Warum eine Checkliste vor der Einzahlung wichtiger ist als die Wahl des richtigen Protokolls
Die meisten Menschen, die in DeFi Geld verlieren, wählen nicht absichtlich einen Betrug. Sie klicken in einer seriös wirkenden Oberfläche auf „Genehmigen", zahlen in einen Pool ein, der auditiert wurde, und gehen davon aus, dass der Smart Contract genau das tut, was die Startseite versprochen hat. Am nächsten Morgen ist das Protokoll leergeräumt, das Team schweigt, und der Nutzer liest einen Post-Mortem, den er auch schon eine Woche vorher hätte lesen können.
Genau dafür ist dieser Artikel da. Es geht nicht darum, die nächste 10x-Yield-Farm zu finden. Es geht darum, dich auf dem Genehmigungs-Bildschirm auszubremsen, so wie ein Pilot vor dem Start eine Vorflug-Checkliste durchgeht. Die meisten Abstürze werden nicht durch eine einzige katastrophale Überraschung verursacht. Sie entstehen durch eine Kette kleiner Dinge, die niemand geprüft hat.
Du musst kein Entwickler sein, um diese Checkliste zu nutzen. Du musst nur bereit sein, fünfzehn Minuten damit zu verbringen, die Dokumentation, Audit-Berichte und On-Chain-Daten eines Protokolls zu lesen, bevor du eine Transaktion unterschreibst. Wenn ein Protokoll dir die Informationen, die du für diese Checkliste brauchst, nicht zur Verfügung stellt, ist das bereits die Antwort auf die Frage, ob du einzahlen solltest.
Die tatsächlichen Risiken, bevor du einen Token freigibst
Risiko in DeFi ist nicht abstrakt. Es ist eine Liste konkreter Fehlermodi, die echte Nutzer echtes Geld gekostet haben. Bevor wir zur Checkliste kommen, sind hier die Risikokategorien, auf die du tatsächlich prüfst.
Smart-Contract-Bugs
Code ist Gesetz in DeFi, was eine höfliche Art zu sagen ist, dass ein Tippfehler in einem Smart Contract einem Angreifer ermöglichen kann, mit jedem Dollar im Protokoll zu verschwinden. Audits verringern dieses Risiko, beseitigen es aber nicht. Der Cream-Finance-Hack 2021, der Wormhole-Bridge-Exploit 2022 und die BingX-bezogenen Vorfälle 2024 ereigneten sich alle bei Verträgen, die auditiert worden waren. Audits finden die Bugs, nach denen der Auditor gesucht hat. Sie finden nicht alles.
Wirtschaftliche Manipulation und Oracle-Manipulation
Manche Protokolle werden nicht im klassischen Sinne gehackt. Der Code funktioniert genau wie geschrieben, aber der Preis-Feed, auf den er sich stützt, wird von einem Trader mit genug Kapital hin- und hergeschoben, und das Protokoll zahlt auf Basis eines Preises aus, der nicht mehr der Realität entspricht. Mango Markets verlor im Oktober 2022 rund 114 Millionen Dollar durch genau diese Art von Angriff, ausgeführt durch Manipulation des MNGO-PERP-Marktes auf der eigenen Plattform des Protokolls.
Admin-Key- und Governance-Risiko
Viele DeFi-Protokolle geben einer kleinen Gruppe von Signern die Möglichkeit, Verträge zu aktualisieren, Parameter zu ändern oder Auszahlungen zu pausieren. Wenn diese Signer kompromittiert, unter Druck gesetzt werden oder einfach auf eine Weise ehrlich handeln, die Einleger schädigt, können deine Gelder bewegt oder eingefroren werden. Die relevante Frage ist nicht, ob ein Protokoll dem Geist nach dezentralisiert ist. Es ist, wie viele Menschen dein Geld bewegen können und wie lange die Vorwarnung ist, bevor sie es tun.
