133 Beiträge getaggt mit „Sicherheit“

Was wäre, wenn dieselbe Physik, die Quantencomputern ihre Leistung verleiht, Satoshis Wallet leeren könnte – und damit schätzungsweise 440 Milliarden Dollar in Bitcoin? Im Januar 2026 sammelte ein kleines New Yorker Startup namens Project Eleven 20 Millionen Dollar bei einer Bewertung von 120 Millionen Dollar ein, um sicherzustellen, dass dieser Tag niemals ohne eine vorbereitete Verteidigung eintritt. Unterstützt von Castle Island Ventures, Coinbase Ventures, Variant und Balaji Srinivasan markiert die Runde den ersten ernsthaften Kapitalzyklus in den Bereich „quantensichere Kryptografie“ – und den Moment, in dem Bitcoins stillstes existenzielles Risiko zu einer finanzierbaren Industrie wird.

Jahrelang existierte das „Quantenrisiko“ nur in akademischen Fußnoten. Im Jahr 2026 hielt es Einzug in Venture-Term-Sheets, NIST-Standards und eine laufende BIP-Debatte. Hier ist der Grund dafür und was tatsächlich entwickelt wird.

Die Finanzierungsrunde, die Quantenrisiken real werden ließ​

Project Elevens Series A wurde am 14. Januar 2026 abgeschlossen, angeführt von Castle Island Ventures, unter Beteiligung von Coinbase Ventures, Variant, Fin Capital, Quantonation, Nebular, Formation, Lattice Fund, Satstreet Ventures, Nascent Ventures und Balaji Srinivasan. Die 20-Millionen-Dollar-Tranche hob die Post-Money-Bewertung von Project Eleven auf 120 Millionen Dollar an und brachte die Gesamtfinanzierung in 16 Monaten auf etwa 26 Millionen Dollar – das Unternehmen hatte zuvor Mitte 2025 eine Seed-Finanzierung in Höhe von 6 Millionen Dollar erhalten.

Gründer Alex Pruden, ein ehemaliger Offizier der US Army Infantry und Special Operations, formuliert den Auftrag des Unternehmens klar: Digitale Assets benötigen eine strukturierte Migration zu quantenresistenter Kryptografie, und jemand muss die dafür notwendigen Werkzeuge bauen.

Bemerkenswert ist nicht nur die Dollar-Summe, sondern die Mischung der Investoren. Castle Island und Coinbase Ventures stellen keine siebenstelligen Schecks auf Basis spekulativer Thesen aus. Variant, Nascent und Lattice sind krypto-native Fonds. Quantonation ist ein auf Quantentechnologie spezialisierter Investor. Zusammen signalisieren sie, dass quantensichere Infrastruktur die Grenze von der Forschungs-Kuriosität zum Budgetposten überschritten hat – und dass Bitcoins Marktkapitalisierung von über 1,4 Billionen Dollar genug Motivation ist, eine Verteidigung zu finanzieren, bevor der Angriff existiert.

Warum Bitcoins Kryptografie plötzlich unter Zeitdruck steht​

Bitcoin sichert rund 19,7 Millionen Coins mit digitalen Signaturen auf Basis elliptischer Kurven über die secp256k1-Kurve ab. ECDSA ist auf klassischer Hardware unknackbar, aber Shors Algorithmus – ein Quantenalgorithmus aus dem Jahr 1994 – kann große ganze Zahlen faktorisieren und diskrete Logarithmen in polynomieller Zeit berechnen. Sobald ein ausreichend großer, fehlertoleranter Quantencomputer existiert, wird jeder exponierte öffentliche Schlüssel von Bitcoin zu einem potenziellen privaten Schlüssel.

Die Bedrohung schlummerte jahrzehntelang, da die Hardware in weiter Ferne schien. Dieses Zeitfenster schloss sich im März 2026.

Am 31. März veröffentlichte Google Quantum AI neue Ressourcenschätzungen, die zeigen, dass das Knacken der secp256k1-Kurve von Bitcoin weniger als 1.200 logische Qubits und etwa 90 Millionen Toffoli-Gatter erfordert – was weniger als 500.000 physischen Qubits auf einer supraleitenden Surface-Code-Architektur entspricht. Die vorherige Schätzung lag bei etwa 9 Millionen physischen Qubits. Eine 20-fache Reduzierung in einer einzigen Publikation.

Ein Google-Forscher ordnete dem Meilenstein eine Wahrscheinlichkeit zu: Es bestehe eine Chance von mindestens 10 %, dass bis 2032 ein Quantencomputer einen privaten secp256k1-ECDSA-Schlüssel aus einem exponierten öffentlichen Schlüssel wiederherstellen könnte. Googles eigene Unternehmensrichtlinien fordern Entwickler nun dazu auf, bis 2029 zu migrieren.

Die heutige Hardware ist weit von 500.000 Qubits entfernt. Googles Willow-Chip liegt bei 105 physischen Qubits. IBMs Condor überschritt 2023 die Schwelle von 1.121 Qubits und der Nighthawk des Unternehmens erreichte 2025 120 logische Qubits. Aber die Lücke zwischen „weit entfernt“ und „unangenehm nah“ ist genau der Bereich, in dem Versicherungsprämien festgelegt werden – und Bitcoins Risiko ist kein Problem für das Jahr 2035, wenn die Migration ein Jahrzehnt dauert.

Was tatsächlich gefährdet ist – und was nicht​

Nicht alle Bitcoins sind gleichermaßen gefährdet. Die Anfälligkeit hängt davon ab, ob der öffentliche Schlüssel einer Coin jemals on-chain gesendet wurde.

• Pay-to-Public-Key (P2PK)-Outputs aus den frühesten Jahren von Bitcoin – einschließlich der etwa 1 Million BTC, die von Satoshi gemined wurden – betten den rohen öffentlichen Schlüssel direkt in das Skript ein. Diese sind dauerhaft exponiert und bieten einem Quantenangreifer eine lange, unverteidigte Angriffsfläche.
• Wiederverwendete Adressen jeglicher Art legen den öffentlichen Schlüssel in dem Moment offen, in dem die erste Spend-Transaktion bestätigt wird, wonach jedes verbleibende Guthaben anfällig wird.
• Moderne Adressen (P2PKH, P2WPKH, P2TR mit Key-Path Spends) offenbaren bis zum ersten Versenden nur einen Hash. Sie sind im Cold Storage sicher, verlieren aber ihren Schutz während der Transaktionsübertragung – ein Zeitfenster, das ein Gegner mit Quantenfähigkeiten potenziell für Front-Running nutzen könnte.

Das Gesamtergebnis ist frappierend. Schätzungen gehen davon aus, dass etwa 6,5 bis 7 Millionen BTC in quanten-anfälligen UTXOs liegen, was bei aktuellen Preisen etwa 440 Milliarden Dollar entspricht. Das ist kein Randrisiko, das in einer Ecke des Orderbuchs versteckt ist. Das ist die fünftgrößte „Assetklasse“ im Kryptobereich, die einem Angreifer gehört, der noch nicht aufgetaucht ist.

Drei Lösungswege im Wettbewerb​

Die 20 Millionen Dollar von Project Eleven werden nicht isoliert eingesetzt. Sie landen mitten in einer dreiseitigen Debatte darüber, wie Bitcoin den Übergang tatsächlich vollzieht, und die Antworten fallen sehr unterschiedlich aus.

1. Migrations-Tools: Yellowpages von Project Eleven​

Das Flaggschiffprodukt von Project Eleven, Yellowpages, ist ein post-quanten-kryptographisches Register. Benutzer generieren ein hybrides Schlüsselpaar unter Verwendung von gitterbasierten Algorithmen, erstellen einen kryptographischen Beweis, der den neuen quantensicheren Schlüssel mit ihrer bestehenden Bitcoin-Adresse verknüpft, und versehen diesen Beweis in einem verifizierbaren Off-Chain-Ledger mit einem Zeitstempel. Wenn (oder falls) Bitcoin einen post-quanten-Adressstandard einführt, haben sich die Yellowpages-Benutzer bereits vorab auf die Schlüssel festgelegt, mit denen sie ihre Coins beanspruchen können.

Entscheidend ist, dass Yellowpages die einzige post-quanten-kryptographische Lösung ist, die heute tatsächlich für Bitcoin in der Produktion eingesetzt wird. Das Unternehmen hat zudem ein post-quanten-Testnet für Solana aufgebaut — und positioniert sich damit still und leise als Anbieter für Cross-Chain-Migrationen, während alle anderen noch an Whitepapern arbeiten.

