103 Beiträge getaggt mit „Solana“

Im Dezember 2025, nach rund 1.200 Tagen Entwicklungszeit und einer gemeldeten Investition in neunstelliger Höhe von Jump Crypto, ging der vollständige Firedancer-Validator-Client endlich im Solana-Mainnet live. Vier Monate später steht das Urteil fest: Er funktioniert, er liefert die Blockproduktion mit Geschwindigkeiten, die nichts anderes im Netzwerk erreichen kann, und er hat bereits mehr als 20 % des Netzwerk-Stakes auf sich vereint. Die schwierigere Frage – diejenige, von der Solanas institutionelle Glaubwürdigkeit nun abhängt – ist, ob das Netzwerk die Art von Client-Diversität erreichen kann, die Ethereum in einem Jahrzehnt aufgebaut hat, bevor der erste katastrophale Agave-Bug die Entscheidung erzwingt.

Dies ist die Geschichte des größten Single-Client-Engineering-Projekts in der Geschichte der Blockchain, warum es für die Resilienz wichtiger ist als für den reinen Durchsatz und was das verbleibende Konzentrationsrisiko für Entwickler bedeutet, die entscheiden, wo sie im Jahr 2026 deployen.

Ein dreijähriger Rewrite, von der Netzwerkkarte an aufgebaut​

Jump Crypto begann Firedancer im Jahr 2022 mit einer These, die damals fast tollkühn klang: Den gesamten Solana-Validator von Grund auf in C neu zu schreiben, mit einer Tile-basierten Architektur, die von Hochfrequenzhandelssystemen übernommen wurde. Das Team hatte ursprünglich das zweite Quartal 2024 für das Mainnet anvisiert. Sie verpassten den Termin um etwa achtzehn Monate.

Die Verzögerung ist an sich aufschlussreich. Firedancer ist kein Fork von Anzas Agave (dem Rust-basierten Referenz-Client) oder von Jito-Solana (dem MEV-optimierten Fork von Agave). Es handelt sich um eine unabhängige C/C++-Implementierung, die keinen Ausführungscode mit dem Rest des Netzwerks teilt. Das bedeutet, dass jede Konsensregel, jeder Pfad der Transaktionsverarbeitung und jedes Gossip-Protokoll neu implementiert und gegen das reale Verhalten im Mainnet getestet werden musste, bevor auch nur ein einziger Dollar an Stake sicher darauf laufen konnte.

Die Zwischenlösung von Jump – Frankendancer – kombinierte den Hochleistungs-Netzwerk-Stack von Firedancer mit der Runtime von Agave. Dieser Hybrid sammelte im Laufe des Jahres 2025 still und leise Stake: 8 % im Juni, 20,9 % bis Oktober. Als der vollständige Firedancer-Client im Dezember die Ziellinie überquerte, migrierte ein Großteil dieses Stakes auf natürliche Weise, was dem neuen Client vom ersten Tag an einen glaubwürdigen Brückenkopf in der Produktion verschaffte.

Was 1 Million TPS tatsächlich bedeutet​

Die Schlagzeilen-Zahl ist real, aber die Einschränkungen sind wichtig. Der Netzwerk-Layer von Firedancer verarbeitete im Stresstest über eine Million Transaktionen pro Sekunde – aber diese Tests liefen in einem kontrollierten Sechs-Knoten-Cluster, der über vier Kontinente verteilt war, nicht im Produktions-Mainnet. Das reale Solana bewältigt heute auf Protokollebene etwa 5.000–6.000 TPS, wobei stabile Mainnet-Durchschnitte in Spitzenzeiten im April 2026 eher bei 65.000 TPS liegen.

Die realistische Entwicklung Mitte 2026 ist bescheidener und nützlicher: 10.000+ TPS im täglichen Produktionsbetrieb, eine 2- bis 3-fache Verbesserung gegenüber heute, mit dem Spielraum, Spitzen abzufangen, die das Netzwerk zuvor destabilisiert haben. Das ist die Art von Durchsatz, die wirklich verändert, was on-chain gebaut werden kann.

Für den Kontext, was Firedancer tatsächlich optimiert:

• Transaktionsaufnahme (Transaction ingestion): Kernel-Bypass-Networking, das Pakete direkt von der Netzwerkkarte (NIC) liest und so den Syscall-Overhead eliminiert.
• Signaturprüfung: AVX-512-vektorisierte ed25519-Verifizierung, die Zehntausende von Signaturen pro Sekunde und Kern verarbeiten kann.
• Blockproduktion: Eine Tile-basierte Pipeline, bei der jede Validator-Funktion in ihrem eigenen fest zugewiesenen (pinned) Prozess läuft, sodass ein langsamer Signaturprüfer den Blockproduzenten nicht blockieren kann.
• Speicherlayout: Cache-bewusste Datenstrukturen, die der Topologie moderner Server-CPUs entsprechen, anstatt eine generische Runtime vorauszusetzen.

Nichts davon ist spektakulär – es ist genau die Art von Arbeit, die eine Datenbank oder einen Marktdaten-Feed schnell macht. Auf einen Blockchain-Validator angewendet, beseitigt dies die Engpässe, die Solana unter Last immer wieder in einen eingeschränkten Betriebszustand gezwungen haben.

Die wahre Geschichte: Die Beseitigung des Single-Client-Fehlermodus​

Der Durchsatz bekommt die Pressemitteilungen, aber der wichtigere Beitrag von Firedancer ist struktureller Natur. Zum ersten Mal in seiner Geschichte verfügt Solana über einen Validator-Client, der keine gemeinsame Abstammung im Ausführungscode mit Agave hat.

Man betrachte die Alternative. Jito-Solana – der nach Stake dominante Client – ist selbst ein Fork von Agave. Das Standard-Agave (Vanilla Agave) läuft auf dem Großteil des Rests. Stand Anfang 2026 sieht die ungefähre Aufteilung wie folgt aus:

• Jito-Solana: 72 % des gestakten SOL
• Frankendancer / Firedancer: 21 %
• Vanilla Agave: 7 %

Achtzig Prozent des Netzwerks teilen einen gemeinsamen Code-Vorfahren. Ein einziger kritischer Bug in der Runtime von Agave – von der Art, wie sie Ethereum-Ausführungs-Clients in den letzten zwei Jahren zweimal getroffen haben – wäre kein Ereignis mit verminderter Leistung. Es wäre ein Netzwerkstopp.

Ethereum hat diese Lektion auf die harte Tour gelernt. Der Reth-Bug im September 2025 brachte Validatoren der Versionen 1.6.0 und 1.4.8 bei Block 2.327.426 zum Stillstand. Das war ein unangenehmer Vorfall, der 5,4 % der Execution-Layer-Clients betraf. Da die anderen 94,6 % auf Geth, Nethermind, Besu und Erigon verteilt waren, produzierte das Netzwerk weiterhin Blöcke. Das Ökosystem betrachtet 33 % als das Maximum, das ein einzelner Client jemals halten sollte, und selbst der Anteil von Geth von 48–62 % wird als ungelöstes Governance-Problem angesehen.

Solanas derzeitige Konzentration von über 80 % auf Agave-Basis ist deutlich schlimmer als das, was Ethereum als Krise betrachtet. Firedancer ist der einzige glaubwürdige Ausweg.

Was als Nächstes geschehen muss​

Die Mathematik ist unbequem, aber lösbar. Damit Solana eine echte Multi-Client-Resilienz erreicht, müssen im Jahr 2026 zwei Dinge geschehen:

1. Jito-Nutzer müssen zu reinem Firedancer migrieren. Die MEV-Extraktionslogik von Jito ist die Gravitationsmasse, die die aktuelle Konzentration aufrechterhält. Solange diese Funktionalität nicht in ein Firedancer-kompatibles Plugin portiert wurde, haben große Staking-Operationen einen starken finanziellen Grund, bei von Agave abgeleitetem Code zu bleiben.
2. Der kombinierte Stake von Agave + Jito muss unter 50 % fallen. Sobald Firedancer die 50 %-Marke überschreitet, kann Solana einen katastrophalen Agave-Bug überstehen, ohne zum Stillstand zu kommen. Das ist die Resilienz-Basis, gegen die jeder seriöse institutionelle Verwahrer und ETF-Emittent implizit absichert.

Die Tatsache, dass sich die Einführung von Frankendancer in vier Monaten mehr als verdoppelt hat, deutet darauf hin, dass die Migration machbar ist, aber sie erfolgt nicht automatisch. Validator-Ökonomie, Monitoring-Tools und betriebliche Vertrautheit begünstigen den Status quo. Jump und Anza haben beide signalisiert, dass 2026 das Jahr für den entscheidenden Vorstoß ist, aber keiner von beiden kontrolliert das Validator-Set direkt.

Firedancer + Alpenglow: Die kombinierte Roadmap​

Firedancer ist nur die eine Hälfte von Solanas ehrgeizigstem technischem Zyklus seit dem Start des Mainnets. Die andere Hälfte ist Alpenglow, eine vollständige Neuschreibung des Konsens-Mechanismus, der im September 2025 von 98,27 % des stimmberechtigten SOL-Stakes genehmigt wurde.