Genehmigungs- und Wallet-Hygiene
Wenn du auf einer Seite wie Uniswap, Aave, Morpho oder Pendle einen Token genehmigst, gibst du diesem Vertrag für immer oder bis zum Widerruf die Erlaubnis, diesen Token aus deiner Wallet auszugeben. Alte Genehmigungen sind ein beliebtes Ziel. Im Jahr 2025 wurden Address-Poisoning- und Approval-Draining-Scams nach Volumen zur größten Kategorie von Krypto-Diebstahl und überstiegen sogar Exchange-Hacks. Du kannst Geld in einem Protokoll verlieren, das nie gehackt wurde, einfach weil du vor zwei Jahren einen Token genehmigt und nie widerrufen hast.
Die 12-Punkte-Checkliste für DeFi-Einlagen
Gehe sie der Reihe nach durch. Wenn du die ersten drei nicht mit Ja beantworten kannst, lohnt sich der Rest nicht. Es geht darum, die eine Sache zu finden, die dich ruinieren würde, und nicht darum, das Protokoll auf einer Kurve zu benoten.
1. Wurde der Vertrag auditiert, und wann zuletzt?
Suche den Prüfbericht. AAVE, UNI, MORPHO, PENDLE und ENA verfügen alle über öffentliche Audit-Seiten. Lies das Datum, die Prüfgesellschaft und den Umfang. Ein Audit aus dem Jahr 2022 für Code, der 2025 aktualisiert wurde, ist nicht dasselbe wie ein frisches Audit. Wenn kein Audit vorhanden ist oder nur ein internes durchgeführt wurde, behandle das als harten Stopp.
2. Gibt es ein aktives Bug-Bounty-Programm, und wie groß ist es?
Ein Protokoll, das zwar auditiert wurde, aber keine White-Hat-Hacker dafür bezahlt, weiterhin nach Schwachstellen zu suchen, sagt dir, dass dem Team laufende Sicherheit nicht ernst ist. Immunefi hat seit 2020 über 100 Millionen Dollar an Bug-Bounties ausgezahlt. Prüfe die Höhe des Bountys. Ein Bounty von 1 Million Dollar unterscheidet sich deutlich von einem über 100.000 Dollar. Größere Bountys ziehen bessere Forscher an.
3. Wer hält die Admin-Keys, und wie viele gibt es?
Sieh in der Dokumentation oder im Governance-Forum des Protokolls nach. Finde die Multisig-Adresse, die Upgrades kontrolliert. Zähle die Signer. Eine 3-von-5-Multisig unterscheidet sich deutlich von einer 2-von-5, und die wiederum von einer einzelnen EOA, die eine Person kontrolliert. AAVE verwendet eine 6-von-9-Multisig mit einem Timelock von 24 Stunden. Genau solche Details willst du schriftlich sehen.
4. Wie lang ist der Timelock für Upgrades?
Ein Timelock ist die Verzögerung zwischen dem Einreihen einer Admin-Aktion und ihrer Ausführung. Ein Timelock von 24 Stunden gibt der Community Zeit zu reagieren und auszusteigen, falls eine schädliche Änderung vorgeschlagen wird. Ein Timelock von 1 Stunde oder gar keiner bedeutet, dass du von einer Änderung erst erfährst, wenn dein Geld weg ist.
5. Welchen Oracle nutzt das Protokoll, und wie ist er abgesichert?
Chainlink ist die häufigste Antwort und grundsätzlich eine gute. Aber nicht jedes Protokoll nutzt Chainlink, und nicht jeder Chainlink-Feed ist gleich liquide. Suche nach einer ausdrücklichen Dokumentation, welche Feeds das Protokoll liest und was passiert, wenn ein Feed stehen bleibt oder einen veralteten Preis liefert. Der Angreifer von Mango Markets nutzte das Fehlen von Prüfungen auf veraltete Preise aus. Dieses Detail stand in den Docs. Fast niemand hat es gelesen.
6. Ist die tatsächliche Liquidität des Protokolls tief, oder nur der TVL?
Total Value Locked ist die Schlagzeile. Sie sagt dir, wie viel eingezahlt ist, nicht wie viel du in Panik abheben kannst. Ein Lending-Markt mit 500 Millionen Dollar TVL hat vielleicht nur 20 Millionen Dollar an tatsächlich liquidierbaren Sicherheiten. Während des USDC-Depeggings im März 2023 sahen mehrere Protokollen auf der TVL-Kurve gesund aus und waren stundenlang de facto insolvent. Prüfe die verfügbare Liquidität, nicht nur die Einlagen.
