News
Chainalysis: 36,7 Millionen Dollar durch Angriffe auf unverifizierte Smart Contracts gestohlen
Von KryptoRatgeber · veröffentlicht 14. Juni 2026
Mindestens 36,7 Millionen Dollar wurden in den vergangenen sechs Monaten aus DeFi-Protokollen gestohlen, deren Smart-Contract-Code niemals öffentlich einsehbar war – das geht aus einem am 9. Juni 2026 veröffentlichten Bericht des Blockchain-Analyseunternehmens Chainalysis hervor. Besonders besorgniserregend: KI-gestützte Werkzeuge erlauben es Angreifern zunehmend, verborgenen Bytecode automatisiert auf Schwachstellen zu durchsuchen, was den vermeintlichen Schutz durch Intransparenz gezielt aushebelt. Für alle, die Gelder in DeFi-Protokollen halten, wirft der Bericht grundlegende Fragen zur Risikobewertung auf.
36,7 Millionen Dollar aus Protokollen mit verstecktem Code abgezogen
Mindestens 36,7 Millionen Dollar wurden in den vergangenen sechs Monaten aus DeFi-Protokollen gestohlen, deren Smart-Contract-Quellcode zu keinem Zeitpunkt öffentlich verifiziert war – das geht aus The Hidden Code Problem: How Unverified Smart Contracts Are Becoming a Preferred Target for Attackers (Chainalysis) hervor, veröffentlicht am 9. Juni 2026.
Chainalysis identifizierte in dem Bericht fünf betroffene Protokolle. Den größten Einzelschaden verzeichnete Truebit: Am 8. Januar 2026 wurden auf Ethereum 26,2 Millionen Dollar über einen Integer-Overflow-Fehler in einer Bonding Curve abgezogen – der betreffende Contract existierte seit 2021, war jedoch nie auf Etherscan verifiziert. Es folgten Trusted Volumes (5,9 Mio. USD, Access-Control-Fehler, 7. Mai 2026), Aperture Finance (3,2 Mio. USD, Input-Validation-Bypass, 25. Januar 2026) und Ekubo (1,4 Mio. USD, fehlerhafte Callback-Validierung, 5. Mai 2026) – alle auf Ethereum, alle mit nicht verifiziertem Contract zum Zeitpunkt des Exploits.
Laut Chainalysis waren mehrere der betroffenen Protokolle zwar mit aktiven Bug-Bounty-Programmen ausgestattet, die unverifizierten Contracts waren darin jedoch ausdrücklich ausgeschlossen – und erhielten damit auch keine passive Prüfung durch externe Sicherheitsforscher.
Warum „Security through Obscurity" im KI-Zeitalter keine Schutzstrategie mehr ist
Der Chainalysis-Bericht offenbart ein strukturelles Missverständnis, das in der DeFi-Entwickler-Community noch immer verbreitet ist: der Glaube, nicht veröffentlichter Quellcode schütze vor Angriffen. Dieses Prinzip – in der Informationssicherheit als „Security through Obscurity" bekannt und dort seit Jahrzehnten als unzureichend eingestuft – verliert im Kontext KI-gestützter Angriffswerkzeuge vollends seine Wirksamkeit. Wenn LLMs decompilierten Bytecode tausender Contracts automatisiert auf Schwachstellenmuster scannen können, ist die Hürde für Angreifer nicht mehr die fehlende Lesbarkeit des Codes – sie entfällt praktisch.
Für Nutzer, die Gelder in DeFi-Protokollen halten, ergibt sich daraus eine konkrete Checkliste: Ist der relevante Contract auf Etherscan oder einem vergleichbaren Block-Explorer verifiziert? Deckt das Bug-Bounty-Programm des Protokolls alle fondsverarbeitenden Contracts ab – oder schließt es gerade die unverifizierten aus, wie es bei mehreren der betroffenen Protokolle der Fall war?
Einschränkend gilt: Die 36,7 Millionen Dollar betreffen einen spezifischen Angriffsvektor und sind kein Maßstab für das Gesamtrisiko im DeFi-Sektor. Wer die Zahlen ohne diesen Kontext liest, unterschätzt sowohl die Dimension des Gesamtproblems als auch die Besonderheit dieses Musters. Der Bericht stammt von Chainalysis, einem Unternehmen, das Compliance-Lösungen für den Kryptosektor vermarktet – die Empfehlungen decken sich mit dessen Geschäftsinteressen und sollten entsprechend eingeordnet werden.
Wenn Code kein Geheimnis mehr ist: Warum Obscurity als Sicherheitsstrategie versagt
Wer einen Smart Contract auf einer öffentlichen Blockchain wie Ethereum deployt, aber dessen Quellcode nicht verifiziert, hinterlässt dort nur maschinenlesbaren Bytecode – für Menschen kaum direkt lesbar. Lange galt das als implizite Hürde für Angreifer: Ohne Quellcode fehlt der einfache Einstiegspunkt.
Dieses Prinzip – bekannt als „Security through Obscurity" – ist in der IT-Sicherheit seit Jahrzehnten umstritten. Es ersetzt keine strukturellen Schutzmaßnahmen wie ein Smart Contract Audit, sondern verschiebt lediglich den Aufwand für potenzielle Angreifer.
Laut Chainalysis ist selbst dieser geringe Aufwand heute kaum noch relevant: KI-gestützte Decompiler und Large Language Models können Bytecode automatisiert analysieren und systematisch nach Schwachstellenmustern durchsuchen – womit die ohnehin schwache Schutzwirkung von unverifizierten Contracts weiter abnimmt. Verifizierter Quellcode hingegen ermöglicht externe Überprüfung durch White-Hat-Forscher und die Einbindung in Bug-Bounty-Programme.
Häufige Fragen
Was bedeutet „verifizierter Smart Contract" konkret?
Ein Smart Contract gilt als verifiziert, wenn sein Quellcode auf einem Block-Explorer wie Etherscan öffentlich hinterlegt und mit dem auf der Blockchain gespeicherten Bytecode abgeglichen wurde. Jeder kann den Code dann lesen und prüfen. Fehlt diese Verifizierung, ist nur maschinenlesbarer Bytecode öffentlich – der menschlich schwer zu lesen, aber mit modernen Werkzeugen zunehmend automatisiert analysierbar ist.
Warum schützt das Verbergen von Code heute kaum noch vor Angriffen?
KI-gestützte Decompiler können rohen Bytecode automatisiert in lesbaren Code zurückverwandeln. Laut Chainalysis lassen sich so tausende unverifizierter Contracts systematisch auf Schwachstellen scannen – ohne dass Angreifer manuell jeden Contract prüfen müssen. Das Prinzip „Security through Obscurity", also Sicherheit durch Unbekanntheit des Codes, verliert damit gegenüber skalierbaren, pipeline-gesteuerten Angriffsmethoden erheblich an Wirksamkeit.
Warum waren Bug-Bounty-Programme kein ausreichender Schutz?
Mehrere der betroffenen Protokolle betrieben aktive Bug-Bounty-Programme. Chainalysis stellt jedoch fest, dass unverifizierte Contracts dort in der Regel explizit ausgeschlossen sind – White-Hat-Forscher konnten die Schwachstellen also nicht im Rahmen dieser Programme melden. Dadurch fehlte die passive Sicherheitsprüfung durch die Sicherheitsgemeinschaft vollständig.