Alpenglow ersetzt Proof-of-History und TowerBFT durch zwei neue Komponenten – Votor für Fast-Finality-Konsens und Rotor für die Daten-Propagation. Das Hauptergebnis ist das Sinken der Finalität von etwa 12,8 Sekunden auf 100–150 Millisekunden – eine 100-fache Verbesserung, die eine Mainnet-Integration im 3. Quartal 2026 anstrebt.

Für institutionelle Nutzer zählt die Kombination mehr als jedes Teil für sich allein:

• Sub-Sekunden-Finalität macht die Abwicklung wettbewerbsfähig gegenüber zentralisierten Börsen und öffnet die Tür für On-Chain-Hochfrequenzhandel und die Abwicklung von Real-World Assets, die heute noch über traditionelle Wege geleitet werden.
• Hoher Durchsatz mit mehreren Clients entkräftet das Argument „Solana fällt aus“, das bisher Unternehmen aus dem Bereich Treasury und Emittenten von tokenisierten Assets zur Vorsicht veranlasst hat.
• Unabhängige Codepfade erfüllen die Due-Diligence-Anforderungen, die Verwahrer und autorisierte ETF-Teilnehmer zunehmend in ihre Netzwerk-Risikomodelle schreiben.

Die täglichen ETF-Zuflüsse von 58 Mio. $und die 827 Mio.$ an tokenisierten Real-World Assets, die Solana Anfang 2026 anzog, sind ein Frühindikator. Institutionelles Kapital bindet sich in großem Stil nicht an Netzwerke mit nur einem Client.

Was Entwickler mitnehmen sollten​

Wenn Sie 2026 auf Solana deployen, sind die praktischen Auswirkungen konkret:

• Der Durchsatz-Spielraum ist real. Die Produktions-Obergrenze von 5.000 TPS war eine beständige Design-Einschränkung für Hochfrequenz-dApps. Bis zum 4. Quartal 2026 lockert sich diese Einschränkung erheblich, was die Kostenkalkulation für Orderbücher, On-Chain-Spiele und Agenten-gesteuerte Workflows ändert, die zuvor aggressiv bündeln oder komprimieren mussten.
• Latenzannahmen müssen aktualisiert werden. Wenn Alpenglow planmäßig erscheint, werden Abwicklungsannahmen, die auf einer 12-Sekunden-Finalität basieren, hinfällig. Designs, die auf eine Bestätigung warten, bevor sie nachgelagerte Aktionen auslösen, können mehrere Round-Trips zu einem einzigen zusammenfassen.
• Client-bewusste Infrastruktur wird wichtiger, nicht unwichtiger. Mit zunehmender Verbreitung von Firedancer werden RPC-Anbieter, Indexer und Monitoring-Tools, die elegant mit client-spezifischen Eigenheiten umgehen, zur erste Wahl für die Produktion. Generisches „Solana RPC“ ist dann kein aussagekräftiges Differenzierungsmerkmal mehr.
• Das Konzentrationsrisiko ist immer noch real. Bis der Jito-Stake migriert, kann ein einzelner Agave-Bug das Netzwerk immer noch lahmlegen. Für das Treasury kritische Anwendungen sollten dieses Szenario im Hinterkopf behalten – nicht indem sie Solana meiden, sondern indem sie verstehen, wo das Netzwerk auf der Resilienz-Kurve im Vergleich zu Ethereum steht.

Fazit​

Der Mainnet-Release von Firedancer ist der wichtigste Infrastruktur-Meilenstein in der Geschichte von Solana, und es geht dabei nicht primär um Geschwindigkeit. Es geht darum, ob eine der technisch ambitioniertesten Blockchains zu einem Netzwerk heranwachsen kann, für das Institutionen bürgen können. Die Demo mit 1 Million TPS sorgt für Schlagzeilen, aber die strukturelle Errungenschaft ist, dass Solana nun einen glaubwürdigen Weg hat, in Bezug auf Resilienz-Metriken wie Ethereum auszusehen – vorausgesetzt, die Validator-Ökonomie spielt mit.

Die nächsten zwölf Monate werden zeigen, ob sich die Wette von Jump über mehr als 100 Mio. $ auszahlt. Wenn Firedancer bis Ende 2026 die 50 %-Marke beim Stake überschreitet und Alpenglow pünktlich ausgeliefert wird, geht Solana als ein grundlegend anderes Netzwerk in das Jahr 2027 – eines mit dem Durchsatz eines Hochleistungs-Ledgers, der Finalität eines Echtzeit-Abwicklungssystems und der Client-Vielfalt einer glaubwürdigen institutionellen Schiene. Wenn die Einführung bei 25–30 % stagniert, bleibt die Schlagzeile ein Marketing-Asset und das zugrunde liegende Single-Client-Risiko bestehen.

Für Entwickler und Infrastruktur-Teams, die entscheiden, wo sie bauen möchten, ist die Interpretation eindeutig: Solana ist im Jahr 2026 leistungsfähiger und resilienter als im Jahr 2025. Die Entwicklung verläuft positiv, und die verbleibende Arbeit ist eher operativer als technischer Natur. Das ist ein weitaus besseres Problem als jenes, das Jump vor vier Jahren zu lösen begann.

BlockEden.xyz betreibt Solana-RPC-Infrastruktur auf Produktionsniveau, die für die Multi-Client-Ära entwickelt wurde, mit integrierter Unterstützung für Firedancer-, Agave- und Jito-basierte Nodes. Erkunden Sie unsere Solana-API-Dienste, um auf einer Infrastruktur aufzubauen, die verfolgt, wohin sich das Netzwerk entwickelt, und nicht nur, wo es bisher war.

In den ersten 18 Tagen des Aprils 2026 entwendeten Angreifer mehr als 606 Mio. $aus einem Dutzend DeFi-Protokollen – das 3,7-fache der gesamten Diebstahlsumme des ersten Quartals 2026 in weniger als drei Wochen. Es war der schlimmste Monat für Krypto-Diebstahl seit dem 1,5 Mrd.$ schweren Bybit-Hack im Februar 2025 und der schädlichste Zeitraum für DeFi im Speziellen seit der Ära der Bridge-Exploits im Jahr 2022.

Aber im Gegensatz zu 2022 wurde fast nichts davon durch einen Bug im Smart Contract verursacht.

Der Kelp DAO Bridge-Drain (292 Mio. $), der Oracle- und Key-Compromise des Drift Protocols (285 Mio.$) und der AWS-Raub bei Resolv Labs Ende März (25 Mio. $) teilen einen leiseren, unangenehmeren roten Faden: Sie alle wurden durch Änderungen ermöglicht, die ein Protokollteam an seinen eigenen Vertrauensannahmen vorgenommen hat – eine Standardkonfiguration, eine vorunterzeichnete Governance-Migration, ein einzelner Cloud-Key –, die kein Smart-Contract-Auditor Grund gehabt hätte, zu beanstanden. Der April 2026 ist keine Geschichte über Solidity. Es ist eine Geschichte über die operativen Nahtstellen zwischen Code, Infrastruktur und Governance und darüber, was passiert, wenn "Upgrades" zur neuen Angriffsfläche werden.

Ein Monat, schlimmer als das erste Quartal, komprimiert auf 18 Tage​

Um zu begreifen, wie anomal der April war, muss man die Zahlen aufschlüsseln.

CertiK bezifferte die Gesamtverluste im ersten Quartal 2026 auf rund 501 Mio. $bei 145 Vorfällen – bereits eine erhöhte Zahl, die durch die Phishing-Welle im Januar in Höhe von 370 Mio.$ aufgebläht wurde (der damals schlimmste Monat seit 11 Monaten). Der Februar 2026 kühlte auf etwa 26,5 Mio. $ab. Im März stiegen die Verluste bei 20 separaten Vorfällen wieder auf 52 Mio.$ an, was PeckShield dazu veranlasste, vor einer "Schatteninfektion" (shadow contagion) zu warnen, da sich bei kleineren DeFi-Plattformen wiederkehrende Angriffsmuster abzeichneten.

Dann begann der 1. April 2026 – der Aprilscherz – mit dem Drift-Exploit, dem zu diesem Zeitpunkt größten Hack des Jahres. Achtzehn Tage später wurde dieser vom Kelp DAO Drain übertroffen. Zusammen übersteigen allein diese beiden Vorfälle 577 Mio. $. Rechnet man die Nachwirkungen von Resolv, die laufenden Infrastruktur-Kompromittierungen und das Dutzend kleinerer DeFi-Verstöße hinzu, die sich in den Trackern von PeckShield und SlowMist ansammeln, landet man bei über 606 Mio.$ in etwa einem halben Monat.

Zum Vergleich: Chainalysis meldete für das gesamte Jahr 2025 Krypto-Diebstähle in Höhe von insgesamt 3,4 Mrd. $, wobei sich der Großteil davon auf den Bybit-Hack konzentrierte. Das Tempo vom April 2026 würde, wenn es beibehalten wird, diesen Benchmark noch vor Jahresende locker übertreffen. Die Bedrohung ist nicht im Volumen gewachsen – sie ist in der Konzentration und in der Raffinesse der Angreifer gewachsen.

Drei Hacks, drei kategorisch unterschiedliche Fehlermodi​

Was die April-Serie analytisch interessant macht – und nicht nur düster –, ist, dass die drei Vorzeigevorfälle sich sauber drei verschiedenen Angriffsklassen zuordnen lassen. Jeder zielt auf eine andere Ebene des Stacks ab, und jeder ist eine Art von Fehler, für deren Erkennung traditionelle Smart-Contract-Auditoren nicht beauftragt sind.

