Openzeppelin-Mitgründer Manuel Aráoz löste eine weitreichende Branchendebatte aus, indem er dezentrale Finanzen (DeFi) für unsicher erklärte. Branchenführer halten dagegen, dass die von Aráoz gewählte Rahmung das Risiko übertreibe: Sie verweisen darauf, dass die Sicherheit bei DeFi-Krediten seit 2020 um ungefähr 98% gestiegen sei.
- Kernaussagen:
-
- Die jüngsten Aussagen von Openzeppelin-Gründer Manuel Aráoz haben erneut Sicherheitsängste rund um DeFi entfacht.
-
- 0G Labs-CEO Heinrich stellte eine 98%ige Steigerung der Kreditsicherheit seit 2020 fest und entkräftete damit Behauptungen, dass sämtliches DeFi unsicher sei.
-
- Fan von Cysic sieht bis 2029 einen fünfmal so starken Anstieg der Versicherungsleistungen und fordert die Regulierer auf, auf Opsec statt auf KI-Code zu zielen.
Vom Drama zur Datengrundlage
Als Openzeppelin-Mitgründer und ehemaliger Chief Technology Officer (CTO) Manuel Aráoz dezentrale Finanzen (DeFi) als völlig unsicher einordnete, brachte das eine Branche ins Wanken, die ohnehin schon mit einer Zunahme von Hacks zu kämpfen hatte. Unterstreichend, wie verwundbar das Feld ist, fand eine aktuelle Analyse des Blockchain-Sicherheitsunternehmens Peckshield, dass allein die Ausnutzung von Cross-Chain-Protokollen zwischen Jahresbeginn und Mitte Mai 328,6 Millionen US-Dollar abfließen ließ.
Die viralen Warnungen von Aráoz zwangen Openzeppelin dazu, sich öffentlich von einigen seiner Aussagen zu distanzieren, doch die Bemerkungen schafften es, eine heftige Debatte über die DeFi-Sicherheit auszulösen. Kritiker wiesen seine dramatische Sprache jedoch als eigennützigen Versuch zurück, Angst und Panik zu schüren. Andere, wie Leo Fan, Gründer von Cysic, sind der Ansicht, dass die Rahmung die Glaubwürdigkeit einer Botschaft untergräbt, die dennoch einen realen Kern hat.
„Wenn man es in ‚alles verlassen‘ verpackt, macht man aus einer nötigen Warnung Doomer-Content“, sagte Fan. „Man braucht kein Drama, um Menschen in diesem Bereich zu bewegen; man braucht eine Zahl.“
Diese Haltung wird auch von Michael Heinrich, Mitgründer und CEO von 0G Labs, geteilt: Er verweist auf die ungefähr 98%ige Verbesserung der DeFi-Kreditsicherheit gegenüber dem Ausgangsniveau aus 2020. Heinrich hebt außerdem die deutlich gesunkenen täglichen Verlustquoten bei großen Kreditprotokollen hervor, die mittlerweile bei etwa 0,001% liegen — ein weiterer Faktor, der Aráoz’ Aussagen „all DeFi is unsafe“ unterläuft.
„Einzelhandelskunden aufzufordern, Blue Chips wie Aave und Maker zu verlassen, passt nicht zum tatsächlichen risikobereinigten Bild“, sagte Heinrich gegenüber Bitcoin.com News.
Um die Argumentation gegen DeFi zu untermauern, betonte Aráoz, dass KI-Codierungsagenten (Artificial Intelligence, KI) inzwischen extrem weit fortgeschritten seien: Sie könnten Open-Source-Smart-Contracts unglaublich schnell scannen und komplex ausnutzbare Schwachstellen im Maschinentempo identifizieren. Die Bedrohung durch diese Agenten sei so groß, dass er seinen Freunden und Familienangehörigen privat geraten habe, ihre Positionen vollständig in großen, lang etablierten „Blue-Chip“-DeFi-Protokollen zu beenden.
Das Ende der statischen Sicherheitsprüfung
Heinrich und Fan argumentieren jedoch, dass der Aufstieg übermenschlicher KI-Angreifer nicht bedeute, dass sich Verteidiger aus dem Feld zurückziehen sollten. Stattdessen sagen sie, es brauche einen grundlegenden Wandel, wie die Branche Sicherheit angeht.
„Die punktuelle Audit-Prüfung ist bereits tot; man hat nur noch keine Beerdigung abgehalten“, sagte Fan. Er warnte davor, die falsche Lehre daraus zu ziehen, komplett von Audits auf Bug Bounties umzuschwenken. „Man ersetzt Prävention nicht durch Monitoring — man verkleinert die Lücke zwischen ihnen.“
Laut Heinrich ist es keine glaubwürdige Verteidigung mehr, sich auf ein jährliches Audit zu verlassen. Stattdessen beruhe die Zukunft der Smart-Contract-Sicherheit auf einer Abwehr-„Pipeline“ mit Maschinengeschwindigkeit und mehreren Schichten: Audits dienen dabei als erster Prüfpunkt, nicht als einzelnes Ereignis. Er skizzierte einen Security-Stack mit vier Ebenen: vor dem Deployment durch KI unterstützte Audits, ergänzt durch menschliche Prüfung, kontinuierliches Monitoring nach dem Deployment, ausreichend finanzierte Bug-Bounties sowie verifizierbare KI auf der Verteidigerseite.
