70 Beiträge getaggt mit „Sicherheit“

Jede Ethereum-Wallet, jede Validator-Signatur und jeder Zero-Knowledge-Proof beruht auf derselben mathematischen Annahme: dass das Faktorisieren großer Zahlen und das Lösen diskreter Logarithmen für jeden Computer praktisch unmöglich ist. Quantenmaschinen werden diese Annahme schließlich erschüttern. Wenn es so weit ist, könnten etwa 25 % des Wertes aller Bitcoins – und ein vergleichbarer Anteil von Ethereum – an einem einzigen Nachmittag offengelegt werden.

Die Ethereum Foundation wartet nicht darauf, dass dieser Nachmittag eintritt. Am 25. März 2026 startete sie pq.ethereum.org, ein dediziertes Zentrum für Post-Quanten-Sicherheit, das jahrelange Forschung in einer einzigen, umsetzbaren Roadmap bündelt. Mehr als 10 Client-Teams betreiben bereits wöchentliche Interoperabilitäts-Devnets, und das Zieldatum für Kern-Upgrades auf Layer 1 ist 2029.

Dies ist die ehrgeizigste kryptografische Migration, die jemals ein dezentrales Netzwerk unternommen hat – und sie ist bereits in vollem Gange.

Die teuerste Codezeile in der Geschichte der Kryptowährungen war kein Fehler. Es war ein Phishing-Link.

Im Februar 2025 klickte ein Entwickler bei Safe{Wallet} auf eine Nachricht, die wie eine Routine-Mitteilung aussah. Innerhalb weniger Stunden hatten nordkoreanische Akteure AWS-Sitzungstoken gekapert, die Multi-Faktor-Authentifizierung umgangen und 1,5 Milliarden $ von Bybit abgezogen — der größte Diebstahl in der Geschichte der Kryptowährungen. Es wurde keine Schwachstelle in einem Smart Contract ausgenutzt. Keine On-Chain-Logik versagte. Der Code war in Ordnung. Die Menschen waren es nicht.

Der Crypto Crime Report 2026 von TRM Labs bestätigt, was dieser Raubzug bereits andeutete: Die Ära des Smart-Contract-Exploits als primärer Bedrohungsvektor für Krypto ist vorbei. Angreifer sind „den Stack hinaufgewandert“ und haben die Jagd nach neuartigen Code-Schwachstellen aufgegeben. Stattdessen kompromittieren sie die operative Infrastruktur — Keys, Wallets, Signierer und Cloud-Kontrollebenen —, die ansonsten sichere Protokolle umgibt.

Was wäre, wenn Sie beweisen könnten, dass Sie mehr als 100.000 $ pro Jahr verdienen, einen gültigen Reisepass besitzen oder einen FICO-Kredit-Score von 800 haben – und das alles, ohne ein einziges Dokument vorzuzeigen? Das ist das Versprechen von zkTLS, und im Jahr 2026 bewegt es sich rasant von der kryptografischen Theorie zur Produktionsinfrastruktur.

Zero-Knowledge Transport Layer Security (zkTLS) erweitert das Verschlüsselungsprotokoll, das bereits fast jede von Ihnen besuchte Website absichert. Anstatt Daten lediglich während der Übertragung zu schützen, generiert zkTLS mathematische Beweise dafür, dass bestimmte Daten von einer verifizierten Quelle stammen – ohne jemals die zugrunde liegenden Informationen offenzulegen. Das Ergebnis ist eine Brücke zwischen den verschlossenen Tresoren der Web2-Daten und der komponierbaren, erlaubnisfreien Welt von Web3.

Eine einzige fehlende Autorisierungsprüfung. Siebzehn Tage lang unentdeckt. Achtundsiebzig Blue-Chip-NFTs – darunter Art Blocks, Doodles und Beeple-Werke – wurden aus Wallets abgezogen, die nie eine Transaktion initiiert hatten. Der Gondi-Exploit vom 9. März 2026 ist ein Paradebeispiel dafür, wie „Komfortfunktionen“ zu Angriffsflächen werden können und warum der NFT-Lending-Sektor vor Sicherheitsherausforderungen steht, mit denen das DeFi für fungible Token nie konfrontiert war.

Am 12. März 2026 verwandelte eine einzige Ethereum-Transaktion 50,4 Millionen $in USDT in 327 AAVE-Token im Wert von etwa 36.000$. Der Verlust wurde nicht durch einen Hack, einen Exploit oder einen Smart-Contract-Bug verursacht. Jedes beteiligte Protokoll – Aave, CoW Swap, SushiSwap – funktionierte genau wie vorgesehen. Der Benutzer bestätigte eine Warnung vor einem Preisimpact von 99,9 % auf einem Mobilgerät, setzte ein Häkchen und sah zu, wie fast fünfzig Millionen Dollar in weniger als dreißig Sekunden durch MEV-Bots verdampften.

