Sind es Hacker und Regulierungsbehörden, die DeFi ruiniert haben?

Autor: Gu Yu, ChainCatcher

Im April 2026 rückte eine Reihe von Sicherheitskatastrophen DeFi erneut in den Fokus der öffentlichen Meinung. Die Angriffe auf Kelp DAO und Drift Protocol führten zu Verlusten von über 575 Millionen US-Dollar, wodurch der Total Value Locked (TVL) in DeFi von etwa 172 Milliarden auf 148 Milliarden US-Dollar einbrach, während der TVL im Kreditsektor von 53 Milliarden auf 40 Milliarden US-Dollar kollabierte.

In den letzten Tagen erklärte Manuel Aráoz, Mitbegründer des bekannten Sicherheitsprüfungsunternehmens OpenZeppelin, auf der Plattform X unverblümt: „Ich glaube, dass ganz DeFi mittlerweile unsicher ist.“ Er erwähnte sogar, dass er begonnen habe, Freunden und Familie privat dazu zu raten, alle DeFi-Positionen zu liquidieren, einschließlich Protokollen wie Aave, MakerDAO und Compound, die als „risikoarme Blue Chips“ gelten.

Obwohl dieses Urteil besonders hart ist, ist es wert, darüber nachzudenken. Schließlich ist OpenZeppelin seit langem einer der wichtigsten Erbauer der Sicherheitsinfrastruktur in der DeFi-Welt, dessen Smart-Contract-Standards und Sicherheitswerkzeuge die Entwicklung der gesamten Branche durchdringen. Wenn selbst diejenigen, die das Sicherheits-System von Smart Contracts am besten verstehen, beginnen, die Risiken von DeFi in Frage zu stellen und sich entschlossen zurückziehen, deutet dies zweifellos darauf hin, dass einige tieferliegende Probleme an die Oberfläche kommen.

In den letzten Jahren konnte man bei Rückschlägen von DeFi immer schnell einen spezifischen Grund finden. Bei Marktabschwüngen wurde die Schuld auf das makroökonomische Umfeld geschoben; bei Hackerangriffen schrieb man es technischen Schwachstellen zu; wenn Regulierungsbehörden handelten, wurden die Probleme als politischer Druck zusammengefasst.

Wenn wir jedoch den Zeitrahmen erweitern, stellen wir eine immer deutlichere Tatsache fest: Die Notlage, in der sich DeFi heute befindet, wird nicht durch einen einzelnen Angriff, eine bestimmte regulatorische Richtlinie oder ein gescheitertes Projekt verursacht, sondern dadurch, dass die beiden Kernlogiken, auf denen es ursprünglich aufgebaut wurde, gleichzeitig vor Herausforderungen stehen.

Die eine Logik stammt aus der technischen Welt, nämlich dass Code Vertrauen ersetzen kann. Die andere Logik stammt aus der institutionellen Welt und besagt, dass offene Netzwerke die Beschränkungen traditioneller Finanzsysteme umgehen können.

Und Hacker sowie Regulierungsbehörden haben genau diese beiden Säulen getroffen.

I. Die tiefgreifende Entwicklung der DeFi-Sicherheitskrise

Seit einem Jahrzehnt hat sich das Kernparadoxon im Bereich der DeFi-Sicherheit nie geändert. Web3-Sicherheitsforscher haben diese fatale Asymmetrie längst erkannt: Der Verteidiger muss jede mögliche Schwachstelle schließen, während der Angreifer nur in einem Aspekt erfolgreich sein muss.

Oberflächlich betrachtet sind die Angriffsmethoden nichts weiter als die üblichen Verdächtigen: Schwachstellen bei Cross-Chain-Brücken, Hijacking von Multi-Signatur-Berechtigungen, Manipulation von Orakeln usw. Die Vorfälle bei Kelp DAO und Drift Protocol offenbaren jedoch einen brutaleren Trend: Die fatalsten Schwachstellen liegen oft nicht im Smart-Contract-Code.

Am 18. April wurde das Ethereum-Liquiditäts-Re-Staking-Protokoll Kelp DAO angegriffen. Der Angreifer nutzte eine Konfigurationsschwachstelle im DVN (Decentralized Validation Network) der LayerZero Cross-Chain-Brücke aus, fälschte Cross-Chain-Nachrichten und hob innerhalb weniger Stunden 116.500 rsETH von der Brücke ab, was zum damaligen Zeitpunkt etwa 293 Millionen US-Dollar entsprach.

Das Wesen dieser Katastrophe ist ein Konfigurationsfehler, kein Code-Defekt. Kelp DAO wählte eine „1-von-1“-Konfiguration für das Cross-Chain-Validierungsnetzwerk von LayerZero – nur die Bestätigung eines einzigen DVN-Knotens ist erforderlich, damit Cross-Chain-Nachrichten als legitim gelten. Als der Angreifer zwei RPC-Knoten kompromittierte, die Validierungsdaten bereitstellten, und einen DDoS-Angriff startete, war das gesamte Bridging-System praktisch nicht mehr existent.