7. Gab es frühere Vorfälle, und wie wurde damit umgegangen?
Jedes größere Protokoll hatte mindestens eine brenzlige Situation. Die spannende Frage ist, was danach geschah. Hat das Team innerhalb von 48 Stunden einen Post-Mortem veröffentlicht? Hat es Nutzer entschädigt? Wurde die Ursache behoben? Protokolle, die gehackt wurden und sich ehrlich erholt haben, sind oft sicherer als Protokolle, die nie getestet wurden, weil der Stresstest real war.
8. Sind die Smart Contracts upgradefähig, und über welchen Mechanismus?
Upgradefähige Contracts können verbessert werden, was gut ist. Sie können aber auch stillschweigend geändert werden, was schlecht ist. Suche nach dem verwendeten Proxy-Muster, nach dem, der upgraden darf, und ob das Upgrade durch den Timelock und die Multisig aus den Punkten 3 und 4 abgesichert ist. Wenn ein Contract nicht upgradefähig ist, ist auch das eine nützliche Information, denn dann kann kein Admin die Regeln unter dir ändern.
9. Was ist die Token-Genehmigung, die du gleich signieren willst, genau?
Die meisten Wallets zeigen dir den Genehmigungsbetrag. Einige DeFi-Frontends fordern standardmäßig eine unbegrenzte Genehmigung. Unbegrenzte Genehmigung ist bequem, bedeutet aber, dass ein späterer Bug im Protokoll oder ein Klon der Protokoll-Oberfläche diesen Token jederzeit aus deiner Wallet abziehen kann. Lege, wenn möglich, einen konkreten Betrag fest und widerrufe Genehmigungen, die du nicht aktiv nutzt.
10. Bist du auf der echten URL, und ist die Contract-Adresse verifiziert?
Phishing-Seiten kopieren Oberflächen pixelgenau. Prüfe die URL Zeichen für Zeichen. Öffne das Protokoll über ein Lesezeichen, nicht über ein Suchergebnis oder einen Twitter-Link. Verifiziere die Contract-Adresse in der offiziellen Dokumentation des Protokolls, bevor du genehmigst. Betrüger haben jahrelang Google-Anzeigen gekauft, die wie Aave und Uniswap aussahen.
11. Kommt die Rendite tatsächlich aus einer echten Quelle?
15 % APY sind eine Zahl. Woher kommt sie? Aus Lending-Gebühren? Aus Liquidationsstrafen? Aus Token-Emissionen? Wenn das Protokoll dich mit seinem eigenen Governance-Token bezahlt, wirst du in etwas bezahlt, von dem das Team mehr drucken kann. Die Rendite bei Pendle etwa stammt aus konkreten, in der UI klar aufgeschlüsselten Renditequellen. Wenn ein Protokoll seine Rendite nicht in einem Satz erklären kann, behandle die Rendite als Marketing.
12. Hast du alte Genehmigungen in den letzten 30 Tagen widerrufen?
Öffne revoke.cash, verbinde deine Wallet und schau, was noch genehmigt ist. Alles, was du nicht aktiv nutzt, ist eine dauerhafte Einladung an den nächsten Exploit, zuzuschlagen. Widerrufen ist kostenlos. Nicht zu widerrufen hat Nutzer bereits achtstellige Summen gekostet. Mach es zur monatlichen Gewohnheit.
Was die Checkliste bei realen Exploits gefunden hätte
Es ist leicht, eine Liste von Risiken zu lesen und anzunehmen, sie seien theoretisch. Sind sie nicht. Hier ist, was eine sorgfältige Version dieser Checkliste bei einigen der größten DeFi-Vorfälle der letzten drei Jahre zutage gefördert hätte.
Mango Markets, Oktober 2022
Avraham Eisenberg manipulierte den MNGO-PERP-Markt auf Mango, indem er den Preis des MNGO-Tokens mit eigenem Kapital in die Höhe trieb und dann gegen den aufgeblähten Wert lieh. Das Protokoll funktionierte wie vorgesehen. Der Oracle funktionierte wie vorgesehen. Das wirtschaftliche Design sah den Fall eines einzelnen Angreifers mit genug Kapital, um den Preis weit genug zu drücken, um den Lending-Pool leerzuräumen, nicht vor. Ein Nutzer, der die Dokumentation liest, hätte gesehen, dass der MNGO-Oracle einen dünnen On-Chain-Markt als Quelle nutzte. Punkt 5 der Checkliste, Oracle-Quelle und Liquidität, hätte es markiert.