2. Adressstandards auf Protokollebene: BIP-360​

BIP-360, vorangetrieben vom Entwickler Hunter Beast, schlägt einen neuen Bitcoin-Output-Typ namens Pay-to-Merkle-Root (P2MR) vor. P2MR funktioniert ähnlich wie Pay-to-Taproot, entfernt jedoch den quantenanfälligen Key-Path-Spend und ersetzt ihn durch FALCON- oder CRYSTALS-Dilithium-Signaturen — beides gitterbasierte Verfahren, die als quantenresistent gelten.

Falls BIP-360 über einen Soft-Fork aktiviert wird, bietet es den Benutzern ein Ziel für die Migration. Es rettet jedoch nicht automatisch bereits exponierte Coins.

3. Einfrieren von Coins: BIP-361​

BIP-361, vorgeschlagen im April 2026, ist die umstrittenste Reaktion: Das Einfrieren der rund 6,5 Millionen quantenanfälligen BTC — einschließlich der Million Coins von Satoshi —, um jegliche Bewegung zu verhindern, die ein Angreifer front-runnen könnte. Eine Wiederherstellung wäre nur für Wallets möglich, die aus BIP-39-Mnemonics generiert wurden. P2PK-Outputs und andere frühe Formate würden faktisch vernichtet (geburnt).

Der Vorschlag hat die Bitcoin-Community entlang ihrer ältesten Bruchlinie gespalten. Die eine Seite argumentiert, dass Immutabilität und glaubwürdige Neutralität unantastbar sind — selbst wenn Angreifer diese Coins schließlich beanspruchen. Die Gegenseite hält dagegen, dass die Migration von 440 Milliarden US-Dollar zu einem feindseligen Akteur an einem einzigen Wochenende der größte Vermögenstransfer in der Währungsgeschichte wäre und dass die Integrität des Modells des festen Angebots von Bitcoin selbst eine Eigenschaft ist, die es zu verteidigen gilt.

Es gibt keine saubere Lösung. Entweder akzeptiert Bitcoin, dass 6,5 Millionen Coins lautlos gestohlen werden könnten, oder es akzeptiert, dass eine Intervention auf Protokollebene zum Einfrieren von Coins einen Präzedenzfall schafft, den das Netzwerk 17 Jahre lang zu vermeiden versucht hat.

NIST FIPS 203/204 setzt die Krypto-Standards​

Die technischen Bausteine existieren nun, da das NIST sie finalisiert hat. Am 13. August 2024 veröffentlichte die Behörde drei post-quanten-kryptographische Standards:

• FIPS 203 (ML-KEM): Ein Modul-Gitter-basierter Key-Encapsulation-Mechanismus, abgeleitet von CRYSTALS-Kyber. Er ersetzt RSA und ECDH für den Schlüsselaustausch.
• FIPS 204 (ML-DSA): Ein Modul-Gitter-basierter digitaler Signatur-Algorithmus, abgeleitet von CRYSTALS-Dilithium. Er ersetzt ECDSA und RSA für das Signieren.
• FIPS 205 (SLH-DSA): Ein zustandsloser Hash-basierter digitaler Signaturstandard, abgeleitet von SPHINCS+, der eine konservative Hash-basierte Signaturalternative bietet.

Die CNSA 2.0-Roadmap der NSA schreibt den Einsatz von Post-Quanten-Kryptographie für neue geheim eingestufte Systeme bis 2027 und einen vollständigen Übergang bis 2035 vor. Das NIST selbst prognostiziert Adoptionszyklen von 5 bis 10 Jahren für kritische Infrastrukturen. Cloudflare strebt eine vollständige Post-Quanten-Abdeckung bis 2029 an.

Der Zeitplan für die Bitcoin-Migration soll irgendwo in diesen Rahmen passen. Der schwierige Teil ist, dass IT-Abteilungen von Nationalstaaten eine Frist vorschreiben können. Ein permissionless dezentrales Netzwerk muss hingegen Tausende von unabhängigen Akteuren davon überzeugen, sich ohne einen CEO zu koordinieren.

Der Optimismus-Vergleich: Wie die Superchain von Ethereum es angeht​

Bitcoin ist in diesem Rennen nicht allein. Ende Januar 2026 veröffentlichte Optimism eine 10-Jahres-Post-Quanten-Roadmap für seine Superchain — ein nützlicher Kontrast.

Der Plan für den OP Stack sieht drei Ebenen vor:

• User-Ebene: Nutzung von EIP-7702, um Externally Owned Accounts (EOAs) die Delegierung der Signaturberechtigung an Smart-Contract-Accounts zu ermöglichen, die Post-Quanten-Signaturen verifizieren können, ohne dass Benutzer ihre Adressen aufgeben müssen.
• Consensus-Ebene: Migration von L2-Sequencern und Batch-Submittern weg von ECDSA hin zu Post-Quanten-Verfahren.
• Migrationsfenster: Duale Unterstützung von sowohl ECDSA- als auch Post-Quanten-Signaturen bis zur Frist im Januar 2036.

Optimism lobbyiert auch beim Ethereum-Mainnet, sich auf einen Zeitplan zu verpflichten, um Validatoren weg von BLS-Signaturen und KZG-Commitments zu bewegen. Die Foundation ist Berichten zufolge involviert.

Die architektonische Kluft ist aufschlussreich. Die Roadmap für die Account-Abstraktion bei Ethereum (und die Flexibilität der Laufzeitumgebung bei Solana) macht die Post-Quanten-Migration zu einem Smart-Contract-Upgrade. Das UTXO-Modell von Bitcoin und seine minimalistische Skriptsprache machen daraus eine Soft-Fork-Debatte, die einen sozialen Konsens unter Entwicklern, Minern und ökonomischen Nodes erfordert. Das gleiche Problem führt zu völlig unterschiedlichen Governance-Herausforderungen.

Die Investorenthese: Bepreisung von Versicherungsprämien​

Warum ist eine Series-A-Finanzierung über 20 Millionen US-Dollar bei einer Bewertung von 120 Millionen US-Dollar sinnvoll, wenn heute noch kein Quantencomputer Bitcoin knacken kann?

Die Rechnung ist versicherungsmathematisch. Wenn man eine Wahrscheinlichkeit von 10 % ansetzt, dass der Q-Day vor 2032 eintritt, und dies gegen ein Exposure von 1,8 Billionen US-Dollar bei Bitcoin und Ethereum rechnet, übersteigt der erwartete Verlust 180 Milliarden US-Dollar. Selbst eine Versicherungsprämie von einem Prozent auf dieses Exposure entspricht 1,8 Milliarden US-Dollar an wiederkehrenden Einnahmen über Custodians, Börsen, Wallets und regulierte Tokenisierungsplattformen hinweg. Project Eleven muss nur einen Bruchteil davon erobern, um ein Ergebnis in Milliardenhöhe zu rechtfertigen.

Die Wettbewerbslandschaft ist überschaubar. Zama baut FHE-Primitive, keinen Signaturersatz. Mina ist von Haus aus post-quanten-freundlich, ist aber ein separates L1 und kein Migrationsanbieter. AWS KMS und Google Cloud HSM werden schließlich schlüsselfertige Post-Quanten-Signaturlösungen anbieten — aber ein Hyperscaler, der allgemeine PQC-Dienste auf den Markt bringt, ist nicht dasselbe wie ein Team von Domain-Experten, das tatsächlich Produktions-Tools für Bitcoin ausgeliefert hat.

Das Risiko für Project Eleven ist dasselbe, dem jedes Startup für "Infrastruktur für das Unausweichliche" gegenübersteht: Wenn die Migration zu lange dauert, planen Kunden kein Budget dafür ein; wenn sie zu schnell passiert, wird sie von Cloud-Anbietern absorbiert, bevor Project Eleven den Vertrieb aufbauen kann. Die Series-A kauft den Runway, um während der schwierigen Übergangsphase der Standard zu sein.

