kryptografischem Hashing liegen, das Quantencomputer nicht knacken können, und dass die Branche wahrscheinlich ein Jahrzehnt Zeit zur Vorbereitung hat.

Am 27. Dezember 2025 nutzte ein Angreifer eine Schwachstelle in der Execution Layer von Flow aus, prägte 87,4 Milliarden gefälschte Token und entzog über Cross-Chain-Bridges 3,9 Millionen US-Dollar, bevor die Validatoren die Notbremse ziehen konnten. Was danach geschah, war nicht nur eine technische Post-Mortem-Analyse – es entwickelte sich zu einer der aufschlussreichsten Governance-Krisen in der Geschichte der Blockchain und zwang die Branche, sich einer Frage zu stellen, der sie seit dem DAO-Fork von Ethereum im Jahr 2016 ausgewichen ist: Wenn eine Blockchain bricht, wer darf die Geschichte neu schreiben?

Ein von einem OpenAI-Ingenieur entwickelter KI-Agent schickte versehentlich Token im Wert von 450.000 $an einen Fremden auf X, der nach SOL im Wert von 310$ gefragt hatte. Kein Hack. Kein Exploit. Nur ein Session-Reset, eine fehlende Sicherheitsvorkehrung und eine unumkehrbare Blockchain-Transaktion. Der Lobstar-Wilde-Vorfall im Februar 2026 war ein Weckruf: Wenn autonome Agenten mit echtem Geld umgehen sollen, benötigt die Branche ein grundlegend anderes Sicherheitsmodell.

Am 13. März 2026 antwortete MoonPay mit einer Lösung. Sein CLI-Wallet wird nun mit nativer Unterstützung für Ledger-Hardware-Signer ausgeliefert — was MoonPay-Agenten zur ersten KI-Agenten-Plattform macht, bei der jede On-Chain-Transaktion vor der Ausführung ein physisches Gerät passieren muss. Private Keys berühren niemals die Laufzeitumgebung des Agenten. Der Agent schlägt vor; der Mensch entscheidet.

Jeder gestohlene Dollar im Krypto-Bereich erzeugt eine Nachfrage nach jemandem, der ihn zurückverfolgen kann. Im Jahr 2025 bewegten Kriminelle die Rekordsumme von 158 Milliarden $über illegale Kryptowährungskanäle – ein Anstieg von 145$ überschritten hat.

Im Februar 2026 gab TRM eine Series-C-Finanzierungsrunde in Höhe von 70 Millionen $bekannt, die von Blockchain Capital angeführt wurde, unter Beteiligung von Goldman Sachs, Galaxy Ventures, Bessemer Venture Partners, DRW Venture Capital, Citi Ventures und Y Combinator. Die Finanzierung erhöhte das Gesamtkapital auf 220 Millionen$ und bewertete das Unternehmen mit über 1 Milliarde $ – Unicorn-Status in einer Branche, in der das Produkt darin besteht, Kriminalität unrentabel zu machen.

Ein einziger Copy-Paste-Fehler kostete einen Krypto-Trader im Dezember 2025 50 Millionen Dollar. Kein Smart Contract wurde ausgenutzt. Kein privater Schlüssel wurde kompromittiert. Das Opfer kopierte lediglich eine Wallet-Adresse aus seinem Transaktionsverlauf — eine, die fast identisch mit der echten aussah, aber einem Angreifer gehörte. Willkommen beim Address Poisoning, dem heimtückischsten und am meisten unterschätzten Angriffsvektor im DeFi-Bereich.

Tief im Smart Contract-Code von Balancer, direkt über der Funktion, die letztendlich einen Verlust von 128 Millionen $ verursachen sollte, befand sich ein Entwickler-Kommentar: „Die Auswirkungen dieser Rundung werden voraussichtlich minimal sein.“ Sie irrten sich – und zwar um einen neunstelligen Betrag.

Am 3. November 2025 nutzte ein Angreifer einen mikroskopischen Rundungsfehler in den Composable Stable Pools von Balancer V2 aus und entzog Gelder über neun Blockchain-Netzwerke in weniger als 30 Minuten. Es war kein spektakulärer Reentrancy-Angriff oder ein kompromittierter privater Schlüssel. Es war Arithmetik – die Art von Fehler, die sich direkt vor aller Augen versteckt, mehrere Audits besteht und geduldig darauf wartet, dass jemand clever genug ist, sie als Waffe einzusetzen.

Am 21. Februar 2025 führte die nordkoreanische Lazarus-Gruppe den größten Kryptowährungsdiebstahl der Geschichte durch — 1,5 Milliarden $ in Ethereum wurden in einer einzigen Transaktion aus der Cold Wallet von Bybit abgezogen. Ein Jahr später erzählen die Zahlen eine ernüchternde Geschichte: Während Blockchain-Analysefirmen anfangs 88,87 % der gestohlenen Gelder verfolgten, wurden nur 3,54 % eingefroren. Der Rest liegt in Tausenden von Wallets und wartet.

Dies ist nicht nur eine Geschichte über einen Raubüberfall. Es ist eine Fallstudie darüber, wie eine staatliche Hacking-Operation die Sicherheitsinfrastruktur einer ganzen Branche überlistet hat und was die Krypto-Welt in den zwölf Monaten seither gelernt — und nicht gelernt — hat.

Als ein einziger Phishing-Anruf, bei dem sich der Angreifer als Trezor-Support ausgab, einen Investor im Januar 2025 284 Millionen $ kostete – 71 % der gesamten bereinigten Krypto-Betrugsverluste jenes Monats – wurde es unmöglich, Krypto-Scams als reines Problem für Privatanleger abzutun. Der Chainalysis 2026 Crypto Crime Report bestätigt, was Sicherheitsforscher befürchteten: Künstliche Intelligenz hat den Kryptowährungsbetrug industrialisiert, und die Zahlen sind erschreckend.