133 Beiträge getaggt mit „Sicherheit“

Was wäre, wenn Sie beweisen könnten, dass Sie mehr als 100.000 $ pro Jahr verdienen, einen gültigen Reisepass besitzen oder einen FICO-Kredit-Score von 800 haben – und das alles, ohne ein einziges Dokument vorzuzeigen? Das ist das Versprechen von zkTLS, und im Jahr 2026 bewegt es sich rasant von der kryptografischen Theorie zur Produktionsinfrastruktur.

Zero-Knowledge Transport Layer Security (zkTLS) erweitert das Verschlüsselungsprotokoll, das bereits fast jede von Ihnen besuchte Website absichert. Anstatt Daten lediglich während der Übertragung zu schützen, generiert zkTLS mathematische Beweise dafür, dass bestimmte Daten von einer verifizierten Quelle stammen – ohne jemals die zugrunde liegenden Informationen offenzulegen. Das Ergebnis ist eine Brücke zwischen den verschlossenen Tresoren der Web2-Daten und der komponierbaren, erlaubnisfreien Welt von Web3.

Eine einzige fehlende Autorisierungsprüfung. Siebzehn Tage lang unentdeckt. Achtundsiebzig Blue-Chip-NFTs – darunter Art Blocks, Doodles und Beeple-Werke – wurden aus Wallets abgezogen, die nie eine Transaktion initiiert hatten. Der Gondi-Exploit vom 9. März 2026 ist ein Paradebeispiel dafür, wie „Komfortfunktionen“ zu Angriffsflächen werden können und warum der NFT-Lending-Sektor vor Sicherheitsherausforderungen steht, mit denen das DeFi für fungible Token nie konfrontiert war.

Am 12. März 2026 verwandelte eine einzige Ethereum-Transaktion 50,4 Millionen $in USDT in 327 AAVE-Token im Wert von etwa 36.000$. Der Verlust wurde nicht durch einen Hack, einen Exploit oder einen Smart-Contract-Bug verursacht. Jedes beteiligte Protokoll – Aave, CoW Swap, SushiSwap – funktionierte genau wie vorgesehen. Der Benutzer bestätigte eine Warnung vor einem Preisimpact von 99,9 % auf einem Mobilgerät, setzte ein Häkchen und sah zu, wie fast fünfzig Millionen Dollar in weniger als dreißig Sekunden durch MEV-Bots verdampften.

Dieser Vorfall ist das teuerste UX-Versagen in der Geschichte von DeFi und erzwingt eine unangenehme Frage: Wenn erlaubnisfreie Systeme, die „wie vorgesehen funktionieren“, so viel Wert zerstören können, wer ist dafür verantwortlich, dies zu verhindern?

Acht Wei. Das sind etwa 0,000000000000000008 eines Tokens – eine Menge, die so klein ist, dass sie keinen nennenswerten Dollarwert hat. Doch am 3. November 2025 verwandelte ein Angreifer Rundungsfehler in dieser Größenordnung in gestohlene Vermögenswerte im Wert von 128 Millionen $, indem er die Composable Stable Pools von Balancer auf neun Blockchains in weniger als dreißig Minuten leerte.

Der Balancer-V2-Exploit ist nun der größte DeFi-Exploit der Geschichte, der auf einer einzigen Schwachstelle basiert und mehrere Chains betrifft. Er vernichtete über Nacht 52 % des Total Value Locked (TVL) von Balancer, überstand mehr als zehn Sicherheitsaudits der führenden Firmen der Branche und zwang eine Chain – Berachain – dazu, einen Notfall-Hard-Fork durchzuführen, nur um Gelder zurückzuerhalten. Die Schwachstelle? Eine einzige Codezeile, die in die falsche Richtung rundete.

Es dauerte weniger als eine Stunde. Am 31. Januar 2026 entdeckte ein Angreifer, dass einer einzelnen Smart-Contract-Funktion in der Bridge-Infrastruktur von CrossCurve eine kritische Validierungsprüfung fehlte – und leerte systematisch 3 Millionen US-Dollar über Ethereum, Arbitrum und andere Netzwerke, bevor jemand reagieren konnte. Kein raffinierter Zero-Day. Keine Kompromittierung von Insider-Schlüsseln. Nur eine gefälschte Nachricht und ein Funktionsaufruf, den jeder auf der Blockchain tätigen konnte.