Was Builder, Custodians und Holder jetzt tun sollten​

Die praktischen Schritte sind unspektakulär und erfordern kein Warten auf die Bitcoin-Governance:

1. Prüfen Sie die Wiederverwendung von Adressen. Jede Adresse, von der bereits gesendet wurde und die noch ein Guthaben aufweist, sendet ihren öffentlichen Schlüssel. Transferieren (sweepen) Sie Gelder auf neue Adressen, von denen Sie noch keine Transaktionen durchgeführt haben.
2. Vermeiden Sie P2PK und Legacy-Formate. Wenn Ihr Custody-Stack diese noch verwendet, planen Sie die Migration auf moderne Single-Use-Adresstypen.
3. Verfolgen Sie den Fortschritt von BIP-360 / BIP-361. Für langfristige Holder ist der Aktivierungskalender wichtiger als der aktuelle Spot-Preis.
4. Für Institutionen: Starten Sie jetzt die Discovery-Phase. Sowohl das NIST als auch die Federal Reserve empfehlen, die Bestandsaufnahme und Migrationsplanung innerhalb von zwei bis vier Jahren abzuschließen. Dies umfasst Roadmaps von HSM-Anbietern, KYT-Pipelines und Treasury-Richtlinien.
5. Für Builder: Entwerfen Sie neue Systeme mit Krypto-Agilität. Protokolle, die heute ECDSA fest im Code verankern, werden höhere Migrationskosten tragen müssen als solche, die Signaturschemata hinter einer Schnittstelle abstrahieren.

Die meisten dieser Schritte sind auch dann nützlich, wenn der Q-Day niemals in der Form eintritt, die das Google-Papier beschreibt. Sie verringern auch die Angriffsfläche gegen klassische Bedrohungen.

Das große Ganze: Die Quanten-Migration ist das neue Y2K — nur in echt​

Die Y2K-Analogie wird oft überstrapaziert, ist aber strukturell passend. Ein seit langem angekündigtes, technisches und governance-lastiges Upgrade mit einer extern auferlegten Frist, bei dem der Erfolg unsichtbar und das Scheitern katastrophal ist. Y2K kostete die Weltwirtschaft schätzungsweise 300–600 Milliarden Dollar an Sanierungskosten. Die Post-Quanten-Migration wird wahrscheinlich mehr kosten, da die Installationsbasis größer ist und die zu aktualisierenden Systeme öffentliche Blockchains umfassen, die kein einzelnes Unternehmen kontrolliert.

Die 20 Millionen Dollar von Project Eleven sind das erste ernsthafte Eingeständnis, dass Bitcoin den Kalender nicht länger ignorieren kann. Die 10-Jahres-Roadmap von Optimism ist das erste ernsthafte Eingeständnis einer großen L2. Das Papier von Google vom 31. März ist das erste ernsthafte Eingeständnis eines Quanten-Marktführers, dass der Zeitrahmen kürzer ist als die Branche angenommen hat.

Bis 2027 ist mit drei Dingen zu rechnen: Mindestens ein BIP im Zusammenhang mit Post-Quanten-Adresstypen erreicht den Aktivierungsstatus (BIP-360 ist der führende Kandidat), jeder größere institutionelle Custodian veröffentlicht eine Erklärung zur Quantenbereitschaft, und mindestens zwei weitere Startups schließen Finanzierungsrunden nach dem Vorbild von Project Eleven ab. Bis 2030 wird Post-Quanten-Signierung ein Standard-Häkchen in jeder Krypto-Beschaffungsausschreibung (RFP) für Unternehmen sein.

Der Q-Day mag nach Googles Zeitplan eintreten oder auch nicht. Die Migration zur Abwehr hat bereits begonnen, und das Zeitfenster, um proaktiv zu handeln, schließt sich schnell.

BlockEden.xyz betreibt Enterprise-Grade RPC- und Indexierungs-Infrastruktur auf über 15 Chains. Während Post-Quanten-Standards reifen und Migrationen auf Chain-Ebene ausgerollt werden, sind unsere Nodes die Ebene, auf der neue Signaturschemata, Adresstypen und Fenster für duale Unterstützung tatsächlich in der Produktion funktionieren müssen. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die für den langen Weg der kryptografischen Transformation konzipiert ist.

Quellen​

• Project Eleven sammelt 20 Mio. USD ein, um die Infrastruktur für digitale Assets auf das Quanten-Zeitalter vorzubereiten — Project Eleven Blog
• Post-Quanten-Krypto-Startup Project Eleven sammelt 20 Millionen Dollar in Finanzierungsrunde ein — CoinDesk
• Project Eleven sammelt 20 Millionen Dollar in Serie A bei einer Bewertung von 120 Millionen Dollar ein — The Block
• hello yellowpages — Project Eleven Blog
• BIP 360: Pay-to-Merkle-Root (P2MR) — BIP-360-Spezifikation
• BIP-361-Vorschlag zielt darauf ab, quantenanfällige Bitcoin-Adressen einzufrieren — Bankless Times
• Achtung Bitcoin-Entwickler: Google sagt, die Post-Quanten-Migration muss bis 2029 erfolgen — CoinDesk
• Google stellt fest, dass Quantencomputer die Verschlüsselung von Bitcoin früher als erwartet knacken könnten — SiliconANGLE
• NIST veröffentlicht die ersten 3 finalisierten Post-Quanten-Verschlüsselungsstandards — NIST
• Eine Post-Quanten-Roadmap für die Superchain — Bankless Times über Optimism
• Risiko durch Quantencomputing gefährdet 7 Millionen BTC, einschließlich der 1 Million von Satoshi Nakamoto — CoinDesk
• "Harvest Now Decrypt Later": Untersuchung der Post-Quanten-Kryptografie — Federal Reserve Research

In nur 18 Tagen im April dieses Jahres entwendeten Angreifer 606 Millionen Dollar aus dem DeFi-Sektor. Dieser einzige Zeitraum übertraf die Verluste des ersten Quartals 2026 um das 3,7-fache und machte den Monat zum schlimmsten seit dem Bybit-Raub im Februar 2025. Zwei Protokolle — Drift auf Solana und Kelp DAO auf Ethereum — machten 95 Prozent des Schadens aus. Beide waren auditiert worden. Beide bestanden die statische Analyse. Beide führten Routine-Upgrades durch, die im Stillen die Annahmen entkräfteten, die ihre Auditoren zuvor verifiziert hatten.

Dies ist das neue Gesicht des DeFi-Risikos. Die katastrophalen Exploits von 2026 sind keine Reentrancy-Fehler oder Integer-Overflows mehr, die Fuzzer in der CI aufspüren können. Es geht um durch Upgrades eingeführte Schwachstellen: subtile Änderungen an Bridge-Konfigurationen, Oracle-Quellen, Admin-Rollen oder Messaging-Standardeinstellungen, die zuvor sicheren Code in eine offene Tür verwandeln — ohne dass eine einzige Zeile Solidity offensichtlich falsch aussieht.

Wenn Sie DeFi-Anwendungen entwickeln, verwalten oder einfach nur Assets darin halten, ist die Lehre aus dem April 2026 unbequem: Ein sauberer Audit-Bericht von vor drei Monaten ist kein Beweis mehr dafür, dass ein Protokoll heute sicher ist.

Das April-Muster: Konfiguration, nicht Code​

Um zu verstehen, warum „durch Upgrades eingeführte Fehler“ eine eigene Kategorie verdienen, muss man sich ansehen, wie sich die beiden größten Exploits tatsächlich abgespielt haben.

Drift Protocol — 285 Millionen Dollar, 1. April 2026. Solanas größte Perp-DEX verlor mehr als die Hälfte ihres TVL, nachdem Angreifer sechs Monate lang eine Social-Engineering-Kampagne gegen das Team durchgeführt hatten. Sobald Vertrauen aufgebaut war, nutzten sie das Solana-Feature „durable nonces“ — eine UX-Erleichterung, die es Nutzern ermöglicht, Transaktionen für eine spätere Einreichung vorab zu signieren —, um Mitglieder des Drift Security Council dazu zu verleiten, Signaturen zu autorisieren, die sie für routinemäßige operative Vorgänge hielten. Diese Signaturen übertrugen schließlich die Admin-Kontrolle an die Angreifer, die einen gefälschten Collateral-Token (CVT) auf die Whitelist setzten, 500 Millionen Einheiten davon hinterlegten und 285 Millionen Dollar in echten USDC, SOL und ETH abhoben. Das Solana-Feature funktionierte wie vorgesehen. Die Contracts von Drift taten das, was ihre Admins befahlen. Der Angriff fand vollständig in der Lücke zwischen dem statt, was die Multisig-Unterzeichner zu genehmigen glaubten, und dem, was sie tatsächlich taten.

