OpenZeppelin-Mitgründer: DeFi ist nicht mehr sicher
Manuel Aráoz warnt vor struktureller Schieflage: KI-gestützte Angriffe machen selbst geprüfte Protokolle riskant. Im April 2026 wurden über 600 Millionen US-Dollar erbeutet.
Veröffentlicht
28. Mai 2026
Wenn der Mitgründer einer der angesehensten Sicherheitsfirmen der Kryptobranche sagt, das gesamte DeFi-Ökosystem sei unsicher, sollte man hinhören.
Manuel Aráoz, der 2015 gemeinsam mit Demian Brener OpenZeppelin gründete, stellte am 26. Mai klar: DeFi ist aus seiner Sicht nicht mehr sicher. Der Grund ist struktureller Natur. Das Ungleichgewicht zwischen Angreifern und Verteidigern in der Smart-Contract-Sicherheit habe ein Ausmaß erreicht, bei dem selbst streng geprüfte Protokolle nicht mehr als sicher gelten können. Und KI, so Aráoz, verschärfe das Problem dramatisch.
Über 600 Millionen US-Dollar in einem Monat
Der Hintergrund von Aráoz' Warnung ist düster. Allein im April 2026 wurden aus DeFi-Protokollen durch mehrere Exploits mehr als 600 Millionen US-Dollar abgezogen.
Am härtesten traf es KelpDAO mit einem Verlust von 292 Millionen US-Dollar. Drift folgte mit 285 Millionen, Euler verlor 197 Millionen US-Dollar. Drei Protokolle, drei massive Verluste – alle innerhalb eines Kalendermonats.
KI kippt das Kräfteverhältnis
Das Problem der Smart-Contract-Sicherheit war schon immer asymmetrisch: Verteidiger müssen jede Schwachstelle finden und beheben. Angreifer brauchen nur eine. Aráoz argumentiert, dass fortgeschrittene KI-Coding-Agents die Gleichung jetzt drastisch verschlechtern. Sie werden zunehmend besser darin, Smart-Contract-Code zu lesen und ausbeutbare Bugs in Maschinengeschwindigkeit zu identifizieren.
OpenZeppelin selbst scheint die veränderte Bedrohungslage zu erkennen. Am 12. Mai veröffentlichte die Firma ein Rahmenwerk namens „Four Layers of DeFi Risk“, das Institutionen helfen soll, die vielschichtigen Gefahren beim Einsatz von Kapital in dezentralen Protokollen zu verstehen und zu managen. Kernbotschaft: Audits allein reichen nicht mehr aus. Kontinuierliches Monitoring und mehrschichtige Sicherheitsansätze sind unabdingbar.
Was Anleger daraus ableiten sollten
Für institutionelle Investoren bedeuten Aráoz' Warnung und OpenZeppelins neues Risikoframework eine Verschiebung der Sorgfaltsanforderungen. Wer Kapital in DeFi-Strategien allokiert, wird künftig Nachweise über kontinuierliches Sicherheits-Monitoring, Bug-Bounty-Programme, formale Verifikation kritischer Codepfade und Versicherungsschutz vorlegen müssen. Ein sauberer Audit-Bericht von vor sechs Monaten genügt nicht mehr – auch wenn KI-Agenten in Stunden neue Angriffsvektoren finden können.
Die unbequeme Wahrheit, die Aráoz anspricht, ist: DeFis Sicherheitsmodell wurde für eine Welt entwickelt, in der menschliche Hacker Code manuell auf Schwachstellen prüften. Diese Welt gibt es nicht mehr. Solange die Verteidigung nicht so schnell skaliert wie der Angriff, könnte „unsicher“ das ehrlichste verfügbare Wort sein.
Für Anleger in Deutschland bleibt die steuerliche Einordnung dieses Risikos relevant: Verluste aus Hacks oder Exploits können unter Umständen als Betriebsausgaben oder Veräußerungsverluste geltend gemacht werden – die genaue Behandlung hängt jedoch vom Einzelfall ab und sollte mit einem Steuerberater geklärt werden.