DeFi-Sicherheit 2025: Was wirklich hinter den Hacks steckt
DeFi wächst. Die Total Value Locked (TVL) in dezentralen Protokollen überschritt im Dezember 2024 die 100-Milliarden-Dollar-Marke. Und mit jedem Milliarde, die neu ins System fließt, steigt der Anreiz für Angreifer. Die Entwicklung ist eindeutig: Hacks werden seltener, aber teurer und gezielter. Was 2024 und 2025 passiert ist, ändert die Art, wie du über DeFi-Sicherheit denken musst.
Die Zahlen, die zählen
Im ersten Quartal 2024 gingen laut CertiKs Hack3d-Bericht über 502 Millionen Dollar durch 223 On-Chain-Sicherheitsvorfälle verloren, ein Anstieg von 54 Prozent gegenüber Q1 2023. Das Gesamtjahr 2024 schloss mit 2,3 Milliarden Dollar Verlust in 760 Incidents ab, 31,6 Prozent mehr als 2023. Und 2025 hat das alles nochmal überboten: Allein in der ersten Jahreshälfte 2025 wurden mehr als 2,5 Milliarden Dollar gestohlen, mehr als im gesamten Jahr 2024. Der Haupttreiber war der Bybit-Hack im Februar 2025 mit 1,5 Milliarden Dollar, der größte Kryptowährungsdiebstahl aller Zeiten. Ohne Bybit wäre H1 2025 mit rund 690 Millionen Dollar im normalen Bereich gewesen.
Die wichtigste Verschiebung: Private Key Compromise löste Smart-Contract-Bugs als teuerstes Angriffsmuster ab. In 2024 waren Phishing-Angriffe für fast eine Milliarde Dollar verantwortlich, Private Key Compromises für 855 Millionen. Smart-Contract-Exploits wie Oracle-Manipulation und Reentrancy machten jeweils 47 bis 52 Millionen Dollar aus, erheblich, aber nicht mehr der dominante Vektor. Das bedeutet: Der Feind sitzt nicht mehr nur im Code, sondern beim Schlüssel.
Quelle: CertiK Hack3d 2024 | CertiK Hack3d 2025
Angriffstypen: Was wirklich passiert
Drei Angriffsmuster tauchen in der DeFi-Geschichte immer wieder auf und sind dokumentiert anhand realer Protokollhacks:
Oracle-Preismanipulation: Angreifer manipulieren den Preis eines Tokens über Flashloans auf Spot-DEXes, um falsche Preisinformationen in ein abhängiges Protokoll zu speisen. Reales Beispiel: Mango Markets (Oktober 2022), wo Avi Eisenberg den MNGO-Token über koordinierte Käufe auf mehreren Börsen um mehrere tausend Prozent aufblies, damit einen Papierwert von 400 Millionen Dollar simulierte und darüber unbesicherte Kredite im Wert von 117 Millionen Dollar aufnahm. Laut Three Sigma verursachte Oracle-Manipulation in 2024 noch einmal 52 Millionen Dollar Schaden in 37 gemeldeten Incidents.
Reentrancy-Angriffe: Ein Klassiker seit dem DAO-Hack 2016 (60 Millionen Dollar). Die Schwachstelle: Ein Smart Contract ruft einen externen Contract auf, der zurückruft, bevor der erste Zustand aktualisiert wurde. Das Geld kann mehrfach abgezogen werden. Aktuelles Beispiel: Penpie Finance (September 2024, 27 Millionen Dollar), bei dem ein fehlender NonReentrant-Modifier in einer Reward-Harvesting-Funktion ausgenutzt wurde. Reentrancy verursachte 2024 insgesamt 47 Millionen Dollar Verlust in 22 Incidents.
Governance-Angriffe: Wer genug Governance-Token anhäuft, kann schädliche Proposals durchsetzen. Reales Beispiel aus 2024: Compound Finance, bei dem ein koordiniertes "Golden Boys"-Team 499.000 COMP-Token (rund 5 Prozent der Protokoll-Treasury) durch Proposal 289 auf ein unkontrolliertes Multisig-Wallet umleitete. Der Vorschlag passierte mit knapper Mehrheit, nachdem koordiniert Votes gesammelt wurden. Governance-Angriffe verursachten 2024 über 37 Millionen Dollar Verlust.
Quelle: Three Sigma: 2024 DeFi Exploits Top Vulnerabilities
Smart Contract Audits: Was sie können und was nicht
Ein Audit bleibt die wichtigste Präventionsmaßnahme, aber seine Grenzen sind bekannt und dokumentiert. Trail of Bits veröffentlichte 2019 eine Analyse von 246 Audit-Findings aus 23 bezahlten Engagements. Das zentrale Ergebnis: Fast 50 Prozent der identifizierten Schwachstellen sind durch automatisierte statische oder dynamische Analyse-Tools auch langfristig nicht auffindbar. Manuelle Expert-Reviews bleiben unersetzlich. Gleichzeitig zeigen die Zahlen aus 2024: Private-Key-Angriffe, also genau die Angriffsvektoren, die kein Smart-Contract-Audit erfasst, verursachten mehr Verluste als alle Smart-Contract-Exploits zusammen. Trail of Bits schrieb dazu 2025 explizit: "Most blockchain protocols only seek outside input at the very end of the software development lifecycle, when there is little time to fix systemic access control issues."
Laut Halborns Top-100-DeFi-Hacks-Bericht 2025 nutzten nur 19 Prozent der gehackten Protokolle Multi-Sig-Wallets. Lediglich 2,4 Prozent hatten Cold Storage für Treasury-Assets. Audits sind kein Ausweg aus strukturellen Architekturentscheidungen, die das Risiko grundsätzlich bestimmen.
