Crypto-Bridges sollten das Versprechen der Interoperabilität einlösen. Im Jahr 2026 sind sie zum bevorzugten Angriffsziel der Hacker geworden. Laut einer PeckShield-Warnung vom 1. Juni 2026 wurden 340,7 Millionen Dollar aus Cross-Chain-Protokollen in 14 Exploits abgezogen. Kein Einzelfall, sondern ein sich wiederholendes Muster.
Eine weit verbreitete These im Sektor lautet: Bridges sind junge Infrastruktur, und mit besseren Audits werde man die Schwachstellen schließen. Die Zahlen erzählen jedoch eine andere, unbequemere Geschichte. Das Problem liegt nicht in der Reife des Codes, sondern darin, wo der Code den Wert konzentriert.
Die optimistische These: nur eine Frage der Zeit?
Das optimistische Argument klingt zunächst vernünftig. Bridges sind komplexe Software, die Nachrichten zwischen verschiedenen Chains verarbeiten. Jede neue Technologie durchläuft eine Schwächephase, bevor sie sich stabilisiert. Audits, Bug-Bounty-Programme, kontinuierliches Monitoring: Mit den richtigen Werkzeugen lasse sich das Risiko eindämmen, so diese Denkschule. Es sei die gleiche Kurve, die zentralisierte Börsen nach ihren schlimmsten Jahren durchlaufen haben.
Das Argument hat jedoch einen Schwachpunkt. Es setzt voraus, dass der Fehler zufällig ist, eine Reihe einzeln zu behebender Bugs. Die Daten des Jahres 2026 deuten stattdessen auf einen Strukturfehler hin.
Die Zahlen, die den Optimismus erschüttern
Im Mai 2026 wurden laut PeckShield 60 Sicherheitsvorfälle registriert, der höchste Monatswert des Jahres, mit Bruttoschäden von rund 68,3 Millionen Dollar. Code-Schwachstellen machten 66 Prozent der Vorfälle aus, während Bridge-Exploits die höchsten Schäden pro Angriffstyp verursachten. Die Rückholquote der Gelder lag bei lediglich 13,7 Prozent. Fast neun von zehn gestohlenen Dollar kehren nicht zurück.
Der symbolträchtigste Fall bleibt KelpDAO. PeckShield dokumentierte auf X die Dynamik der Cross-Chain-Exploits des Jahres 2026, und die aggregierte Auswertung ist eindeutig: Bridges dominieren die Schadensliste.
Warum werden Crypto-Bridges immer wieder gehackt?
De facto: weil sie das Kollateral dutzender Chains an einem einzigen Punkt bündeln, und eine einzige Lücke bei der Nachrichtenverifizierung genügt, um diesen Punkt zu leeren. Das ist der Konstruktionsfehler, nicht der Bug eines einzelnen Vertrags. Am 18. April 2026 entzog ein Angreifer dem auf LayerZero aufgebauten KelpDAO-Bridge rund 116.500 rsETH im Wert von 292 Millionen Dollar. Chainalysis stellte fest, dass LayerZero standardmäßig ein RPC-Quorum von 1 zu 1 eingestellt hatte: Ein einziger kompromittierter Knoten konnte betrügerische Cross-Chain-Nachrichten autorisieren. Dieses rsETH besicherte Token-Versionen auf über zwanzig Chains, von Base über Arbitrum bis Linea und Scroll. Eine Lücke, zwanzig exponierte Ökosysteme.
Das Muster wiederholt sich in kleinerem Maßstab, aber mit identischer Logik. Ein Angreifer prägt Token, verkauft sie, überbrückt sie auf eine andere Chain, wäscht die Erlöse. In einem jüngsten Fall wurden 1.285,5 ETH über einen Mixer geschleust, um die Spuren zu verwischen. Prägen, dumpen, bridgen, waschen, wobei die Diebstahlpipeline ist längst industriell organisiert.
Dazu kommt ein Thema, das SpazioCrypto bereits behandelt hat: der Aufstieg von KI-Agenten, die Schwachstellen schneller aufspüren, als Verteidiger sie schließen können. Für diese Debatte verweise ich auf die dedizierte Analyse.
Das Angriffsziel ändert sich nicht von selbst
Fasst man beide Seiten zusammen, fällt die Schlussfolgerung weniger tröstlich aus als die optimistische These. Solange Bridges einzigartige Multi-Chain-Kollateraldeposits bleiben, begünstigt die Risikogeometrie den Angreifer. Der Angreifer muss einen Punkt finden, wobei der Verteidiger muss alle Punkte schützen. Minimale Quorumsprüfungen, kostenoptimierende Vereinfachungen bei den Kontrollen, der Druck zum schnellen Launch: Jede Abkürzung wird zur Hintertür.
Unternehmen, die On-Chain-Werte verwalten, sollten die 340,7 Millionen Dollar des Jahres 2026, wie PeckShield berichtet, nicht als eine Anhäufung von Pech lesen, sondern als den strukturellen Preis einer Architektur, die ihr kostspieligstes Problem noch nicht gelöst hat. Für BaFin-regulierte Anbieter und institutionelle Akteure im DACH-Raum sind Cross-Chain-Sicherheitsstandards zunehmend auch eine Frage der Compliance. Technische Richtlinien zur Sicherheit digitaler Infrastrukturen werden von ENISA erarbeitet, während On-Chain-Bewegungen der Angreifer auf Etherscan nachverfolgt werden können.