Klasse 1: Bridge-Konfiguration als neuer Single Point of Failure (Kelp DAO, 292 Mio. $)​

Am 18. April entwendete ein Angreifer 116.500 rsETH – etwa 292 Mio. $ – aus der von LayerZero betriebenen Bridge von Kelp DAO. Die Technik, wie sie von CoinDesk und dem Forensik-Team von LayerZero rekonstruiert wurde, nutzte keinen Solidity-Bug aus. Sie nutzte eine Konfigurationsentscheidung aus.

Die Bridge von Kelp lief mit einem Single-Verifier-Setup (1-von-1 DVN). Die Angreifer kompromittierten zwei RPC-Nodes, die diesen Verifier bedienten, nutzten einen koordinierten DDoS-Angriff, um den Verifier in den Failover-Modus zu zwingen, und verwendeten dann die kompromittierten Nodes, um zu bestätigen, dass eine betrügerische Cross-Chain-Nachricht eingetroffen sei. Die Bridge gab die rsETH prompt frei. LayerZero schrieb die Operation der nordkoreanischen Lazarus-Gruppe zu.

Was folgte, war ein öffentlicher Streit um die Schuldfrage, der selbst offenbart, wie fragil die operative Ebene geworden ist. LayerZero argumentierte, dass Kelp davor gewarnt worden sei, eine Multi-Verifier-Konfiguration zu verwenden. Kelp entgegnete, dass das 1-von-1-DVN-Modell der Standard in der eigenen Deployment-Dokumentation von LayerZero für neue OFT-Integrationen sei. Beide Positionen sind technisch gesehen wahr. Der tieferliegende Punkt ist, dass keine Audit-Firma – Certik, OpenZeppelin, Trail of Bits – eine Überprüfung nach dem Motto "Ist Ihre Messaging-Layer-DVN-Konfiguration für den Wert, den Sie überbrücken wollen, angemessen?" als Produkt anbietet. Dieses Gespräch findet in einem Slack-Kanal zwischen zwei Teams statt, nicht in einem Prüfbericht.

Klasse 2: Vorunterzeichnete Governance-Autorisierungen als latente Hintertüren (Drift, 285 Mio. $)​

Am 1. April wurden aus dem Drift Protocol – Solanas größter Perp-DEX – in zwölf Minuten etwa 285 Mio. $ entwendet. Der Angriff kombinierte drei Vektoren:

1. Ein gefälschtes Oracle-Ziel. Der Angreifer prägte ca. 750 Millionen Einheiten eines gefälschten "CarbonVote Tokens" (CVT), stattete einen winzigen Raydium-Pool mit ca. 500 $aus und betrieb Wash-Trading nahe 1$, um eine Kurshistorie zu fingieren.
2. Oracle-Aufnahme. Mit der Zeit wurde dieser fabrizierte Preis von Oracle-Feeds erfasst, wodurch CVT als legitimer notierter Vermögenswert erschien.
3. Privilegierter Zugriff. Am schädlichsten war, dass der Angreifer zuvor die Multisig-Unterzeichner von Drift mittels Social Engineering dazu gebracht hatte, versteckte Autorisierungen vorab zu unterzeichnen, und eine Security-Council-Migration ohne Timelock die letzte Verzögerungsverteidigung des Protokolls eliminiert hatte.

Mit der aufgeblähten Sicherheitenposition, die gegen das manipulierte Oracle genehmigt worden war, führte der Angreifer 31 schnelle Auszahlungen über USDC, JLP und andere Reserven hinweg aus, bevor ein On-Chain-Monitoring Alarm schlagen konnte.

Zwei Details verdienen Hervorhebung. Erstens schreiben sowohl Elliptic als auch TRM Labs Drift der Lazarus-Gruppe zu, was es zum zweiten DeFi-Kompromiss auf staatlichem Niveau innerhalb von achtzehn Tagen macht. Zweitens ist nicht das Protokoll gescheitert – sondern seine Governance-Struktur. Die Smart Contracts verhielten sich exakt wie konfiguriert. Die Schwachstelle lag im Social Engineering plus einem Governance-Upgrade, das das Timelock entfernte.

Die Reaktion der Solana Foundation war bezeichnend: Sie kündigte innerhalb weniger Tage eine Sicherheitsüberholung an und stellte den Vorfall explizit als Koordinationsproblem zwischen Protokollen und dem Ökosystem dar, anstatt als Solana-Protokoll-Bug. Diese Einordnung ist korrekt. Sie ist aber auch ein Eingeständnis dafür, dass sich die Frontlinie verschoben hat.

Klasse 3: Ein einzelner Cloud-Key sichert einen Stablecoin im Wert von einer halben Milliarde Dollar (Resolv, 25 Mio. $)​

Der Vorfall bei Resolv Labs am 22. März ist wertmäßig der kleinste der drei, aber strukturell am aufschlussreichsten. Ein Angreifer, der sich Zugriff auf die AWS Key Management Service (KMS)-Umgebung von Resolv Labs verschafft hatte, nutzte den privilegierten SERVICE_ROLE-Signierschlüssel, um 80 Millionen ungedeckte USR-Stablecoins aus ca. 100.000–200.000 $ an echten USDC-Einlagen zu prägen. Gesamte Cashout-Zeit: 17 Minuten.

Die Schwachstelle lag nicht in den Smart Contracts von Resolv – diese bestanden Audits. Sie bestand darin, dass die privilegierte Minting-Rolle ein einzelnes Externally-Owned Account (EOA) war, keine Multisig, und dessen Schlüssel hinter einem einzigen AWS-Konto lag. Wie Chainalysis es formulierte: „Ein Protokoll mit 500 Mio. $ TVL hatte einen einzigen privaten Schlüssel, der unbegrenztes Minting ermöglichte.“ Ob der ursprüngliche Angriffsvektor Phishing, eine falsch konfigurierte IAM-Policy, kompromittierte Entwickler-Zugangsdaten oder ein Supply-Chain-Angriff war, bleibt unklar – und genau diese Unklarheit ist der Punkt. Die Angriffsfläche des Protokolls war sein DevOps-Perimeter.

Der rote Faden: Upgrades ohne Red-Team-Überprüfung​

Bridges, Oracles und Cloud-gesteuerte Signierschlüssel wirken wie völlig unterschiedliche Oberflächen. Doch jeder der Vorfälle im April lässt sich auf dasselbe Betriebsmuster zurückführen: Ein Team führte ein Upgrade durch – an einer Konfiguration, einem Governance-Prozess oder einer Infrastrukturentscheidung –, das die Vertrauensannahmen des Protokolls änderte, und es gab keinen Überprüfungsprozess, der darauf ausgelegt war, die neue Annahme zu erkennen.

Kelp aktualisierte auf ein standardmäßiges DVN-Setup, das LayerZero dokumentiert, aber nicht gegen eine Liquidität von 300 Mio. $ stresstested hatte. Drift rüstete seine Security Council Governance auf, um Timelocks zu entfernen, wodurch genau die Verzögerung eliminiert wurde, die die Social-Engineering-Autorisierungen aufgedeckt hätte. Resolv operationalisierte eine privilegierte Minting-Rolle auf einem einzigen Schlüssel als Teil des normalen Cloud-DevOps.

Genau deshalb hat OWASP „Proxy and Upgradeability Vulnerabilities“ (SC10) als völlig neuen Eintrag in seine Smart Contract Top 10 für 2026 aufgenommen. Das Framework holt endlich dort auf, wo Angreifer bereits agieren. Aber OWASP-Regeln führen sich nicht von selbst aus; sie erfordern eine menschliche Überprüfung, für die die meisten Protokolle noch immer kein Budget einplanen, da das vorherrschende Sicherheitsnarrativ weiterhin lautet: „Wir wurden auditiert.“

Dieses Narrativ ist nun nachweislich unzureichend. Drei der größten Vorfälle des Jahres 2026 bestanden Smart Contract Audits. Die Sicherheitslücke lag woanders.

Der Kapitalabfluss von 13 Mrd. $ und die wahren Kosten von modularem Vertrauen​

Der wirtschaftliche Schaden strahlt weit über die gestohlenen Gelder hinaus. Innerhalb von 48 Stunden nach dem Kelp-Abfluss fiel der TVL von Aave um rund 8,45 Milliarden $, und der breitere DeFi-Sektor verlor mehr als 13,2 Milliarden $. Der AAVE-Token fiel um 16–20 %. SparkLend, Fluid und Morpho froren rsETH-bezogene Märkte ein. SparkLend, das vielleicht am stärksten von der Rotation profitierte, gewann rund 668 Millionen $ an neuem Netto-TVL, da Nutzer nach Plattformen mit einfacheren Besicherungsprofilen suchten.

Der Mechanismus hinter der Ansteckung verdient eine explizite Benennung. Nach dem Leeren der Kelp-Bridge nahm der Angreifer das gestohlene rsETH, hinterlegte es als Sicherheit in Aave V3 und nahm Kredite dagegen auf – was rund 196 Millionen $ an uneinbringlichen Schulden (Bad Debt) hinterließ, die in einem einzigen rsETH / Wrapped-Ether-Paar konzentriert waren. Keiner der Kreditmarktplätze, die rsETH als Sicherheit akzeptierten, konnte sehen – aufgrund der Art und Weise, wie sich modulares DeFi zusammensetzt –, dass ihre Absicherung in einer Single-Verifier-Bridge von LayerZero mit einem 1-aus-1-Fehlermodus lag. Als die Bridge fiel, war jeder Marktplatz gleichzeitig demselben Loch ausgesetzt.