Das ultimative Ziel, so Heinrich, sei die Einbindung formaler Verifikation auf kritischen Pfaden — mithilfe mathematischer Beweise statt subjektiver Reviews — ergänzt um kontinuierliche, KI-gestützte Reviews, die gegen Live-Contracts laufen, ganz so, wie Angreifer operieren.
„Audits verschwinden nicht“, sagte er. „Sie werden zum ersten Prüfpunkt in einer Abwehr-Pipeline mit Maschinengeschwindigkeit.“
Jenseits präventiver Sicherheits-Pipelines dreht sich die Diskussion zur Risikominderung zwangsläufig auch um Versicherungen — ein primitives Thema, das Heinrich zufolge im Krypto-Ökosystem weiterhin stark unterentwickelt bleibt. Nach Heinrichs Einschätzung halten ein paar strukturelle Hürden den dezentralen Versicherungsbereich in seiner Entwicklung zurück. Erstens binden Versicherungspools Kapital, das andernorts in DeFi ansonsten aktiven Ertrag erzielen könnte.
Um diesen Punkt zu verdeutlichen, verweist Heinrich auf den Marktführer Nexus Mutual, der rund 190 Millionen US-Dollar zurückhält — gegenüber einem breiteren DeFi-Markt, der zwischen 40 Milliarden und über 100 Milliarden US-Dollar an Total Value Locked schwankte. Heinrich merkt an, dass dieses Kapitalverhältnis strukturell zu dünn ist. Eine weitere Hürde sei die Definition dessen, was als On-Chain-Exploit gilt — eine Aufgabe, die er als nicht trivial beschreibt.
Trotz dieser Hürden argumentiert Heinrich, dass verpflichtende Versicherungsmandate über Protokolle hinweg das falsche Werkzeug seien, um die Einführung voranzutreiben. Stattdessen müsse die Branche auf Produktebene innovieren.
„Was den Ausschlag gibt, sind parametrierte On-Chain-Produkte, die automatisch bei verifizierbaren Signalen auszahlen, sowie Protokolle, die Versicherungen in das Produkt einbinden — so, wie Clearing Fees in traditionellen Märkten funktionieren“, sagte Heinrich.
Operationen regulieren, nicht nur Code
Während die aktuelle Sicherheitsnetzlücke eng ist, beschleunigt sich die Marktnachfrage. Laut einer Prognose von Coinlaw aus dem März 2026 wird der Markt für dezentrale Versicherungen bis 2029 voraussichtlich um nahezu das Fünffache wachsen.
„Das Kapital kommt“, so Heinrich. „Was fehlt, ist die Produktoberfläche, um es einzusetzen.“
Der interne Branchenwandel hin zu Abwehr auf Maschinengeschwindigkeit und automatisierten Sicherheitsnetzen wirft breitere Fragen zur regulatorischen Aufsicht auf. Da politische Entscheidungsträger zunehmend die Sicherheit digitaler Assets prüfen, warnt Fan davor, dass Regulierer die falschen Bedrohungen in den Mittelpunkt rücken könnten — etwa das Gespenst rogue KI-Systeme.
„Der klügere regulatorische Reflex ist nicht, sich speziell wegen KI-Angreifern in Panik zu versetzen“, sagte Fan. „Es geht darum, die operative Ebene zu fokussieren, aus der das Geld tatsächlich abfließt: Key Custody, Multisig-Governance, Bridge-Sicherheit und Incident Response.“
Fan argumentiert, dass Aufsichtsstellen durch die Durchsetzung strenger operativer Sicherheitsstandards für genau diese Angriffspunkte die überwältigende Mehrheit echter Kapitalverluste in der realen Welt eliminieren könnten. Wenn man sich ausschließlich auf den Smart-Contract-Code konzentriert und dabei die täglichen Abläufe vernachlässigt, entspreche das „der Regulierung der 10% und dem Verpassen der 90%“, so seine Warnung.
Außerdem machte Fan auf ein technisches Grundkonzept aufmerksam, das politische Entscheidungsträger konsequent unterschätzen: fortgeschrittene Kryptografie.
„Kryptografischer Nachweis — etwa Zero-Knowledge-Proofs — darüber, was Code ausgeführt hat und dass er korrekt ausgeführt wurde, ist als Compliance-Grundbaustein viel besser als ein PDF-Auditbericht“, sagte Fan. „Das lässt sich mit Mathematik prüfen, nicht durch Vertrauen. Dorthin würde ich gern die regulatorische Energie lenken.“
