Ein atemberaubender Raubüberfall im Wert von 293 Millionen US-Dollar enthüllt den Moment des Erwachsenwerdens von DeFi

Jahrelang verkaufte sich die dezentrale Finanzierung mit einem einfachen Versprechen: Code ist Gesetz. Intelligente Verträge, unveränderlich und transparent, würden die menschlichen Schwächen beseitigen, die das traditionelle Finanzwesen plagen.

Doch der KelpDAO-Exploit im Wert von 293 Millionen US-Dollar im letzten Monat brachte eine unangenehme Realität für die Entwickler von Krypto-Infrastrukturen ans Licht: Die größten Schwachstellen der Branche haben immer weniger mit den Smart Contracts selbst zu tun.

Stattdessen liegt die Gefahr jetzt im weitläufigen Netz aus Brücken, Governance-Systemen, Betriebssicherheit und Abhängigkeiten von Drittanbietern, das sich rund um den Code befindet, der chaotischen menschlichen und infrastrukturellen Ebene, die dem modernen DeFi zugrunde liegt.

„Die Verträge haben in den meisten dieser Fälle genau das getan, was ihre Autoren ihnen gesagt haben“, sagte Eugene Mamin, der technische Chef der Lido Labs Foundation, gegenüber CoinDesk. „Die Autoren waren in diesem Fall einfach nicht die legitimen Personen.“

Der KelpDAO-Exploit, der mit einer Schwachstelle in der Bridge-Infrastruktur von LayerZero verbunden ist, wird zu einem entscheidenden Moment für eine DeFi-Branche, die mit ihrer eigenen Reife ringt.

Für Protokollgründer und Sicherheitsforscher verstärkte der Vorfall einen umfassenderen Wandel im Kryptobereich: DeFi bekämpft nicht mehr in erster Linie Programmierfehler. Es kämpft gegen seine eigene Komplexität.

In den Anfangsjahren von DeFi waren Exploits typischerweise auf Fehler im Smart-Contract-Code, Wiedereintrittsfehler, Oracle-Manipulation oder fehlerhafte Logik zurückzuführen. Heutzutage ereignen sich viele der größten Ausfälle der Branche ganz woanders.

„Das Risiko intelligenter Verträge ist weitgehend ein gelöstes Problem“, sagte Sam MacPherson, CEO von Phoenix Labs, dem Entwickler hinter der dezentralen Finanzplattform Spark. „In letzter Zeit waren alle Hacks auf schlechte Betriebssicherheit zurückzuführen.“

Das bedeutet nicht, dass intelligente Verträge perfekt sind. Laut beiden Führungskräften haben Auditing-Tools, formelle Verifizierung, Bug-Bounty-Programme und KI-gestützte Codeüberprüfung die zugrunde liegenden Verträge jedoch deutlich robuster gemacht, als sie es während des explosiven Wachstumszyklus von DeFi waren.

Das Problem besteht darin, dass sich DeFi selbst zu einer stark vernetzten Finanzmaschine entwickelt hat. Protokolle sind auf Brücken angewiesen. Brücken sind auf Validatoren und Nachrichtensysteme angewiesen. Governance-Systeme basieren auf Multisigs, Cloud-Infrastruktur, SaaS-Anbietern und Teams, die über verschiedene Gerichtsbarkeiten verteilt sind.

Jede hinzugefügte Schicht schafft eine weitere Fehlerquelle. „Wenn Sie die Infrastruktur eines anderen wiederverwenden, erben Sie dessen Bedrohungsmodell“, sagte Mamin von Lido.

Der KelpDAO-Exploit hat genau gezeigt, wie gefährlich diese angeborenen Risiken werden können. Eine Schwachstelle in der Shared-Bridge-Infrastruktur blieb nicht isoliert, sondern breitete sich nach außen in darauf aufbauende Protokolle aus.

„Konzentration kann still und leise zu einem systemischen Risiko werden“, sagte MacPherson von Phoenix Labs. „Wenn ein zu großer Teil des Marktes von derselben Infrastruktur abhängt, bleiben Ausfälle nicht mehr isoliert, sondern beginnen sich zu kaskadieren.“

„Langweilig“ als ansprechendes Feature für DeFi

Der Exploit komme auch zu einem Zeitpunkt, an dem Krypto-Investoren gegenüber risikoreichen Experimenten immer weniger tolerant seien, glaubt Mamin.

„Die Protokolle, denen Menschen tatsächlich ernsthaftes Kapital anvertrauen, sind diejenigen, die vorhersehbar jahrelang das Gleiche tun“, sagte Mamin. „Langweilig ist ein Merkmal.“

DeFi-Protokolle belohnen in der Regel maximales Wachstum, maximale Hebelwirkung und maximale Rendite. Komplexität wurde oft als Innovation angesehen. Jetzt, nach Jahren voller Exploits, Liquidationen und kaskadierender Ausfälle, scheinen sich Benutzer auf etwas weitaus weniger Aufregendes zu konzentrieren: Vorhersehbarkeit.

MacPherson sagte, der Markt beginne, Systeme zu belohnen, die eher auf Widerstandsfähigkeit als auf maximalen Gewinn ausgelegt seien.

„Lange Zeit hat DeFi Wachstum um jeden Preis belohnt“, sagte er. „Aber wenn sich die Bedingungen verschärfen, werden die verborgenen Kompromisse sichtbar.“

Laut MacPherson verzeichnete Spark in letzter Zeit einen Anstieg der Einlagen, teilweise weil die Nutzer auf konservativere Kreditmärkte und einfachere Sicherheitenstrukturen umsteigen.

Eine weitere Schlussfolgerung aus dem KelpDAO-Vorfall ist, dass viele der gefährlichsten Angriffsvektoren von DeFi mittlerweile gewöhnlichen Cybersicherheitsproblemen ähneln.

Mamin wies darauf hin, dass Schwachstellen in persönlichen Laptops, SaaS-Plattformen, wichtigen Verwaltungssystemen und Software-Lieferketten zu den größten ungelösten Risiken der Branche zählen.

„Die Angriffsfläche hat sich wieder auf die Web2-Wurzeln konzentriert und ist nicht kleiner geworden“, sagte er.

Das schafft einen seltsamen Widerspruch im Herzen der Krypto. Die On-Chain-Schicht mag völlig transparent sein, aber ein Großteil der sie unterstützenden Infrastruktur bleibt undurchsichtig und von außen schwer zu prüfen.

Die Implikation wird für Benutzer immer schwerer zu ignorieren: Die Sicherheit in DeFi hängt zunehmend weniger davon ab, ob ein Protokoll geprüft wurde, als vielmehr davon, ob die Leute, die es betreiben, diszipliniert sind. Das bedeutet geografisch verteilte Multisigs, Zeitsperren, eingespielte Pläne zur Reaktion auf Vorfälle, strenge betriebliche Sicherheitspraktiken und Governance-Systeme, die die Abhängigkeit von einzelnen Akteuren verringern.

Trotz der Reihe von Exploits glauben weder Mamin noch MacPherson, dass die Vorfälle DeFi insgesamt ungültig machen. Irgendwie