Quelle: Trail of Bits: 246 Findings (2019) | Trail of Bits: Private Key Risk (2025)
Formale Verifizierung: Mathematisch statt manuell
Formale Verifizierung ist kein Marketingbegriff, sondern ein Ansatz aus der Luft- und Raumfahrt und Nukleartechnik, der in DeFi zunehmend angewendet wird. Dabei wird mathematisch bewiesen, dass ein Contract unter allen möglichen Zuständen korrekt funktioniert. Tools wie Runtime Verification's K Framework und Certora's Prover ermöglichen es Teams, Sicherheitseigenschaften formal zu spezifizieren und automatisch zu prüfen. Diese Ansätze sind ressourcenintensiv, decken aber Fehlerklassen ab, die traditionelle Audits regelmäßig übersehen. Das Problem: Selbst formal verifizierter Code interagiert mit nicht-verifizierten externen Contracts und Oracles. Isolierte Korrektheit ist kein Schutz gegen systemweite Angriffe.
Was DeFi 2025 wirklich gefährlicher macht
Die Angriffsfläche wächst nicht nur durch neue Protokolle, sondern durch Komposabilität. Ein Angreifer muss heute keinen einzigen Fehler im Zielprotokoll finden, er braucht einen Fehler irgendwo in der Kette aus Oracles, Bridges, Liquidity Pools und Governance-Mechanismen, die alle miteinander interagieren. Laut Halborns Bericht machten Flash-Loan-Angriffe 2024 83,3 Prozent aller protokollspezifischen Exploits aus, weil sie diese Komposabilität systematisch ausnutzen.
Hinzu kommen die Off-Chain-Angriffe. 2024 kamen 80,5 Prozent aller gestohlenen Gelder aus Off-Chain-Kompromittierungen, also Phishing, Social Engineering, kompromittierte Wallets und Backend-Infrastruktur. DeFi ist ein on-chain System mit einem off-chain Angriffsproblem. Wer das ignoriert und sich auf Audit-Zertifikate verlässt, schützt sich vor gestern und nicht vor heute.
Was konkret funktioniert
Die Datenlage aus 2024 und 2025 liefert klare Hinweise. Multi-Signature-Wallets sind das günstigste Sicherheitsupgrade mit dem größten Effekt, aber nur 19 Prozent der gehackten Protokolle nutzten sie. Bug-Bounty-Programme (wie Immunefi) haben im Verlauf der Jahre Hunderte Millionen Dollar Schaden verhindert. On-Chain-Monitoring-Tools, die anomale Transaktionsvolumen oder ungewöhnliche Contract-Interaktionen in Echtzeit erkennen, erlauben schnelles Pausieren und Schadensbegrenzung. Und formale Verifizierung für kritische Kernfunktionen, insbesondere im Lending-Bereich, reduziert die häufigsten exploitbaren Fehlerklassen nachweisbar.
DeFi-Sicherheit ist kein einmaliges Checkmark-Problem. Wer in der Branche unterwegs ist, muss verstehen: Ein gecertetes Protokoll ist sicherer als ein ungeprüftes, aber kein gecertetes Protokoll ist sicher. Der Angriff auf Bybit 2025 richtete sich nicht gegen einen Smart Contract, sondern gegen die Schlüsselinfrastruktur dahinter.
2024: Private Key Compromise verursacht $855M Schaden. Smart Contract Bugs wie Reentrancy: $47M. Das Sicherheitsproblem von DeFi ist nicht mehr der Code allein. Es ist die Schlüsselverwaltung und menschliche Infrastruktur dahinter. #DeFi #Web3Security #SmartContracts
— Redweb Club Analyse
Faktencheck-Notizen: "XYZ-Protokoll", "ABC-Lending-Protokoll" und "DEF" aus dem Originalartikel sind nicht verifizierbare Platzhalter-Namen und wurden durch dokumentierte Realfälle ersetzt (Mango Markets, Penpie Finance, Compound Proposal 289). Die Trail-of-Bits-Studie existiert, stammt aus 2019, und macht eine andere Kernaussage als im Original dargestellt: 50% der Findings sind automatisch nicht detektierbar, nicht dass auditierte Contracts "häufig anfällig" bleiben. Neuere Trail-of-Bits-Forschung 2025 ergänzt: Private Key Compromise ist der blinde Fleck klassischer Smart-Contract-Audits. Der geopolitische Abschnitt über Bitcoin-Hashrate und 51%-Angriffe wurde entfernt: DeFi-Protokolle laufen primär auf Ethereum (Proof-of-Stake), nicht auf Proof-of-Work-Blockchains. Irans Hashrate-Anteil (~4%) ist für Bitcoin-Sicherheit nicht kritisch; das Netzwerk absorbierte 2021 Chinas Mining-Ban mit über 40% Hashrate-Verlust ohne Stabilitätsprobleme. Die Verknüpfung von Nahost-Konflikt und DeFi-Sicherheit ist inhaltlich nicht tragfähig. Stand 28.02.2026 laufen US-Israel-Angriffe auf Iran; Auswirkungen auf Bitcoin-Hashrate werden in unserem separaten Mining-Artikel behandelt.
Quellen: CertiK Hack3d 2024 | CertiK Hack3d 2025 | Three Sigma: 2024 Exploits | Trail of Bits Audit Findings 2019 | Halborn Top 100 DeFi Hacks 2025
🎁 Artikel hat dir geholfen?
Wenn dir dieser Beitrag gefällt und du unsere Arbeit unterstützen möchtest, freuen wir uns über eine kleine Spende. Danke!
Jetzt unterstützen