Kelp DAO — 292 Millionen Dollar, 18. April 2026. Angreifer, die von LayerZero der nordkoreanischen Lazarus-Gruppe zugerechnet wurden, kompromittierten zwei RPC-Nodes, die die Cross-Chain rsETH-Bridge von Kelp stützten, tauschten die darauf laufenden Binärdateien aus und nutzten einen DDoS-Angriff, um ein Verifizierer-Failover zu erzwingen. Die bösartigen Nodes meldeten dem Verifizierer von LayerZero daraufhin, dass eine betrügerische Transaktion stattgefunden habe. Der Exploit funktionierte nur, weil Kelp eine 1-von-1-Verifizierer-Konfiguration verwendete — was bedeutet, dass ein einzelner von LayerZero betriebener DVN die unilaterale Autorität hatte, Cross-Chain-Nachrichten zu bestätigen. Laut LayerZero ist dieses 1-von-1-Setup der Standard in ihrem Quickstart-Guide und wird derzeit von etwa 40 Prozent der Protokolle im Netzwerk verwendet. In 46 Minuten zog ein Angreifer 116.500 rsETH ab — etwa 18 Prozent des gesamten umlaufenden Angebots — und ließ gemappte Sicherheiten auf 20 Chains festsitzen. Aave, das rsETH listet, wurde in eine Liquiditätskrise gezwungen, als die Einleger um den Ausstieg kämpften.

Weder für den einen noch für den anderen Angriff war ein Smart-Contract-Bug erforderlich. Beide setzten das Verständnis voraus, wie eine Konfiguration — Multisig-Signaturabläufe, Standard-DVN-Anzahlen, RPC-Redundanz — stillschweigend von einem „operativen Detail“ zu einer „tragenden Sicherheitsannahme“ erhoben worden war.

Warum statische Audits diese Fehlerklasse übersehen​

Das traditionelle DeFi-Audit ist für das falsche Bedrohungsmodell optimiert. Firmen wie Certik, OpenZeppelin, Trail of Bits und Halborn sind exzellent in der Zeile-für-Zeile-Codeüberprüfung und im Ausführen von Invarianten-Tests gegen eine eingefrorene Contract-Version. Das fängt Reentrancy, Fehler bei der Zugriffskontrolle, Integer-Overflows und Versäumnisse im OWASP-Stil ab.

Doch die Klasse der durch Upgrades eingeführten Fehler weist drei Eigenschaften auf, die diesen Workflow unterlaufen:

1. Sie existiert im zusammengesetzten Laufzeitverhalten, nicht im Quellcode. Die Sicherheit einer Bridge hängt von der Verifizierer-Konfiguration ihrer Messaging-Schicht, dem DVN-Set, der RPC-Redundanz dieser DVNs und dem Slashing-Risiko dieser Betreiber ab. Nichts davon steht in dem Solidity-Code, den ein Auditor liest.

2. Sie wird durch Änderungen eingeführt, nicht durch die Erstbereitstellung. Kelps Bridge sah vermutlich gut aus, als LayerZero v2 zum ersten Mal integriert wurde. Die DVN-Anzahl wurde erst dann gefährlich, als der TVL groß genug war, um einen Angriff lohnenswert zu machen, und als Lazarus in die Kompromittierung der RPC-Infrastruktur investierte.

3. Sie erfordert verhaltensbasiertes Differenzial-Testing — die Beantwortung der Frage: „Wurde Invariante X unter dem neuen Codepfad beibehalten?“ — was keine der großen Audit-Firmen als geplanten Post-Upgrade-Service anbietet. Man erhält ein einmaliges Audit für Version 1.0 und ein separates einmaliges Audit für Version 1.1, aber keine kontinuierliche Bestätigung, dass das Upgrade von 1.0 auf 1.1 keine Eigenschaften bricht, auf die sich 1.0 verlassen hat.

Die Statistiken für das erste Quartal 2026 verdeutlichen diese Lücke. DeFi verzeichnete im gesamten Quartal Verluste in Höhe von 165,5 Millionen Dollar bei 34 Vorfällen. Allein der April verursachte 606 Millionen Dollar in 12 Vorfällen. Die Bereitstellungsseite skalierte — im ersten Quartal kamen über 40 Milliarden Dollar an neuem TVL hinzu —, während die Audit-Kapazitäten, die Reaktion auf Vorfälle und die Validierung nach der Bereitstellung weitgehend stagnierten. Irgendetwas musste nachgeben.

Drei Kräfte , die 2026 zum Jahr machen , in dem dies massenhaft zuschlägt​

1 . Die Upgrade-Kadenz hat sich auf jeder Ebene beschleunigt​

Jedes L1 und L2 iteriert schneller . Das Pectra-Upgrade von Ethereum befindet sich im aktiven Rollout , Fusaka und Glamsterdam sind im Design , und Solana , Sui und Aptos liefern alle Änderungen an der Execution-Layer in mehrwöchigen Zyklen aus . Jedes Upgrade auf Chain-Ebene kann die Gas-Semantik , Signaturschemata oder die Transaktionsreihenfolge auf eine Weise subtil verschieben , die sich auf die Annahmen der Applikationsschicht auswirkt . Der Exploit von Drift ist ein klares Beispiel — ein Solana-Feature ( Durable Nonces ) , das für den UX-Komfort gedacht war , wurde zum Träger für eine Admin-Übernahme .

2 . Restaking vergrößert die Upgrade-Angriffsfläche​

Der Restaking-Stack — EigenLayer ( immer noch über 80 Prozent des Marktes ) , Symbiotic , Karak , Babylon , Solayer — fügt dem Problem eine dritte Dimension hinzu . Ein einzelnes LRT wie rsETH sitzt auf EigenLayer , das wiederum auf nativem ETH-Staking sitzt . Jede Ebene liefert ihre eigenen Upgrades nach ihrem eigenen Zeitplan aus . Eine Änderung der Slashing-Semantik von EigenLayer hat implizite Folgen für jeden Operator und jedes LRT , das die Validierung dieses Operators nutzt . Als die Bridge von Kelp geleert wurde , bedrohte die Ansteckung sofort den TVL von EigenLayer , da dieselben Einleger ein dreistufiges Rehypothekarisierungs-Risiko hatten , zu dessen Modellierung sie nie gezwungen worden waren . Die Roadmap von EigenCloud mit den bevorstehenden Erweiterungen EigenDA , EigenCompute und EigenVerify wird diese Angriffsfläche nur noch weiter vergrößern .

3 . KI-gesteuerte DeFi-Aktivitäten bewegen sich schneller als menschliche Überprüfungen​

Agent-Stacks wie XION , Brahma Console und Giza interagieren jetzt mit Maschinengeschwindigkeit mit aktualisierten Verträgen . Wo ein menschlicher Schatzmeister nach einem Vertrags-Upgrade vielleicht Tage warten würde , bevor er sich erneut engagiert , testet ein Agent es back , integriert es und leitet Kapital innerhalb von Stunden hindurch . Jedes Upgrade , das stillschweigend eine Invariante bricht , wird durch gegnerische Flows einem Stresstest unterzogen , bevor ein menschlicher Auditor es erneut prüfen kann .

Die entstehende Verteidigungsarchitektur​

Die ermutigende Nachricht ist , dass die Sicherheitsforschungsgemeinschaft nicht untätig war . Die Verluste vom April 2026 haben konkrete Vorschläge an vier Fronten katalysiert .

Kontinuierliche formale Verifizierung . Die langjährige Zusammenarbeit von Certora mit Aave — finanziert als Zuschuss für kontinuierliche Verifizierung statt als einmaliges Engagement — ist nun eine Vorlage . Der Certora Prover führt automatisch Invarianten-Beweise aus , jedes Mal , wenn sich ein Vertrag ändert , und lässt Brüche vor dem Merge auftauchen . Halmos und HEVM bieten alternative Open-Source-Wege zum gleichen Ziel . Als die formale Verifizierung kürzlich eine Schwachstelle in einer Integration mit dem Electra-Upgrade von Ethereum entdeckte , die herkömmliche Audits übersehen hatten , war dies kein Einzelfall ; es war eine Vorschau .

Upgrade-Diff-Audit-Dienste . Spearbit , Zellic und Cantina haben damit begonnen , kostenpflichtige Dienste zu pilotieren , die den Diff zwischen zwei Vertragsversionen prüfen , nicht die neue Version isoliert . Das Modell behandelt jedes Upgrade als neue Attestierung und prüft explizit , ob frühere Invarianten erhalten bleiben . Das 1-Million-Dollar-Audit-Subventionsprogramm der Ethereum Foundation , das am 14 . April 2026 mit einer Partnerliste gestartet wurde , zu der Certora , Cyfrin , Dedaub , Hacken , Immunefi , Quantstamp , Sherlock , Spearbit , Zellic und Zokyo gehören , zielt teilweise darauf ab , die Kapazitäten für genau diese Art von Arbeit zu erweitern .