Am 1. April wurde eines der größten Perpetual-Contract-DEXs im Solana-Ökosystem, Drift Protocol, angegriffen, was zu einem Verlust von 285 Millionen US-Dollar führte. Dies war der bisher größte einzelne DeFi-Angriffsvorfall des Jahres 2026 und der zweitgrößte Hack in der Geschichte von Solana.

Auch dies war keine Schwachstelle im Smart Contract. Der Angreifer nutzte Social Engineering, um mindestens zwei der drei Unterzeichner des Multi-Signatur-Wallets zu kompromittieren und zwang sie, bösartige Transaktionen unter Verwendung der „Durable Nonce“-Funktion von Solana vorab zu signieren. Sobald der Angreifer administrative Privilegien erlangte, schloss er den Diebstahl der Gelder in weniger als 12 Minuten ab.

Die Wurzel des Angriffs liegt in einem vollständigen Versagen der operativen Sicherheit (OpSec): unsachgemäße Konfiguration des Multi-Signatur-Wallets, blinde Flecken im Schlüsselmanagement und eine Verteidigungslinie gegen Social Engineering, die praktisch nicht vorhanden war.

Diese beiden Vorfälle offenbaren die tiefgreifende Entwicklung der DeFi-Sicherheitskrise: Die Angriffspunkte verschieben sich systematisch von traditionellen Schwachstellen im Smart-Contract-Code hin zu Konfigurations- und Mensch-/OpSec-Ebenen.

Manuel Aráoz wies auf den Kern des Problems hin: „Smart-Contract-Sicherheit ist im Grunde ein extrem asymmetrisches Spiel – Verteidiger müssen alle Schwachstellen beheben, während Angreifer nur eine finden müssen, um Gelder zu stehlen.“ Da KI beginnt, die Effizienz von Angriffen exponentiell zu steigern, gerät diese Asymmetrie schnell aus dem Gleichgewicht.

KI-Coding-Agenten können Probleme, für deren Entdeckung Top-White-Hat-Teams früher Wochen brauchten, auf wenige Minuten komprimieren und sogar autonom Angriffsskripte basierend auf öffentlich verfügbarem Protokollcode generieren. Als eines der renommiertesten Sicherheitsprüfungsunternehmen der Branche dient das pessimistische Urteil des Mitbegründers als Signal – die Sicherheitsbranche selbst erkennt, dass der bestehende Verteidigungsrahmen vor einem systemischen Versagen steht.

II. Die anhaltende Ausbreitung des regulatorischen Drucks

Während sich die Sicherheitskrise verschärft, üben auch regulatorische Kräfte kontinuierlich Druck auf On-Chain- und Off-Chain-Dimensionen aus.

Am 26. Mai setzte die britische Regierung die Kryptobörse HTX auf ihre Sanktionsliste gegen Russland und markierte damit das erste Mal, dass sie die Verordnung 17A zur Verhängung von Sanktionen gegen eine Kryptobörse anwandte. Großbritannien beschuldigte HTX, im Jahr 2025 Transaktionen im Wert von 3,3 Billionen US-Dollar abgewickelt und angeblich Finanzdienstleistungen für das sanktionierte A7-Zahlungsnetzwerk und die russische Börse Garantex erbracht zu haben.

Die durch die Sanktionen ausgelöste Kettenreaktion verbreitete sich schnell. Da mehrere führende AML-Unternehmen die Börsenadresse von HTX als Hochrisiko-Adresse einstuften, verschärften viele Börsen, die deren AML-System nutzen, ihre Transaktionsprüfungen im Zusammenhang mit HTX-assoziierten Adressen, was dazu führte, dass zahlreiche HTX-Nutzer Probleme bei der Auszahlung von Vermögenswerten auf andere Börsen hatten.

Der HTX-Vorfall offenbart ein tieferes Dilemma: In einer komplexen geopolitischen Landschaft kann eine einzige von Regulierungsbehörden initiierte Sanktion einen expandierenden Ketteneffekt On-Chain auslösen, der letztlich die Gelder unzähliger normaler Nutzer betrifft. Ein HTX-Nutzer mag beim Halten von Vermögenswerten völlig unschuldig sein, aber aufgrund der potenziellen Compliance-Risiken der Plattform kann er beim Versuch, auf andere Börsen auszuzahlen, auf die „Firewall“ des gesamten AML-Systems stoßen, was dazu führt, dass Gelder eingefroren oder auf unbestimmte Zeit verzögert werden.

