Manuel Aráoz, Mitgründer der Krypto-Sicherheitsfirma OpenZeppelin, erklärte am Dienstag, er halte nun „die gesamte DeFi" für unsicher und rate Freunden und Verwandten persönlich, jede DeFi-Position zu schließen – einschließlich der Blue-Chip-Protokolle Aave, MakerDAO und Compound. „Coding-Agenten sind übermenschlich gut darin, Schwachstellen zu finden, und die Smart-Contract-Sicherheit ist zu asymmetrisch", schrieb er auf X. „Verteidiger müssen jeden Fehler beheben, während Angreifer nur einen einzigen Exploit brauchen, um Gelder zu stehlen."
Die Warnung folgt auf eine brutale Phase für den Sektor: Im April wurden fast 630 Millionen Dollar aus DeFi-Protokollen gestohlen – der schlimmste Monat für Exploits seit dem Bybit-Hack über 1,5 Milliarden Dollar im Februar 2025. Zwei Vorfälle verursachten den Großteil des Schadens – der Social-Engineering-Exploit bei Drift über 285 Millionen Dollar und ein Cross-Chain-Bridge-Angriff auf Kelp DAO über 293 Millionen Dollar –, die beide weitgehend den staatlich gestützten Hackern Nordkoreas zugeschrieben werden. DefiLlama zählte im April 27 DeFi-Exploits, im Mai wurden bereits 25 weitere erfasst.
Warum das wichtig ist
Aráoz ist kein Kritiker, der von außen draufschaut – OpenZeppelin hat die Vertragsbibliotheken und Sicherheits-Tools geschrieben, auf denen ein Großteil des DeFi-Stacks läuft, und seine Firma auditiert genau die Blue-Chip-Protokolle, aus denen er den Leuten nun zum Ausstieg rät. Wenn die Person, die den Stand der Verteidigung am besten kennt, die Annahme „Protokolle sind sicher, wenn sie auditiert sind" zurückzieht, muss das Framework, mit dem der Rest der Branche Risiken bewertet, neu geprüft werden. Sein Argument – asymmetrische Angriffsseite, KI-gestützte Exploitsuche, eine ständig wachsende Angriffsfläche – ist dasselbe, das institutionelle Risikoteams seit langem leise vorbringen, nun aber öffentlich formuliert von der bestmöglich legitimierten Quelle.
Auswirkungen auf den Markt
Die Angst zeigt sich in den Kapitalflüssen. Der Total Value Locked in DeFi ist seit Mitte April um rund 14 % gefallen, von etwa 172 Milliarden Dollar auf 148 Milliarden Dollar – ein deutlicher Risk-off-Schritt, der sich in den Tagen nach dem Kelp-DAO-Bruch beschleunigte. Die Exploits im Mai waren kleiner – Verus Network verlor 11,6 Millionen Dollar durch einen Fehler an einer Ethereum-Bridge, und Polymarket bestätigte eine Lücke über 573.200 Dollar –, aber der Markt liest nicht die Größe, sondern die Frequenz.
Häufig gestellte Fragen
-
Wer ist Manuel Aráoz und warum hat seine Warnung Gewicht?
Manuel Aráoz ist Mitgründer von OpenZeppelin, der Krypto-Sicherheitsfirma, die weit verbreitete Smart-Contract-Bibliotheken geschrieben hat und große DeFi-Protokolle auditiert – darunter genau die Blue-Chip-Plattformen, von denen er nun abrit, sie zu meiden.
-
Welche Asymmetrie beschreibt Aráoz in der DeFi-Sicherheit?
Verteidiger müssen jede Schwachstelle im Code eines Protokolls finden und beheben, während Angreifer nur einen einzigen funktionierenden Exploit finden müssen, um Gelder abzuziehen – eine Lücke, die sich seiner Einschätzung nach durch KI-Coding-Agenten vergrößert, die die Suche nach Schwachstellen beschleunigen.
-
Wie schlimm war der April für DeFi-Exploits?
Im April wurden bei 27 gemeldeten Vorfällen fast 630 Millionen Dollar gestohlen – der schlimmste Monat seit dem Bybit-Hack über 1,5 Milliarden Dollar im Februar 2025, laut The-Block-Dashboard und DefiLlama-Daten.
-
Welche Angriffe verursachten den Großteil der DeFi-Verluste im April?
Zwei Vorfälle machten den Löwenanteil aus: ein Social-Engineering-Exploit bei Drift über 285 Millionen Dollar und ein Cross-Chain-Bridge-Angriff auf Kelp DAO über 293 Millionen Dollar. Beide werden weitgehend nordkoreanischen staatlich gestützten Hackern zugeschrieben.
-
Reagiert der DeFi-Markt bereits auf die Sicherheitsbedenken?
Ja. Der Total Value Locked über alle DeFi-Protokolle ist seit Mitte April um rund 14 % gefallen, von etwa 172 Milliarden Dollar auf 148 Milliarden Dollar, wobei die Abflüsse nach dem Kelp-DAO-Bruch an Tempo gewannen.