Chainalysis warnt: Ungeprüfte Smart Contracts locken Hacker an
Seit Januar 36,7 Millionen US-Dollar durch Exploits an nicht verifizierten DeFi-Protokollen gestohlen. Fortschritte bei KI-gestützten Analysetools machen das Risiko für vermeintlich sichere, geschlossene Coin-Codes deutlich größer.
Veröffentlicht
10. Juni 2026
Die Analysefirma Chainalysis hat eine besorgniserregende Entwicklung im DeFi-Sektor identifiziert: Seit Januar wurden mindestens 36,7 Millionen US-Dollar durch Exploits an Protokollen gestohlen, deren Smart Contracts auf Blockexplorern nicht verifiziert waren. Vier größere Angriffe fallen laut einem aktuellen Bericht in dieses Muster – der bislang größte traf das Projekt Truebit mit einem Verlust von 26,2 Millionen Dollar. Ausgenutzt wurde eine Integer-Overflow-Schwachstelle in einem Vertrag, der seit 2021 auf Ethereum unverifiziert blieb.
Weitere betroffene Projekte sind Trusted Volumes, Aperture Finance und Ekubo. In allen Fällen war der explizit angegriffene Code nicht öffentlich einsehbar, was eine Überprüfung durch Sicherheitsforscher sowie die Aufnahme in Bug-Bounty-Programme praktisch unmöglich machte – obwohl diese Verträge Nutzergelder verwalteten.
Der trügerische Schutz der „Security by Obscurity"
Lange galt in der DeFi-Szene die Annahme, dass nicht öffentlicher Code ein zusätzliches Sicherheitsmerkmal sei. Man vertraute darauf, dass Angreifer ohne Quellcode kaum in der Lage wären, Schwachstellen zu finden. Chainalysis widerspricht dieser These nun deutlich: „Protokolle, die auf versteckten Code setzen, verlassen sich zunehmend auf Obskurität als Sicherheitsmaßnahme – ein Ansatz, der rapide an Wirksamkeit verliert“, heißt es.
Der Grund: Fortschritte bei Decompilierungstools und KI. Was früher einen erfahrenen Reverse Engineer über Tage beschäftigte, lässt sich heute teilweise automatisieren – und auf Tausende unverifizierter Verträge anwenden. So werden Angreifer in die Lage versetzt, aus dem reinen Bytecode Schwachstellen zu identifizieren, ohne den Quellcode zu kennen.
„Angesichts dieser Entwicklung reicht ‚Security by Obscurity' nicht mehr aus“, so Chainalysis. Die Firma empfiehlt eine vollständige Quellcode-Verifikation, breiter aufgestellte Bug-Bounty-Programme und Echtzeit-Überwachung als Basisschutz.
Rekordverluste im April – Lage bleibt angespannt
Die Warnung kommt in einem ohnehin schwierigen Umfeld. Im April verzeichnete die Kryptoindustrie mit 629,7 Millionen Dollar den höchsten monatlichen Schaden durch Hacks seit Februar 2025, wie Daten von DeFiLlama zeigen. Allein die Exploits bei KelpDAO (293 Millionen US-Dollar) und Drift Protocol (280 Millionen US-Dollar) machten über 80 Prozent der Summe aus.
Zwar gingen die Verluste im Mai auf 68,3 Millionen Dollar zurück – doch die Nachwirkungen der Großangriffe sind spürbar. Im Juni meldete Arkham Intelligence, dass der KelpDAO-Angreifer nahezu alle nicht eingefrorenen 220 Millionen Dollar gewaschen hatte. Der Vorfall löste zudem eine Sicherheitsüberprüfung bei mehreren Protokollen aus, die unter anderem zu einem Wechsel der Oracle-Infrastruktur führte.
Erschwerend kommt hinzu: Laut einem Bericht von Anthropic nutzten 560 von 832 gesperrten Konten KI zur Vorbereitung von Cyberangriffen – darunter das Schreiben von Schadcode und die Identifikation von Schwachstellen. Die Entwicklung zeigt, dass sich die Risiken für Anleger in DeFi-Protokollen mit intransparentem Code deutlich verschärfen. Für Anleger hierzulande bleibt die steuerliche Einordnung solcher Verlustereignisse relevant – insbesondere im Hinblick auf die Haltefrist und den Nachweis von Diebstahl bei der Steuererklärung.