Chaos Engineering und Runtime-Monitoring . OpenZeppelin Defender und neue Tools integrieren Simulationen auf geforkten Mainnets in CI-Pipelines , sodass Protokolle gegnerische Szenarien gegen jedes vorgeschlagene Upgrade durchspielen können . Die Disziplin ist direkt aus der Web2 SRE-Praxis entlehnt — und im DeFi-Bereich längst überfällig .

Time-locked Upgrade Escrows . Das Compound Timelock v3-Muster , bei dem jedes von der Governance genehmigte Upgrade für eine festgelegte Verzögerung in einer öffentlichen Warteschlange verbleibt , bevor es ausgeführt wird , gibt der Community Zeit , Probleme zu erkennen , die bei der internen Prüfung übersehen wurden . Es verhindert keine durch Upgrades eingeführten Bugs , erkauft aber Zeit , damit diese vor einer Ausnutzung entdeckt werden können .

Der TradFi-Vergleich : Kontinuierliche Audits sind außerhalb von DeFi die Norm​

Das traditionelle Finanzwesen hat das analoge Problem vor Jahrzehnten gelöst . SOC 2 Type II , der Standard , an den die meisten institutionellen Dienstleister gebunden sind , ist keine einmalige Bescheinigung ; es ist ein sechs- bis zwölfmonatiges kontinuierliches Audit-Fenster . Das Kontrahentenrisiko-Framework von Basel III verlangt von Banken , ihre Kapitalmodelle zu aktualisieren , sobald sich die Risiken ändern , nicht jährlich . Einer Depotbank , die ein Abwicklungssystem aktualisiert , wäre es nicht gestattet , auf der Basis von „ wir haben v1 geprüft ; v2 war nur eine kleine Änderung “ zu arbeiten .

Die vorherrschende Kultur im DeFi-Bereich — „ einmal prüfen , für immer bereitstellen , erneute Prüfung nur bei größeren Neuschreibungen “ — ist genau die Praxis , die TradFi nach der Krise von 2008 ausdrücklich abgelehnt hat . Bei der aktuellen Verlustrate ist die Branche auf dem Weg zu 2 Milliarden Dollar oder mehr an jährlichen Verlusten durch Upgrade-Exploits . Das ist groß genug , um Regulierungsbehörden anzuziehen , die DeFi-Audit-Standards ohnehin als unzureichend betrachten , und es ist groß genug , um eine kontinuierliche Validierung zur Voraussetzung für institutionelles Kapital zu machen .

Was das für Builder , Einleger und die Infrastruktur bedeutet​

Für Protokoll-Teams ist das operative Mandat einfach , auch wenn es nicht billig ist : Jedes Upgrade muss als neues Release behandelt werden , das seine Sicherheitsgarantien neu ableitet und nicht nur erbt . Das bedeutet geplante Re-Audits auf Diff-Basis , Spezifikationen zur formalen Verifizierung , die jedem Governance-Vorschlag beiliegen , und aussagekräftige Timelocks vor der Ausführung . Es bedeutet , — im Stil von Aave — ein quantifiziertes Kaskadenrisiko-Framework zu veröffentlichen , das benennt , von welchen Protokollen man abhängt und wie das Risiko aussieht , wenn eines davon ausfällt .

Für Einleger ist die Lektion , dass „ dieses Protokoll wurde geprüft “ für sich genommen kein nützliches Signal mehr ist . Die richtige Frage lautet : „ Wann fand der letzte kontinuierliche Verifizierungslauf gegen welche Invarianten und auf welcher Version des bereitgestellten Codes statt ? “ Protokolle , die das nicht beantworten können , sollten entsprechend bepreist werden .

Für Infrastrukturanbieter — RPC-Betreiber , Indexer , Custodians — ist der Kelp-Vorfall eine direkte Warnung . Die Kompromittierung fand in zwei RPC-Nodes statt , deren Binärdateien stillschweigend ausgetauscht wurden . Jeder , der Infrastruktur betreibt , die an der Cross-Chain-Verifizierung teilnimmt ( DVNs , Oracle-Nodes , Sequencer ) , ist nun Teil des Sicherheitsmodells , ob er sich dafür angemeldet hat oder nicht . Reproduzierbare Builds , attestierte Binärdateien , Multi-Operator-Quoren anstelle von 1-von-1-Standardeinstellungen und die Verifizierung signierter Binärdateien beim Start sind nicht länger optional .

Upgrades auf Chain-Ebene — Pectra und Fusaka auf Ethereum , Rollouts für parallele Ausführung auf Solana und Aptos , die Durchsatzziele von Glamsterdam — werden die Angriffsfläche weiter vergrößern . Die Protokolle und Infrastrukturbetreiber , die 2026 überleben , werden diejenigen sein , die die kontinuierliche Validierung früh genug eingeführt haben , sodass ihr nächstes Routine-Upgrade auch ihr nächster beweisbarer Sicherheits-Checkpoint ist .

BlockEden . xyz betreibt RPC- , Indexer- und Node-Infrastrukturen in Produktionsumgebungen für Sui , Aptos , Ethereum , Solana und ein Dutzend weiterer Chains . Wir behandeln jedes Protokoll-Upgrade — auf der Chain-Ebene oder der Applikationsebene — als neues Sicherheitsereignis , nicht als Wartungsaufgabe . Erkunden Sie unsere Enterprise-Infrastruktur , um auf einem Fundament aufzubauen , das darauf ausgelegt ist , die kommende Upgrade-Kadenz zu überstehen .

Quellen​

• Cryptos 606 Mio. $ April-Albtraum: 12 Hacks, 18 Tage, schlimmster Monat seit dem Bybit-Raub — CryptoTimes
• 606 Millionen $ verloren: April 2026 wird zum schlimmsten Monat für Krypto-Exploits — Blockonomi
• Kelp DAO für 292 Millionen $ ausgenutzt, wobei Wrapped Ether über 20 Chains gestrandet ist — CoinDesk
• LayerZero macht Kelps Setup für 290-Millionen-$-Exploit verantwortlich und schreibt ihn Nordkoreas Lazarus-Gruppe zu — CoinDesk
• Drift Protocol Hack: Wie privilegierter Zugriff zu einem Verlust von 285 Mio. $ führte — Chainalysis
• Wie Drift-Angreifer mehr als 270 Millionen $ mit einer auf Komfort ausgelegten Solana-Funktion entwendeten — CoinDesk
• Nordkoreanische Hacker greifen Drift Protocol in einem 285-Millionen-USD-Raub an — TRM Labs
• Q1 2026 DeFi Exploit-Musteranalyse: 137 Mio. $ verloren, 5 Angriffsmuster, die jeder Auditor kennen muss — DEV Community
• Die OWASP Smart Contract Top 10: 2026 — DEV Community
• Aave-Certora-Secureum: Eine DeFi-Sicherheitskooperation — Secureum
• Ethereum Foundation finanziert 1 Mio. $ Audit-Programm für Smart-Contract-Entwickler
• Upgradefähige Smart Contracts: Proxies, Patterns, Pitfalls und CI/CD-Schutzmaßnahmen — Octane Security
• 292 Mio. $ Kelp DAO rsETH-Hack löst Aave-Liquiditätskrise aus — CCN
• Über 400 Mio. $ durch DeFi-Exploits im Jahr 2026 verloren — CCN

Zweiundneunzig Prozent der Sicherheitsexperten sind besorgt über KI-Agenten innerhalb ihrer Organisationen. Siebenunddreißig Prozent derselben Organisationen verfügen über eine formelle KI-Richtlinie. Diese Lücke von 55 Prozentpunkten ist der erste Satz jedes Vorstandsberichts für 2026 – und genau dieses Problem versucht ERC-8220 on-chain zu lösen.

Am 7. April 2026 landete ein Entwurf im Ethereum Magicians-Forum, der den ERC-8220: Standard Interface for On-Chain AI Governance With Immutable Seal Pattern vorschlägt. Es ist der vierte Baustein dessen, was eine kleine Gruppe von Core-Entwicklern als den agentic Ethereum stack bezeichnet: Identität (ERC-8004), Handel (ERC-8183), Ausführung (ERC-8211) und nun Governance. Wenn er vor dem Glamsterdam-Fork den Status „Final“ erreicht, könnte er für autonome Agenten das tun, was ERC-20 für fungible Token getan hat – einen unübersichtlichen Designraum in ein komponierbares Primitiv verwandeln.

Die tragende Idee des Vorschlags ist das „Immutable Seal“ (unveränderliches Siegel). Alles andere in ERC-8220 leitet sich daraus ab. Wenn das Siegel korrekt umgesetzt wird, erhalten die anderen drei Standards plötzlich ein Fundament, auf dem sie stehen können. Wird es falsch gemacht, erbt der gesamte agentenbasierte Stack einen schleichenden Fehlermodus.

