Einst im Visier von Kleinanlegern, bringen dezentrale Finanzplattformen nun neue Schwachstellen mit sich.

Automatisierte Ertragsprotokolle bildeten DeFis überzeugendstes Argument für den Einzelhandel, dass die Einzahlung in einen Tresor alles sei, was ein Benutzer tun müsse, während das Protokoll alles andere regele.

Für Benutzer, die von den gesteigerten Erträgen von Curve profitieren möchten, ohne $CRV-Sperren, Abstimmungsmacht, Wrapper, Messgeräte und Anreize manuell verwalten zu müssen, hat Stake DAO ein Produkt angeboten, das den gesamten Stack hinter einer einfachen Schnittstelle verpackt und dabei auch alles verpackt, was kaputt gehen könnte.

Laut Blockaid hat ein Angreifer durch eine mutmaßliche Kompromittierung eines Deployer-Schlüssels über 5,4 Billionen vsdCRV auf Arbitrum geprägt und damit begonnen, Token gegen $ETH zu tauschen.

Der Angreifer änderte die LayerZero-bezogene Peer-Konfiguration, um eine kettenübergreifende Nachricht zu fälschen, bevor er 5.446.744.073.709 vsdCRV prägte und einen Teil in etwa 43,78 $ETH umwandelte, wobei die Liquidität die realisierte Extraktion weit unter die nominale Prägung einschränkte.

Stake DAO forderte Benutzer auf, während der aktiven Situation nicht mit vsdCRV zu interagieren. Der Vorfall breitete sich auf Curve aus, was Benutzer in einem betroffenen Arbitrum-LlamaLend-Markt warnte, und Beefy Finance pausierte einen verbundenen Tresor mit Exposition gegenüber Curve und Convex.

Mit den Liquid Lockers von Stake DAO können Benutzer Governance-Token wie $CRV hinterlegen, liquide sdTokens erhalten und auf höhere Erträge und Governance-Exposure zugreifen, ohne den Curve-Locking-Stack direkt verwalten zu müssen.

Die Vault-Schnittstelle verbirgt all das und verbirgt damit auch die Deployer-Schlüssel, die Cross-Chain-Messaging-Vertrauensstellung, die Wrapper-Token-Buchhaltung und die Oracle-Abhängigkeiten, die der Exploit durchlaufen hat.

Eine Infografik, die die vier Schritte, die Benutzer in automatisierten Renditetresoren sehen, den sieben versteckten Risikoebenen gegenüberstellt, die sie darunter erben.

Die automatisierte Ausbeute verschiebt die DeFi-Komplexität aus dem Blickfeld, eine Verlagerung, die erst sichtbar wird, wenn etwas in der verborgenen Schicht kaputt geht.

Ido Ben-Natan, Mitbegründer und CEO von Blockaid, erläuterte die Sicherheitslücke in einer Notiz:

„Überall dort, wo in der Kette ein Wert vorhanden ist, werden Angreifer versuchen, ihn auszunutzen, und das gilt unabhängig davon, wie einfach oder komplex die Strategie eines Protokolls ist. Hier sind zwei Dinge wichtig. Erstens, ob Protokolle über die richtige Governance-Infrastruktur verfügen, um sicherzustellen, dass es keinen einfachen Fehlerpunkt gibt, der ausgenutzt werden kann. Zweitens, über ein Echtzeit-Sicherheitstool in der Kette zu verfügen, das jede Transaktion vor der Ausführung validiert.“

Die umfassendere Abrechnung

Der April 2026 war DeFis schlimmster Exploit-Monat. In 28 Vorfällen wurden rund 635 Millionen US-Dollar erbeutet, die durch Social Engineering, Bridge-Spoofing und KI-gestützte Aufklärung verursacht wurden.

Manuel Aráoz, Mitbegründer von OpenZeppelin und bis 2019 dessen CTO, schrieb, dass er mittlerweile „das gesamte“ DeFi für unsicher hält, weil KI-Programmierungsagenten beim Auffinden von Schwachstellen „übermenschlich“ geworden sind, während Verteidiger jeden Fehler beheben müssen und Angreifer nur einen benötigen.

Eine Datengrafik, die den April 2026 als DeFis schlimmsten Exploit-Monat zeigt, mit einem Verlust von 635 Millionen US-Dollar bei 28 Vorfällen und einem Fake-Mint von 5,4 Billionen vsdCRV.

OpenZeppelin wies diese Behauptung öffentlich zurück und erklärte, dass die Beiträge von Aráoz nicht die Position des Unternehmens widerspiegelten. Die von ihm beschriebene Asymmetrie hat jedoch über den Zuschreibungsstreit hinaus ernsthafte Aufmerksamkeit erregt.

Ben-Natan macht den defensiven Vorteil auf Echtzeit-Tools und adaptive Bedrohungserkennung zurückzuführen:

„Hacker nutzen zunehmend KI, um schneller voranzukommen und neue Angriffsvektoren zu finden. On-Chain-Cybersicherheitsanbieter wie Blockaid verfügen jedoch über umfassende Erfahrung mit der Nutzung von KI, um immer einen Vorsprung zu haben. Wir analysieren kontinuierlich neue Bedrohungsmuster und passen uns in Echtzeit an neue Bedrohungsmuster an, indem wir KI-Agenten für Untersuchungen, Simulationen und den Abgleich böswilliger Muster einsetzen.“

Diese Echtzeitfähigkeit macht die Transaktionsvalidierung zu einer praktikablen Gegenmaßnahme gegen die zunehmende Geschwindigkeit von Edge-Angreifern, und für automatisierte Ertragsprotokolle sind Governance-Kontrollen und Überwachung zur eigentlichen Sicherheitsebene geworden, von der die Tresorschnittstelle abhängt.

Der nächste Tresor

Im Bärenfall führen weitere wichtige Kompromisse, Brückenvorfälle, Oracle-Ansteckung und Tresorpausen zu einem Abstraktionsrabatt bei automatisierten Ertragsprodukten.

Benutzer fordern höhere Renditen, um das versteckte Stack-Risiko auszugleichen, was es schwieriger macht, den One-Click-Yield-Pitch ohne explizite Risikooffenlegung aufrechtzuerhalten, und kleinere Tresore verlieren TVL, wenn Integrationen risikogesteuert werden.

Das Vorfallmuster, das den April definierte, erstreckt sich über den Rest des Jahres, und jeder neue Vorfall verstärkt die Wahrnehmung, dass die Ertragsautomatisierung Risiken bündelt, die Benutzer nicht unabhängig bewerten können.

Im Bullenfall übernehmen Protokolle die von Ben-Natan beschriebene Architektur, bestehend aus Governance-Kontrollen, die einfache Fehlerquellen beseitigen, Echtzeit-Transaktionsvalidierung und kontinuierlicher Überwachung von Bedrohungsmustern sowie automatisierter Renditeüberleben in einer standardisierteren Form.

Formale Verifizierung, Multisig-Kontrollen und Laufzeitüberwachung werden zur Standardinfrastruktur, und die Produkte, die das Vertrauen des Einzelhandels bewahren, sind diejenigen, die den Abhängigkeitsstapel offenlegen und verwalten.

Sicherheitsanbieter und Risiko-Dashboards sind in die Vault-Schnittstelle selbst eingebettet und der Wettbewerbsvorteil m