Dies ist das Problem der unsichtbaren Kopplung im Herzen der DeFi-Composability. Jedes Protokoll auditiert seine eigenen Verträge. Fast kein Protokoll auditiert die betrieblichen Annahmen der Protokolle, deren Token es als Sicherheit akzeptiert. Die Kaskade vom April 2026 machte diese Lücke für jeden Risikomanager an jedem institutionellen Desk, der derzeit eine DeFi-Integration prüft, sichtbar.

Wie es weitergeht: Vom Audit zur kontinuierlichen betrieblichen Überprüfung​

Wenn man der Vorfallserie im April etwas Konstruktives abgewinnen kann, dann, dass sie die nächste Phase der DeFi-Sicherheitsinvestitionen unumgänglich macht. Drei Verschiebungen sind bereits erkennbar:

1. Offenlegung der Bridge-Konfiguration als Grundvoraussetzung. Es ist zu erwarten, dass Liquid Restaking- und Cross-Chain-Protokolle damit beginnen werden, explizite DVN-Konfigurationen, Fallback-Regeln und Verifizierer-Schwellenwerte zu veröffentlichen und zu aktualisieren – so wie heute der Quellcode von Smart Contracts veröffentlicht wird. Konfiguration als erstklassiges Offenlegungsmerkmal ist längst überfällig.

2. Timelock als nicht verhandelbarer Governance-Standard. Branchenanalysen setzen die praktische Mindestverzögerung für Governance-Migrationen konsistent bei 48 Stunden an – lang genug, damit Überwachungssysteme Anomalien erkennen und Nutzer Gelder abheben können. Der Drift-Exploit wird Zero-Timelock-Migrationen bis zum dritten Quartal wahrscheinlich fachlich unvertretbar machen.

3. Verwahrung privilegierter Schlüssel unter formaler Multi-Party Computation (MPC) oder HSM-Kontrollen. Resolvs Single-EOA-Minting-Rolle ist nun ein warnendes Beispiel für die Branche. Protokolle, die über Minting-Autorität verfügen, sollten damit rechnen, dass ihre LPs und institutionellen Integratoren standardmäßig entweder Schwellenwert-Signaturschemata oder hardwareisolierte Schlüsselverwahrung verlangen.

Der tiefgreifende strukturelle Wandel besteht darin, dass das „Audit“ als einmaliges Ergebnis durch eine kontinuierliche betriebliche Überprüfung ersetzt wird – eine fortlaufende Bewertung von Konfigurationen, Governance-Änderungen und Infrastrukturabhängigkeiten, die sich schneller entwickeln, als es ein jährlicher Audit-Rhythmus verfolgen kann. Die Protokolle, die dies am schnellsten verinnerlichen, werden das institutionelle Kapital absorbieren, das derzeit an der Seitenlinie wartet, bis die uneinbringlichen Schulden beglichen sind.

Die Vertrauensfläche hat sich verschoben​

Der April 2026 brachte keine neue Klasse von Exploits hervor , sondern bestätigte vielmehr , dass die alten Abwehrmechanismen auf den falschen Perimeter ausgerichtet sind . Smart Contract Audits bleiben notwendig ; sie sind jedoch bei weitem nicht ausreichend . Die Vertrauensfläche in DeFi hat sich nach außen auf Bridge-Konfigurationen , Governance-Strukturen und Cloud-verwaltete Keys ausgeweitet — und Angreifer mit der Geduld und den Ressourcen staatlich geförderter Akteure bearbeiten diesen Perimeter nun systematisch .

Die Protokolle , die die nächste Welle der institutionellen Integration für sich gewinnen werden , sind diejenigen , die ihre operative Aufstellung mit derselben Strenge behandeln , die sie einst für ihren Solidity-Code reserviert haben . Die Teams , die immer noch auf ein ein Jahr altes Audit-PDF als ihre Sicherheitsgeschichte verweisen , sind zunehmend die Teams , die kurz davor stehen , die Schlagzeilen des nächsten Monats zu füllen .

---

BlockEden.xyz bietet RPC- und Indexing-Infrastruktur auf Enterprise-Niveau für Entwickler , die möchten , dass ihre Abhängigkeiten der unspektakuläre Teil ihres Stacks sind . Erkunden Sie unseren API-Marktplatz , um auf Fundamenten aufzubauen , die für die operative Strenge konzipiert sind , die das Jahr 2026 erfordert .

Am 10. April 2026 hat Binance im Stillen die Eigentumsverhältnisse des privaten Internets neu gestaltet.

Eine neue „Pre-IPO“-Zeile erschien im Bereich Märkte des Binance Web3 Wallet — fünf tokenisierte Vermögenswerte, die sich auf SpaceX, OpenAI, Anthropic, Anduril, Kalshi und Polymarket beziehen und plötzlich für die rund 270 Millionen Nutzer des Wallets weltweit auffindbar waren. Keine Akkreditierungsprüfung. Kein Broker-Konto. Kein S-1. Nur ein Tab.

Keiner dieser Nutzer erhält Aktien. Niemand erhält Dividenden, Stimmrechte oder einen Platz in der Cap-Table von irgendjemandem. Was sie erhalten, ist Exposure — ein synthetischer On-Chain-Anspruch, der 1:1 an das Eigenkapital gekoppelt ist, das von einem Solana-basierten Tokenisierungsprotokoll namens PreStocks gehalten wird, das wiederum seine Positionen über eine Reihe von SPVs hält. Strukturell ist es derselbe Trick, den Republic und Securitize seit Jahren für akkreditierte Investoren anwenden. Was beispiellos ist, ist die Vertriebsoberfläche: eine Consumer-App, die 30-mal größer ist als jeder Broker, der dies zuvor versucht hat.

Vor zwei Jahren bedeutete der Launch eines Meme-Coins auf Solana, ein Ritual zu akzeptieren: 950 $zu zahlen, um zu Raydium zu migrieren, im ersten Block von Bots gesniped zu werden, zuzusehen, wie der Ersteller nach Abschluss der Bonding Curve alles abverkauft, und weiterzuziehen. Bis April 2026 ist dieses Ritual tot. Pump.fun hat durch Rückkäufe rund 213 Millionen$ in PUMP-Token aus dem Verkehr gezogen, LetsBonk hat in weniger als einem Jahr 64 % des Launchpad-Marktanteils erobert, und beide Plattformen bauen die Meme-Ökonomie im Stillen um Anti-Sniper-Schutz, Umsatzbeteiligung für Ersteller und Reputations-basierte Launches neu auf.

Die 6,7 Milliarden $ schwere Solana-Meme-Markt wird endlich erwachsen – nicht, weil Regulierungsbehörden ihn dazu gezwungen haben, sondern weil zwei konkurrierende Launchpads entdeckt haben, dass Spekulation ohne Vertrauensinfrastruktur sich am Ende selbst verschlingt.

Seit fünf Jahren ist „insufficient SOL for transaction“ die teuerste Fehlermeldung von Solana. Jede Consumer-App, die jemals einen Nicht-Krypto-Nutzer gewinnen wollte, hat genau dort einen Teil von ihnen verloren – beim Checkout-Schritt, wenn ein Fremder einen zweiten Token erwerben muss, nur um den ersten auszugeben. Im April 2026 veröffentlichte die Solana Foundation schließlich die Antwort: Kora, ein Fee-Relayer und Signierknoten, der es dApps ermöglicht, Transaktionen nativ zu sponsern, Gebühren in jedem SPL-Token zu bezahlen und das Signieren an TEEs oder KMS-gestützte Vaults auszulagern. Es ist kein glanzvoller Launch. Es ist ein Infrastruktur-Upgrade. Und Infrastruktur-Upgrades sind der Weg, wie Base und Abstract in den letzten zwölf Monaten still und leise das Consumer-Onboarding für sich gewonnen haben.

Die Frage ist nicht mehr, ob Solana mit der gaslosen UX von EVM-Consumer-Chains mithalten kann. Kora macht diesen Teil trivial. Die Frage ist, ob das Schließen der Last-Mile-Lücke ausreicht, um die Entwickler zurückzugewinnen, die bereits woanders gebaut haben.

Was Kora tatsächlich liefert​

Wenn man das Marketing weglässt, besteht Kora aus drei miteinander verknüpften Komponenten: einem Transaktions-Relayer, einem Remote-Signer und einer Policy-Engine. Eine dApp erstellt eine Transaktion, legt einen Kora-Knoten als Gebührenzahler (Fee Payer) fest, der Nutzer signiert die Payload über ein Embedded Wallet, und der Kora-Betreiber signiert mit und sendet die Transaktion. Validatoren werden weiterhin in SOL bezahlt. Der Nutzer hält jedoch nie welche.