Tatsächlich ist der HTX-Vorfall nur die Spitze des Eisbergs des regulatorischen Drucks. Was die DeFi-Innovation auf einer tieferen Ebene wirklich einschränkt, ist die rechtliche Einordnung der zugrunde liegenden Geschäftsmodelle von Protokollen durch Regulierungsbehörden.

In den letzten zwei Jahren hat die US-Börsenaufsichtsbehörde SEC Untersuchungen gegen „Blue Chip“-DeFi-Protokolle wie Compound, Uniswap und Curve eingeleitet, wobei der Fokus darauf liegt, ob Governance-Token nicht registrierte Wertpapiere darstellen. Direktere Schläge kommen aus dem Sektor der renditetragenden Token – die Durchsetzungsmaßnahmen der SEC gegen Produkte wie Gemini Earn deuten darauf hin, dass ein Protokoll, solange es Nutzern passive Zinsen auf Einlagen zahlt, leicht als Investitionsvertrag eingestuft wird, was Registrierungs- und Offenlegungspflichten gemäß dem Wertpapiergesetz auslöst.

Diese rechtliche Unklarheit und das Hochdruckumfeld ersticken direkt die fantasievollsten Richtungen der DeFi-Innovation: Von Liquidity Mining bis hin zu strukturierten Renditeprodukten müssen sich Entwickler ständig Sorgen machen, ob ihre Token-Ökonomie-Modelle regulatorische rote Linien überschreiten.

In gewisser Weise entwickelt sich der „erlaubnisfreie“ Charakter, den DeFi ursprünglich betonte, allmählich zu einer anderen Form von „Erlaubnissystem“. Diese „Erlaubnis“ kommt nicht von einem bestimmten Unternehmen oder Protokoll, sondern von jedem Glied in der regulatorischen Compliance-Kette: AML-Listen, Risikokontroll-Engines von Börsen, die extraterritoriale Zuständigkeit von Wertpapiergesetzen und so weiter.

III. DeFi tritt in eine realistische Phase ein

Rückblickend auf die Höhen und Tiefen von DeFi in den letzten Jahren existieren die Sicherheitsdilemmata und der regulatorische Druck von DeFi nicht unabhängig voneinander. Das Fehlen eines klaren regulatorischen Rahmens macht es schwierig, einen Branchenkonsens über Sicherheitsstandards zu etablieren; das häufige Auftreten von Sicherheitsvorfällen liefert wiederum die direkteste Rechtfertigung für globale Regulierungsbehörden, die Durchsetzung zu verschärfen; und die sich beschleunigende Sicherheitsasymmetrie im KI-Zeitalter, kombiniert mit allmählich strengeren Compliance-Schwellenwerten, verwebt sich letztlich dazu, unzählige normale Nutzer ins Zentrum des Sturms zu treiben.

Im Wesentlichen untergraben die Grenzen der Sicherheitsprüfung und die Starrheit der regulatorischen Compliance kontinuierlich die beiden Kernannahmen, auf denen DeFi steht – „Code ist Gesetz“ und „erlaubnisfreie Freiheit“.

Heute tragen Nutzer höhere technische Risiken als im traditionellen Finanzwesen, erhalten aber möglicherweise nicht mehr Freiheit als dort. Genau deshalb sind viele Marktteilnehmer verwirrt. Sie stellen fest, dass DeFi weder so sicher wie Banken noch so vollständig offen ist, wie ursprünglich versprochen.

Wenn ein System gleichzeitig Sicherheitsprämien und Freiheitsprämien verliert, wird seine Wachstumslogik natürlich in Frage gestellt. Daher lautet die Frage vielleicht nicht: „Haben Hacker und Regulierungsbehörden DeFi zerstört?“

Genauer gesagt haben Hacker und Regulierungsbehörden die Branche einfach dazu gezwungen, sich der Realität zu stellen. Hacker haben den Menschen klargemacht, dass Code nicht von Natur aus Vertrauen schafft; Regulierungsbehörden haben den Menschen bewusst gemacht, dass die On-Chain-Welt nie als ein paralleles Universum außerhalb der realen Welt funktioniert hat.

Dies bedeutet nicht das Scheitern von DeFi. Im Gegenteil, es bedeutet, dass dieses Experiment von einer idealistischen Phase in eine realistische Phase übergeht.

DeFi wird nicht von Hackern oder Regulierungsbehörden zerstört. Es wird durch die Überlebensgesetze neu definiert, die von beiden geprägt werden: Die Zukunft von DeFi muss sich entweder in Richtung strengerer Selbstregulierung der Branche und Compliance-Rahmen bewegen, wobei Kompromisse bei den Prinzipien der Dezentralisierung eingegangen werden müssen; oder sie wird aufgrund des anhaltenden Ungleichgewichts zwischen Angriff und Verteidigung allmählich das Vertrauen des Marktes verlieren, was zu einer langfristigen Marginalisierung führt.