Manuel Aráoz, Mitbegründer von Openzeppelin, löste eine breite Debatte in der Branche aus, indem er die dezentrale Finanzwirtschaft (DeFi) als unsicher bezeichnete. Führende Vertreter der Branche halten dem entgegen, dass Aráoz das Risiko überbewerte, und weisen darauf hin, dass sich die Sicherheit bei DeFi-Krediten seit 2020 um rund 98 % verbessert habe.
Ist die gesamte DeFi-Branche unsicher? Branchenführer wehren sich, nachdem der Gründer von Openzeppelin Privatanleger davor gewarnt hat, aus Blue-Chip-Projekten auszusteigen
GESCHRIEBEN VON
TEILEN
Wichtige Erkenntnisse
- Die jüngsten Äußerungen von Openzeppelin-Gründer Manuel Aráoz haben die Sicherheitsbedenken im Zusammenhang mit DeFi erneut angefacht.
- Heinrich, CEO von 0G Labs, wies auf eine 98-prozentige Steigerung der Sicherheit bei Krediten seit 2020 hin und widerlegte damit Behauptungen, dass alle DeFi-Produkte unsicher seien.
- Ein Vertreter von Cysic rechnet bis 2029 mit einer Verfünffachung des Versicherungsvolumens und fordert die Regulierungsbehörden auf, den Fokus auf Betriebssicherheit statt auf KI-Code zu legen.
Vom Drama zu den Daten
Als Manuel Aráoz, Mitbegründer und ehemaliger Chief Technology Officer (CTO) von Openzeppelin, die dezentrale Finanzwirtschaft (DeFi) als völlig unsicher bezeichnete, versetzte dies eine Branche in Aufruhr, die ohnehin schon unter einer Welle von Hackerangriffen litt. Eine aktuelle Analyse des Blockchain-Sicherheitsunternehmens Peckshield unterstrich diese Anfälligkeit und ergab, dass allein durch Exploits von kettenübergreifenden Protokollen zwischen Jahresbeginn und Mitte Mai 328,6 Millionen US-Dollar abgezogen wurden.
Aráoz’ virale Warnungen zwangen Openzeppelin dazu, sich öffentlich von einigen seiner Behauptungen zu distanzieren, doch die Äußerungen lösten eine heftige Debatte über die DeFi-Sicherheit aus. Dennoch taten Kritiker seine dramatische Wortwahl als eigennützigen Versuch ab, Angst und Panik zu schüren. Andere, wie Leo Fan, Gründer von Cysic, glauben, dass die Art der Darstellung die Glaubwürdigkeit einer Botschaft untergräbt, die einen realen Kern hat.
„Wenn man es in ‚Steigt aus allem aus‘ verpackt, wird aus einer notwendigen Warnung Doomsday-Content“, sagte Fan. „Man braucht kein Drama, um die Leute in diesem Bereich zu bewegen; man braucht Zahlen.“ Die gleiche Meinung vertritt Michael Heinrich, Mitbegründer und CEO von 0G Labs, der auf die Verbesserung der Sicherheit bei DeFi-Krediten um etwa 98 % gegenüber dem Ausgangswert von 2020 hinweist. Heinrich hebt zudem die deutlich gesunkenen täglichen Verlustraten bei den großen Kreditprotokollen hervor, die nun bei etwa 0,001 % liegen, als weiteren Faktor, der Aráoz’ Behauptung „alle DeFi-Produkte sind unsicher“ widerlegt. „Dem Privatkunden zu raten, aus Blue-Chips wie Aave und Maker auszusteigen, entspricht nicht dem tatsächlichen risikobereinigten Bild“, sagte Heinrich gegenüber Bitcoin.com News.
In seiner Argumentation gegen DeFi betonte Aráoz, dass KI-Codierungsagenten mittlerweile unglaublich fortschrittlich darin sind, Open-Source-Smart-Contracts zu scannen und komplexe, ausnutzbare Schwachstellen mit maschineller Geschwindigkeit zu identifizieren. Die von diesen Agenten ausgehende Bedrohung sei so groß, dass er seinen Freunden und seiner Familie privat geraten habe, ihre Positionen in großen, seit langem etablierten „Blue-Chip“-DeFi-Protokollen vollständig aufzugeben.