Was es interessant macht, ist die Validierungsebene. Ein Kora-Knoten leitet nicht blind alles weiter, was Nutzer ihm übergeben. Er führt vor dem Signieren drei Prüfungen durch:

• Instruktions-Validierung gegen die zugehörigen Solana-Programme, damit fehlerhafte oder bösartige Instruktionen abgelehnt werden, bevor sie einen Leader erreichen.
• Oracle-gestützte Gebührenangemessenheit, bei der der angebotene SPL-Token-Betrag mit dem aktuellen SOL-Preis plus der Betreibermarge verglichen wird, sodass der Relayer niemals mit Verlust arbeitet.
• Allowlist- und Blocklist-Erzwingung auf Programm- und Token-Ebene, damit ein Betreiber, der einen Kora-Knoten für eine einzelne dApp betreibt, niemals versehentlich eine Transaktion sponsert, die auf einen zufälligen, ungeprüften Kontrakt abzielt.

Der Signierpfad ist der Punkt, an dem die Architektur ehrgeizig wird. Kora unterstützt standardmäßig das Remote-Signing über Turnkey und AWS KMS, was bedeutet, dass der private Schlüssel, der die Gebühren bezahlt, niemals auf der Festplatte des Relayers liegt. Für ein Fintech, das auf Solana aufbaut, ist das der Unterschied zwischen „wir haben unseren eigenen Paymaster gebastelt und die Daumen gedrückt“ und „unsere Key-Custody-Lösung besteht ein SOC 2-Audit“.

Das Ganze wurde von Runtime Verification geprüft und differenziell mittels Fuzz-Testing getestet – ein Detail, das man nur erwähnt, wenn man erwartet, dass Institutionen die Spezifikationen lesen.

Warum „nativ“ hier „Smart Contract“ schlägt​

Die Versuchung ist groß, Kora mit ERC-4337 zu vergleichen und anzunehmen, dass Solana nur aufholt. Die Architekturen verfolgen jedoch unterschiedliche Ansätze, und dieser Unterschied ist entscheidend.

ERC-4337 ist Account Abstraction, die als paralleles System oben auf Ethereum implementiert wurde. Es führt einen separaten Mempool, ein UserOperation-Objekt, eine Bundler-Rolle und einen EntryPoint-Kontrakt ein – nichts davon wird vom Basisprotokoll nativ verstanden. Bundler bündeln Benutzeroperationen, Paymaster sponsern Gebühren und ein On-Chain-Kontrakt erzwingt die Validierung. Es funktioniert und wurde im Ethereum-Mainnet sowie auf wichtigen L2s bereitgestellt, aber es ist ein sechsjähriges Bauprojekt, um ein UX-Feature nachzurüsten, das das Protokoll nie vorgesehen hatte.

Solanas Design hat diese Komplexität bereits vor Jahren auf der Protokollebene absorbiert. Jede Transaktion hat bereits ein feePayer-Feld. Partielle Signaturen sind nativ. Programme können beliebige Instruktionen validieren. Kora ist keine Bundler-und-Paymaster-Konstruktion; es ist ein Knotenbetreiber, der den feePayer-Slot ausfüllt und mit einer der partiellen Signaturen signiert, die das Protokoll bereits akzeptiert.

Die praktische Konsequenz sind Latenz und die Angriffsfläche für Entwickler. ERC-4337-Transaktionen durchlaufen einen separaten Mempool mit eigenen Sortierungsregeln und Propagationsverzögerungen. Kora-Transaktionen durchlaufen denselben Pfad wie jede andere Solana-Transaktion, mit derselben Finalität von unter 400 ms. Es gibt keinen Bundler-Arbitrage-Markt, über den man nachdenken muss, keine EntryPoint-Kontraktversion, die man verfolgen muss, und keine UserOperation-Gas-Schätzung, die man debuggen muss.

Was dies für Solana-Entwickler bringt, kommt dem Motto „das Fee-Payer-Feld setzen, die dApp veröffentlichen“ sehr nahe. Was dabei verloren geht, sind einige der Optionen, die EVM-Smart-Accounts kostenlos erhalten – Multi-Key-Auth, Batch-Calls, On-Chain-Session-Policies – obwohl vieles davon separat auf Solana durch PDAs und programmgesteuerte Accounts entwickelt wird.

Die Last-Mile-Lücke, die Solana tatsächlich hatte​

Trotz all des Geredes über Solanas Entwickler-Dynamik in den Jahren 2025 und 2026 war die Consumer-Wallet-Ebene der Teil, der hinterherhinkte. Der Infrastruktur-Stack reifte schnell: Das DEX-Volumen von Pump.fun überstieg im ersten Quartal 2026 die Marke von 2 Mrd. $, Jito und Marinade dominieren das Liquid Staking, Tensor verwandelte den NFT-Handel in ein professionelles Terminal. Aber jedes dieser Produkte musste eine eigene Antwort auf die Frage finden: „Der Nutzer hat kein SOL.“

Die Workarounds wurden kreativ. Pump.fun leitete erste Token-Käufe über eingebettete Onramps. Jito stattete Benutzerkonten vorab mit Kleinstbeträgen (Dust) aus. Tensor verließ sich auf Phantom und Backpack, um den SOL-Erwerbsschritt zu handhaben, bevor die Nutzer überhaupt das Orderbuch erreichten. Jede dieser Lösungen funktionierte individuell, aber keine von ihnen war kompatibel. Ein Nutzer, der über den Flow von Pump.fun onboarded wurde, kam nicht mit einem gebührenfähigen Guthaben bei Tensor an.

Währenddessen lieferte Base den Passkey-Flow des Coinbase Smart Wallet, kostenloses Gas-Sponsoring über die Coinbase Developer Platform und ein Entwickler-SDK, das das gesamte Konzept eines privaten Schlüssels hinter einem E-Mail-Login verbirgt. Abstract ging mit Embedded Wallets, die sich wie Web2-Apps anfühlen, noch einen Schritt weiter. Das kombinierte Versprechen an einen Consumer-App-Entwickler im Jahr 2025 lautete: Baue auf Base, deine Nutzer werden nicht merken, dass sie on-chain sind, und wir übernehmen die Gebühren, während du skalierst.

Kora repliziert dieses Versprechen nicht eins zu eins. Was es tut, ist den architektonischen Grund zu beseitigen, warum eine Solana-dApp nicht dasselbe Versprechen abgeben könnte. Mit Kora kann ein Solana-Team nun Folgendes anbieten:

• E-Mail- oder Passkey-Anmeldung über Privy, Turnkey oder Coinbase Embedded Wallets.
• Kein SOL-Guthaben für Transaktionen erforderlich.
• Gebührenzahlung in USDC, BONK oder dem nativen Token der dApp, falls vorhanden.
• Finalität im Sub-Sekunden-Bereich ohne Bundler im Pfad.

Die Puzzleteile existierten schon vorher. Octane war der Open-Source-Vorläufer. Circles Gas Station, Openfort, Portal, Gelato, Biconomy und ein halbes Dutzend anderer Anbieter boten das Fee-Relaying als Dienstleistung an. Was Kora ändert, ist, dass die Solana Foundation nun selbst die standardisierte, geprüfte und KMS-kompatible Referenzimplementierung ausliefert. Das entfernt die Frage „welchem Drittanbieter-Paymaster vertrauen wir“ aus dem Entscheidungsbaum für jedes Team, das bisher eine eigene Lösung entwickelt oder einen Anbieter bezahlt hat.

Die Anbieter-Schicht über Kora​

Interessant wird es bei der Frage, was mit den Anbietern von eingebetteten Wallets passiert, die bereits um die Lücke herum gebaut haben, die Kora nun geschlossen hat.

Privy, das im Juni 2025 von Stripe übernommen wurde, ist die bevorzugte Consumer-App-Wallet für Solana-dApps, die einen E-Mail-Login wünschen. Solana ist für Privy offiziell eine sekundäre Chain — die Tiefe liegt bei der EVM —, aber der Flow der eingebetteten Wallet erstreckt sich auch auf Solana, und Privy unterstützt bereits die Konfiguration einer Fee-Payer-Wallet, die von der App verwaltet wird. Kora ersetzt Privy nicht; es bietet Privy ein standardisiertes Backend zum Andocken, anstatt dass jeder Kunde seinen eigenen Paymaster-Service betreiben muss.

Turnkey ist der sicherheitsfokussierte eingebettete Signer, der natürlich mit der Remote-Signing-API von Kora harmoniert. Turnkey enthält explizit keine Paymaster-Infrastruktur, sodass Solana-Teams, die hardware-isolierte Keys plus gaslose UX wollten, gezwungen waren, zwei Anbieter zusammenzufügen. Kora lässt diese Integration verschmelzen.

Dynamic, das 2025 von Fireblocks übernommen wurde, bringt Multi-Chain-Auth für institutionelle Teams. Die von Fireblocks gestützte Positionierung macht Dynamic zur natürlichen Wahl für Fintechs, die sowohl Solana- als auch EVM-Abdeckung mit Enterprise-Compliance benötigen. Kora bietet Dynamic eine saubere Lösung zur Solana-Gebührenabstraktion, die es Fireblocks erspart, einen konkurrierenden Paymaster auszuliefern.

Coinbase Developer Platform ist der schwierige Fall. Coinbase hat massiv investiert, um Base durch die Coinbase Smart Wallet, kostenloses Base-Gas und das Embedded-Wallet-SDK zur Standard-Consumer-Chain zu machen. Kora verringert die Differenzierung, die Base verkauft hat, insbesondere für Apps, die USDC-native Flows wünschen, bei denen Solana bereits Skalenvorteile hat.