Für jeden Dollar, der am 18. April 2026 von KelpDAO gestohlen wurde, flossen weitere 45 $ aus dem DeFi-Bereich ab. Das ist das Verhältnis, auf das die Post-Mortem-Analysen immer wieder zurückkommen – ein Exploit in Höhe von 292 Millionen $, der innerhalb von zwei Tagen eine TVL-Abwanderung von 13 bis 14 Milliarden $ auslöste, den gesamten DeFi-Sektor auf seinen niedrigsten Total Value Locked seit einem Jahr drückte und einen wachsenden Anteil der institutionellen Käuferseite davon überzeugte, dass „Blue-Chip-DeFi“ gar keine Infrastruktur ist, sondern eine reflexive Liquiditätsmembran, die beim ersten korrelierten Schock reißt.

Der Angriff selbst dauerte nur Minuten. Die Nachwirkungen prägen noch immer das Denken von Entwicklern, Auditoren und Kapitalgebern über Cross-Chain-Vertrauen. Und falls die vorläufige Zuordnung von LayerZero Bestand hat, hat dieselbe nordkoreanische Einheit, die 18 Tage zuvor 285 Millionen $ von Drift Protocol abgezogen hat, soeben weitere 292 Millionen $ zu ihrer Beute für 2026 hinzugefügt – womit die bestätigte April-Ausbeute von Lazarus durch zwei strukturell unterschiedliche Angriffsvektoren auf über 575 Millionen $ steigt.

Schließen Sie ein USB-Kabel an ein Nothing CMF Phone 1 an. Warten Sie 45 Sekunden. Gehen Sie mit der Seed-Phrase jedes Hot Wallets auf dem Gerät davon.

Das ist kein theoretisches Bedrohungsmodell. Es handelt sich um eine Live-Demo, die das Donjon-Forschungsteam von Ledger am 11. März 2026 veröffentlicht hat und die auf den Dimensity 7300 (MT6878) von MediaTek abzielt — ein 4-nm-System-on-Chip (SoC), das in etwa einem Viertel aller Android-Telefone weltweit zum Einsatz kommt, und genau der Silizium-Chip, um den das Flaggschiff-Handset Seeker von Solana herum gebaut wurde. Die Schwachstelle befindet sich im Boot-ROM des Chips, dem schreibgeschützten Code, der ausgeführt wird, bevor Android überhaupt geladen wird. Sie kann nicht gepatcht werden. Sie kann nicht durch ein Betriebssystem-Update entschärft werden. Die einzige Lösung ist ein neuer Chip.

Für die zig Millionen Nutzer, die ihrem Smartphone als Krypto-Wallet vertrauen, ist dies der Moment, in dem das Narrativ der „Mobile-First Self-Custody“ mit der Physik des Siliziums kollidierte.

Am 22. März 2026 betrat ein Angreifer Resolv Labs mit 100.000 $in USDC und verließ es mit 25 Millionen$ in ETH. Die Smart Contracts wiesen keine Fehler auf. Das Oracle hat nicht gelogen. Die Delta-neutrale Hedging-Strategie verhielt sich genau wie geplant. Stattdessen gab ein einziger AWS Key Management Service (KMS) Credential – ein Signierschlüssel, der außerhalb der Blockchain existierte – einem Eindringling die Erlaubnis, 80 Millionen ungedeckte USR-Token gegen eine Einzahlung von 100.000 $zu minten. Siebzehn Minuten später war USR von 1,00$ auf 0,025 $ gefallen, ein Absturz um 97,5 %, und Lending-Protokolle im gesamten Ethereum-Ökosystem mussten den Schock absorbieren.

Der Resolv-Vorfall ist nicht bemerkenswert, weil er clever war. Er ist bemerkenswert, weil er es nicht war. Eine fehlende Max-Mint-Prüfung, ein Single Point of Failure im Cloud-Schlüsselmanagement und Oracles, die einen Stablecoin ohne Bindung (depegged) mit 1 $ bewerteten – DeFi hat all diese Ausfälle schon einmal erlebt. Was der Hack offenbart, ist unangenehm: Die Angriffsfläche moderner Stablecoins hat sich still und heimlich von Solidity auf AWS-Konsolen verlagert, und die Sicherheitsmodelle der Branche haben nicht Schritt gehalten.

Die meisten Layer 2s wurden von Produktteams entwickelt, die Kryptografen eingestellt haben. Scroll wurde von Kryptografen entwickelt, die beschlossen haben, ein Produkt auf den Markt zu bringen. Dieser Unterschied – verborgen in der Git-Historie des zkevm-circuits-Repositorys, wo etwa 50 % der frühen Commits von Forschern der Ethereum Foundation und 50 % von Scroll-Ingenieuren stammten – ist heute einer der interessanteren Wettbewerbsvorteile (Moats) in der zkEVM-Landschaft. Während sechs produktive zkEVMs um dasselbe DeFi-Settlement und denselben institutionellen Traffic konkurrieren, ist die Entstehungsgeschichte von Scroll nicht nur Marketing. Es ist ein Anspruch darauf, wie die zugrunde liegende Mathematik entworfen, geprüft und gehärtet wurde – und ob dieser Unterschied noch von Bedeutung ist, wenn alle schnelle Proofs liefern.

Die PSE-Zusammenarbeit, die niemand sonst replizieren kann​

Scrolls zkEVM wurde nicht isoliert entwickelt. Von den frühesten Commits an wurde sie gemeinsam mit dem Team für Privacy and Scaling Explorations (PSE) der Ethereum Foundation entwickelt – denselben Forschern, die die kryptografischen Bibliotheken verfassen, auf die der Rest der Branche angewiesen ist. Die Zusammenarbeit war so tiefgreifend, dass beide Parteien etwa 50 % der PSE-zkEVM-Codebasis beisteuerten, wobei Halo2 – das Proof-System, das die Circuits antreibt – von beiden Teams gemeinsam modifiziert wurde, um sein Polynomial Commitment Scheme von IPA auf KZG umzustellen. Diese Änderung reduzierte die Proof-Größe erheblich und machte die ZK-Verifizierung auf Ethereum wirtschaftlich rentabel.

Dies ist der technische Punkt, den Wettbewerber nur schwer replizieren können. Wenn das Team, das Ihre Circuits schreibt, dasselbe Team ist, das die kryptografische Bibliothek prüft, in die diese Circuits kompiliert werden, verschwindet eine Klasse von subtilen Fehlern. Sie integrieren kein externes Primitiv und beten, dass dessen Grenzfälle mit Ihren Annahmen übereinstimmen – Sie entwerfen beide Seiten der Schnittstelle gemeinsam. PSE hat seinen Fokus inzwischen auf eine neue zkVM-Exploration verlagert, aber der Halo2-Fork, den Scroll übernimmt, wird Upstream weiterhin aktiv gepflegt. Das ist wichtig, da eine zkEVM kein einmaliges Ergebnis ist. Es ist eine kryptografische Oberfläche, die kontinuierlich erweitert werden muss, wenn Ethereum Opcodes, Precompiles und Hard-Fork-Änderungen hinzufügt.

Vergleichen Sie dies mit den konkurrierenden Architekturen. zkSync Era verwendet einen Type-4-Ansatz und transpiliert Solidity in seinen eigenen benutzerdefinierten Bytecode, der für das Beweisen optimiert ist. Starknet verwendet Cairo, eine neue Sprache, die für STARKs entwickelt wurde, was bedeutet, dass der gesamte Entwicklungsstack maßgeschneidert ist. Polygons zkEVM verfolgt einen Ansatz auf Bytecode-Ebene, der näher an Scroll liegt, aber die kryptografische Bibliothek und die Ausführungsumgebung wurden intern und nicht in Zusammenarbeit mit Forschern der Ethereum Foundation entwickelt. Linea, Taiko und andere besetzen jeweils unterschiedliche Punkte im Kompatibilitätsspektrum.

Niemand von ihnen kann ehrlich behaupten: „Unsere Circuits wurden gemeinsam mit den Forschern entworfen, die das Proof-System erfunden haben.“ Dieser Satz gilt nur für Scroll.

Bytecode-Äquivalenz ist eine Sicherheitsstrategie, kein Feature​

Die von Vitalik verfasste Klassifizierung von zkEVM-Typen ist zum Standard in der Branche geworden: Typ 1 strebt eine vollständige Ethereum-Äquivalenz auf jeder Ebene an, Typ 2 bewahrt die Bytecode-Äquivalenz mit geringfügigen internen Modifikationen, Typ 3 macht größere Kompromisse bei der Performance, und Typ 4 gibt den Bytecode zugunsten von Geschwindigkeit vollständig auf. Im Jahr 2026 arbeitet Scroll auf Typ 2 hin und dokumentiert dabei jeden Unterschied bei Opcodes und Precompiles transparent in seinen öffentlichen Dokumenten.