Das Ende der statischen Prüfung
Heinrich und Fan argumentieren jedoch, dass der Aufstieg übermenschlicher KI-Angreifer nicht bedeutet, dass Verteidiger das Schiff verlassen sollten. Stattdessen, so sagen sie, erfordert dies einen grundlegenden Wandel in der Art und Weise, wie die Branche an Sicherheit herangeht. „Das punktuelle Audit ist bereits tot; die Leute haben nur noch keine Beerdigung abgehalten“, sagte Fan. Er warnte, dass eine vollständige Verlagerung von Audits hin zu Bug-Bounties die falsche Lehre sei. „Man ersetzt Prävention nicht durch Überwachung – man schließt die Lücke zwischen beiden.“ Laut Heinrich ist das Verlassen auf ein jährliches Audit keine glaubwürdige Verteidigung mehr. Stattdessen beruht die Zukunft der Smart-Contract-Sicherheit auf einer maschinengestützten, mehrschichtigen Verteidigungsstrategie, bei der Audits als erster Kontrollpunkt dienen und nicht als einmaliges Ereignis. Er skizzierte einen viergeschichteten Sicherheitsstapel: KI-gestützte Audits vor der Bereitstellung, gepaart mit menschlicher Überprüfung, kontinuierliche Überwachung nach der Bereitstellung, gut finanzierte Bug-Bounties und überprüfbare KI auf der Seite der Verteidiger. Das ultimative Ziel, so Heinrich, sei die Einbindung formaler Verifikation auf kritischen Pfaden – unter Verwendung mathematischer Beweise anstelle subjektiver Überprüfungen – neben kontinuierlichen, KI-gestützten Überprüfungen, die an Live-Verträgen durchgeführt werden, genau so, wie Angreifer vorgehen.
„Audits verschwinden nicht“, sagte er. „Sie werden zum ersten Kontrollpunkt in einer Verteidigungspipeline mit maschineller Geschwindigkeit.“ Über präventive Sicherheitspipelines hinaus dreht sich die Diskussion um Risikominderung unweigerlich um Versicherungen, ein Element, das laut Heinrich im Krypto-Ökosystem nach wie vor stark unterentwickelt ist. Laut Heinrich schränken einige strukturelle Hürden den dezentralen Versicherungssektor ein. Erstens binden Versicherungspools Kapital, das andernfalls an anderer Stelle in DeFi aktive Erträge erzielen könnte.
Um diesen Punkt zu veranschaulichen, verweist Heinrich auf den Marktführer Nexus Mutual, der über rund 190 Millionen US-Dollar verfügt, während der gesamte DeFi-Markt zwischen 40 Milliarden und über 100 Milliarden US-Dollar an gesperrten Gesamtwerten schwankte. Heinrich merkt an, dass diese Kapitalquote strukturell gering ist. Eine weitere Hürde ist die Definition dessen, was einen On-Chain-Exploit ausmacht, was er als keine triviale Aufgabe beschreibt.
Trotz dieser Hürden argumentiert Heinrich, dass die Durchsetzung von Versicherungsauflagen über Protokolle hinweg das falsche Mittel ist, um die Akzeptanz voranzutreiben. Stattdessen muss die Branche auf Produktebene innovativ sein. „Was tatsächlich etwas bewegt, sind parametrische On-Chain-Produkte, die bei verifizierbaren Signalen automatisch auszahlen, und Protokolle, die Versicherungen in das Produkt integrieren, so wie Clearing-Gebühren in traditionellen Märkten funktionieren“, sagte Heinrich.
Regulierung von Abläufen, nicht nur von Code
Während das derzeitige Sicherheitsnetz noch engmaschig ist, beschleunigt sich die Marktnachfrage. Laut einer Prognose von Coinlaw vom März 2026 wird sich der dezentrale Versicherungsmarkt bis 2029 voraussichtlich fast verfünffachen.
„Das Kapital kommt“, merkte Heinrich an. „Was fehlt, ist die Produktplattform, um es einzusetzen.“ Der interne Wandel der Branche hin zu maschinengestützter Verteidigung und automatisierten Sicherheitsnetzen wirft umfassendere Fragen zur behördlichen Aufsicht auf. Da politische Entscheidungsträger die Sicherheit digitaler Vermögenswerte zunehmend unter die Lupe nehmen, warnt Fan, dass Regulierungsbehörden Gefahr laufen, sich zu sehr auf die falschen Bedrohungen zu konzentrieren, wie etwa das Schreckgespenst bösartiger KI-Systeme.
„Der klügere regulatorische Ansatz besteht nicht darin, speziell wegen KI-Angreifern in Panik zu geraten“, sagte Fan. „Vielmehr sollte man sich auf die operative Ebene konzentrieren, auf der das Geld tatsächlich abfließt: Schlüsselverwahrung, Multisig-Governance, Brückensicherheit und Incident Response.“
Fan argumentiert, dass Aufsichtsbehörden durch die Durchsetzung strenger operativer Sicherheitsstandards für diese spezifischen Angriffsvektoren den Großteil der realen Kapitalverluste verhindern könnten. Sich ausschließlich auf den Code von Smart Contracts zu konzentrieren und dabei den täglichen Betrieb zu vernachlässigen, sei gleichbedeutend damit, „die 10 % zu regulieren und die 90 % zu übersehen“, warnte er. Darüber hinaus wies Fan auf eine technische Grundkomponente hin, die von politischen Entscheidungsträgern regelmäßig unterschätzt wird: fortschrittliche Kryptografie.
„Kryptografische Nachweise, wie Zero-Knowledge-Proofs, darüber, welcher Code ausgeführt wurde und dass er korrekt lief, sind eine weitaus bessere Compliance-Grundlage als ein PDF-Prüfbericht“, sagte Fan. „Sie sind mathematisch überprüfbar, nicht durch Vertrauen. Genau darauf sollte sich die Regulierungsenergie konzentrieren.“