Dieser Vorfall ist das teuerste UX-Versagen in der Geschichte von DeFi und erzwingt eine unangenehme Frage: Wenn erlaubnisfreie Systeme, die „wie vorgesehen funktionieren“, so viel Wert zerstören können, wer ist dafür verantwortlich, dies zu verhindern?

Acht Wei. Das sind etwa 0,000000000000000008 eines Tokens – eine Menge, die so klein ist, dass sie keinen nennenswerten Dollarwert hat. Doch am 3. November 2025 verwandelte ein Angreifer Rundungsfehler in dieser Größenordnung in gestohlene Vermögenswerte im Wert von 128 Millionen $, indem er die Composable Stable Pools von Balancer auf neun Blockchains in weniger als dreißig Minuten leerte.

Der Balancer-V2-Exploit ist nun der größte DeFi-Exploit der Geschichte, der auf einer einzigen Schwachstelle basiert und mehrere Chains betrifft. Er vernichtete über Nacht 52 % des Total Value Locked (TVL) von Balancer, überstand mehr als zehn Sicherheitsaudits der führenden Firmen der Branche und zwang eine Chain – Berachain – dazu, einen Notfall-Hard-Fork durchzuführen, nur um Gelder zurückzuerhalten. Die Schwachstelle? Eine einzige Codezeile, die in die falsche Richtung rundete.

Es dauerte weniger als eine Stunde. Am 31. Januar 2026 entdeckte ein Angreifer, dass einer einzelnen Smart-Contract-Funktion in der Bridge-Infrastruktur von CrossCurve eine kritische Validierungsprüfung fehlte – und leerte systematisch 3 Millionen US-Dollar über Ethereum, Arbitrum und andere Netzwerke, bevor jemand reagieren konnte. Kein raffinierter Zero-Day. Keine Kompromittierung von Insider-Schlüsseln. Nur eine gefälschte Nachricht und ein Funktionsaufruf, den jeder auf der Blockchain tätigen konnte.

Der CrossCurve-Vorfall ist eine eindringliche Erinnerung daran, dass Cross-Chain-Bridges weiterhin die gefährlichste Angriffsfläche im Bereich der dezentralen Finanzen (DeFi) darstellen – und dass selbst Protokolle, die mit mehrschichtigen Sicherheitsarchitekturen werben, kollabieren können, wenn ein einziger Contract durch das Raster fällt.

AI-Agenten, die autonom Token handeln, DeFi-Positionen umschichten und für ihre eigene Rechenleistung bezahlen können, klingen revolutionär – bis einer von ihnen per Prompt-Injection dazu gebracht wird, Ihre gesamten Ersparnisse an einen Angreifer zu senden. Das neu veröffentlichte MCP Web3-Sicherheitsframework von Google Cloud geht genau diesen Albtraum an und liefert einen Bauplan auf Enterprise-Niveau zur Absicherung von Model Context Protocol (MCP)-Agenten, die mit Blockchains interagieren.

Hier erfahren Sie, was das Framework empfiehlt, warum es wichtig ist und wie es im Vergleich zu konkurrierenden Ansätzen von Coinbase, Ledger und dem aufstrebenden x402-Zahlungsstandard abschneidet.

Ein Sicherheitsaudit hatte genau diesen Angriffsvektor bereits Monate zuvor aufgezeigt. Das Team tat dies ab. Am Sonntag erbeutete ein Angreifer 3,7 Mio. $.

Venus Protocol, die dominierende Lending-Plattform auf der BNB Chain mit einem Gesamtwert von rund 1,47 Mrd. $(Total Value Locked), erlitt am 15. März 2026 einen verheerenden Exploit durch Preismanipulation. Der Angreifer zielte auf THE ab – den nativen Token der dezentralen Börse Thena – und trieb dessen Preis durch einen sorgfältig orchestrierten Kreislauf aus Einzahlungen, Krediten und Käufen von 0,27$ auf fast 5 $in die Höhe. Das Ergebnis: Über 3,7 Mio.$ wurden in BTC, CAKE, USDC und BNB abgezogen, wobei etwa 2,15 Mio. $ als uneinbringliche Forderungen (Bad Debt) bestehen blieben.

Was diesen Angriff bemerkenswert macht, ist nicht nur sein Ausmaß, sondern auch die Geduld dahinter – und die Tatsache, dass sich die Schwachstelle direkt vor aller Augen verbarg.