Die praktische Bedeutung der Bytecode-Äquivalenz ist folgende: Ein Solidity-Contract, der mit der Standard-Ethereum-Toolchain kompiliert wurde, erzeugt Bytecode, der auf Scroll identisch wie im Ethereum-Mainnet ausgeführt wird. Keine Neukompilierung. Kein benutzerdefinierter Compiler. Keine speziellen Bibliotheken. Der Contract, den Sie im Mainnet prüfen, ist der Contract, der auf L2 ausgeführt wird.

Das klingt nach einem Feature für die Developer Experience. Tatsächlich ist es eine Sicherheitsstrategie. Jede zusätzliche Transformation zwischen Mainnet-Bytecode und L2-Ausführung ist eine Oberfläche, auf der Fehler auftreten können – stillschweigend, in der Produktion, nachdem das Audit bereits abgeschlossen wurde. Der Transpiler von zkSync Era hat mehrere Grenzfall-Fehler ausgelöst, bei denen sich Solidity-Konstrukte auf L2 anders verhielten als auf L1. Dies sind keine theoretischen Risiken. Es sind die Arten von Problemen, die DeFi-TVL vernichten, wenn sich die Liquidationslogik eines Lending-Protokolls geringfügig anders verhält, als von seinen Entwicklern verifiziert wurde.

Scrolls Kompromiss ist explizit: Die Bytecode-Äquivalenz begrenzt den maximalen Durchsatz unter aggressiver optimierte Typ-3- und Typ-4-Designs. Man bezahlt für Sicherheit mit TPS. Für DeFi-Protokolle, die reale Werte abwickeln, ist dieser Tausch fast immer der richtige. Für Gaming- und Consumer-Apps, bei denen ein Fehler einen Rollback und keinen Bankrott bedeutet, ist der Tausch weniger eindeutig – weshalb sich die Landschaft eher fragmentiert als konsolidiert hat.

Der Multi-Team-Audit-Stack​

Die Audit-Historie von Scroll zeigt, wie ernst das Team die Korrektheit der Circuits nimmt – und wie schwer es ist, diese richtig hinzubekommen. Die Codebasis wurde unabhängig von Trail of Bits, OpenZeppelin, Zellic und KALOS überprüft, wobei verschiedene Firmen unterschiedliche Oberflächen abdeckten:

• Trail of Bits, Zellic und KALOS überprüften die zkEVM-Circuits selbst – die kryptografischen Beweise der Ausführungskorrektheit.
• OpenZeppelin und Zellic prüften die Bridge- und Rollup-Contracts – die Solidity-Ebene, die tatsächlich Gelder bewegt.
• Trail of Bits analysierte separat die Node-Implementierung – die Off-Chain-Infrastruktur, die Blöcke und Proofs erstellt.

Allein das Engagement von Trail of Bits führte zu benutzerdefinierten Semgrep-Regeln, die speziell für die Codebasis von Scroll entwickelt wurden, was bedeutet, dass zukünftige Mitwirkende eine statische Analyseebene erben, die auf die spezifische Risikooberfläche des Projekts abgestimmt ist. OpenZeppelin hat mehrere Diff-Audits durchgeführt, während sich der Code weiterentwickelte – nicht nur ein großes Audit zum Start, sondern eine kontinuierliche Überprüfung von Pull-Requests. So funktionieren ausgereifte Sicherheitsprogramme in traditioneller Software, und es ist in Krypto immer noch selten, wo „wir wurden geprüft“ oft bedeutet „jemand hat sich den Code einmal im Jahr 2023 angesehen“.

Unabhängige Überprüfungen durch mehrere Teams sind wichtig, da Circuit-Fehler nicht wie Smart-Contract-Fehler sind. Eine Solidity-Reentrancy-Schwachstelle kann oft von einem aufmerksamen Leser entdeckt werden. Ein Fehler in einer PLONKish-Arithmetisierung eines EVM-Opcodes erfordert einen Auditor, der sowohl die EVM-Semantik als auch das Constraint-System versteht, das zu deren Beweis verwendet wird. Es gibt vielleicht ein paar Dutzend Menschen auf der Welt, die qualifiziert sind, einen solchen Fehler zu finden, und sie verteilen sich auf Trail of Bits, OpenZeppelin, Zellic, KALOS und eine Handvoll akademischer Gruppen. Scroll hat die meisten von ihnen engagiert.

Beweiserstellung: Die Zahl, auf die es wirklich ankommt​

Frühe zkEVM-Prototypen benötigten Stunden, um einen einzigen Block-Beweis zu erstellen. Das war eine Forschungsdemo, kein Produktionssystem. Bis 2026 haben sich die Grenzen dramatisch verschoben:

• Aktuelle zkEVM-Implementierungen schließen die Beweiserstellung in etwa 16 Sekunden ab – eine 60-fache Verbesserung gegenüber frühen Designs.
• Führende Teams haben eine Beweiserstellung von unter 2 Sekunden demonstriert, was schneller ist als die 12-sekündigen Blockzeiten von Ethereum.
• Der Prover von Scroll liegt im wettbewerbsfähigen Bereich dieser Kurve, wobei kontinuierlich an der Prover-Kompression und GPU-Beschleunigung gearbeitet wird.

Warum ist das wirtschaftlich von Bedeutung? Die Kosten für die Beweiserstellung sind die dominierenden variablen Kosten einer zkEVM. Jede Sekunde Prover-Zeit bedeutet Stromkosten und amortisierte Hardware. Der Unterschied zwischen 16-Sekunden-Beweisen und 2-Sekunden-Beweisen entspricht einer etwa 8-fachen Senkung der Kosten für die Abrechnung eines Blocks – was sich direkt in niedrigeren Transaktionsgebühren für Endnutzer und höheren Margen für Rollup-Betreiber niederschlägt.

Die interessantere Frage ist, ob die Beweisgeschwindigkeit mittlerweile zum Standardgut (Commodity) wird. Wenn jede ernsthafte zkEVM Beweise in unter 10 Sekunden liefert, verlagert sich das Differenzierungsmerkmal zurück auf Sicherheit, Entwicklererfahrung und das Ökosystem – jene Achsen, auf denen sich die Forschungshistorie und die Bytecode-Äquivalenz von Scroll über die Zeit potenzieren. Vor einem Jahr war „unsere Beweise sind schnell“ ein legitimes Marketingversprechen. Im Jahr 2026 ist es die Grundvoraussetzung.

Der TVL-Realitätscheck​

Technische Eleganz lässt sich nicht automatisch in wirtschaftliche Zugkraft übersetzen. Scroll erreichte innerhalb eines Jahres nach dem Mainnet-Launch im Oktober 2023 ein TVL von über $748 Millionen und etablierte sich kurzzeitig als das größte zk-Rollup nach TVL. Bis Ende 2024 ging das DeFi-TVL nach einem Höchststand von fast$ 980 Millionen im Oktober 2024 auf etwa $ 152 Millionen zurück. Stand Februar 2026 hat das Netzwerk über 110 Millionen Transaktionen verarbeitet und unterstützt mehr als 100 dApps, die von über 700 aktiven Entwicklern erstellt wurden.

Vergleichen Sie die zk-Rollup-Bestenliste im Jahr 2026:

• Linea führt die neueren zk-Rollups mit ~$ 963 Millionen TVL an.
• Starknet hält ~$ 826 Millionen mit einem Wachstum von ~21,2 % im Jahresvergleich (YoY).
• zkSync Era liegt bei ~$569 Millionen mit ~22$ 1,9 Milliarden) für sich gewinnen.
• Das kumulierte L2-TVL erreichte in den 12 Monaten bis November 2025 $39,39 Milliarden, wobei das gesamte L2-Ökosystem bei etwa$ 70 Milliarden liegt.

Scrolls Position in dieser Gruppe ist eher im Mittelfeld der Bestenliste als dominant. Die Lücke zwischen dem technischen Vorsprung („wir wurden mit PSE entwickelt“) und dem wirtschaftlichen Ergebnis („wir sind die Nummer 1 der zkEVMs nach TVL“) ist real – und dies ist die strategische Frage, vor der das Team bis 2026 steht.