Curve Finance Pools, Juli 2023
Mehrere Curve-Pools wurden wegen einer Schwachstelle im Vyper-Compiler, mit dem sie deployed wurden, leergeräumt. Die betroffenen Pools waren auditiert. Der Bug lag in der Compiler-Version, nicht in der Protokoll-Logik. Ein Nutzer, der Punkt 1 prüft und feststellt, dass der Prüfbericht auf eine bestimmte Compiler-Version verweist, hätte zumindest gewusst, später auf compilerbezogene Hinweise zu achten. Curves Reaktion, vollständige Entschädigung der betroffenen Pools und ein öffentlicher Post-Mortem innerhalb weniger Tage, ist ebenfalls ein nützlicher Datenpunkt für Punkt 7.
Steakhouse Morpho Vaults, 2024
Die Morpho-Blue-Lending-Märkte, einschließlich der von Steakhouse Financial kuratierten Vaults, standen 2024 unter intensiver Beobachtung, weil das Design wirklich neuartig ist. Ein Nutzer, der diese Checkliste durchgeht, hätte öffentliche Audits von Spearbit und Trail of Bits, ein aktives Immunefi-Bug-Bounty, einen multisig-kontrollierten Upgrade-Pfad und detaillierte Oracle-Dokumentation gefunden. Genau so sieht eine gesunde Prüfung vor der Einzahlung aus. Dass nichts ausgenutzt wurde, ist kein Zufall.
So nutzt du diese Checkliste in der Praxis
Eine Checkliste funktioniert nur, wenn du sie tatsächlich nutzt. Hier ist der praktische Ablauf für eine erste Einzahlung bei einem Protokoll wie AAVE, MORPHO, PENDLE oder ENA.
Öffne zunächst die Dokumentation des Protokolls, nicht die App. Finde die Audit-Seite, die Sicherheitsseite und das Governance-Forum. Bestätige die Multisig-Signer und den Timelock in einem Block-Explorer wie Etherscan. Verifiziere das Oracle-Setup und die Contract-Adressen, mit denen du interagieren wirst. Geh dann zur App, lege einen konkreten Token-Genehmigungsbetrag statt unbegrenzt fest, zahle zunächst einen kleinen Testbetrag ein und prüfe, ob du ihn wieder abheben kannst, bevor du skalierst.
Setze eine Kalendererinnerung, das Protokoll monatlich erneut zu prüfen. Halte Ausschau nach neuen Audits, neuen Governance-Vorschlägen, neuen Vorfällen und widerrufe Genehmigungen, die du nicht aktiv nutzt. Der DeFi-Bereich bewegt sich schnell, und ein Protokoll, das im März sicher war, kann im April riskant sein, wenn eine Parameteränderung vorgeschlagen und verabschiedet wurde, ohne dass du es bemerkt hast.
Wenn du irgendwann in diesem Prozess die benötigten Informationen nicht finden kannst, behandle das selbst als Risiko. Protokolle, die ihr Sicherheitsmodell verbergen, sind nicht sicherer als Protokolle, die es veröffentlichen. Sie sind lediglich weniger überprüfbar, und nicht überprüfbar ist kein guter Ort, um dein Geld zu parken.
Bleibe mit dem richtigen News-Signal DeFi-Risiken voraus
DeFi-Risiken bewegen sich schnell, und die Nachrichten darüber ebenso. Audit-Updates, Governance-Vorschläge und Oracle-Änderungen über AAVE, UNI, MORPHO, PENDLE und ENA manuell zu verfolgen, ist ein verlorenes Spiel, weil die Warnzeichen über Forenbeiträge, Governance-Abstimmungen und Sicherheitsveröffentlichungen verstreut sind. Zippfeed liefert DeFi-Protokoll-Schlagzeilen mit Stimmungsbewertung (bullish, neutral oder bearish) und einer Wichtigkeitsstufe, damit du eine riskante Änderung erkennst, bevor du erneut einzahlst oder eine Rendite einlöst.
