Nach Kelp steht DeFi vor einem KI-Problem, das es noch nicht eingepreist hat

Dezentralisierte Finanzen haben gerade ihre schlimmsten zwei Wochen in Erinnerung erlebt. Ein Abfluss von 292 Millionen Dollar von Kelp DAOs Restaked-Ether-Brücke am Wochenende, nach dem 285 Millionen Dollar Drift Protocol Exploit am 1. April, hat die kumulierten DeFi-Verluste im April über 580 Millionen Dollar getrieben — und einen Abfluss von 6 Milliarden Dollar allein von Aave ausgelöst, als Einleger zu den Ausgängen stürmten.

Bitcoin hat seinerseits kaum gezuckt und wird nahe 75.000 Dollar gehandelt, während sich die Ansteckung abspielte. Aber die Gelassenheit des Sektors verdeckt ein tieferes Problem. Der Kelp-Angreifer hat weder die Kryptographie gebrochen noch einen Zero-Day in einem Smart-Contract gefunden. Sie nutzten eine Konfigurationswahl in einem Cross-Chain-Verifizierer aus, tricksten LayerZeros Messaging-Schicht aus, eine gefälschte Anweisung durchzuwinken, und prägten 116.500 rsETH aus dem Nichts auf Ethereum. Die Verträge, wie eine entwicklerorientierte Post-Mortem-Analyse es ausdrückte, waren nicht kaputt — die Verifizierungsschicht war es. Diese Unterscheidung ist wichtig, weil die nächste Klasse von Angreifern die Konfigurationsfehler nicht brauchen wird. Sie werden AI haben.

Aave stürzte auf die Nachricht ab, Quelle: BNC

Eine feindselige Phase und eine schwindende Kante

Das unmittelbare Bild ist hässlich. Kelps Exploit ist nun der größte DeFi-Hack von 2026 und übertrifft Drift um etwa 7 Millionen Dollar. Kleinere Abflüsse bei CoW Swap, Zerion, Rhea Finance und Silo Finance haben die Wochen dazwischen gefüllt. Das Blockchain-Sicherheitsunternehmen Cyvers bezifferte die gesamten Krypto-Verluste im Q1 auf etwa 482 Millionen Dollar; diese Zahl ist bereits stark veraltet. Aaves Total Value Locked fiel laut DefiLlama von 26,4 Milliarden Dollar am 18.04. auf unter 20 Milliarden Dollar bis Sonntagmorgen in US-Handelszeiten, und der AAVE-Token verlor über das Wochenende mehr als 18%, als Einleger versuchten, sich aus eingefrorenen rsETH-Märkten herauszuleihen.

Stani Kulechov, Aaves Gründer, betonte schnell, dass die eigenen Verträge des Protokolls nicht kompromittiert wurden. Das ist wahr, und es ist auch ein schwacher Trost: Aave akzeptierte rsETH als Sicherheiten, die Deckung dieser Sicherheiten verdampfte auf einer Brücke, die Aave nicht kontrolliert, und etwa 196 Millionen Dollar an faulen Krediten sitzen nun beim größten Kreditgeber in DeFi. Protokolle einschließlich SparkLend, Fluid und Lidos earnETH haben rsETH-Märkte ausgesetzt oder neue Einzahlungen pausiert, während sie ihre Exposition klären.

Die breitere Lektion, die Entwickler ziehen, ist strukturell. Flexible, modulare Cross-Chain-Sicherheit — bei der einzelne Projekte ihre eigenen Verifizierer-Sets wählen — kann zu einem einzigen Fehlerpunkt kollabieren, wenn die Konfiguration verrutscht. "Wir beobachten wiederholte, identische Exploit-Versuche über mehrere Verträge gleichzeitig", sagte Stephen Ajayi, dapp Audit Technical Lead bei der Blockchain-Sicherheitsfirma Hacken, zu DL News Anfang dieses Monats und beschrieb ein Muster, das seiner Meinung nach konsistent mit geskripteten, agentengesteuerten Untersuchungen von DeFi-Verträgen war.

Was AI bereits im Labor getan hat

Ajayis Sprache ist bedeutsam. Die Angst in DeFi-Sicherheitskreisen ist nicht mehr, dass Angreifer irgendwann automatisieren werden. Es ist, dass sie es bereits haben und dass sich die Ökonomie des Wettrüstens leise umgekehrt hat.

Anthropics Red Team veröffentlichte Ende letzten Jahres Forschung, bei der Frontier-Modelle — Claude Opus 4.5, Claude Sonnet 4.5 und OpenAIs GPT-5 — auf einen Benchmark von 405 realen Smart-Contracts losgelassen wurden, die zuvor zwischen 2020 und 2025 ausgenutzt wurden. Die Agenten produzierten gemeinsam funktionierende Exploits im Wert von 4,6 Millionen Dollar gegen Verträge, die nach ihren Trainings-Cutoffs datiert waren. Weiter vorangetrieben, wurden dieselben Modelle auf 2.849 neu bereitgestellte Verträge ohne bekannte Schwachstellen gerichtet und fanden zwei neuartige Bugs, die Exploits im Wert von 3.694 Dollar für einen Inferenz-Aufwand von 3.476 Dollar produzierten. Die Forscher beschrieben das Ergebnis als Proof-of-Concept, dass autonome, profitable Ausbeutung nun technisch machbar ist.