Das wahrscheinliche Ergebnis ist, dass Kora zum Standard-Solana-Backend für jeden Anbieter von eingebetteten Wallets wird, der keinen eigenen Paymaster-Service betreiben möchte. Die Anbieter konkurrieren über die Auth-UX, das Key-Management und die Richtlinienkontrollen. Kora kümmert sich im Hintergrund um das Fee-Relay. Das ist gesünder für das Ökosystem als der vorherige Zustand, in dem jede Solana-Consumer-dApp eine unabhängige Anbieterentscheidung treffen und die Sicherheit des selbstgebauten Relayers jedes Kandidaten bewerten musste.

Was dies löst und was nicht​

Kora schließt eine Lücke definitiv und lässt mehrere andere offen. Es lohnt sich, präzise zu unterscheiden.

Was Kora löst:

• Die „User muss SOL halten“-UX-Hürde für jede dApp, die bereit ist, Gebühren in einem anderen Token zu subventionieren.
• Die „Build vs. Buy“-Entscheidung für einen Paymaster für Teams, die sich zuvor zwischen operativem Aufwand und Vendor-Lock-in entscheiden mussten.
• Die Lücke bei der institutionellen Akzeptanz, da das Audit und der KMS-Support es regulierten Einheiten ermöglichen, Kora-Nodes zu betreiben, ohne eine eigene Lösung zu entwickeln.

Was Kora nicht löst:

• Die Wallet-Akquise selbst — Nutzer benötigen immer noch eine eingebettete Wallet von irgendwoher, sei es von Phantom, Privy, Turnkey oder Coinbase.
• Account-Abstraktions-Primitive wie Batched Calls und Session Keys, die auf Solana immer noch separat über PDAs und andere Muster auf Programmebene zusammengestellt werden.
• Die wirtschaftliche Frage, wer für das SOL bezahlt, das die Kora-Betreiber vorstrecken. Für eine dApp mit Token-Einnahmen oder einem Stablecoin-Bestand ist das in Ordnung; für ein kostenloses Produkt ist das Gas-Sponsoring lediglich eine Kundenakquise-Kostenstelle.
• Cross-Chain-UX, die immer noch erfordert, dass der Nutzer mit einer Bridge oder einer Chain-Abstraction-Schicht wie LayerZero, Wormhole oder Across interagiert.

Die These „Gaslose Infrastruktur als Protokoll-Primitiv“ ist zweischneidig. Solana hat nun die sauberste native Gebührenabstraktions-Story aller großen Chains. Es bedeutet aber auch, dass sich die Differenzierung in den Stack nach oben verlagert — hin zu Wallet-UX, Recovery-Flows und Account-Abstraktions-Features, bei denen die EVM einen mehrjährigen Vorsprung hat.

Die strategische Einschätzung für Entwickler​

Für ein Team, das Mitte 2026 eine Chain auswählt, hat sich die Kalkulation verschoben. Vor zwölf Monaten lautete die Antwort für das Consumer-Onboarding Base, Abstract oder eine der neuen EVM-Consumer-Chains, Punkt. Solana hatte die Aufmerksamkeit der Entwickler und infrastrukturellen Schwung, verlor aber Retail-Nutzer durch den Schritt der SOL-Beschaffung. Das ist nicht mehr der Fall.

Eine Consumer-dApp, die heute auf Solana mit Privy oder Turnkey im Frontend und Kora im Backend startet, hat funktionell die gleiche UX-Oberfläche wie der äquivalente Stack auf Base. E-Mail-Login, gaslose Transaktionen, Gebührenzahlung in USDC, Finalität in unter einer Sekunde. Die verbleibenden Unterschiede sind das Laufzeitmodell, das Tooling-Ökosystem und die verfügbare Liquidität. Für eine App, die den Durchsatz und die DEX-Tiefe von Solana nutzen möchte, ist das UX-Argument für die Wahl der EVM erheblich schwächer geworden.

Für Teams, die bereits auf Base ausliefern, ändert Kora die unmittelbare Entscheidung nicht. Es ändert jedoch den langfristigen Wettbewerbsdruck. Wenn die Consumer-dApps mit der saubersten UX auf Solana erscheinen, weil die neue Infrastruktur eine Integration weniger bedeutet, um die man sich kümmern muss, beginnt sich das Gewicht um den Consumer-Onboarding-Vorteil von Base zu verschieben.

Ehrlich betrachtet ist Kora notwendig, aber nicht ausreichend. Es beseitigt einen spezifischen Grund, warum Entwickler Solana nicht für Consumer-Apps gewählt haben. Es schafft für sich genommen noch keinen neuen Grund, Solana zu wählen. Die nächsten zwei Quartale werden zeigen, ob die Anbieter von eingebetteten Wallets tatsächlich standardmäßig auf Kora setzen, ob neue Consumer-dApps es als Grund für ihre Chain-Wahl anführen und ob die bestehenden EVM-Consumer-Chains reagieren, indem sie ihre eigenen Infrastruktur-Lösungen verbessern.

So oder so: „User muss SOL erwerben, bevor er transaktiert“ ist endlich ein Problem der Vergangenheit, kein aktuelles mehr. Das allein war die Veröffentlichung wert.

---

BlockEden.xyz betreibt produktionsreife Solana-RPC-Infrastruktur für Teams, die Consumer-dApps, Zahlungssysteme und Handelsplattformen entwickeln. Wenn Sie gaslose Flows integrieren oder ein Solana-Produkt skalieren, erkunden Sie unseren API-Marktplatz für Endpunkte mit niedriger Latenz, die für die nächste Generation von Consumer-Crypto entwickelt wurden.

Quellen​

• GitHub: solana-foundation/kora
• Kora — Verlieren Sie nie wieder einen Nutzer durch 'unzureichendes SOL'
• So aktivieren Sie gaslose Transaktionen auf Solana mit Kora — QuickNode
• Solana Foundation stellt Kora vor — Metaverse Post
• Kora Fee Relayer ermöglicht Solana App Onboarding und Gebühren — Cryptonomist
• Gebühren-Sponsoring — Solana Cookbook
• Was ist ERC-4337 auf Solana? — Solana Developers
• Account Abstraction: Ethereum vs. Solana erklärt — Squads
• Wie die Gas Station von Circle Fee Payer auf Solana nutzt
• Sponsoring von Transaktionen auf Solana — Privy Docs
• Die besten Solana-Wallets für Entwickler im Jahr 2026 — Openfort
• Coinbase Smart Wallet — Status der Wallets Teil 2
• Anza skizziert wichtige Entwicklungen für Solana im Jahr 2026 — Phemex

Als das erste Mal ein autonomer On-Chain-Agent einen physischen Roboter bezahlte, um eine Kaffeetasse aufzuheben, war kein Mensch beteiligt. Keine Bestellung. Keine Rechnung. Keine Banküberweisung. Nur ein Smart Contract, eine x402-Mikrozahlung und ein humanoider Arm, der gehorchte, weil das Geld eingegangen war. Dieser Moment, leise und ungefeiert, markierte die Auflösung einer Grenze, die das Narrativ der KI-Agenten zwei Jahre lang als tragend betrachtet hatte: die Mauer zwischen digitalen Agenten, die Token handeln, und physischen Maschinen, die Atome bewegen.

Die Integration von Virtuals Protocol mit dem BitRobot Network im ersten Quartal 2026 ist das erste Produktionssystem, das diese Mauer im großen Stil einreißt. Durch die Einbindung von über 17.000 On-Chain-KI-Agenten in ein Solana-basiertes Subnetz einer Roboterinfrastruktur hat Virtuals etwas erreicht, das die These der verkörperten KI (Embodied AI) seit den Robotik-Demos von OpenAI im Jahr 2018 zwar angedeutet, aber nie ganz geliefert hat: Es hat Software-Agenten Wallets, Identitäten und Aufgabenwarteschlangen gegeben, die bis in Lagerhäuser, auf Gehwege und in Coffeeshops reichen. Die Auswirkungen reichen von einem Markt für verkörperte KI im Wert von 4,44 Milliarden US-Dollar im Jahr 2025 bis hin zu prognostizierten 23 Milliarden US-Dollar bis 2030 und definieren neu, was „agentischer Handel“ (Agentic Commerce) tatsächlich bedeutet.

Vom digitalen Handel zu physischen Aufgaben​

In den Jahren 2024 und 2025 lebten Token von KI-Agenten meist in einer eng begrenzten Sandbox. Agenten auf Virtuals, ai16z und ähnlichen Plattformen posteten in sozialen Medien, handelten mit Memecoins, führten DeFi-Strategien aus und brachten sich gelegentlich gegenseitig zum Lachen. Kritiker merkten zu Recht an, dass dies ein geschlossener Kreislauf war – Agenten, die mit Agenten über Dinge verhandelten, die nur On-Chain existierten. Die reale Wirtschaft, die Welt der Versandpaletten, Lieferwagen und defekten HLK-Anlagen, blieb unberührt.