Der CrossCurve-Vorfall ist eine eindringliche Erinnerung daran, dass Cross-Chain-Bridges weiterhin die gefährlichste Angriffsfläche im Bereich der dezentralen Finanzen (DeFi) darstellen – und dass selbst Protokolle, die mit mehrschichtigen Sicherheitsarchitekturen werben, kollabieren können, wenn ein einziger Contract durch das Raster fällt.

AI-Agenten, die autonom Token handeln, DeFi-Positionen umschichten und für ihre eigene Rechenleistung bezahlen können, klingen revolutionär – bis einer von ihnen per Prompt-Injection dazu gebracht wird, Ihre gesamten Ersparnisse an einen Angreifer zu senden. Das neu veröffentlichte MCP Web3-Sicherheitsframework von Google Cloud geht genau diesen Albtraum an und liefert einen Bauplan auf Enterprise-Niveau zur Absicherung von Model Context Protocol (MCP)-Agenten, die mit Blockchains interagieren.

Hier erfahren Sie, was das Framework empfiehlt, warum es wichtig ist und wie es im Vergleich zu konkurrierenden Ansätzen von Coinbase, Ledger und dem aufstrebenden x402-Zahlungsstandard abschneidet.

Ein Sicherheitsaudit hatte genau diesen Angriffsvektor bereits Monate zuvor aufgezeigt. Das Team tat dies ab. Am Sonntag erbeutete ein Angreifer 3,7 Mio. $.

Venus Protocol, die dominierende Lending-Plattform auf der BNB Chain mit einem Gesamtwert von rund 1,47 Mrd. $(Total Value Locked), erlitt am 15. März 2026 einen verheerenden Exploit durch Preismanipulation. Der Angreifer zielte auf THE ab – den nativen Token der dezentralen Börse Thena – und trieb dessen Preis durch einen sorgfältig orchestrierten Kreislauf aus Einzahlungen, Krediten und Käufen von 0,27$ auf fast 5 $in die Höhe. Das Ergebnis: Über 3,7 Mio.$ wurden in BTC, CAKE, USDC und BNB abgezogen, wobei etwa 2,15 Mio. $ als uneinbringliche Forderungen (Bad Debt) bestehen blieben.

Was diesen Angriff bemerkenswert macht, ist nicht nur sein Ausmaß, sondern auch die Geduld dahinter – und die Tatsache, dass sich die Schwachstelle direkt vor aller Augen verbarg.

Jede Woche im Jahr 2026 kündigt ein weiteres Startup einen „autonomen KI-Agenten“ an, der Krypto handeln, DeFi-Positionen verwalten oder DAOs steuern kann. Doch hier ist die Frage, die niemand beantworten möchte: Warum sollte jemand einer Software echtes Geld anvertrauen?

Die Antwort der Branche konzentriert sich auf einen überraschend eleganten Stack – Trusted Execution Environments (TEEs), On-Chain-Identitätsregister und programmierbare Schutzmechanismen –, der „Vertraue dem Agenten“ in „Überprüfe den Agenten“ verwandelt. Innerhalb von drei Monaten veröffentlichte Coinbase Agentic Wallets, MoonPay integrierte das Ledger-Hardware-Signing für KI-Agenten und die Ethereum Foundation ratifizierte zwei neue Standards (ERC-8004 und ERC-8183), die zusammen das Gerüst einer maschinennativen Vertrauensebene bilden. Dieser Artikel beschreibt die Architektur, die autonome Agenten im Stillen bankfähig macht.

Ein einziger Rundungsfehler — ein Präzisionsverlust von weniger als einem Cent bei der Ganzzahldivision von Solidity — entzog Balancer auf neun Blockchains in weniger als 30 Minuten 128 Millionen US-Dollar. Die Pools waren jahrelang in Betrieb. Mehrere Audits hatten den Code überprüft. Niemand hat es bemerkt. Dies ist der Zustand der DeFi-Sicherheit im Jahr 2026: Milliarden von Dollar, die durch ein Paradigma geschützt werden, das nachweislich und wiederholt versagt hat.

Jetzt schlägt a16z crypto ein radikales Umdenken vor. In ihrem „Big Ideas“-Bericht für 2026 argumentiert die Risikokapitalgesellschaft, dass die Branche „Code Is Law“ — die grundlegende Überzeugung, dass bereitgestellter Smart-Contract-Code die ultimative Autorität ist — aufgeben und durch „Spec Is Law“ ersetzen muss, wobei mathematisch definierte Sicherheitseigenschaften zum durchsetzbaren Standard werden. Dieser Wandel könnte die Art und Weise, wie Protokolle erstellt, geprüft und verteidigt werden, grundlegend verändern.