Audit (Smart-Contract-Audit)

Ein Smart-Contract-Audit ist eine strukturierte Sicherheitsprüfung des Quellcodes eines oder mehrerer Smart Contracts, die vor dem Deployment oder vor wesentlichen Protokoll-Upgrades durch unabhängige Sicherheitsexperten durchgeführt wird. Ziel ist es, Bugs, Logikfehler, Zugangskontrollschwächen und Abweichungen zwischen beabsichtigtem und tatsächlichem Code-Verhalten zu identifizieren – bevor diese in einer produktiven Umgebung ausgenutzt werden können.

Ablauf: Drei Prüfschichten

Ein professionelles Audit besteht typischerweise aus drei Komponenten: Erstens dem automatisierten Scanning, bei dem spezialisierte Werkzeuge bekannte Schwachstellenmuster – etwa Reentrancy-Angriffe oder Integer-Überläufe – systematisch aufspüren. Zweitens der manuellen Code-Analyse durch erfahrene Sicherheitsforscherinnen und -forscher, die komplexe Interaktionen zwischen Verträgen, unerwartete Zustandsübergänge und subtile Designfehler untersuchen, die automatische Tools regelmäßig übersehen. Drittens dem Abschlussbericht mit einer Klassifizierung der Befunde nach Schweregrad (kritisch, hoch, mittel, niedrig, informativ) sowie konkreten Behebungsempfehlungen. Nach Umsetzung der Korrekturen folgt in der Regel eine Nachprüfung der adressierten Schwachstellen.

DeFi-Protokolle beauftragen häufig mehrere Firmen parallel oder nacheinander, um eine breitere Abdeckung zu erreichen. Bekannte Anbieter wie CertiK, OpenZeppelin, Hacken und Cyfrin haben sich auf diesen Bereich spezialisiert, unterscheiden sich jedoch in Methodik, Tiefe und Prüfschwerpunkten.

Audit ≠ Test und kein Sicherheitsversprechen

Ein verbreitetes Missverständnis ist die Gleichsetzung von Audit und Testing. Interne Tests prüfen, ob der Code das Erwartete tut; ein Audit sucht aktiv nach unerwartetem und gefährlichem Verhalten. Beide Verfahren ergänzen sich, ersetzen sich aber nicht gegenseitig.

Ebenso wichtig: Ein abgeschlossenes Audit ist keine Garantie für Sicherheit. Es erhöht die Prüftiefe, kann aber keine vollständige Fehlerfreiheit attestieren – insbesondere dann nicht, wenn der Prüfumfang eingeschränkt war, der Code nach dem Audit verändert wurde oder neue Angriffsvektoren erst nach der Prüfung bekannt werden. Historisch sind mehrere DeFi-Protokolle trotz vorliegender Audits gehackt worden, weil Angriffe auf Wechselwirkungen mit externen Protokollen abzielten, die außerhalb des Prüfumfangs lagen.

Der Trend entwickelt sich daher von einmaligen Pre-Launch-Reviews hin zu kontinuierlichen Sicherheitsprogrammen, die automatisierte On-Chain-Überwachung, regelmäßige Re-Audits bei Upgrades und Bug-Bounty-Programme kombinieren.

Verwandte Begriffe

• Smart Contract
• Approval (Token-Freigabe)
• Governance Token
• Honeypot-Token