BitRobot ändert die Topologie dieses Kreislaufs. BitRobot wurde von FrodoBots Lab und Protocol Labs nach einer Seed-Runde in Höhe von 8 Millionen US-Dollar entwickelt, die von Solana Ventures, Virtuals Protocol und den Solana-Mitbegründern Anatoly Yakovenko und Raj Gokal unterstützt wurde. Es ist als Konstellation von Subnetzen strukturiert. Jedes Subnetz trägt einen spezialisierten Output bei, den verkörperte KI benötigt: Navigationsdaten, Manipulationsfähigkeiten, Simulationsumgebungen oder Modellbewertungen. Subnetz 5, genannt SeeSaw, wurde direkt mit Virtuals als Partnerschaftsprodukt eingeführt – Nutzer nehmen kurze Videos von alltäglichen Aufgaben wie dem Binden von Schnürsenkeln oder dem Zusammenlegen von Wäsche auf, laden sie hoch und verdienen Token-Belohnungen, während die Daten die nächste Generation robotischer Policy-Modelle trainieren.

Die Zahlen verdeutlichen die Adaption eindrucksvoll. SeeSaw hat seit seinem iOS-Start im Oktober 2025 bereits mehr als 500.000 abgeschlossene Aufgaben protokolliert. Der erste On-Chain-Agent, der tatsächlich eine physische Maschine steuert, namens SAM, bedient rund um die Uhr humanoide Roboter und postet seine Beobachtungen auf X. All dies erfordert nicht, dass man an die Agenten-Ökonomie als Glaubensfrage glaubt. Es erfordert lediglich die Akzeptanz der Daten: Maschinengesteuerte Aktionen werden nun durch Smart Contracts initiiert, in Token bezahlt und durch On-Chain-Evaluatoren verifiziert.

Der dreistufige Standard-Stack​

Was die Virtuals + BitRobot-Integration zu mehr als einer einmaligen Demo macht, ist die Standardisierungsarbeit, die im Hintergrund stattfindet. Anfang 2026 wurden drei Protokolle auf Ethereum- und HTTP-Ebene eingeführt, um den Handel zwischen Agenten und Maschinen kombinierbar (composable) statt handwerklich zu gestalten:

• x402 ist ein HTTP-Zahlungsstandard, der es Agenten ermöglicht, Mikrozahlungen im selben Handshake wie einen API-Aufruf abzuwickeln. Basierend auf dem lange Zeit inaktiven HTTP-Statuscode 402 wurden in den ersten Monaten des Produktionseinsatzes rund 600 Millionen US-Dollar an KI-Mikrozahlungen verarbeitet, wobei Google Cloud und AWS ihn als Abrechnungs-Primitiv für agentengesteuerte Inferenz übernahmen.
• ERC-8004 ist ein Ethereum-Identitäts- und Reputationsstandard für KI-Agenten. Er beantwortet die Frage, die jeder Vertragspartner beantwortet haben muss, bevor er einen Vertrag unterzeichnet: Wer ist dieser Agent, wie sieht seine Erfolgsbilanz aus und ist er vertrauenswürdig genug, um Geschäfte mit ihm zu machen?
• ERC-8183, am 10. März 2026 gemeinsam vom dAI-Team der Ethereum Foundation und Virtuals Protocol gestartet, ist die kommerzielle Ebene. Er führt ein Job-Escrow-Primitiv ein, bei dem ein Auftraggeber Gelder hinterlegt, ein Anbieter die Arbeit ausführt und ein Evaluator den Abschluss überprüft, bevor das Treuhandkonto (Escrow) die Zahlung freigibt.

Die Kurzfassung ist nützlich: x402 besagt, „wie man bezahlt“, ERC-8004 besagt, „wen man bezahlt“, und ERC-8183 besagt, „wie man einen Streit beilegt, wenn der Reinigungsroboter einen Streifen auf dem Boden hinterlässt“. Zusammen bilden sie einen internetnativen Commerce-Stack, der für Parteien entwickelt wurde, die sich nicht auf Gerichte, Kreditkarten oder Rückbuchungen verlassen können. Für verkörperte KI ist dieser Stack kein Luxus. Er ist das einzige verfügbare Substrat, da rechtliche Verträge Schwierigkeiten haben, Vertragspartner zu berücksichtigen, die Software-Agenten sind, welche wiederum anderen Software-Agenten gehören, die von über vierzig Jurisdiktionen verstreuten Token-Inhabern verwaltet werden.

Warum Solana für Roboter und Ethereum für den Handel​

Die Integration von Virtuals + BitRobot ist in einer Weise diskret Multi-Chain, die die architektonische Absicht verdeutlicht. BitRobot läuft auf Solana, weil die Datenerfassung für Roboter eine Aktivität mit hohem Durchsatz und geringen Margen ist – den Mitwirkenden Bruchteile eines Cents für jeden Videoclip zu zahlen, erfordert eine Gebührenökonomik, die das Ethereum-L1 nicht bieten kann. Virtuals, ursprünglich auf Base entstanden und auf Arbitrum aktiv, ist dort angesiedelt, wo institutionelle Liquidität und der Großteil der Standards für den Agentenhandel zu Hause sind. Die Integration nutzt Solana für die Datenebene der physischen Welt und Ethereum-kompatible Chains für die Handelsebene.

Dies ist das gleiche Muster, das sich 2024 bei Stablecoin-Zahlungen herauskristallisiert hat: Tron und Solana für die günstigen, häufigen Transaktionen; Ethereum für die hochwertigen, weniger frequenten Abwicklungen. Die Maschinenökonomie scheint diese Arbeitsteilung eher zu übernehmen als aufzuheben. Wer auf einen einzigen Chain-Gewinner für verkörperte KI setzt, wird wahrscheinlich enttäuscht werden, da die Arbeitslast von Natur aus bimodal ist.

Vergleich der Embodied AI-Ansätze​

Das Virtuals + BitRobot-Modell ist nicht der einzige Versuch, Embodied AI im Jahr 2026 zu kommerzialisieren. Es lohnt sich, es den Alternativen gegenüberzustellen:

• Figure AI hat über eine Milliarde Dollar eingesammelt, um zentralisierte humanoide Roboter für Kunden in Lager- und Fertigungsbereichen zu bauen. Das Wirtschaftsmodell von Figure ist klassisches Investitionsgüter-Leasing: Kunden zahlen monatlich für Roboterstunden. Es gibt keinen Token, keine erlaubnisfreie Mitwirkungsbasis und keinen Mechanismus für Drittentwickler, die Roboter zu erweitern oder zu spezialisieren, ohne das Vertriebsteam von Figure zu konsultieren.
• Tesla Optimus ist im tiefsten Sinne unternehmensgesteuert. Die Roboter, die Trainingsdaten, die Richtlinienmodelle und die Einsatzentscheidungen liegen alle innerhalb eines einzigen Unternehmens. Optimus ist eine beeindruckende Ingenieursleistung, steht aber gänzlich außerhalb jedes offenen Wirtschaftsprotokolls.
• OpenMind verfolgt das, was sein Team ein „Android für die Robotik“ nennt – eine offene Plattformschicht, auf der jeder Roboterhersteller ein gemeinsames Betriebssystem ausführen kann. Die Philosophie überschneidet sich mit der von BitRobot, aber OpenMind hat Krypto-Infrastrukturen bisher explizit vermieden, in der Annahme, dass Hardware-Originalgerätehersteller (OEMs) noch immer Vorbehalte gegenüber token-basierten Anreizen haben.
• peaq Network ist der engste philosophische Verwandte. Das Layer 1 von peaq hat mehr als 3,3 Millionen Maschinen mit verifizierten Identitäten angebunden und über 200 Millionen Transaktionen in 60 DePIN-Anwendungen verarbeitet, wobei es sich als grundlegende Chain für die Maschinenökonomie positioniert. Der Unterschied besteht darin, dass peaq eine Bottom-up-Infrastruktur ist, während Virtuals + BitRobot eine Top-down-Komposition einer bestehenden Agenten-Ökonomie mit einem vorhandenen Robotik-Datensatz darstellt.

Die eigentliche Frage ist nicht, welcher Ansatz gewinnt. Es ist die Frage, ob das offene, Multi-Chain- und Token-basierte Modell genügend Geschwindigkeit bei der Datenerfassung und dem Einsatz von Agenten erzeugt, um die zentralisierten Alternativen zu überholen, bevor diese „Winner-take-most“-Netzwerkeffekte zementieren.

Die Markt-Arithmetik​

Der Markt für Embodied AI wurde im Jahr 2025 auf etwa 4,44 Milliarden $geschätzt und soll laut Research and Markets mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 39$ anwachsen. Der breitere Markt für Robotiktechnologie liegt im Jahr 2025 bei 108 Milliarden $und ist auf dem Weg, bis 2034 bei einer CAGR von 15$ zu erreichen. Dies sind keine Krypto-nativen Märkte, aber sie stellen die adressierbare Oberfläche dar, deren Koordination Krypto-native Infrastrukturen nun für sich beanspruchen.

Hinzu kommt der KI-Krypto-Sektor selbst, der eine kombinierte Marktkapitalisierung von etwa 52 Milliarden $aufweist und Virtuals zu seinen größten Sub-Protokollen zählt. Virtuals verarbeitete Ende 2025 ein monatliches Handelsvolumen von 13,23 Milliarden$ und treibt Agenten wie Ethy AI an, der mehr als 2 Millionen autonome Transaktionen abgewickelt hat. Das Kapital ist konzentriert, der Bestand an Agenten ist real und die Brücken zu physischen Maschinen sind nun in Betrieb. Die verbleibende Frage ist, wie viel dieser 23 Milliarden $ des TAM für Embodied AI über Token-basierte Schienen im Vergleich zu traditionellen Beschaffungsverträgen kanalisiert wird.