Anthropic zeigt, dass AI-Modelle zunehmend mehr DeFi-Exploits finden, Quelle: Anthropic

Ein separater Benchmark von der AI-Sicherheitsfirma Cecuro, der 90 DeFi-Verträge abdeckt, die zwischen Ende 2024 und Anfang 2026 ausgenutzt wurden, stellte fest, dass ein speziell gebauter Sicherheitsagent Schwachstellen in 92% von ihnen erkannte, verglichen mit 34% für einen allgemeinen Codierungs-Agenten, der dasselbe zugrunde liegende Modell ausführte. Die durchschnittlichen Kosten eines AI-gestützten Scans liegen laut Studie nun bei etwa 1,22 Dollar pro Vertrag. Die Exploit-Fähigkeit scheint sich nach demselben Maß etwa alle 1,3 Monate zu verdoppeln.

Das ist die Zahl, die Allokierer erschüttern sollte. Ein Markt, in dem jeder Live-Vertrag, der Gelder hält, für Cent untersucht werden kann, von Software, die immer besser wird, ist kein Markt, in dem ein einmaliger Audit vor der Bereitstellung einen sinnvollen Schutz bietet.

Das Modell, das Anthropic nicht verkaufen wird

Das Risiko ist nicht nur theoretisch, wegen dem, was bereits in den Laboren sitzt. Anthropics Claude Mythos Preview — Anfang dieses Monats enthüllt und auf eine Koalition von etwa 40 überprüften Unternehmens- und Regierungspartnern unter Project Glasswing beschränkt — hat bereits Tausende zuvor nicht erkannte Zero-Days in jedem großen Betriebssystem und jedem großen Browser identifiziert, einschließlich eines 27 Jahre alten Fehlers in OpenBSD, der Millionen vorheriger Scans überlebt hatte. BNC erläuterte damals, warum diese Fähigkeit für DeFi eine dringendere Sorge ist als die lang laufende Quantencomputing-Debatte: DeFi-Codebasen sind von Natur aus Open-Source, was sie genau zu der Art von Ziel macht, die Mythos-Klasse-Modelle mit Maschinengeschwindigkeit von Ende zu Ende lesen können.

Anthropics eigene Rahmung ist aufschlussreich. Das Unternehmen lehnte es ab, Mythos der Öffentlichkeit freizugeben, und lieferte letzte Woche ein kommerzielles Modell, Claude Opus 4.7, das ausdrücklich als "weniger breit fähig" bei Cybersicherheitsaufgaben beschrieben wurde als das System, das in Glasswing gehalten wird. Das ist ein Zugeständnis, dass eine öffentliche Freigabe das Angreifer-Verteidiger-Gleichgewicht in die falsche Richtung verschieben würde.

Preisbildung der Asymmetrie

DeFis Sicherheitshaltung hat nicht aufgeholt. On-Chain-Versicherungskapazität bleibt in Hunderten von Millionen Dollar gemessen, gegenüber einem Sektor mit etwa 100 Milliarden Dollar an Total Value Locked. Der Auditmarkt kann nicht mit dem Volumen der Vertragsbereitstellungen Schritt halten, und Composability erweitert weiterhin die Oberfläche, die Verteidiger abdecken müssen. Regulatoren, einschließlich der EU unter MiCA, haben begonnen, Offenlegungsanforderungen zu formalisieren, aber keine schreibt noch kontinuierliche adversarielle Tests oder Runtime-Durchsetzung für High-TVL-Protokolle vor.

Entwickler, denen man zuhören sollte, konvergieren auf dieselbe kurze Liste. Behandeln Sie jedes Upgrade und jede Integration als frische Angriffsfläche. Machen Sie adversarielle Tests kontinuierlich statt eines einmaligen Audit-Meilensteins. Segmentieren Sie Vertrauensgrenzen, sodass ein einzelner Kompromiss — ob ein falsch konfigurierter Verifizierer, wie bei Kelp, oder ein modellunterstützter Exploit morgen — nicht über den Kreditstapel kaskadieren kann. Und preisen Sie die Sicherheitshaltung in Allokationsentscheidungen ein, wie Kreditmanager das Ausfallrisiko bewerten.

Der Kelp-Fallout wird sich auf die eine oder andere Weise auflösen. Ein gewisser Prozentsatz des gestohlenen Ethers kann noch wiederhergestellt werden, und Aaves Umbrella-Reserve könnte gezwungen sein, das Defizit zu absorbieren. Einleger werden schließlich zurückkommen. Was sich nicht umkehren wird, ist die Kostenkurve. Zum ersten Mal braucht ein fähiger Gegner nicht mehr ein Forschungsteam, einen Zero-Day und ein sechsstelliges Budget, um ein DeFi-Protokoll zu leeren. Sie brauchen ein paar hundert Dollar an Inferenz-Credits und eine Liste von Zielen.

Die Frage der Branche für den Rest von 2026 ist, ob ihre Verteidigungen schneller zusammengesetzt werden können als diese Fähigkeit.