Warum der Forschungs-Vorsprung weiterhin wichtig ist​

Die pessimistische Interpretation der Position von Scroll: In einem Markt, in dem die Beweiserstellung zur Massenware wird, in dem jede große zkEVM mit seriösen Audits aufwartet und in dem die Nutzerakquise eher durch Incentive-Programme als durch kryptografische Eleganz erfolgt – spielt die PSE-Zusammenarbeit da überhaupt eine Rolle? Nutzer prüfen nicht, welches Proof-System ihr Rollup verwendet. Entwickler vergleichen keine Audit-Berichte, bevor sie einen Stablecoin bereitstellen.

Die optimistische Interpretation: Kryptografische Infrastruktur ist eine Sache, die so lange keine Rolle spielt, bis sie plötzlich auf katastrophale Weise entscheidend wird. Ein schwerwiegender Circuit-Fehler in einer konkurrierenden zkEVM – ein Fehler, der es einem Prover ermöglicht, einen Zustandsübergang zu fälschen – wäre ein existenzbedrohendes Ereignis für das TVL dieser Chain und ein Moment der Neuverteilung für die gesamte Kategorie der ZK-Rollups. In einem solchen Szenario wird „entwickelt mit Forschern der Ethereum Foundation, geprüft von vier unabhängigen Circuit-Security-Teams, explizite Bytecode-Äquivalenz mit dem Mainnet“ zum Standardziel für die Flucht in Qualität.

Dies ist kein hypothetisches Szenario. Der Bereich der Optimistic Rollups nutzt Fraud-Proof-Windows genau deshalb, weil die Branche versteht, dass seltene, katastrophale Fehler passieren können. Der ZK-Bereich hatte bisher Glück – noch hat keine produktive zkEVM einen verifizierbaren Soundness-Bug ausgeliefert, der zum Verlust von Nutzergeldern führte. Wenn dieser Tag kommt (und statistisch gesehen wird bei mehr als sechs produktiven zkEVMs, die über Jahre laufen, irgendwann etwas schiefgehen), werden die Chains mit der tiefsten Forschungshistorie und den redundantesten Audit-Stacks das abgewanderte TVL absorbieren.

Scroll positioniert sich genau für diesen Tag.

Was das für Entwickler und Infrastruktur bedeutet​

Für Protokoll-Entwickler, die im Jahr 2026 eine zkEVM wählen, hat sich die Kalkulation verschoben. Vor einem Jahr wählte man basierend auf Beweisgeschwindigkeit, Gebühren und Token-Anreizen. Heute ähneln sich diese Faktoren bei den sechs führenden Chains immer mehr. Die verbleibenden Differenzierungsmerkmale sind:

• Bytecode-Äquivalenz (Scroll, Polygon zkEVM) vs. Transpilation (zkSync) vs. neue VM (Starknet) – dies beeinflusst, wie viel Ihres Ethereum-Toolings ohne Modifikation funktioniert.
• Kryptografische Herkunft – ob Ihre Circuits von derselben Community entwickelt wurden, die auch die Beweis-Bibliotheken pflegt.
• Audit-Tiefe – Einzelteam vs. Multiteam, einmalig vs. kontinuierlich.
• Flexibilität der DA-Ebene – ob Sie an Ethereum-Calldata gebunden sind oder Blobs und externe DA nutzen können.

Für Infrastrukturanbieter ist die Fragmentierung das zentrale Thema. Sechs ernsthafte zkEVMs, plus Optimistic Rollups, plus aufstrebende SVM-L2s, plus App-Chains – jede mit eigenen RPC-Endpunkten, Indexierungsanforderungen und Node-Software. Die Gewinner in dieser Landschaft sind nicht die Chains selbst, sondern die neutralen Anbieter, die die Komplexität für die Entwickler abstrahieren.

BlockEden.xyz bietet produktionsreife RPC- und Indexierungs-Infrastruktur für Ethereum, die wichtigsten Layer 2s und führende alternative Chains. Wenn Sie über verschiedene zkEVMs hinweg entwickeln und zuverlässige Endpunkte benötigen, ohne eine eigene Node-Flotte zu betreiben, erkunden Sie unseren API-Marktplatz – er wurde für Teams entwickelt, die lieber Produkte ausliefern, als Infrastruktur zu betreiben.

Das Fazit​

Scrolls PSE-Zusammenarbeit und die Ausrichtung auf Bytecode-Äquivalenz werden den TVL-Wettlauf nicht allein gewinnen. Incentive-Programme, Ökosystem-Partnerschaften und institutionelle Integrationen spielen ebenfalls eine wichtige Rolle, und Scroll befindet sich dort in einem Wettbewerb gegen Chains mit größeren Treasuries und früher gewachsenen institutionellen Beziehungen.

Doch die zugrunde liegende Behauptung — dass ein zkEVM, das in Zusammenarbeit mit Forschern der Ethereum Foundation entwickelt wurde, von vier unabhängigen Circuit-Security-Teams geprüft wurde und bewusst auf Mainnet-Bytecode-Äquivalenz beschränkt ist, eine wesentlich sicherere kryptografische Infrastruktur darstellt als seine Wettbewerber — ist vertretbar. In einer Kategorie, in der der seltene katastrophale Ausfall irgendwann eintritt, ist diese Vertretbarkeit einiges wert. Wie viel sie am Ende wert sein wird, hängt davon ab, ob der Markt Sicherheit vor dem Unfall oder erst danach einpreist.

Für 2026 ist die Scroll-Story die Geschichte darüber, ob Sicherheit auf Forschungsniveau zu einem beständigen Wettbewerbsvorteil wird oder ob sie von schneller agierenden Teams mit geringerem kryptografischem Erbe verdrängt wird. Es ist eines der interessanteren Experimente im L2-Bereich — und die Antwort wird prägen, wie institutionelle Allokatoren über Jahre hinweg über das zkEVM-Risiko denken.

Quellen​

• privacy-scaling-explorations/zkevm-circuits (GitHub)
• Das nächste Kapitel für die zkEVM Community Edition — PSE
• Scroll Whitepaper V 1.0
• zkEVM-Vergleich: Polygon zkEVM vs. zkSync Era vs. Linea vs. Scroll vs. Taiko
• Audits & Bug-Bounty-Programm | Scroll-Dokumentation
• Scroll-Fallstudie — Trail of Bits
• Scroll Phase 2 Audit — OpenZeppelin
• Scroll — L2BEAT
• Die verschiedenen Arten von ZK-EVMs — Vitalik Buterin
• Adoptionsstatistiken für Layer-2-Netzwerke 2026 — CoinLaw
• Die Evolution von zkEVMs — BlockEden.xyz

Hundert nordkoreanische Agenten. Dreiundfünfzig Krypto-Projekte. Sechs Monate geduldiger Geheimdienstarbeit – und die unbequeme Erkenntnis, dass der gefährlichste DPRK-Angriff auf das Web3 nicht der nächste Exploit ist, sondern der Entwickler, der bereits im letzten Quartal Code in Ihren main-Branch gemergt hat.

Das ist das zentrale Ergebnis des Ketman-Projekts, einer von der Ethereum Foundation unterstützten Initiative, die im Rahmen des ETH Rangers Sicherheitsprogramms läuft. Die Veröffentlichung vom April 2026 beschreibt keinen Hack. Sie beschreibt eine Belegschaft – eine langfristige Arbeitspipeline, die im Stillen DPRK-Einnahmen aus Krypto-Gehaltslisten abgezweigt hat, während sie gleichzeitig den Insider-Zugang vorbereitet hat, der Ereignisse wie den 1,5 Milliarden Dollar schweren Bybit-Raub erst ermöglicht.

Für eine Branche, die darauf konditioniert ist, das DPRK-Risiko als etwas zu betrachten, das beim Multisig passiert, stellt dies einen Kategoriewechsel dar. Die Bedrohung lautet nicht mehr nur: „Sie werden einbrechen.“ Sie lautet: „Sie sind bereits drin und haben das Build-Script geschrieben.“

Am 22. März 2026 zahlte ein Angreifer etwa 100.000 $in USDC in ein Stablecoin-Protokoll ein, von dem der Großteil der Krypto-Welt noch nie gehört hatte. Siebzehn Minuten später machten sie sich mit rund 25 Millionen$ in ETH davon. Bis zum Ende der Woche betrug der tatsächliche Schaden nicht 25 Millionen $. Es waren mehr als **500 Millionen$** – verteilt über Kreditmärkte, die vom Exploit selbst nie direkt betroffen waren.

Willkommen beim Problem der Schattenansteckung (Shadow Contagion) in DeFi: dem systemischen Risiko, das niemand einpreist, weil niemand einen Plan der Leitungen hat.