Das optimistische Szenario (Bull Case) besagt, dass jede hinreichend autonome Roboterflotte eine Zahlungsebene benötigt, die ohne menschliche Genehmigung bei jeder Transaktion funktioniert. Diese Anforderung lässt sich sauber auf Stablecoin- und Token-Infrastrukturen abbilden statt auf ACH-Überweisungen. Das pessimistische Szenario (Bear Case) geht davon aus, dass Unternehmenskunden SOC 2-Konformität, KYC-Gegenparteien und traditionelle vertragliche Rechtsbehelfe verlangen werden, die Krypto-native Systeme nicht ohne Weiteres bieten können, wodurch der Embodied AI-Markt in Richtung langweiliger zentralisierter Beschaffung gedrängt wird, ungeachtet dessen, was die Agenten im Hintergrund tun.

Was dies für Builder bedeutet​

Für Entwickler und Infrastrukturanbieter schafft die Virtuals + BitRobot-Integration mehrere konkrete Möglichkeiten, die man im Auge behalten sollte:

• Märkte für Datenetikettierung und Beiträge sind nicht länger hypothetisch. Die 500.000 Aufgaben von SeeSaw deuten darauf hin, dass Mitwirkende auf Endkundenebene am Robotertraining teilnehmen werden, wenn die Belohnungen in liquiden Token denominiert sind. Dies ist das erste funktionierende, skalierte DePIN-Schwungrad für KI-Trainingsdaten.
• Agent Reputation as a Service wird zu einer realen Produktkategorie, sobald ERC-8004 Gegenparteien hat, die Wert darauf legen. Agenten, die Betriebszeit, Konflikthistorie und erfolgreiche Auftragsausführungen nachweisen können, werden höhere Sätze erzielen und Zugang zu hochwertigeren Treuhandarbeiten erhalten.
• Multi-Chain-Abstraktion wird wichtiger, nicht unwichtiger. Builder, die Solana-Datenebenen mit Ethereum-Handelsschichten und Base-Agenten-Umgebungen verbinden müssen, benötigen eine Infrastruktur, die die Nahtstellen verbirgt. Zuverlässige RPC, konsistente Indizierung und einheitlicher API-Zugriff über diese Chains hinweg sind der Unterschied zwischen einem funktionierenden Agenten und einem im Leerlauf befindlichen.

Das Fazit​

Die Integration von Virtuals + BitRobot stellt noch keine transformierte Wirtschaft dar. Sie ist ein funktionierender Prototyp einer solchen. Die 17.000 Agenten, die physische Roboter verwalten, tun dies in einem Tempo, das in Tausenden von Transaktionen pro Tag gemessen wird, nicht in Millionen, und die Anwendungsfälle konzentrieren sich eher auf die Erfassung von Trainingsdaten als auf geschäftskritische industrielle Automatisierung. Skeptiker werden zu Recht anmerken, dass die Lücke zwischen einer KI, die einen Humanoiden für Social-Media-Reichweite steuert, und einer autonomen Flotte von Lagerrobotern, die Verträge mit einem Logistikunternehmen aushandelt, enorm ist.

Aber die wichtigste Grenze wurde überschritten. On-Chain-Identität, On-Chain-Zahlung und On-Chain-Streitbeilegung erstrecken sich nun auf physische Aktoren. Was auch immer aus dem Embodied AI-Markt bis 2030 wird, ein bedeutender Anteil davon wird auf Schienen laufen, die eher wie Virtuals + BitRobot aussehen als wie SAP. Die Frage für die nächsten achtzehn Monate ist, welches Subnetz, welcher Standard und welche Chain zuerst die nützlichsten Workloads erfasst.

BlockEden.xyz bietet RPC- und Indizierungsinfrastruktur auf Enterprise-Niveau für Solana, Base, Ethereum und andere Chains, die den Stack der KI-Agenten- und Maschinenökonomie antreiben. Erkunden Sie unseren API-Marktplatz, um agentengesteuerte Anwendungen auf einer Infrastruktur zu erstellen, die für die Multi-Chain-Ära entwickelt wurde.

Quellen​

• Virtuals Protocol Prognose 2026: KI-Agenten und Robotik drängen in Richtung 2 $- 3$ — Bitget News
• Einführung von SN/05: SeeSaw von Virtuals / BitRobot — BitRobot.ai
• FrodoBots Lab sammelt 8 Mio. $ für den Start von BitRobot — The Defiant
• Frodobots sammelt 6 Mio. $ für ein Solana-basiertes Robotik-Netzwerk — Blockworks
• Roboter-KI: Der Breakout-KI-Anwendungsfall der Blockchain? — Solana.com
• BitRobot und die Zukunft von Embodied AI — Protocol Labs
• Ethereum Foundation und Virtuals Protocol führen ERC-8183 ein — KuCoin
• x402 & ERC-8004: Wie KI-Agenten im Agentic Web bezahlen — ChainUp AD
• Was ist ERC-8183? Die neue Handelsebene für KI-Agenten — QuickNode
• Embodied AI Marktbericht 2026 — Research and Markets
• Embodied AI Marktbericht 2025-2030 — MarketsandMarkets
• Der Aufstieg der Maschinenökonomie: peaq im Jahr 2026 — Medium
• Robotik in Aktion, Roboter-Konzeptprojekte auf Virtuals — WEEX Crypto
• Roboter-Geld | Das Purple Paper — peaq

Im Januar 2026 verarbeitete eine einzige DEX auf Solana mehr tägliches Volumen als die meisten der Top-20 zentralisierten Börsen.

Ein paar Wochen später betraten die Vorsitzenden von SEC und CFTC gemeinsam die Bühne und unterzeichneten ein Memorandum, in dem sie versprachen, den Streit darüber, wer was reguliert, zu beenden. Und irgendwo dazwischen überschritt das Verhältnis des Spot-Volumens von DEX zu CEX still und leise eine Linie, von der niemand recht glaubte, dass sie jemals überschritten würde.

Den größten Teil der Krypto-Geschichte über war „DEX vs. CEX“ ein Gedankenexperiment, das immer gleich endete: CEXs besitzen die Liquidität, Privatnutzer wollen eine saubere App und Institutionen verlangen Fiat-Anbindungen. DeFi war etwas für Ideologen. Im Jahr 2026 ist dieses Argument nicht mehr nur akademisch. Das strukturelle Unbundling der zentralisierten Börse ist in vollem Gange – und es wird von drei Kräften vorangetrieben, die schließlich zusammenkamen: Chain-abstrahierte Wallets, Intent-basierte Ausführung und eine On-Chain-Liquiditätstiefe, die es mit CEXs der Mittelklasse aufnehmen kann.

Kleinanleger verkauften im ersten Quartal 2026 rund 62.000 BTC. Unternehmen, Stiftungsfonds und pensionsnahe Vehikel kauften etwa 69.000. Dieser einfache Tausch – panische Verkäufer, die mit geduldigen Käufern handeln – ist die Geschichte, die die 13F-Berichte für das Q1 nun aktenkundig machen, und sie hat nichts mit dem Narrativ zu tun, das sich Crypto Twitter während des 47 %igen Drawdowns vom Allzeithoch bei 126.296 $ im Oktober 2025 erzählt hat.

Die Schlagzeilen schreiben sich von selbst. Harvards Stiftungsfonds erhöhte seine Beteiligung am BlackRock IBIT um 257 % und machte einen Spot-Bitcoin-ETF mit 442,8 Millionen $zu seiner größten öffentlich bekannt gegebenen Position. Goldman Sachs meldete 108 Millionen$, verteilt auf sechs separate Spot-Solana-ETF-Produkte. CalPERS, die 506 Milliarden $schwere öffentliche Pensionskasse Kaliforniens, hält 165,9 Millionen$ in Strategy-Aktien und debattiert auf Vorstandsebene aktiv über ein direktes Bitcoin-Engagement. Und im ersten Quartal 2026 flossen Rekordsummen von 18,7 Milliarden $in Spot-Bitcoin-ETFs, selbst als der Spot-Preis von über 90.000$ auf den Bereich um 60.000 $ fiel.

Schließen Sie ein USB-Kabel an ein Nothing CMF Phone 1 an. Warten Sie 45 Sekunden. Gehen Sie mit der Seed-Phrase jedes Hot Wallets auf dem Gerät davon.

Das ist kein theoretisches Bedrohungsmodell. Es handelt sich um eine Live-Demo, die das Donjon-Forschungsteam von Ledger am 11. März 2026 veröffentlicht hat und die auf den Dimensity 7300 (MT6878) von MediaTek abzielt — ein 4-nm-System-on-Chip (SoC), das in etwa einem Viertel aller Android-Telefone weltweit zum Einsatz kommt, und genau der Silizium-Chip, um den das Flaggschiff-Handset Seeker von Solana herum gebaut wurde. Die Schwachstelle befindet sich im Boot-ROM des Chips, dem schreibgeschützten Code, der ausgeführt wird, bevor Android überhaupt geladen wird. Sie kann nicht gepatcht werden. Sie kann nicht durch ein Betriebssystem-Update entschärft werden. Die einzige Lösung ist ein neuer Chip.

Für die zig Millionen Nutzer, die ihrem Smartphone als Krypto-Wallet vertrauen, ist dies der Moment, in dem das Narrativ der „Mobile-First Self-Custody“ mit der Physik des Siliziums kollidierte.